保護(hù)數(shù)據(jù)安全——從管理特權(quán)用戶開(kāi)始

關(guān)鍵字：信息泄露 數(shù)據(jù)庫(kù)審計(jì) 數(shù)據(jù)保護(hù) 憑證管理 特權(quán)賬號(hào)

近幾年給企業(yè)咨詢(xún)的過(guò)程中，我們看到信息安全得到了足夠的重視，許多企業(yè)在網(wǎng)絡(luò)環(huán)境中部署了大量的防火墻、入侵檢測(cè)等安全產(chǎn)品，越來(lái)越多的防護(hù)手段也被引入到抵抗外來(lái)入侵的防護(hù)中。防御外部風(fēng)險(xiǎn)的安全意識(shí)已經(jīng)得到很好的貫徹實(shí)施?？墒菍映霾桓F的信息泄露事件，讓很多信息安全管理人員沮喪。

在為企業(yè)做合規(guī)性檢查時(shí)，我們發(fā)現(xiàn)，數(shù)據(jù)庫(kù)管理員可以不受控制地訪問(wèn)到任何數(shù)據(jù)；同時(shí)以用戶數(shù)據(jù)分析人員、程序員、開(kāi)發(fā)方維護(hù)人員為代表的特權(quán)用戶，也可以訪問(wèn)到敏感數(shù)據(jù)。

特權(quán)賬號(hào)濫用，將數(shù)據(jù)庫(kù)置于風(fēng)險(xiǎn)之中。普通的應(yīng)用操作很少需要由“超級(jí)”特權(quán)所許可的訪問(wèn)，允許應(yīng)用程序使用超級(jí)特權(quán)用戶，會(huì)為不適當(dāng)?shù)姆鞘跈?quán)活動(dòng)創(chuàng)造機(jī)會(huì)。所有的應(yīng)用程序都應(yīng)當(dāng)使用最少特權(quán)的用戶憑證連接到數(shù)據(jù)庫(kù)。

某央企信息中心在信息安全保障工作上，一直走在業(yè)內(nèi)的前端，近幾年配合十二五規(guī)劃，廣泛在集團(tuán)內(nèi)部實(shí)施了安全防護(hù)措施，包括機(jī)房安全、物理隔離、防火墻、入侵檢測(cè)、加密傳輸?shù)鹊?。但進(jìn)行滲透測(cè)試時(shí)發(fā)現(xiàn)，數(shù)據(jù)泄露的風(fēng)險(xiǎn)依然存在。經(jīng)過(guò)排查，數(shù)據(jù)庫(kù)安全成為了企業(yè)信息安全的短板，具體表現(xiàn)在以下方面：

數(shù)據(jù)庫(kù)管理員角色能擁有至高的權(quán)限，權(quán)限可以不受限制的傳播。這就使得獲取數(shù)據(jù)庫(kù)管理員角色的權(quán)限成為攻擊者的目標(biāo)。一旦攻擊者獲得該權(quán)限，數(shù)據(jù)庫(kù)將對(duì)其徹底暴露，毫無(wú)任何安全性可言。

數(shù)據(jù)庫(kù)存在許多漏洞，其中不少是致命的缺陷和漏洞。由于沒(méi)有及時(shí)打補(bǔ)丁，其中不少漏洞可以非常容易地被黑客利用。

數(shù)據(jù)庫(kù)及其應(yīng)用系統(tǒng)在防御SQL注入等攻擊時(shí)，一旦攻擊者從應(yīng)用程序設(shè)計(jì)中的漏洞下手，獲得不該具備的權(quán)限，整個(gè)數(shù)據(jù)庫(kù)文件都有可能會(huì)被下載

數(shù)據(jù)庫(kù)普遍采用基于口令的認(rèn)證方式。本身缺乏有效的登錄口令管理機(jī)制，口令更換周期長(zhǎng)，使用復(fù)雜口令很困難，口令泄露的風(fēng)險(xiǎn)大。

由于數(shù)據(jù)庫(kù)管理系統(tǒng)在上述各個(gè)安全方面的不可信，攻擊者可能通過(guò)非正常途徑來(lái)訪問(wèn)數(shù)據(jù)庫(kù)，破壞系統(tǒng)的安全性。

從這個(gè)案例中，我們可以看到，做好數(shù)據(jù)安全防護(hù)，不能單純依靠網(wǎng)絡(luò)安全技術(shù)手段，最重要的是針對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，制定合理的防護(hù)解決方案，最終達(dá)到：

