信息中心
安恒信息高校應用及數據庫安全解決方案
1、概述
1.1黑客攻擊由網絡層轉向應用層
隨著互聯網技術的迅猛發展,許多政府、企業及高校的關鍵業務活動越來越多地依賴于WEB應用,在向公眾及學生提供通過瀏覽器訪問高校信息功能的同時,高校所面臨的風險在不斷增加。主要表現在兩個層面:一是隨著Web應用程序的增多,這些Web應用程序所帶來的安全漏洞越來越多;二是隨著互聯網技術的發展,被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經濟利益驅動非常明顯。
然而與之形成鮮明對比的卻是:現階段的安全解決方案無一例外的把重點放在網絡安全層面,致使面臨應用層攻擊(如:針對WEB應用的SQL注入攻擊、跨站腳本攻擊等)發生時,傳統的網絡防火墻、IDS/IPS等安全產品對網站攻擊幾乎不起作用,許多政府和企業門戶網站成為黑客組織成批傳播木馬的最有效途徑。
據統計75%的網絡攻擊和互聯網安全侵害源于應用軟件,網頁上的漏洞的根源還是來自程序開發者對網頁程序編制和檢測。未經過安全訓練的程序員缺乏相關的網頁安全知識;應用部門缺乏良好的編程規范和代碼檢測機制等等。解決此類問題必須在WEB應用軟件開發程序上整治,僅僅靠打補丁和安裝防火墻是遠遠不夠的。
2008年上半年,中國大陸被篡改網站的數量相比往年處于明顯上升趨勢。國家互聯網
應急中心(CNCERT)監測到中國大陸被篡改網站總數達到35113個,同比增加了23.7%。按月統計情況如圖所示:
2008年上半年中國被篡改網站數量
2008年1月至6月期間,中國大陸政府網站被篡改數量基本保持平穩,各月累計達2242個。與去年上半年同期監測情況相比,增加了41%。從中可以看出,每月被篡改的gov.cn域名網站約占整個大陸地區被篡改網站的7%,而gov.cn域名網站僅占.cn域名的2.3%,因此政府網站仍然是黑客攻擊的重要目標。具體比例如下圖:
1.2面向應用層新型攻擊特點簡析
?隱蔽性強:利用Web漏洞發起對WEB應用的攻擊紛繁復雜,包括SQL注入,跨站腳本攻擊等等,一個共同特點是隱蔽性強,不易發覺。
?攻擊時間短:可在短短幾秒到幾分鐘內完成一次數據竊取、一次木馬種植、完成對整個數據庫或Web服務器的控制,以至于非常困難做出人為反應。
?危害性大:目前幾乎所有銀行,證券,電信,移動,政府以及電子商務企業都提供在線交易,查詢和交互服務。用戶的機密信息包括賬戶,個人私密信息(如身份證),交易信息等等,都是通過Web存儲于后臺數據庫中,這樣,在線服務器一旦癱瘓,或雖在正常運行,但后臺數據已被篡改或者竊取,都將造成企業或個人巨大的損失。據權威部門統計,目前身份失竊(identitytheft)已成為全球最嚴重的問題之一。
?造成非常嚴重的有形和無形損失:目前,很多大型企業都是在國內外上市的企業,一旦發生這類安全事件,必將造成人心惶惶,名譽掃地,以至于造成經濟和聲譽上的巨大損失,即便不上市,其影響和損失也是不可估量的。
1.3現有的網絡層防護產品面對應用層攻擊束手無策
傳統的防火墻或IDS產品存在以下不足:
?防火墻:通過端口限制實現訪問控制,但對于WEB應用而言,其HTTP/HTTPS端口是開放的。因此,防火墻無法檢測到WEB應用攻擊的發生,更談不上阻止攻擊。
?IDS:依靠特征庫檢測已知攻擊,而對于WEB應用攻擊,變形非常多(比如:SQL注入、跨站腳本、惡意文件包含等),IDS無法窮盡所有的特征,當然,更加不可能預知未來的變形。
1.4數據庫面臨的安全挑戰
數據庫是信息系統核心業務開展過程中最具有戰略性的資產,通常都保存著重要的商業伙伴和客戶信息,這些信息需要被保護起來,以防止競爭者和其他非法者獲取。互聯網的急速發展使得企業的數據庫信息價值及可訪問性得到了提升,同時,高校中的校園一卡通系統的重要組成部分――電子錢包,關系著每位師生在校園活動的記錄,對核心的數據庫信息資產也面臨嚴峻的挑戰,概括起來主要表現在以下三個層面:
?管理層面:主要表現為人員的職責、流程有待完善,內部員工的日常操作有待規范,第三方維護人員的操作監控失效等等,致使安全事件發生時,無法追溯并定位真實的操作者。
?技術層面:
為保護數據庫信息的安全性,制定了相應的管理制度,但沒有相應的技術手段進行控制。
數據庫安裝部署時,使用數據庫廠商默認配置、缺省口令、默認權限等現象普遍存在。
