數(shù)據(jù)庫信息泄露 安全的短板

■

概述

傳統(tǒng)的信息安全解決方案主要是通過網(wǎng)絡(luò)傳輸通道加密、PKI或增強(qiáng)身份認(rèn)證、防火墻、IPS、堡壘機(jī)等技術(shù)構(gòu)成綜合的信息安全應(yīng)對策略，但這些方案在現(xiàn)實中變得弱不禁風(fēng)，大量信息泄露事件頻繁爆發(fā)，如圖1。

2014年數(shù)據(jù)泄漏調(diào)查報告中回顧了63737起賽博安全事件和1367起已經(jīng)確認(rèn)的數(shù)據(jù)泄露事件（賽博含義理解為：敏感數(shù)據(jù)資產(chǎn)），如圖2。

根據(jù)Verizon2014年數(shù)據(jù)泄漏調(diào)查分析報告和對近期發(fā)生的信息安全事件技術(shù)分析，總結(jié)出信息泄露呈現(xiàn)兩個趨勢：

（1）黑客通過B/S應(yīng)用，以Web服務(wù)器為跳板，竊取數(shù)據(jù)庫中數(shù)據(jù)；傳統(tǒng)解決方案對應(yīng)用訪問和數(shù)據(jù)庫訪問協(xié)議沒有任何控制能力，比如:SQL注入就是一個典型的數(shù)據(jù)庫黑客攻擊手段。

（2）內(nèi)部人員的濫用數(shù)據(jù)庫存儲的有價值信息導(dǎo)致數(shù)據(jù)資產(chǎn)丟失數(shù)據(jù)泄露常常發(fā)生在內(nèi)部，大量的運維人員直接接觸敏感數(shù)據(jù)，傳統(tǒng)以防外為主的網(wǎng)絡(luò)安全解決方案失去了用武之地。

數(shù)據(jù)庫在這些泄露事件成為了主角，這與我們在傳統(tǒng)的安全建設(shè)中忽略了數(shù)據(jù)庫安全問題有關(guān)，在傳統(tǒng)的信息安全防護(hù)體系中數(shù)據(jù)庫處于被保護(hù)的核心位置，不易被外部黑客攻擊，同時數(shù)據(jù)庫自身已經(jīng)具備強(qiáng)大安全措施，表面上看足夠安全，但這種傳統(tǒng)安全防御的思路，存在致命的缺陷。

數(shù)據(jù)庫本身的重大安全缺陷

傳統(tǒng)觀念認(rèn)為數(shù)據(jù)庫系統(tǒng)本身已具備完整的安全保障機(jī)制，存儲在數(shù)據(jù)庫中的數(shù)據(jù)足夠安全， Oracle總裁Larry Ellison曾宣稱Oracle數(shù)據(jù)庫是世界上最為安全的數(shù)據(jù)庫系統(tǒng)，但事實上傳統(tǒng)的數(shù)據(jù)庫系統(tǒng)存在重大安全缺陷，主要體現(xiàn)為如下三個方面，如圖3：

存儲文件解析后為明文

數(shù)據(jù)庫的數(shù)據(jù)是存儲在物理文件里，這些數(shù)據(jù)按照數(shù)據(jù)庫自定義的格式組織在數(shù)據(jù)庫中，但這些數(shù)據(jù)本質(zhì)上都是明文存儲；主流的大型數(shù)據(jù)庫數(shù)據(jù)文件的組織結(jié)構(gòu)主動或被動公開化，只要得到這些數(shù)據(jù)文件，存儲的數(shù)據(jù)其實就是透明的。

圖1 Verizon2014數(shù)據(jù)泄露事件

圖2 Verizon2014十大內(nèi)部資產(chǎn)濫用排名

圖 3 主流數(shù)據(jù)庫系統(tǒng)漏洞級別分布

這些存儲文件包括數(shù)據(jù)庫的數(shù)據(jù)文件、備份文件、日志文件等；這樣只要能夠訪問或得到數(shù)據(jù)庫存儲文件，就可以獲得數(shù)據(jù)庫中的信息。比如：在互聯(lián)網(wǎng)上公開的MyDUL軟件就是可以成功解析傳統(tǒng)數(shù)據(jù)庫數(shù)據(jù)文件獲得明文信息的開源工具。

數(shù)據(jù)庫的明文存儲也會因為磁盤、備份磁帶的丟失引起泄密，如香港花旗銀行在裝修期間丟失了服務(wù)器引起的客戶資料泄密。同時，明文存儲使只要能夠訪問到數(shù)據(jù)庫文件的人員，都可以看到數(shù)據(jù)庫中的存儲內(nèi)容，如網(wǎng)絡(luò)管理員或者攻入到內(nèi)網(wǎng)當(dāng)中的黑客。

