1、山麗網安：數據庫信息屢次泄露安全短板究竟在何處步入 2015年，信息化的程度逐漸加深，而信息安全方面卻屢屢爆出不和諧的聲音。傳統(tǒng)的信息安全解決方案主要是通過網絡傳輸通道加密、PKI 或增強身份認證、防火墻、IPS 、堡壘機等技術構成綜合的信息安全應對策略，但隨著時代的發(fā)展，這些傳統(tǒng)的信息安全解決方案已經漸漸不能滿足需要， 大量信息泄露事件頻繁爆發(fā)。 現在的防護措施有哪些不足， 保護信息安全現在應該怎么做？下面就讓內網安全方面的專家山麗網安為你指點迷津。根據 2014年數據泄漏調查分析報告和對近期發(fā)生的信息安全事件技術分析，歸納出信息泄露呈現兩個趨勢：首先是黑客通過B/S 應用，以Web服務器為

2、跳板，竊取數據庫中數據; 傳統(tǒng)解決方案對應用訪問和數據庫訪問協(xié)議沒有任何控制能力，比如:SQL 注入就是一個典型的數據庫黑客攻擊手段。其次內部人員的濫用數據庫存儲的有價值信息導致數據資產丟失數據泄露常常發(fā)生在內部，大量的運維人員直接接觸敏感數據， 傳統(tǒng)以防外為主的網絡安全解決方案失去了用武之地。數據庫在這些泄露事件成為了主角，這與我們在傳統(tǒng)的安全建設中忽略了數據庫安全問題有關，在傳統(tǒng)的信息安全防護體系中數據庫處于被保護的核心位置， 不易被外部黑客攻擊，同時數據庫自身已經具備強大安全措施，表面上看足夠安全，但這種傳統(tǒng)安全防御的思路，存在致命的缺陷。數據庫本身存在重大安全缺陷傳統(tǒng)觀念認為數據庫系統(tǒng)

3、本身已具備完整的安全保障機制， 存儲在數據庫中的數據足夠安全， Oracle 總裁 Larry Ellison 曾宣稱 Oracle 數據庫是世界上最為安全的數據庫系統(tǒng)，但事實上以 Oracle 為首的數據庫系統(tǒng)存在重大安全缺陷，主要體現為如下三個方面：存儲文件解析后為明文數據庫的數據是存儲在物理文件里，這些數據按照數據庫自定義的格式組織在數據庫中，但這些數據本質上都是明文存儲 ; 主流的大型數據庫數據文件的組織結構主動或被動公開化，只要得到這些數據文件，存儲的數據其實就是透明的。這些存儲文件包括數據庫的數據文件、備份文件、日志文件等 ; 這樣只要能夠訪問或得到數據庫存儲文件， 就可以獲得數據

4、庫中的信息。 比如： 在互聯網上公開的 MyDUL軟件就是可以成功解析 Oracle 數據文件獲得明文信息的開源工具。數據庫的明文存儲也會因為磁盤、 備份磁帶的丟失引起泄密， 如香港花旗銀行在裝修期間丟失了服務器引起的客戶資料泄密。 同時，明文存儲使只要能夠訪問到數據庫文件的人員，都可以看到數據庫中的存儲內容，如網絡管理員或者攻入到內網當中的黑客。數據庫自身存在諸多可攻擊安全漏洞數據庫往往被認為具備較為完備的安全機制， 從身份認證、訪問控制、 到通訊加密，但事實上數據庫也存在諸多的安全漏洞，當前在國際漏洞庫 CVE 上公布了 2000多個數據庫漏洞，號稱最為安全的Oracle 數據庫就占了10

5、00多個 ; 這些漏洞大多是國際上的安全專家對數據庫安全狀況進行研究后發(fā)現的，包括提權漏洞( 如從普通用戶提權到DBA用戶 ) 、緩沖區(qū)溢出漏洞 ( 通過該漏洞可以使數據庫執(zhí)行非法代碼或癱瘓 ) 、系統(tǒng)注入漏洞 ( 通過該漏洞在調用系統(tǒng)函數時執(zhí)行任意非法 SQL代碼 ) 。黑客已經利用這些漏洞，對數據庫進行了多次侵入; 雖然數據庫廠商據此提供了大量補丁包，但這些補丁包所修復的漏洞數量也是有限的， 同時大量的應用系統(tǒng)出于系統(tǒng)穩(wěn)定性和兼容性的原因也無法實現補丁升級 ; 因此這些漏洞依然是黑客入侵數據庫的常用通道，同時隨著這些安全問題的廣泛傳播， 數據庫維護人員和程序人員也使用這些技術手段進行越權工