滿足合規(guī)性要求；

減少核心信息資產(chǎn)的破壞和泄露的發(fā)生幾率；

追蹤溯源，便于事后追查原因與界定責(zé)任；

直觀掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況；

實(shí)現(xiàn)獨(dú)立審計(jì)，完善IT內(nèi)控機(jī)制。

由于數(shù)據(jù)庫(kù)中存放的數(shù)據(jù)往往是高敏感數(shù)據(jù)，因此它也毫無(wú)疑問(wèn)地是合規(guī)性檢查的重點(diǎn)區(qū)域。幾乎所有的企業(yè)合規(guī)都會(huì)對(duì)哪些人、能在什么時(shí)間、訪問(wèn)什么數(shù)據(jù)庫(kù)作出規(guī)定，并且需要一個(gè)專(zhuān)職人員來(lái)管理權(quán)限。所以做好數(shù)據(jù)防護(hù)的合規(guī)性檢查，主要從以下幾個(gè)方面入手：

1.對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的所有用戶進(jìn)行認(rèn)證；

2.所有用戶訪問(wèn)任何數(shù)據(jù)庫(kù)時(shí)，用戶的查詢(xún)和操作（例如移動(dòng)、拷貝和刪除）只能通過(guò)編程性事務(wù)（例如存儲(chǔ)過(guò)程）；

3.數(shù)據(jù)庫(kù)和應(yīng)用的配置設(shè)置為只限于給DBA（數(shù)據(jù)庫(kù)管理員）的直接用戶訪問(wèn)或是查詢(xún)；

4.對(duì)于數(shù)據(jù)庫(kù)應(yīng)用和相關(guān)的應(yīng)用ID，應(yīng)用ID只能被應(yīng)用使用，而不能被單獨(dú)的用戶或是其他進(jìn)程使用。

該集團(tuán)企業(yè)最終針對(duì)發(fā)現(xiàn)的數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)，進(jìn)行了詳細(xì)的差距分析，從可實(shí)際操作的角度，制定出以下八個(gè)步驟，形成合理的解決方案，目標(biāo)實(shí)現(xiàn)數(shù)據(jù)安全的立體化防護(hù)。

1.數(shù)據(jù)庫(kù)直接監(jiān)控；

2.評(píng)估和糾正缺陷；

3.審計(jì)用戶訪問(wèn)；

4.了解用戶如何使用數(shù)據(jù)庫(kù)；

5.驗(yàn)證交易的真實(shí)性；

6.需要獨(dú)立的審查；

7.自動(dòng)化控制來(lái)降低年度審計(jì)成本；

8.使用加密來(lái)保護(hù)數(shù)據(jù)。

實(shí)施數(shù)據(jù)安全防護(hù)技術(shù)

具體如何實(shí)施防護(hù)技術(shù)呢？從上面的八個(gè)步驟，可以發(fā)現(xiàn)，實(shí)施數(shù)據(jù)安全防護(hù)的核心技術(shù)是檢測(cè)數(shù)據(jù)庫(kù)的活動(dòng)，這包括：能夠以實(shí)時(shí)的速度分析數(shù)據(jù)庫(kù)查詢(xún)，區(qū)分正常的操作和攻擊。通過(guò)收集不同來(lái)源的信息，提供多種形式的高級(jí)分析和警告，甚至能直接中斷惡意活動(dòng)。

1.確定數(shù)據(jù)、事務(wù)的保護(hù)優(yōu)先級(jí)。

首先要確定企業(yè)想保護(hù)的內(nèi)容。顯然對(duì)每個(gè)事件都進(jìn)行檢測(cè)是不現(xiàn)實(shí)的，因?yàn)檫@樣一來(lái)監(jiān)測(cè)系統(tǒng)將比保護(hù)對(duì)象更加龐大。企業(yè)需要知道什么樣的數(shù)據(jù)或事務(wù)是重要的。

2.如何捕獲數(shù)據(jù)庫(kù)事件。

現(xiàn)在知道了何種事務(wù)是重要的，接下來(lái)需要決定如何收集數(shù)據(jù)庫(kù)事件。每一種數(shù)據(jù)庫(kù)檢測(cè)器都提供了多種收集數(shù)據(jù)的方法，每一種方法都各有優(yōu)劣。

在數(shù)據(jù)庫(kù)平臺(tái)上安裝代理很常見(jiàn)，因?yàn)榇砟懿东@所有SQL活動(dòng)，在不影響數(shù)據(jù)庫(kù)性能的前提下，有助于理解某次查詢(xún)是否是惡意的。