數(shù)據(jù)庫自身存在諸多可攻擊安全漏洞

數(shù)據(jù)庫往往被認(rèn)為具備較為完備的安全機(jī)制，從身份認(rèn)證、訪問控制、到通訊加密，但事實上數(shù)據(jù)庫也存在諸多的安全漏洞，當(dāng)前在國際漏洞庫CVE上公布了2000多個數(shù)據(jù)庫漏洞，Oracle數(shù)據(jù)庫就占了1000多個；這些漏洞大多是國際上的安全專家對數(shù)據(jù)庫安全狀況進(jìn)行研究后發(fā)現(xiàn)的，包括提權(quán)漏洞（如從普通用戶提權(quán)到DBA用戶）、緩沖區(qū)溢出漏洞（通過該漏洞可以使數(shù)據(jù)庫執(zhí)行非法代碼或癱瘓）、系統(tǒng)注入漏洞（通過該漏洞在調(diào)用系統(tǒng)函數(shù)時執(zhí)行任意非法SQL代碼）。

黑客已經(jīng)利用這些漏洞，對數(shù)據(jù)庫進(jìn)行了多次侵入；雖然數(shù)據(jù)庫廠商據(jù)此提供了大量補丁包，但這些補丁包所修復(fù)的漏洞數(shù)量也是有限的，同時大量的應(yīng)用系統(tǒng)出于系統(tǒng)穩(wěn)定性和兼容性的原因也無法實現(xiàn)補丁升級；因此這些漏洞依然是黑客入侵?jǐn)?shù)據(jù)庫的常用通道，同時隨著這些安全問題的廣泛傳播，數(shù)據(jù)庫維護(hù)人員和程序人員也使用這些技術(shù)手段進(jìn)行越權(quán)工作，對數(shù)據(jù)庫造成了巨大威脅。

圖4 復(fù)雜業(yè)務(wù)環(huán)境下數(shù)據(jù)庫的安全隱患

數(shù)據(jù)庫自身的訪問控制存在缺陷

數(shù)據(jù)庫采用的訪問控制機(jī)制，依然是典型的三元組，也就是主體、客體和操作，其中主體主要是數(shù)據(jù)庫用戶或角色，客體是數(shù)據(jù)庫對象，操作是典型的DDL、DML、ACL語句和某些維護(hù)操作；但對這些操作的具體內(nèi)容和影響不再做控制，如是否采用了欺騙性的SQL語句、是否返回了大量數(shù)據(jù)無法控制。

當(dāng)前廣為流傳的SQL注入就是大量地利用這些控制缺陷，在SQL語句中構(gòu)造永真表達(dá)式、執(zhí)行外部調(diào)用、非法登錄應(yīng)用系統(tǒng)進(jìn)行批量數(shù)據(jù)導(dǎo)出。

同時某些程序人員也惡意利用這些控制缺陷，在應(yīng)用程序中埋下后門程序，對有價值的信息進(jìn)行非法下載，如陜西移動、深圳福彩、某三甲醫(yī)院統(tǒng)方的安全事件，這些惡意行為可以通過數(shù)據(jù)庫中的檢索返回行數(shù)進(jìn)行控制并阻斷。

數(shù)據(jù)庫的應(yīng)用環(huán)境變得日趨復(fù)雜

數(shù)據(jù)庫安全事件頻頻發(fā)生的原因也是由于當(dāng)前數(shù)據(jù)庫的應(yīng)用環(huán)境和應(yīng)用模式日趨復(fù)雜，與數(shù)據(jù)庫應(yīng)用環(huán)境相關(guān)的安全隱患主要有三個方面，如圖4。

B/S架構(gòu)使數(shù)據(jù)庫間接暴露在互聯(lián)網(wǎng)上

大量Web應(yīng)用的興起，面向公眾的政府、金融單位提供服務(wù)的動態(tài)網(wǎng)站和應(yīng)用系統(tǒng)快速增加；大企業(yè)的各分支機(jī)構(gòu)分布地域廣闊，在企業(yè)內(nèi)部也通過互聯(lián)網(wǎng)實現(xiàn)財務(wù)、辦公、商務(wù)等信息化管理。這些系統(tǒng)采用B/S為主要技術(shù)架構(gòu)，用戶通過瀏覽器訪問Web服務(wù)器，Web服務(wù)器再訪問數(shù)據(jù)庫服務(wù)器，形成了從用戶到數(shù)據(jù)庫的合法訪問通道，從而將數(shù)據(jù)庫間接暴露在互聯(lián)網(wǎng)上。甚至在某些企業(yè)，數(shù)據(jù)庫就直接安裝在對外提供Web服務(wù)的計算機(jī)上，通過攻擊web服務(wù)器即可實現(xiàn)數(shù)據(jù)庫的敏感數(shù)據(jù)訪問。

