數(shù)據(jù)庫安全訪問中間件技術(shù)白皮書目錄1.產(chǎn)品簡介.12.產(chǎn)品安全特性.23.性能與易用性.64.產(chǎn)品體系結(jié)構(gòu).75.部署方案.96.支持平臺(tái).127.性能測試數(shù)據(jù).13數(shù)據(jù)庫安全訪問中間件第1頁1.產(chǎn)品簡介隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，數(shù)據(jù)庫的應(yīng)用十分廣泛，深入到各個(gè)領(lǐng)域。但隨之而來產(chǎn)生了數(shù)據(jù)的安全問題。數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，是計(jì)算機(jī)信息系統(tǒng)的核心部件，其安全性至關(guān)重要。小則關(guān)系到企業(yè)興衰、大則關(guān)系到國家安全。在涉密單位或者大型企業(yè)中，廣泛的實(shí)施了安全防護(hù)措施，包括機(jī)房安全、物理隔離、防火墻、入侵檢測、加密傳輸身份認(rèn)證系統(tǒng)等等。但是數(shù)據(jù)庫的安全問題卻一直得不到應(yīng)有的重視。同時(shí)，之前的市場上也缺乏有效的數(shù)據(jù)庫安全增強(qiáng)產(chǎn)品。這就致使數(shù)據(jù)庫及其應(yīng)用系統(tǒng)在安全方面普遍存在一些安全隱患。其中比較嚴(yán)峻的幾個(gè)方面表現(xiàn)在：（1）由于國內(nèi)只能購買到C2安全級(jí)別的數(shù)據(jù)庫安全系統(tǒng)，該類系統(tǒng)采用自主訪問控制（DAC）模式，DBA角色能擁有至高的權(quán)限，權(quán)限可以不受限制的傳播。這就使得獲取DBA角色的權(quán)限成為攻擊者的目標(biāo)。一旦攻擊者獲得DBA角色的權(quán)限，數(shù)據(jù)庫將對(duì)其徹底暴露，毫無任何安全性可言。（2）數(shù)據(jù)庫系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)，根據(jù)已經(jīng)公布的資料，數(shù)據(jù)庫存在許多漏洞，其中不少是致命的缺陷和漏洞。舉例來說，號(hào)稱擁有全球最安全的數(shù)據(jù)庫產(chǎn)品的Oracle公司在2006年1月發(fā)布了其季度安全補(bǔ)丁包，該補(bǔ)丁包修補(bǔ)了多個(gè)產(chǎn)品中的80數(shù)據(jù)庫安全訪問中間件第2頁多個(gè)漏洞。其中不少漏洞可以非常容易地被黑客利用，一旦遭到攻擊將給用戶造成嚴(yán)重影響。（3）數(shù)據(jù)庫及其應(yīng)用系統(tǒng)每天都可能受到包括SQL注入攻擊在內(nèi)的廣泛的攻擊。攻擊者利用應(yīng)用程序設(shè)計(jì)中的漏洞，對(duì)數(shù)據(jù)庫系統(tǒng)發(fā)起攻擊，獲得不應(yīng)該具有的權(quán)限，甚至下載整個(gè)數(shù)據(jù)庫文件，給數(shù)據(jù)庫的安全造成嚴(yán)重威脅。（4）C2級(jí)數(shù)據(jù)庫采用基于口令的認(rèn)證方式。本身缺乏有效的登錄口令管理機(jī)制，口令更換周期長，使用復(fù)雜口令很困難，口令泄露的風(fēng)險(xiǎn)大。由于C2級(jí)商業(yè)數(shù)據(jù)庫管理系統(tǒng)在上述各個(gè)安全方面的不可信，攻擊者可能通過非正常途徑來訪問數(shù)據(jù)庫，破壞系統(tǒng)的安全性。為增強(qiáng)數(shù)據(jù)庫系統(tǒng)的安全，本產(chǎn)品在應(yīng)用系統(tǒng)和數(shù)據(jù)庫之間增加一個(gè)透明中間件，來屏蔽數(shù)據(jù)庫系統(tǒng)的訪問入口。所有用戶，包括DBA，必須通過中間件才能對(duì)數(shù)據(jù)庫進(jìn)行訪問或管理。中間件提供透明代理、多重安全認(rèn)證、完全獨(dú)立的授權(quán)管理、動(dòng)態(tài)密碼（輔助登錄）等功能，達(dá)到牢牢控制數(shù)據(jù)庫入口的目的。