本地審計(jì)功能可收集事件，但卻不一定能收集到原始的SQL查詢(xún)，開(kāi)銷(xiāo)也要大很多，影響數(shù)據(jù)庫(kù)性能。

網(wǎng)絡(luò)收集器則提供了一種更快更容易的收集SQL活動(dòng)的方法，但會(huì)丟失管理員通過(guò)控制臺(tái)進(jìn)行的事務(wù)和活動(dòng)。

因此，針對(duì)比較重要的關(guān)機(jī)數(shù)據(jù)庫(kù)，安裝代理是最佳選擇；而本地審計(jì)和網(wǎng)絡(luò)監(jiān)控則適合非關(guān)鍵數(shù)據(jù)庫(kù)。

3.數(shù)據(jù)庫(kù)安全的基本定義。

現(xiàn)在，已經(jīng)成功的在關(guān)鍵數(shù)據(jù)庫(kù)系統(tǒng)中收集事件，下一步是實(shí)現(xiàn)安全策略。數(shù)據(jù)庫(kù)活動(dòng)檢測(cè)的工作方式是分析數(shù)據(jù)庫(kù)查詢(xún)，你可以選擇對(duì)哪些語(yǔ)句進(jìn)行檢查，以及如何檢查。

大多數(shù)政策執(zhí)行的是數(shù)據(jù)庫(kù)查詢(xún)屬性檢查：用戶是誰(shuí)、用戶正在瀏覽哪一列、用戶使用何種應(yīng)用程序、用戶接觸到的數(shù)據(jù)、操作時(shí)間等，這些通常都被用于定義安全策略?？梢苑謩e為每一個(gè)屬性分配特定值，當(dāng)用戶超過(guò)這些預(yù)定義的閾值時(shí)，監(jiān)測(cè)系統(tǒng)就會(huì)警告。例如，你可能會(huì)想對(duì)這些情況產(chǎn)生警告：所有午夜之后的查詢(xún)、三次失敗的登錄嘗試、任何對(duì)信用卡資料的訪問(wèn)。

4.高級(jí)監(jiān)控。

只是純粹的監(jiān)測(cè)和警示，不足以幫助企業(yè)做出有效的防護(hù)，一套可靠的阻止攻擊、主動(dòng)抵制濫用的方法，將更加高效地落實(shí)安全阻斷。比如SQL注入監(jiān)測(cè)、攻擊阻止和虛擬補(bǔ)丁、特定應(yīng)用程序用戶認(rèn)證、會(huì)話終止、以及行為監(jiān)控和內(nèi)部威脅檢測(cè)。

但是，先進(jìn)的分析手段就意味著先進(jìn)的政策，這些政策要針對(duì)企業(yè)自身的環(huán)境而定制。比如為了檢測(cè)和阻止SQL注入攻擊，你需要為應(yīng)用程序定義合法的SQL查詢(xún)語(yǔ)句。如果你不能及時(shí)地給數(shù)據(jù)庫(kù)打補(bǔ)丁，那么就需要編寫(xiě)一個(gè)政策，用于檢測(cè)攻擊，同時(shí)部署數(shù)據(jù)庫(kù)活動(dòng)檢測(cè)系統(tǒng)阻止威脅。

為實(shí)現(xiàn)行為監(jiān)測(cè)，即發(fā)現(xiàn)異常的行為，你需要定義什么樣的行為才是正常的。要識(shí)別特定應(yīng)用程序用戶，并不是通常地應(yīng)用程序連接數(shù)據(jù)庫(kù)的賬戶，你需要提供查詢(xún)IP地址或者傳遞用戶憑證的手段。如果檢測(cè)到嚴(yán)重的威脅，你需要決定是否斷開(kāi)該用戶，或者鎖定賬戶禁止其訪問(wèn)系統(tǒng)。

當(dāng)所有這一切都能夠結(jié)合企業(yè)實(shí)際情況得到落實(shí)，那么數(shù)據(jù)防護(hù)工作，才真正起到了應(yīng)有的作用。

真實(shí)案例，數(shù)據(jù)安全實(shí)戰(zhàn)

