數(shù)據(jù)庫安全測評常見問題的分析與對策
近年來與數(shù)據(jù)庫相關的信息安全事件頻發(fā),政府組織、商業(yè)和金融機構(gòu)在數(shù)據(jù)庫中存儲重要的人事信息、交易記錄、市場決策信息、商業(yè)合同等大量的敏感數(shù)據(jù),數(shù)據(jù)安全成為社會的關注焦點,數(shù)據(jù)庫安全問題不容忽視。
安全測評機構(gòu)、安服團隊、集團安全部門在信息安全等級保護要求的指導下,使用專業(yè)的儀器設備與人工檢測相結(jié)合的方式,檢測數(shù)據(jù)庫的安全問題,并向被測單位提出有針對性的整改措施,用來扭轉(zhuǎn)數(shù)據(jù)庫安全問題頻發(fā)的嚴峻局面,保護和促進信息化的健康發(fā)展。
目前數(shù)據(jù)庫安全檢測的主要類型有Oracle、MySQL、SQL Server、DB2、達夢、人大金倉等,每個類型數(shù)據(jù)庫還可能由于版本不同,數(shù)據(jù)庫缺省賬戶、安全配置參數(shù)等也不同,如:Oracle各版本的缺省賬戶共有700多個,達夢6和達夢7從連接的端口號到安全配置項都有不同。單純靠人工很難在短時間內(nèi)全面、有效、準確的發(fā)現(xiàn)數(shù)據(jù)庫的安全問題,借助數(shù)據(jù)庫漏掃工具可以提高安全檢查效率。
檢測重點及常見問題
做數(shù)據(jù)庫安全檢測,一般需要在應用系統(tǒng)不繁忙的時候使用數(shù)據(jù)庫漏掃工具進行自動化的數(shù)據(jù)庫弱點評估,按等保要求主要檢測如下幾點:
1) 檢查用戶口令復雜度,找出弱口令和配置安全策略;
2) 數(shù)據(jù)庫賬戶權(quán)限設置不當;
3) 數(shù)據(jù)庫中多余的運維賬戶或過期賬戶未被及時清除;
4) 數(shù)據(jù)庫安全審計功能處于關閉狀態(tài);
5) 數(shù)據(jù)庫補丁未升級和高、中等級漏洞,如:SQL注入和緩沖區(qū)溢出漏洞,帶有攻擊性,要引起重視。
安華金和經(jīng)與多家單位安服人員合作與溝通,總結(jié)在做數(shù)據(jù)庫安全檢測時,經(jīng)常會遇到的以下幾類問題:
1) 數(shù)據(jù)庫漏掃工具根本不支持國產(chǎn)數(shù)據(jù)庫的檢測,無法快速實現(xiàn)國產(chǎn)數(shù)據(jù)庫安全評估;
2) 被測單位不允許檢測設備接入到運行的網(wǎng)絡環(huán)境中,或者必須通過堡壘機(linux操作系統(tǒng))才能檢測數(shù)據(jù)庫;
3) 被測單位往往以數(shù)據(jù)庫管理員不在或者不清楚數(shù)據(jù)庫賬戶為由,不提供檢測工具授權(quán)掃描需要的管理員賬戶和密碼;
4) 通常檢測工作需要在應用系統(tǒng)不繁忙的時間進行,如凌晨12點以后;
5) 通過數(shù)據(jù)庫漏掃工具檢測出來的結(jié)果過多,無法從檢測報表中找出等保對應的檢測項或高中漏洞項;
6) 檢測報表格式無法達到客戶或檢測單位的要求,實現(xiàn)定制化報表,滿足個性化需求。
問題分析及解決對策
對應上述檢測重點來看:
一、 檢查用戶口令復雜度,找出弱口令和配置安全策略;
首先要求對數(shù)據(jù)庫弱口令的檢測要有充足的弱口令字典和口令算法破解程序,通過能夠通過授權(quán)和非授權(quán)的弱口令掃描方式,實現(xiàn)弱口令的自動化發(fā)現(xiàn),同時提供與口令和缺省賬戶相關的安全配置項檢查和修復建議,如:連續(xù)登錄的失敗次數(shù)、登錄失敗后鎖定時間、密碼賬戶的有效期等。
二、數(shù)據(jù)庫賬戶權(quán)限設置不當;數(shù)據(jù)庫中多余的運維賬戶或過期賬戶未被及時清除;
上述這兩點要通過檢測工具和人工確認共同完成,首先要通過數(shù)據(jù)庫漏掃工具快速發(fā)現(xiàn)當前數(shù)據(jù)庫類型都有哪些賬戶和他們的權(quán)限,但是,這些賬戶只有通過與系統(tǒng)管理員核實,才有可能確定是否屬于廢棄的運維賬戶忘記回收了,賬戶的權(quán)限過大,過期賬戶是否鎖定或刪除,正確處理這些賬戶才能防止被黑客惡意提權(quán),利用這些賬戶篡改和查詢敏感信息。
