保護(hù)數(shù)據(jù)安全——從管理特權(quán)用戶開始

關(guān)鍵字：信息泄露 數(shù)據(jù)庫審計(jì) 數(shù)據(jù)保護(hù) 憑證管理 特權(quán)賬號

近幾年給企業(yè)咨詢的過程中，我們看到信息安全得到了足夠的重視，許多企業(yè)在網(wǎng)絡(luò)環(huán)境中部署了大量的防火墻、入侵檢測等安全產(chǎn)品，越來越多的防護(hù)手段也被引入到抵抗外來入侵的防護(hù)中。防御外部風(fēng)險的安全意識已經(jīng)得到很好的貫徹實(shí)施。可是層出不窮的信息泄露事件，讓很多信息安全管理人員沮喪。

在為企業(yè)做合規(guī)性檢查時，我們發(fā)現(xiàn)，數(shù)據(jù)庫管理員可以不受控制地訪問到任何數(shù)據(jù)；同時以用戶數(shù)據(jù)分析人員、程序員、開發(fā)方維護(hù)人員為代表的特權(quán)用戶，也可以訪問到敏感數(shù)據(jù)。

特權(quán)賬號濫用，將數(shù)據(jù)庫置于風(fēng)險之中。普通的應(yīng)用操作很少需要由“超級”特權(quán)所許可的訪問，允許應(yīng)用程序使用超級特權(quán)用戶，會為不適當(dāng)?shù)姆鞘跈?quán)活動創(chuàng)造機(jī)會。所有的應(yīng)用程序都應(yīng)當(dāng)使用最少特權(quán)的用戶憑證連接到數(shù)據(jù)庫。

某央企信息中心在信息安全保障工作上，一直走在業(yè)內(nèi)的前端，近幾年配合十二五規(guī)劃，廣泛在集團(tuán)內(nèi)部實(shí)施了安全防護(hù)措施，包括機(jī)房安全、物理隔離、防火墻、入侵檢測、加密傳輸?shù)鹊取５M(jìn)行滲透測試時發(fā)現(xiàn)，數(shù)據(jù)泄露的風(fēng)險依然存在。經(jīng)過排查，數(shù)據(jù)庫安全成為了企業(yè)信息安全的短板，具體表現(xiàn)在以下方面：

數(shù)據(jù)庫管理員角色能擁有至高的權(quán)限，權(quán)限可以不受限制的傳播。這就使得獲取數(shù)據(jù)庫管理員角色的權(quán)限成為攻擊者的目標(biāo)。一旦攻擊者獲得該權(quán)限，數(shù)據(jù)庫將對其徹底暴露，毫無任何安全性可言。

數(shù)據(jù)庫存在許多漏洞，其中不少是致命的缺陷和漏洞。由于沒有及時打補(bǔ)丁，其中不少漏洞可以非常容易地被黑客利用。

數(shù)據(jù)庫及其應(yīng)用系統(tǒng)在防御SQL注入等攻擊時，一旦攻擊者從應(yīng)用程序設(shè)計(jì)中的漏洞下手，獲得不該具備的權(quán)限，整個數(shù)據(jù)庫文件都有可能會被下載

數(shù)據(jù)庫普遍采用基于口令的認(rèn)證方式。本身缺乏有效的登錄口令管理機(jī)制，口令更換周期長，使用復(fù)雜口令很困難，口令泄露的風(fēng)險大。

由于數(shù)據(jù)庫管理系統(tǒng)在上述各個安全方面的不可信，攻擊者可能通過非正常途徑來訪問數(shù)據(jù)庫，破壞系統(tǒng)的安全性。

從這個案例中，我們可以看到，做好數(shù)據(jù)安全防護(hù)，不能單純依靠網(wǎng)絡(luò)安全技術(shù)手段，最重要的是針對數(shù)據(jù)庫的訪問，制定合理的防護(hù)解決方案，最終達(dá)到：