某銀行的北京分行對(duì)重要系統(tǒng)的特權(quán)用戶（如UNIX的root用戶）的管理盡管有一定的審批流程及管理制度，但管理手段還停留在使用信封封存密碼的手動(dòng)管理狀態(tài)，存在著一定的安全隱患。同時(shí)，由于數(shù)據(jù)中心低效的手工管理流程，導(dǎo)致對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)和服務(wù)器等的 Root IDs/Support IDs/的管理工作增加。更為重要的是，該銀行的數(shù)據(jù)庫(kù)系統(tǒng)安全工作一直沒(méi)有進(jìn)行有效的防護(hù)，存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

因此在數(shù)據(jù)防護(hù)方面，該銀行需要一套整體的解決方案，以滿足：

實(shí)時(shí)監(jiān)測(cè)

實(shí)時(shí)監(jiān)控連接到數(shù)據(jù)庫(kù)/服務(wù)器上的會(huì)話，獲取會(huì)話的5W1H信息（Who、 When、 What、Where、Why、How）。方便安全管理人員對(duì)當(dāng)前系統(tǒng)狀況的監(jiān)控，實(shí)時(shí)查看連接到數(shù)據(jù)庫(kù)/服務(wù)器上的會(huì)話，把握當(dāng)前各種操作的執(zhí)行狀態(tài)，協(xié)助管理人員手動(dòng)/自動(dòng)地實(shí)時(shí)阻斷有風(fēng)險(xiǎn)的數(shù)據(jù)訪問(wèn)，當(dāng)違反策略時(shí)，生成告警，并可以通過(guò)電子郵件和短信息等方式發(fā)送告警。

實(shí)時(shí)防護(hù)

斷開(kāi)違反安全策略的會(huì)話，在網(wǎng)關(guān)模式中，實(shí)時(shí)監(jiān)測(cè)告警，并進(jìn)行會(huì)話阻斷，在旁路監(jiān)聽(tīng)模式中，向DB發(fā)送KILL命令，殺死有問(wèn)題的會(huì)話，并且能夠通過(guò)電子郵件、手機(jī)短信等方式向操作者實(shí)時(shí)發(fā)送警告內(nèi)容

敏感數(shù)據(jù)遮蓋

基于預(yù)先設(shè)置的敏感數(shù)據(jù)遮蓋策略，對(duì)含有敏感數(shù)據(jù)的字段，通過(guò)敏感數(shù)據(jù)遮蓋引擎的處理，用其他的字符或數(shù)字（如：*，1）替代原有的數(shù)據(jù)，實(shí)現(xiàn)敏感數(shù)據(jù)的遮蓋。要能夠支持對(duì)字段的全部遮蓋和部分遮蓋。滿足企業(yè)對(duì)數(shù)據(jù)脫敏的需求，有效防止DBA、管理員等特權(quán)用戶泄露敏感數(shù)據(jù)。

憑證管理

針對(duì)特權(quán)賬號(hào)審批流程，管理整個(gè)賬戶的生命周期。從申請(qǐng)使用、批準(zhǔn)、允許或拒絕、使用過(guò)程到使用結(jié)束狀態(tài)。

身份認(rèn)證管理

結(jié)合行內(nèi)現(xiàn)有認(rèn)證手段，能夠快速實(shí)施各種不同的認(rèn)證方法，并且要能夠支持未來(lái)新的認(rèn)證方式快速被添加到現(xiàn)有體系中。同樣要可以根據(jù)強(qiáng)認(rèn)證和授權(quán)的業(yè)務(wù)風(fēng)險(xiǎn)需求，使用兩個(gè)或多個(gè)認(rèn)證方式的認(rèn)證鏈強(qiáng)化認(rèn)證。

特權(quán)賬號(hào)憑證管理和數(shù)據(jù)庫(kù)審計(jì)配合使用，使得任何對(duì)數(shù)據(jù)的訪問(wèn)，都將受到實(shí)時(shí)監(jiān)控，真正做到了數(shù)據(jù)的立體防護(hù)。更為重要的是，數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)既提升了銀行整體安全水平，又將身份憑證技術(shù)無(wú)縫結(jié)合到上層應(yīng)用，同時(shí)對(duì)目前市面上新型身份認(rèn)證手段的廣泛支持，大大降低了實(shí)施成本。

企業(yè)的核心是數(shù)據(jù)，數(shù)據(jù)的安全會(huì)帶來(lái)核心競(jìng)爭(zhēng)力的提升。保護(hù)好企業(yè)核心數(shù)據(jù)，是每個(gè)企業(yè)領(lǐng)導(dǎo)人應(yīng)該鄭重思考的問(wèn)題。