三、數(shù)據(jù)庫安全審計功能處于關閉狀態(tài);
這點和某數(shù)據(jù)庫廠商核實過,從數(shù)據(jù)庫運行性能考慮不推薦開啟審計功能,但是數(shù)據(jù)庫的操作必須要有獨立的審計日志,在出現(xiàn)非法篡改和數(shù)據(jù)泄漏的時候,能夠追責和定責,而且這些審計數(shù)據(jù)要符合數(shù)據(jù)的獨立性、完整性和安全性,因此,安華金和建議采用成熟的數(shù)據(jù)庫審計設備來實現(xiàn)數(shù)據(jù)庫操作記錄。
四、數(shù)據(jù)庫補丁未升級和高、中等級漏洞,如:SQL注入和緩沖區(qū)溢出漏洞,帶有攻擊性,要引起重視。
數(shù)據(jù)庫補丁未升級和安全漏洞問題,如果檢測出來單純靠升級數(shù)據(jù)庫補丁的方式來解決,有可能在升級補丁后影響前臺應用,建議采用數(shù)據(jù)庫防火墻的虛擬補丁實現(xiàn)網(wǎng)絡層的數(shù)據(jù)庫漏洞防護。
對于安服人員在實際檢測過程中遇到的問題,安華金和數(shù)據(jù)庫安全專家提供如下解決對策:
1) 在選擇數(shù)據(jù)庫漏掃工具的時候,優(yōu)先考慮能支持國產(chǎn)數(shù)據(jù)庫類型檢測的檢查工具;
2) 可以采用檢測工具自帶的離線掃描工具來實現(xiàn),將離線掃描工具發(fā)給被測單位,被測單位在自己網(wǎng)絡內(nèi)的可信計算機運行,采集到檢測結(jié)果文件后,發(fā)回給檢測單位生成相應的報告;
3) 在沒有數(shù)據(jù)庫賬戶的情況下,就要求數(shù)據(jù)庫漏掃工具通過非授權(quán)掃描的功能實現(xiàn)數(shù)據(jù)庫安全檢查,非授權(quán)掃描通過對數(shù)據(jù)庫版本和缺省數(shù)據(jù)庫賬戶的探測,同時結(jié)合CVE、CNNVD報的數(shù)據(jù)庫高危漏洞,實現(xiàn)非授權(quán)掃描報表;
4) 在數(shù)據(jù)庫漏掃工具中,加入定時掃描的功能,可以在正常工作時間設定需要掃描的時間,到時就可以自動實現(xiàn)掃描,這樣,安服人員就不用常加班了,安服的小伙伴們肯定非常喜歡這個功能;
5) 數(shù)據(jù)庫漏掃工具支持等保、分保和行業(yè)檢查策略定制功能,可以按檢測要求事先指定好檢查策略集合,然后進行掃描,就可以實現(xiàn)按需要的策略實現(xiàn)檢測的功能;
6) 數(shù)據(jù)庫漏掃工具能輸出xml格式的檢查結(jié)果,這樣的數(shù)據(jù)就可以按客戶方提供的xml樣式表顯示定制的結(jié)果報表,如果客戶能采用編程的方式提取xml數(shù)據(jù),那將來顯示的xml報表就更“貼心”了。
數(shù)據(jù)庫安全檢測是一項復雜、科學嚴謹?shù)墓ぷ鳎瑱z測人員首先要選擇檢測結(jié)果準確、檢測過程方便、適應各種安服條件的自動化數(shù)據(jù)庫漏掃工具,還需要結(jié)合測評工作經(jīng)驗和等、分保、行業(yè)信息安全政策要求,充分與被測方進行溝通后,才能得出數(shù)據(jù)庫安全測評結(jié)果,并提出有效的整改意見。安華金和結(jié)合自身數(shù)據(jù)庫安服和數(shù)據(jù)庫漏掃工具研發(fā)經(jīng)驗,對安服過程中的問題提出對策,也希望更多的安服小伙伴將自己在工作中的困惑和需求反饋給我們,這片文章希望起到“拋磚引玉”的效果對數(shù)據(jù)庫安全測評工作有實際幫助。
關于安華金和
安華金和是我國專業(yè)數(shù)據(jù)庫安全產(chǎn)品和服務提供商,由長期致力于數(shù)據(jù)庫內(nèi)核研發(fā)和信息安全領域的專業(yè)資深人員共同創(chuàng)造,是國內(nèi)唯一提供全面的數(shù)據(jù)庫安全產(chǎn)品、服務和解決方案服務商,覆蓋數(shù)據(jù)庫安全防護的事前檢查、事中控制和事后審核,幫助用戶全面實現(xiàn)數(shù)據(jù)庫安全防護和安全合規(guī)。
安華金和數(shù)據(jù)庫安全產(chǎn)品已經(jīng)廣泛地應用于政府、軍隊、軍工、運營商、金融、企業(yè)信息防護等領域,建立了一定的聲譽,成為眾多企業(yè)在該領域?qū)で蟀踩a(chǎn)品和服務的首選。