6、作，對數據庫造成了巨大威脅。數據庫自身的訪問控制存在缺陷數據庫采用的訪問控制機制，依然是典型的三元組，也就是主體、客體和操作，其中主體主要是數據庫用戶或角色，客體是數據庫對象，操作是典型的DDL、DML、ACL語句和某些維護操作 ; 但對這些操作的具體內容和影響不再做控制，如是否采用了欺騙性的SQL語句、是否返回了大量數據無法控制。當前廣為流傳的 SQL注入就是大量地利用這些控制缺陷， 在 SQL語句中構造永真表達式、執(zhí)行外部調用、非法登錄應用系統(tǒng)進行批量數據導出。同時某些程序人員也惡意利用這些控制缺陷， 在應用程序中埋下后門程序， 對有價值的信息進行非法下載等等。數據庫的應用環(huán)境變得日趨復雜

7、數據庫安全事件頻頻發(fā)生的原因也是由于當前數據庫的應用環(huán)境和應用模式日趨復雜，與數據庫應用環(huán)境相關的安全隱患主要有三個方面：B/S 架構使數據庫間接暴露在互聯網上大量 Web應用的興起， 面向公眾的政府、 金融單位提供服務的動態(tài)網站和應用系統(tǒng)快速增加 ; 大企業(yè)的各分支機構分布地域廣闊，在企業(yè)內部也通過互聯網實現財務、辦公、商務等信息化管理。這些系統(tǒng)采用 B/S 為主要技術架構，用戶通過瀏覽器訪問 WEB服務器， WEB 服務器再訪問數據庫服務器， 形成了從用戶到數據庫的合法訪問通道， 從而將數據庫間接暴露在互聯網上。 甚至在某些企業(yè)， 數據庫就直接安裝在對外提供 WEB服務的計算機上， 通過攻

8、擊 web 服務器即可實現數據庫的敏感數據訪問。數據庫維護模式改變?yōu)榉胀獍Ｊ絺鹘y(tǒng)的數據庫維護主要是企業(yè)內部的DBA完成，但隨著業(yè)務系統(tǒng)復雜度的增加和累積數據規(guī)模的增大， 大型企業(yè)和政府單位的數據庫采用服務外包給IT 企業(yè)的方式進行維護管理，同時各關鍵行業(yè)處于信息化快速發(fā)展和建設中，往往是一邊開發(fā)新系統(tǒng)一邊正常使用完成的系統(tǒng)，就導致存在大量的駐場程序開發(fā)人員; 這樣使數據庫的直接接觸人員，不僅限于企業(yè)的內部維護人員，同時包含大量的服務外包人員、程序開發(fā)人員和系統(tǒng)測試人員，這些人員直接接觸數據庫系統(tǒng)的真實數據， 使傳統(tǒng)基于人工內部管理模式為主的數據庫安全機制面臨巨大挑戰(zhàn)。訪問數據庫系統(tǒng)的應用形

9、式多樣化當前數據庫內的數據被大量共享訪問，數據庫的訪問形式不僅限于傳統(tǒng)的模式， B/S 架構的應用逐漸成為主流。 數據查詢類、分析類應用迅速增加， 數據倉庫、數據同步系統(tǒng)的建設以促進共享。 數據的定期備份、 異地備份大量增加以加強數據的可靠性， 訪問形式的多樣化，決定了數據庫安全問題的多樣化，需要綜合性的安全解決方案。傳統(tǒng)網絡安全解決方案存在致命缺陷我國經過十多年的信息安全建設， 已經建立起相對完善的網絡信息安全體系， 包括網絡安全設備、 終端安全、認證安全、主機安全、 防病毒等系列化的安全產品和整體的安全解決方案 ; 特別是以防火墻、IPS/IDS 、UTM等產品為代表的網絡安全產品，更是成

