信息安全時代呼喚數據庫審計和風險控制
【51CTO.com 綜合報道】
一、信息安全時代的到來
2005年美國最大的金融數據泄密事件爆發, 數千萬信用卡數據被竊, 損失數以億萬美金計。幾乎同時國內出現的某移動充值卡事件, 某電信的計費數據庫被清零事件,某醫院所有病人的個人檔案和處方信息被竊取,包括前幾天出現的3.15信息非法外泄的披露, 現實告訴我們,信息安全時代呼喚專業實效的數據庫審計。
新信息安全時代區別于10年前開始的網絡安全時代的最大特征在于,信息安全更關注于ISO七層之上的用戶數據, 而非端口的開和關, 協議的通行與否,以及系統的補丁和溢出攻擊。 事實上, 上述的所有信息安全事件, 都是在沒有破壞網絡和不為人覺察的情況下發生的。 統計表明, 70%安全問題出在內部, 內部的風險策略控制在核心數據庫層面表現地越來越突出。
二、數據庫面臨的安全挑戰
數據庫是任何商業和公共安全中最具有戰略性的資產,通常都保存著重要的商業伙伴和客戶信息,這些信息需要被保護起來,以防止競爭者和其他非法者獲取。互聯網的急速發展使得企業數據庫信息的價值及可訪問性得到了提升,同時,也致使數據庫信息資產面臨嚴峻的挑戰,概括起來主要表現在以下三個層面:
管理風險:主要表現為人員的職責、流程有待完善,內部員工的日常操作有待規范,第三方維護人員的操作監控失效等等,離職員工的后門, 致使安全事件發生時,無法追溯并定位真實的操作者。
技術風險:Oracle, SQL Server是一個龐大而復雜的系統,安全漏洞如溢出, 注入層出不窮,每一次的CPU(Critical Patch Update)都疲于奔命, 而企業和政府處于穩定性考慮, 往往對補丁的跟進非常延后,更何況通過應用層的注入攻擊使得數據庫處于一個無辜受害的狀態。目前的現實狀況是很難通過外部的任何網絡層安全設備(比如:防火墻、IDS、IPS等)來阻止應用層攻擊的威脅。
審計層面:現有的依賴于數據庫日志文件的審計方法,存在諸多的弊端,比如:數據庫審計功能的開啟會影響數據庫本身的性能、數據庫日志文件本身存在被篡改的風險,難于體現審計信息的有效性和公正性。此外, 對于海量數據的挖掘和迅速定位也是任何審計系統必須面對和解決的一個核心問題之一。
伴隨著數據庫信息價值以及可訪問性提升,使得數據庫面對來自內部和外部的安全風險大大增加,如違規越權操作、惡意入侵導致機密信息竊取泄漏,但事后卻無法有效追溯和審計。美國等很多國家的公開法案都對數據信息的安全有很明確的規定,其中比較著名的是Sarbanes-Oxley薩班斯—奧克斯利法案,PCI (Payment Card Industry data standard) 規定。
三、數據庫審計的歷史回顧
數據庫審計并沒有一個非常標準公開的定義, 但是通常認為它應該具備解析,存儲所有訪問數據庫的相關信息并提供相關查詢和報表功能。
對于數據庫審計的理解,其實有一個發展過程。 從幾年前開始, 有的廠家開始在原來日志審計的基礎上發展包裝了一個數據庫審計,這類系統能記錄并顯示基本的往數據庫發的sql, 并且有一定的查詢和報表功能。客觀地說, 這種系統一開始出現時滿足了一定的需求。
但是隨著新信息安全時代的到來,原來的基本功能越來越體現起不足,比如越來越多的控制是關注返回而不是請求, 弱口令等管理風險如何控制, 還有如何進行用戶訪問控制細粒度策略的定制和實施, 和萬一數據被篡改或刪除后(不管是有意還是無意)能否盡快實施定位式恢復。 其實從最近的眾多實際用戶需求案例也可以看出:
實際案例一: 某工商數據庫
某省最大工商數據庫要求除了追溯誰在什么時候做了企業數據篡改, 還要求迅速定位篡改前的數據。 以便更好的應對客戶投訴。
實際案例二: 某醫院數據庫
承載千萬病人機密信息和處方數據的數據庫記錄, 客戶要求當某用戶某字段的Select返回記錄超過100萬時, 立即進行告警和Action.
