微服務場景下數據庫安全研究

盛 碩，車 堃，張 濤，葉 瑩

（1.證通股份有限公司，上海 201206；2.證券期貨行業網絡安全創新實驗室，上海 200120）

數據庫安全是一種數據平臺共享關注點，可以防護業界惡意威脅和攻擊，應用方向比較廣泛，主要涉及數據庫安全以及相對應的底層環境[1-2]。所以應該要有恰當的系統理論化方法來加固數據庫軟硬件安全。基于目前現狀，幾乎涉及全行業領域的組織和機構都在使用IT，并且全部日期都被保存到了數據庫。因此，進一步設計安全加固策略優化數據庫安全是非常必要的。

本文是一篇關于數據庫安全的理論性和必要的評價論文，目的是要認識到數據庫安全本質意義、性質和趨勢，進一步滿足不同類型數據庫的基本儲存機制和性能需求，同時在數據庫安全領域校驗不同場景下數據庫存儲形態、攻擊安全風險等。

1 數據庫安全

數據庫安全是IT 安全的一個重要組成部分，其負責保護數據庫免于網絡等意外威脅。數據庫安全威脅破壞了對數據庫各個組件或相關分庫分表安全機制策略，最終可能對整個數據庫結構產生嚴重影響。此外，數據庫安全涉及硬件、軟件程序應用細節、人力資源和間接記錄的安全。針對不同數據格式，數據庫需要進一步提供適當的訪問控制機制，同時需要進一步應對數據庫可能遇到的盜竊和欺詐等惡意攻擊，避免失去保密性、數據隱私安全、記錄和內容材料的可用性丟失等特性。同時應該注意減少威脅損失，類似于破壞數據庫內部的記錄[3-4]。圖1 簡要描述了數據庫安全領域涉及的安全風險。然而，除技術細節對于數據庫加固之外，物理機房、機架、可用資源和故障工具等都會影響數據庫的安全、穩定、吞吐率等。

數據庫安全是信息技術安全的重要組成部分，因此數據庫安全也可以被視為一個網絡安全、IT 安全的子集，因此非常接近公共場景下的安全領域：網絡安全、新興云安全、新興的移動安全和應用程序安全等。隨著數據庫的使用，各種組織和機構發展也在不斷涌現，伴隨而來的威脅和攻擊在威脅數據庫安全。

2 數據庫威脅和攻擊

如圖2 所示，通常計算機系統上存在著不同類型的威脅，數據庫管理系統（DBMS）的保護大致有：①訪問授權；②訪問控制；③備份事實；④恢復事實；⑤數據完整性；⑥加密事實；⑦與RAID 相關技術。

圖2 數據庫威脅攻擊

因此，如圖3、圖4 所示，數據庫安全除保護數據庫表、數據屬性、數據字段之外，作為一種擴展方式，同時還關聯到機密性、完整性和可用性等。數據庫保護是需要通過以下方法來確定和測量：①黑客通過惡意攻擊未經授權數據庫客戶端。客戶端對象甚至還可能包括數據庫管理員、系統經理、網絡管理員等。②未經授權的內部事件機制，包括各種布局在存儲庫或數據庫分布式事物事件表等，比如數據保護配置。③惡意軟件攻擊可以在未經授權的執行訪問的前提下大概率刪除這些事實或程序，拒絕訪問有時可能還會發起對數據庫系統攻擊，并導致數據庫故障。④對于數據庫保護方面，一般總體性能約束的過載會導致數據庫系統中的治理安全等問題。⑤通過火災或洪水等意外天氣引起數據庫物理服務器破壞。⑥設計缺陷，主要包括編程中的bug，還有數據庫程序停止最終導致事實損失，甚至能夠導致整體性能下降。⑦數據損壞，由于輸入無效事實或命令，系統內部錯誤會導致數據庫或存儲模塊出現讀寫異常等問題，引起最終結果脆弱因素。⑧系統/數據庫恢復，數據庫管理系統（DBMS）應提供備份介質，以恢復所涉及數據庫表。同時備份副本也需要定期保存在一個顯著位置。⑨盡量減少未經授權使用的數據庫系統通過確保類似于多因素組成的記錄管理訪問。⑩負載平衡，進一步查找在數據庫系統內部涉及關鍵身份ID，以確保數據庫負載均衡穩定。 11系統物理保護（數據庫），根據不同場景下進行區分劃分不同服務器組成。 12監控、評價數據庫工具，這些工具可以進行多維度攻擊因素，并成為一個關鍵問題。

圖3 數據庫多維安全體系

圖4 分庫分表安全拆分

根據現有研究，常見地區數據庫保護問題，涉及數據庫安全管理，其中一些關鍵點如下所述。

可用性。“可用性”一詞討論了使用信息、并適當準確獲取信息的權利。如果聯系信息錯位，這將導致可用性的損失，因此級別較高的安全標準是必要的。例如，缺乏可用性會妨礙網絡通信效率，從而破壞控制系統功能，而操作員系統則會阻止網絡的可用性。可用性攻擊可能會扭曲、限制或阻礙數據傳輸。此外，智能電網中的可用性攻擊禁止并可能中斷授權訪問。在大規模常規電網中定位資產可用性具有挑戰性。ICT 被嵌入智能電網的信息資產，可能受到攻擊和完全無法訪問。DoS 攻擊被稱為可用性攻擊。DoS 攻擊試圖通過阻礙、破壞或停止數據傳輸來中斷數據傳輸。這使得網絡源無法訪問。可用性攻擊的設計使用了幾種方法來均衡網絡負擔以確保系統能否正確運行。攻擊者傳輸大量的流量以壓倒網絡傳輸連接。此外，有效數據包將可能丟失，并且不會在網絡流量中進行處理。IEC 61850 和IP/TCP 是基于IP 的協議系統，受可用性攻擊，必須執行SG 技術中優先級最高的標準，針對可用性攻擊進行全面補救措施。可用的方法包括流量過濾、大管道、氣隙網絡和異常檢測方法。在SG 系統中，DoS 的攻擊對大數據的威脅巨大；因此，將軟件解決方案集成到不同的網絡層中可以顯著防止DoS 的攻擊。