2.產(chǎn)品安全特性1、屏蔽用戶和應(yīng)用程序直接訪問數(shù)據(jù)庫所有通道和隱通道部署中間件之前，應(yīng)用服務(wù)器和用戶直接連接到數(shù)據(jù)庫服務(wù)器，如下圖所示：數(shù)據(jù)庫安全訪問中間件第3頁數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫應(yīng)用服務(wù)器數(shù)據(jù)庫管理界面直接訪問用戶由于數(shù)據(jù)庫服務(wù)器直接與用戶和應(yīng)用服務(wù)器連接并提供服務(wù)，極易受到形形色色的攻擊。并且數(shù)據(jù)庫系統(tǒng)存在的未知的隱通道，也很容易被攻擊者利用。數(shù)據(jù)庫服務(wù)器通常采用默認(rèn)的端口，比如Oracle的1521端口，SQLSERVER的1433端口。攻擊者可以輕易的掃描這些端口，得知數(shù)據(jù)庫的類型，進(jìn)而進(jìn)行攻擊。部署中間件之后，中間件介于數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器之間，如下圖所示：數(shù)據(jù)庫安全訪問中間件第4頁數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫應(yīng)用服務(wù)器數(shù)據(jù)庫管理界面用戶數(shù)據(jù)庫安全中間件直接連接數(shù)據(jù)庫服務(wù)器與應(yīng)用程序之間通過中間件進(jìn)行隔離。所有對(duì)數(shù)據(jù)庫的訪問都必須經(jīng)過中間件進(jìn)行。各種隱通道也相應(yīng)被屏蔽，不會(huì)被攻擊者直接利用。中間件提供的端口映射功能，隱藏實(shí)際的數(shù)據(jù)庫端口，使得對(duì)外提供的服務(wù)端口可以是任意空閑的端口，不再是缺省端口，攻擊者難以得知數(shù)據(jù)庫端口的所在。2、應(yīng)用軟件到數(shù)據(jù)庫的訪問經(jīng)過二次認(rèn)證和獨(dú)立權(quán)限檢查在部署中間件以前，由于數(shù)據(jù)庫直接與應(yīng)用程序進(jìn)行連接，且只能通過口令進(jìn)行認(rèn)證，數(shù)據(jù)庫極易受到假冒用戶的連接和惡意的攻擊。由于DBA角色具有超級(jí)權(quán)限，當(dāng)惡意攻擊者將自己的角色數(shù)據(jù)庫安全訪問中間件第5頁提高到DBA時(shí)，整個(gè)數(shù)據(jù)庫將完全被其操縱。應(yīng)用服務(wù)器也極易在類似SQL注入攻擊的過程中，成為攻擊者的跳板。部署中間件之后，應(yīng)用程序?qū)?shù)據(jù)庫的訪問，必須經(jīng)過中間件和數(shù)據(jù)庫系統(tǒng)兩層身份認(rèn)證和權(quán)限檢查。中間件使用IP地址、MAC地址、以及硬盤序列號(hào)、主板序列號(hào)等多種計(jì)算機(jī)系統(tǒng)的特征，結(jié)合證書的驗(yàn)證方式，確保訪問來源的真實(shí)性，杜絕IP地址欺騙和假冒用戶的連接。中間件提供與數(shù)據(jù)庫系統(tǒng)完全獨(dú)立的授權(quán)檢查，對(duì)每個(gè)IP來源上的每一個(gè)用戶單獨(dú)進(jìn)行權(quán)限控制。權(quán)限的控制可以精確到表一級(jí)。就算攻擊者成功攻陷應(yīng)用服務(wù)器，并將角色提高到DBA也是徒勞。由于有中間件提供了獨(dú)立的權(quán)限管理，攻擊者仍然只能獲得受限的權(quán)限，不能獲取DBA的特權(quán)。從而有效的遏制了越權(quán)訪問、SQL注入攻擊、存儲(chǔ)過程非法使用等攻擊類型。3、動(dòng)態(tài)口令為解決管理員登錄口令管理困難的問題，中間件提供動(dòng)態(tài)口令功能。管理員可以將登錄口令交給中間件托管，在每次需要登錄的時(shí)候，通過動(dòng)態(tài)密碼客戶端獲取當(dāng)前登錄口令。服務(wù)器端在每次響應(yīng)口令