實際案例三: 某在線系統的后臺數據庫, 當發現數據庫被非法篡改后,由于數據庫審計顯示的源地址都來自應用系統服務器IP, 要求能迅速通過三層關聯定位通過應用攻擊的客戶端源地址,以便溯源。
實際案例四: 根據等級保護自查自糾原則, 除了實時的數據庫監控審計外, 還要求能對數據庫的弱口令,高危配置能定時進行靜態掃描和審計。
#p#四、解決方案概述
明御數據庫防御與審計系統(DAS-DBAuditor)是自動化“評估/審計/保護”數據庫運行的安全解決方案,支持Oracle、MS-SQL Server、 DB2及Sybase等業界主流數據庫。專利級的雙引擎技術使得數據庫異常行為的檢測正確率大幅度提升,同時高速環境下的線速捕獲技術的采用,為DAS-DBAuditor的審計信息完整捕獲提供了技術保障。DAS-DBAuditor可支持直連、旁路兩種模式靈活地部署到網絡中,在無需更改現有網絡體系結構、不占用數據庫服務器任何資源、不影響數據庫性能的情況下幾分鐘內即可完成部署,從而滿足企業核心數據庫的大容量、高性能、高可靠性需求。
全數據安全生命周期:事前評估---事中監控---事后審計—篡改恢復
 |
事件回放:允許安全管理員提取歷史數據,對過去某一時段的事件進行回放,真實展現當時的完整操作過程,便于分析和追溯系統安全問題。
很多安全事件或者與之關聯的事件在發生一段時間后才引發相應的人工處理, 這個時候, 作為獨立審計的DAS-DBAuditor就發揮特別的作用. 因為所有的FTP、telnet、客戶端連接等事件都保存后臺(包括相關的告警), 對相關的事件做定位查詢,縮小范圍,使得追溯變得容易;同時由于這是獨立監控審計模式, 使得相關的證據更具有公證性。
下圖為ftp和telnet到該服務器的命令回放示意圖:
 |
五、產品特點
4.1 高性能
在實際用戶環境中, 該設備曾經對一個VLAN的8臺數據庫同時進行審計, 涵蓋了Oracle 9i/10g, SQL Server 2000/2005, Sybase 等主流版本, 流量達到接近千兆以太網里面峰值而完全正常運行。
4.2 超細粒度審計和數據挖掘功能
由于數據庫進出信息流量幾大, 一旦數據庫審計系統部署一段時間后,很容易積累海量數據, 這時候普通的查詢很難滿足精準定位的需求。
4.3 自動化評估引擎和智能化的安全監控引擎
高端數據庫審計和風險控制設備集成了數據庫自動化評估引擎, 該引擎目前也被公安部等級保護測評中心和公安廳等級保護測評中心所用。利用該引擎,用戶可以自己對數據庫進行自動化自查自糾工作。
該引擎能自動完成對幾百種不當的數據庫不安全配置、潛在弱點、數據庫用戶弱口令、數據庫軟件補丁、數據庫潛藏木馬等等全方位的掃描,最終形成嚴謹的評估報告及加固建議。通過自動化的風險評估,可以為后續的安全策略設置提供有力的依據。
此外, 智能化安全防護引擎集成了數據庫安全專家和風險控制專家的對各類惡意行為和非正常行為的實時監控和控制。
4.4 靈活的風險控制策略
安全策略之組成:DAS-DBAuditor可以對上述安全模型中的任意元素進行組合,生成滿足應用需求的安全策略。安全策略除了網絡五元組, 還可以組合定義應用層的所有元素。
預設置安全策略:根據安全經驗、行業應用需求不同,預先設置諸多的安全策略,大大縮短了設備部署的時間。
專家模式自定義策略:除了動態建模、預設置安全策略外,安全管理員還可以利用系統提供的自定義策略配置功能,以手工方式配置滿足企業特殊需求的安全策略。
4.5 零風險部署
DAS-DBAuditor可靈活支持直連、旁路的模式部署到網絡中,因此,部署時不需要對現有的網絡體系結構(包括:路由器、防火墻、應用層負載均衡設備、應用服務器等)進行調整。
4.6 內控合規性報告
DAS-DBAuditor內嵌了功能強大的報表模塊,除了按安全經驗、行業需求分類的預定義格式報表外(包括SOX, PCI報表),管理員還可以利用報表自定義功能生成定制化的報告。報告模塊同時支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式的數據導出。支持兩種報表生成模式,即預置固定格式的報表、用戶自定義報表:
通過預置固定格式的報表:可快速查看安全告警、SOX審計、設備性能以及應用系統受攻擊情況。
靈活的條件格式定義,可以方便的根據業務邏輯來動態格式化報表元素,同時提供強大的樣式定義,對于熟悉CSS的設計人員來說,可以設計出相當出色的報表樣式。
4.7 可選的數據庫篡改定位恢復模塊
數據庫篡改恢復模塊無需額外打開Oracle 歸檔等消耗開關, 能利用數據庫底層原理進行定位和恢復, 對發現的誤操作和惡意操作可以進行無縫恢復, 大大減輕了管理員的壓力。