完整性。在網絡系統中，完整性是保護數據防止未經授權的修改或降級狀態的標準。當數據存在被破壞、修改或被剝奪的可能時，會存在完整性缺失的潛在風險。例如，SQL 注入是針對對手破壞性攻擊，攻擊者可以訪問、修改或刪除數據庫中的敏感信息，完整性威脅并不限于未經授權的數據更改或注入。完整性攻擊包括設備模擬攻擊、稀疏攻擊和重放攻擊。通過加密技術和方法，可以防止數據完整性威脅。SQL 注入和MITM 攻擊使用數據庫操作進一步改變、接管或破壞已授權操作。

在應用系統中，數據集中器鏈接到SMHAN，攻擊者可以使用未經授權的數據更改或MITM 攻擊來損害SM 和數據集中器單元之間的數據傳輸完整性，導致攻擊安全負載的下降。

在MITM 攻擊威脅場景下，安全網關支持目標節點和源身份驗證，以及數據傳輸的機密性。TLS 協議還包括內置的非對稱加密特性，可以有效地發現和解決漏洞，以防止MITM 攻擊。通過將腳本命令插入到數據庫中，SQL 注入攻擊會試圖操作數據庫。SQL 注入攻擊會在數據庫系統中插入欺詐性的需求，以維護控制系統，刪除或更改當前信息，并插入偽造的數據。通過使用輸入類型檢查、匹配正則校驗模式、驗證靜態代碼、對遠程用戶數據庫訪問預防、動態SQL 預防和進行漏洞掃描等技術，可以減輕網絡系統中的SQL 注入攻擊。攻擊者可以使用分號等字符，因此，在類型驗證期間應監視和排除這些字符。其他類型的完整性攻擊包括篡改SCADA 系統、重放攻擊和時間同步攻擊（TSA）。為了防止上述對SG 網絡的完整性攻擊，使用了身份驗證方法和端到端加密建議。針對發起機密性或完整性攻擊，可以驗證攻擊者的通信網絡訪問和機密數據。因此，身份驗證和訪問控制是減少對通用網絡系統的完整性攻擊關鍵。

保密性。保密性保護了對記錄的獲取和傳播的允許限制。保密標準包括防止未經授權的個人、組織或系統披露或訪問專有或敏感的細節。如果信息被釋放而被剝奪了許可，保密性就會受到損害。例如，信息在客戶和多個機構之間傳播，計量使用、計量管理和計費信息可以是私人的和保護性的；否則，客戶的信息可以被利用和更改，或其他惡意用途。機密性攻擊還會對通信網絡的功能產生負面影響。保密攻擊尋求獲取應在受信任各方之間保密或披露的數據，非法訪問設備內存、重放攻擊、欺騙有效負載及改變軟件控制都是保密攻擊的實例。密碼攻擊通常包括社交操縱、字典攻擊、密碼嗅和密碼猜測。竊聽是一種被動攻擊，也損害了的數據保密性。在SG 網絡系統中對局域網（LAN）的竊聽攻擊嗅探IP 包或攔截無線傳輸，對系統的問責和透明度造成損害。加密保護敏感信息免受竊聽攻擊。流量分析攻擊是一種被動的保密性攻擊，通過解釋和嗅探這些消息，可以讓攻擊者圍繞網絡之間的通信模式獲取關鍵數據。偽裝攻擊，也被稱為模仿或身份欺騙，是其他保密攻擊。其他機密性攻擊包括未經授權的訪問、MITM 攻擊和外部數據注入公司攻擊。針對防止保密攻擊，智能電網相關設備必須包括身份驗證、數據加密和對隱私協議等。

3 數據庫安全策略

行業領域各公司機構都必須采取合規的法規標準措施，以實現高標準、高優先級和適當規模的數據庫系統控制。數據庫控制在保護完整的數據庫系統和控制方面起著重要的作用，特別是在分布式事務加鎖場景下。在數據庫管理員進行數據庫權限加權過程中主要包括如下原則。

1）控制對數據庫訪問權限。

2）為消費者或用戶提供手動服務。管理適當策略備份，比如治療記錄和內容，以確保記錄完整性。

3）控制記錄保護。

4）設置記錄隱私。

5）制定IT 規范和指南。

此外，仔細控制對記錄的訪問，允許更好記錄保護，比如敏感信息記錄等。

4 結束語

數據庫和主系統通常面臨著許多安全威脅。這些威脅在小組織中是常見的，但在大組織和機構中，漏洞可能是非常關鍵的威脅因素，因為其保存了敏感信息和核心部門人員的使用記錄。在數據丟失的情況下，無法檢索數據庫中的核心參數，因此，對于一致安全事實場景下非常重要。物理損壞也是數據庫安全的一個關鍵困難，包括人為錯誤或硬件故障等。此外，就數據庫系統而言，這些規范和指南還希望成為云原生場景下數據安全的廣泛依賴項。