滿足合規(guī)性要求；

減少核心信息資產(chǎn)的破壞和泄露的發(fā)生幾率；

追蹤溯源，便于事后追查原因與界定責(zé)任；

直觀掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況；

實(shí)現(xiàn)獨(dú)立審計(jì)，完善IT內(nèi)控機(jī)制。

由于數(shù)據(jù)庫中存放的數(shù)據(jù)往往是高敏感數(shù)據(jù)，因此它也毫無疑問地是合規(guī)性檢查的重點(diǎn)區(qū)域。幾乎所有的企業(yè)合規(guī)都會對哪些人、能在什么時間、訪問什么數(shù)據(jù)庫作出規(guī)定，并且需要一個專職人員來管理權(quán)限。所以做好數(shù)據(jù)防護(hù)的合規(guī)性檢查，主要從以下幾個方面入手：

1.對訪問數(shù)據(jù)庫的所有用戶進(jìn)行認(rèn)證；

2.所有用戶訪問任何數(shù)據(jù)庫時，用戶的查詢和操作（例如移動、拷貝和刪除）只能通過編程性事務(wù)（例如存儲過程）；

3.數(shù)據(jù)庫和應(yīng)用的配置設(shè)置為只限于給DBA（數(shù)據(jù)庫管理員）的直接用戶訪問或是查詢；

4.對于數(shù)據(jù)庫應(yīng)用和相關(guān)的應(yīng)用ID，應(yīng)用ID只能被應(yīng)用使用，而不能被單獨(dú)的用戶或是其他進(jìn)程使用。

該集團(tuán)企業(yè)最終針對發(fā)現(xiàn)的數(shù)據(jù)安全風(fēng)險點(diǎn)，進(jìn)行了詳細(xì)的差距分析，從可實(shí)際操作的角度，制定出以下八個步驟，形成合理的解決方案，目標(biāo)實(shí)現(xiàn)數(shù)據(jù)安全的立體化防護(hù)。

1.數(shù)據(jù)庫直接監(jiān)控；

2.評估和糾正缺陷；

3.審計(jì)用戶訪問；

4.了解用戶如何使用數(shù)據(jù)庫；

5.驗(yàn)證交易的真實(shí)性；

6.需要獨(dú)立的審查；

7.自動化控制來降低年度審計(jì)成本；

8.使用加密來保護(hù)數(shù)據(jù)。

實(shí)施數(shù)據(jù)安全防護(hù)技術(shù)

具體如何實(shí)施防護(hù)技術(shù)呢？從上面的八個步驟，可以發(fā)現(xiàn)，實(shí)施數(shù)據(jù)安全防護(hù)的核心技術(shù)是檢測數(shù)據(jù)庫的活動，這包括：能夠以實(shí)時的速度分析數(shù)據(jù)庫查詢，區(qū)分正常的操作和攻擊。通過收集不同來源的信息，提供多種形式的高級分析和警告，甚至能直接中斷惡意活動。

1.確定數(shù)據(jù)、事務(wù)的保護(hù)優(yōu)先級。

首先要確定企業(yè)想保護(hù)的內(nèi)容。顯然對每個事件都進(jìn)行檢測是不現(xiàn)實(shí)的，因?yàn)檫@樣一來監(jiān)測系統(tǒng)將比保護(hù)對象更加龐大。企業(yè)需要知道什么樣的數(shù)據(jù)或事務(wù)是重要的。

2.如何捕獲數(shù)據(jù)庫事件。

現(xiàn)在知道了何種事務(wù)是重要的，接下來需要決定如何收集數(shù)據(jù)庫事件。每一種數(shù)據(jù)庫檢測器都提供了多種收集數(shù)據(jù)的方法，每一種方法都各有優(yōu)劣。