10、為了當前安全建設的標配。 但這些產品都無法防止數據庫服務的安全缺陷。在如下致命缺陷：傳統(tǒng)的網絡安全解決方案中存網絡防火墻不對數據庫通訊協(xié)議進行控制傳統(tǒng)的網絡防火墻產品主要是基于：源IP +源端口 +目的 IP +目的端口+協(xié)議類型進行訪問控制，傳統(tǒng)的防火墻不對協(xié)議的內容進行解析和控制。由于應用要訪問數據庫，因此數據庫的通訊端口總是開放的，本質來說傳統(tǒng)防火墻對于數據庫網絡通訊無任何的安全防護能力。IPS/IDS 對數據庫通訊協(xié)議的控制很弱IPS/IDS( 入侵防護系統(tǒng)/ 入侵偵測系統(tǒng)) 產品比起傳統(tǒng)防火墻更進了一步，開始嘗試對應用層的通訊協(xié)議進行解析，但這些協(xié)議都限于標準通訊協(xié)議，如 FTP、郵

11、件、 LDAP、 Telnet 等，對一些針對標準協(xié)議的攻擊行為進行防范 ; 但對于數據庫這樣的非標準化通訊協(xié)議，協(xié)議的復雜度很高，當前市場上的主流 IPS/IDS 產品均未實現對數據庫通訊協(xié)議的解析和防護。繞過 WAF系統(tǒng)的刷庫行為屢見不鮮WAF(Web Application Firewall 網站應用防火墻 ) 產品主要是對 Http 協(xié)議的解析，通過對 Http 協(xié)議中的內容進行分析， 實現攻擊防御 ; 通過 WAF可以實現對部分 SQL注入行為的阻止，但 WAF對于復雜的 SQL注入和攻擊行為無能為力 ;2012 年的黑客大會宣布有 150多種方法可以繞開 WAF實現對 Web應用服

12、務器的攻擊。 在 Web應用服務器上利用應用的數據庫賬戶攻擊數據庫服務器是當前刷庫的主要手段。內網管控的堡壘機解決方案存在重大缺陷針對來自于內部的數據安全問題， 當前比較流行的是以堡壘機為核心的集中運維管控解決方案， 通過這種方案可以將運維人員對主機設備和數據庫的維護集中到堡壘機上完成，堡壘機上完成統(tǒng)一的認證、授權和審計。在但堡壘機的解決方案存在以下安全缺陷：堡壘機無法對圖形化工具的操作進行控制，只能通過錄屏的方式進行錄像記錄 ; 備份的磁帶不受堡壘機控制， DBA可以通過磁帶獲取明文數據 ; 網絡管理員可以通過解析數據文件，獲取數據庫中明文數據 ; 程序開發(fā)人員通過在生產系統(tǒng)的服務器上駐留后

13、門程序訪問數據庫;測試和開發(fā)人員訪問測試系統(tǒng)的數據庫獲得真實數據。企業(yè)內網數據庫安全需加密防護企業(yè)的內網數據庫安全現在如臨大敵，每個企業(yè)都有著自己很多的隱私和敏感數據需要儲存在數據庫上， 而這些數據往往有著巨大的價值所以經常成為黑客和內鬼覬覦的對象。在傳統(tǒng)防護手段存在缺陷，新技術又在發(fā)展摸索的過程中，采用防水墻數據防泄漏系統(tǒng)可以而說是必須的選擇。山麗防水墻數據防泄漏系統(tǒng)以國際先進的多模加密技術為核心， 用獨有的 AUF監(jiān)控內核為核心和國際先進的加密算法， 納入了成熟的計算機終端管理模式， 通過設備資產管理、 端口管理、介質管理、外聯管理、桌面管理、遠程管理，在系統(tǒng)實施后可以達到技術手段的管理效

14、果。透明加密解密模塊為防水墻數據防泄漏系統(tǒng)的基本模塊。 該模塊采用內核層透明動態(tài)加解密技術對指定類型、指定目錄、指定硬盤等其他形式文件進行實時、強制、透明加解密。該模塊是以用戶需求為導向、 以數據加密為基礎、 以使用者為對象的綜合性管理模塊。 同時可以提供多種不同加密模式，靈活加密可供企業(yè)用戶根據業(yè)務需要進行選擇。針對企業(yè)員工私自將工作文件外發(fā)等以造成數據泄露的行為，山麗防水墻中還有文件外發(fā)控制模塊用以授權控制。當文件需要外發(fā)使用時，將由該模塊特殊算法進行特殊加密處理，加密時可設置使用授權，有效防止文件內容非法復制和傳播。而它還有與眾不同的一點，它是國內外唯一一款可以精確限制時間的文件外發(fā)控制軟件，即用戶不管如何修改系統(tǒng)時間、不管將收到的密文明送文件復制為多