現有的數據庫內部操作不明,無法通過外部的任何安全工具(比如:防火墻、IDS、IPS等)來阻止內部用戶的惡意操作、濫用資源和泄露企業機密信息等行為。
?審計層面:現有的依賴于數據庫日志文件的審計方法,存在諸多的弊端,比如:數據庫審計功能的開啟會影響數據庫本身的性能、數據庫日志文件本身存在被篡改的風險,難于體現審計信息的真實性。
伴隨著數據庫信息價值以及可訪問性提升,使得數據庫面對來自內部和外部的安全風險大大增加,如違規越權操作、惡意入侵導致機密信息竊取泄漏,但事后卻無法有效追溯和審計。
1.5數據庫用戶的客觀需求
針對目前的數據庫用戶概括來說主要是三個方面的需求:一是確保數據的完整性,避免因管理缺位造成數據丟失;二是讓管理者全面了解數據庫的潛在風險,以及實際發生的情況;三是在可疑行為發生時可以自動啟動預先設置的告警流程,防范數據庫風險的發生。因此對數據庫的安全性方面要求就特別高。任何一種遺漏關鍵活動的行為,都會導致數據庫安全上的錯誤判斷,并且干擾數據庫在運行時的性能。
1.6現有的數據庫安全解決方案的不足
現有的數據庫安全解決方案,都把注意力集中在以下幾個方面:
?硬件層面:常見的方案包括在線存儲RAID、多數據庫服務器的集群工作、離線備份、異地容災等;
?軟件層面:被及時發現的誤操作,通過數據庫軟件本身的回滾或通過備份文件來恢復;數據庫軟件本身的問題,完全依賴于數據庫廠商的補丁升級來解決;
而對于數據庫的安全防護與風險控制,幾乎都是通過防火墻或IDS/IPS進行簡單的端口隔離及訪問策略控制,來實現外部風險的控制,而對于內部人員的違規操作則更加缺乏有效的控制手段,主要原因是:
?傳統網絡安全方案:網絡防火墻只能實現對IP地址、端口及協議的訪問控制,無法識別特定用戶的具體數據庫活動(比如:某個用戶使用數據庫客戶端刪除某張數據庫表);而IPS雖然可以依賴特征庫有限識別數據庫軟件已知漏洞的攻擊,但他同樣無法判別具體的數據庫用戶活動,更談不上細粒度的審計。
?數據庫安全操作:需要數據庫軟件本身開啟審計功能,通過采集數據庫系統日志信息的方法形成審計報告,這樣的審計方案受限于數據庫的審計日志功能和訪問控制功能,在審計深度、審計響應的實時性方面都難以獲得很好的審計效果。同時,開啟數據庫審計功能,一方面會增加數據庫服務器的資源消耗,嚴重影響數據庫性能;另一方面審計信息的真實性、完整性也無法保證。
?其他諸如應用程序修改、數據源觸發器、統一認證系統授權等等方式,均只能記錄有限的信息,更加無法提供細料度的數據庫操作審計。
1.7本方案解決的數據庫安全問題
安恒公司針對數據庫面臨的風險及行業客戶的實際需求,結合其數據庫安全的深入研究及安全服務團隊的實踐經驗積累,推出本數據庫安全整體解決方案,該方案主要從以下幾個方面入手,力求從多個層面解決數據庫面臨的管理風險、技術風險及審計風險:
?管理風險:協助企業建立完善的數據庫安全管理體系,規范內部人員的職責及流程;
?技術風險:
通過專用的數據庫安全審計設備部署,對重要數據、敏感信息設置細粒度的風險控制策略及審計規則,使得相應的管理制度能夠得到有效的貫徹與落實。
通過數據庫的靜態審計(即風險評估),實現對數據庫不安全配置、潛在弱點、弱口令、默認口令、軟件補丁等多方面的安全評估及加固,消除默認配置、默認權限等不安全隱患,實現對數據庫攻擊風險的有效控制。
通過靈活的策略定制:根據登錄用戶、源IP地址、數據庫對象(分為數據庫用戶、表、字段)、操作時間、SQL操作、記錄內容的靈活組合來定義客戶所關心的重要事件和風險事件,實現內部人員操作的透明化,控制誤操作、違規操作及惡意操作事件的發生;
通過專用的數據庫安全審計設備部署,實時監控來自各個層面的所有數據庫活動(比如:來自業務系統的、來自管理員遠程登錄的、來自數據庫客戶端軟件的等),營造安全的數據庫運行環境。
?審計風險:
通過專用的數據庫安全審計設備的部署,實現安全審計與日常數據庫管理分離,確保審計信息的真實性、完整性、公正性;
部署獨立的、專用數據庫安全審計設備的部署,確保審計工作不影響數據庫本身的性能;
通過專用的數據庫安全審計設備的部署,提供細粒度的行為檢索及安全事件回放,輔助安全事件的成因分析與責任認定。
文章作者:比特網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