在數(shù)據(jù)庫平臺上安裝代理很常見，因?yàn)榇砟懿东@所有SQL活動，在不影響數(shù)據(jù)庫性能的前提下，有助于理解某次查詢是否是惡意的。

本地審計(jì)功能可收集事件，但卻不一定能收集到原始的SQL查詢，開銷也要大很多，影響數(shù)據(jù)庫性能。

網(wǎng)絡(luò)收集器則提供了一種更快更容易的收集SQL活動的方法，但會丟失管理員通過控制臺進(jìn)行的事務(wù)和活動。

因此，針對比較重要的關(guān)機(jī)數(shù)據(jù)庫，安裝代理是最佳選擇；而本地審計(jì)和網(wǎng)絡(luò)監(jiān)控則適合非關(guān)鍵數(shù)據(jù)庫。

3.數(shù)據(jù)庫安全的基本定義。

現(xiàn)在，已經(jīng)成功的在關(guān)鍵數(shù)據(jù)庫系統(tǒng)中收集事件，下一步是實(shí)現(xiàn)安全策略。數(shù)據(jù)庫活動檢測的工作方式是分析數(shù)據(jù)庫查詢，你可以選擇對哪些語句進(jìn)行檢查，以及如何檢查。

大多數(shù)政策執(zhí)行的是數(shù)據(jù)庫查詢屬性檢查：用戶是誰、用戶正在瀏覽哪一列、用戶使用何種應(yīng)用程序、用戶接觸到的數(shù)據(jù)、操作時間等，這些通常都被用于定義安全策略。可以分別為每一個屬性分配特定值，當(dāng)用戶超過這些預(yù)定義的閾值時，監(jiān)測系統(tǒng)就會警告。例如，你可能會想對這些情況產(chǎn)生警告：所有午夜之后的查詢、三次失敗的登錄嘗試、任何對信用卡資料的訪問。

4.高級監(jiān)控。

只是純粹的監(jiān)測和警示，不足以幫助企業(yè)做出有效的防護(hù)，一套可靠的阻止攻擊、主動抵制濫用的方法，將更加高效地落實(shí)安全阻斷。比如SQL注入監(jiān)測、攻擊阻止和虛擬補(bǔ)丁、特定應(yīng)用程序用戶認(rèn)證、會話終止、以及行為監(jiān)控和內(nèi)部威脅檢測。

但是，先進(jìn)的分析手段就意味著先進(jìn)的政策，這些政策要針對企業(yè)自身的環(huán)境而定制。比如為了檢測和阻止SQL注入攻擊，你需要為應(yīng)用程序定義合法的SQL查詢語句。如果你不能及時地給數(shù)據(jù)庫打補(bǔ)丁，那么就需要編寫一個政策，用于檢測攻擊，同時部署數(shù)據(jù)庫活動檢測系統(tǒng)阻止威脅。

為實(shí)現(xiàn)行為監(jiān)測，即發(fā)現(xiàn)異常的行為，你需要定義什么樣的行為才是正常的。要識別特定應(yīng)用程序用戶，并不是通常地應(yīng)用程序連接數(shù)據(jù)庫的賬戶，你需要提供查詢IP地址或者傳遞用戶憑證的手段。如果檢測到嚴(yán)重的威脅，你需要決定是否斷開該用戶，或者鎖定賬戶禁止其訪問系統(tǒng)。

當(dāng)所有這一切都能夠結(jié)合企業(yè)實(shí)際情況得到落實(shí)，那么數(shù)據(jù)防護(hù)工作，才真正起到了應(yīng)有的作用。

真實(shí)案例，數(shù)據(jù)安全實(shí)戰(zhàn)

某銀行的北京分行對重要系統(tǒng)的特權(quán)用戶（如UNIX的root用戶）的管理盡管有一定的審批流程及管理制度，但管理手段還停留在使用信封封存密碼的手動管理狀態(tài)，存在著一定的安全隱患。同時，由于數(shù)據(jù)中心低效的手工管理流程，導(dǎo)致對應(yīng)用系統(tǒng)、數(shù)據(jù)庫和服務(wù)器等的 Root IDs/Support IDs/的管理工作增加。更為重要的是，該銀行的數(shù)據(jù)庫系統(tǒng)安全工作一直沒有進(jìn)行有效的防護(hù)，存在數(shù)據(jù)泄露的風(fēng)險。

因此在數(shù)據(jù)防護(hù)方面，該銀行需要一套整體的解決方案，以滿足：

實(shí)時監(jiān)測

實(shí)時監(jiān)控連接到數(shù)據(jù)庫/服務(wù)器上的會話，獲取會話的5W1H信息（Who、 When、 What、Where、Why、How）。方便安全管理人員對當(dāng)前系統(tǒng)狀況的監(jiān)控，實(shí)時查看連接到數(shù)據(jù)庫/服務(wù)器上的會話，把握當(dāng)前各種操作的執(zhí)行狀態(tài)，協(xié)助管理人員手動/自動地實(shí)時阻斷有風(fēng)險的數(shù)據(jù)訪問，當(dāng)違反策略時，生成告警，并可以通過電子郵件和短信息等方式發(fā)送告警。

實(shí)時防護(hù)

斷開違反安全策略的會話，在網(wǎng)關(guān)模式中，實(shí)時監(jiān)測告警，并進(jìn)行會話阻斷，在旁路監(jiān)聽模式中，向DB發(fā)送KILL命令，殺死有問題的會話，并且能夠通過電子郵件、手機(jī)短信等方式向操作者實(shí)時發(fā)送警告內(nèi)容

敏感數(shù)據(jù)遮蓋

基于預(yù)先設(shè)置的敏感數(shù)據(jù)遮蓋策略，對含有敏感數(shù)據(jù)的字段，通過敏感數(shù)據(jù)遮蓋引擎的處理，用其他的字符或數(shù)字（如：*，1）替代原有的數(shù)據(jù)，實(shí)現(xiàn)敏感數(shù)據(jù)的遮蓋。要能夠支持對字段的全部遮蓋和部分遮蓋。滿足企業(yè)對數(shù)據(jù)脫敏的需求，有效防止DBA、管理員等特權(quán)用戶泄露敏感數(shù)據(jù)。

憑證管理

針對特權(quán)賬號審批流程，管理整個賬戶的生命周期。從申請使用、批準(zhǔn)、允許或拒絕、使用過程到使用結(jié)束狀態(tài)。

身份認(rèn)證管理

結(jié)合行內(nèi)現(xiàn)有認(rèn)證手段，能夠快速實(shí)施各種不同的認(rèn)證方法，并且要能夠支持未來新的認(rèn)證方式快速被添加到現(xiàn)有體系中。同樣要可以根據(jù)強(qiáng)認(rèn)證和授權(quán)的業(yè)務(wù)風(fēng)險需求，使用兩個或多個認(rèn)證方式的認(rèn)證鏈強(qiáng)化認(rèn)證。

特權(quán)賬號憑證管理和數(shù)據(jù)庫審計(jì)配合使用，使得任何對數(shù)據(jù)的訪問，都將受到實(shí)時監(jiān)控，真正做到了數(shù)據(jù)的立體防護(hù)。更為重要的是，數(shù)據(jù)庫安全防護(hù)技術(shù)既提升了銀行整體安全水平，又將身份憑證技術(shù)無縫結(jié)合到上層應(yīng)用，同時對目前市面上新型身份認(rèn)證手段的廣泛支持，大大降低了實(shí)施成本。

企業(yè)的核心是數(shù)據(jù)，數(shù)據(jù)的安全會帶來核心競爭力的提升。保護(hù)好企業(yè)核心數(shù)據(jù)，是每個企業(yè)領(lǐng)導(dǎo)人應(yīng)該鄭重思考的問題。