數(shù)據(jù)庫維護(hù)模式改變?yōu)榉?wù)外包模式

傳統(tǒng)的數(shù)據(jù)庫維護(hù)主要是企業(yè)內(nèi)部的DBA完成，但隨著業(yè)務(wù)系統(tǒng)復(fù)雜度的增加和累積數(shù)據(jù)規(guī)模的增大，大型企業(yè)和政府單位的數(shù)據(jù)庫采用服務(wù)外包給IT企業(yè)的方式進(jìn)行維護(hù)管理，同時各關(guān)鍵行業(yè)處于信息化快速發(fā)展和建設(shè)中，往往是一邊開發(fā)新系統(tǒng)一邊正常使用完成的系統(tǒng)，就導(dǎo)致存在大量的駐場程序開發(fā)人員；這樣使數(shù)據(jù)庫的直接接觸人員，不僅限于企業(yè)的內(nèi)部維護(hù)人員，同時包含大量的服務(wù)外包人員、程序開發(fā)人員和系統(tǒng)測試人員，這些人員直接接觸數(shù)據(jù)庫系統(tǒng)的真實數(shù)據(jù)，使傳統(tǒng)基于人工內(nèi)部管理模式為主的數(shù)據(jù)庫安全機(jī)制面臨巨大挑戰(zhàn)。

訪問數(shù)據(jù)庫系統(tǒng)的應(yīng)用形式多樣化

當(dāng)前數(shù)據(jù)庫內(nèi)的數(shù)據(jù)被大量共享訪問，數(shù)據(jù)庫的訪問形式不僅限于傳統(tǒng)的模式，B/S架構(gòu)的應(yīng)用逐漸成為主流。數(shù)據(jù)查詢類、分析類應(yīng)用迅速增加，數(shù)據(jù)倉庫、數(shù)據(jù)同步系統(tǒng)的建設(shè)以促進(jìn)共享。數(shù)據(jù)的定期備份、異地備份大量增加以加強(qiáng)數(shù)據(jù)的可靠性，訪問形式的多樣化，決定了數(shù)據(jù)庫安全問題的多樣化，需要綜合性的安全解決方案。

傳統(tǒng)網(wǎng)絡(luò)安全解決方案存在致命缺陷

我國經(jīng)過十多年的信息安全建設(shè)，已經(jīng)建立起相對完善的網(wǎng)絡(luò)信息安全體系，包括網(wǎng)絡(luò)安全設(shè)備、終端安全、認(rèn)證安全、主機(jī)安全、防病毒等系列化的安全產(chǎn)品和整體的安全解決方案；特別是以防火墻、IPS/IDS、UTM等產(chǎn)品為代表的網(wǎng)絡(luò)安全產(chǎn)品，更是成為了當(dāng)前安全建設(shè)的標(biāo)配。但這些產(chǎn)品都無法防止數(shù)據(jù)庫服務(wù)的安全缺陷。傳統(tǒng)的網(wǎng)絡(luò)安全解決方案中存在如下致命缺陷：

網(wǎng)絡(luò)防火墻不對數(shù)據(jù)庫通訊協(xié)議進(jìn)行控制

傳統(tǒng)的網(wǎng)絡(luò)防火墻產(chǎn)品主要是基于：源IP+源端口+目的IP+目的端口+協(xié)議類型進(jìn)行訪問控制，傳統(tǒng)的防火墻不對協(xié)議的內(nèi)容進(jìn)行解析和控制。由于應(yīng)用要訪問數(shù)據(jù)庫，因此數(shù)據(jù)庫的通訊端口總是開放的，本質(zhì)來說傳統(tǒng)防火墻對于數(shù)據(jù)庫網(wǎng)絡(luò)通訊無任何的安全防護(hù)能力。

IPS/IDS對數(shù)據(jù)庫通訊協(xié)議的控制很弱

IPS/IDS（入侵防護(hù)系統(tǒng)/入侵偵測系統(tǒng)）產(chǎn)品比起傳統(tǒng)防火墻更進(jìn)了一步，開始嘗試對應(yīng)用層的通訊協(xié)議進(jìn)行解析，但這些協(xié)議都限于標(biāo)準(zhǔn)通訊協(xié)議，如FTP、郵件、LDAP、Telnet等，對一些針對標(biāo)準(zhǔn)協(xié)議的攻擊行為進(jìn)行防范；但對于數(shù)據(jù)庫這樣的非標(biāo)準(zhǔn)化通訊協(xié)議，協(xié)議的復(fù)雜度很高，當(dāng)前市場上的主流IPS/IDS產(chǎn)品均未實現(xiàn)對數(shù)據(jù)庫通訊協(xié)議的解析和防護(hù)。

繞過WAF系統(tǒng)的刷庫行為屢見不鮮

WAF（Web Application Firewall 網(wǎng)站應(yīng)用防火墻）產(chǎn)品主要是對Http協(xié)議的解析，通過對Http協(xié)議中的內(nèi)容進(jìn)行分析，實現(xiàn)攻擊防御；通過WAF可以實現(xiàn)對部分SQL注入行為的阻止，但WAF對于復(fù)雜的SQL注入和攻擊行為無能為力；2012年的黑客大會宣布有150多種方法可以繞開WAF實現(xiàn)對Web應(yīng)用服務(wù)器的攻擊。在Web應(yīng)用服務(wù)器上利用應(yīng)用的數(shù)據(jù)庫賬戶攻擊數(shù)據(jù)庫服務(wù)器是當(dāng)前刷庫的主要手段。

NGFW無法解決來自于業(yè)務(wù)系統(tǒng)本身的安全威脅

NGFW（Next generation firewall下一代防火墻）比傳統(tǒng)防火墻更近了一步，更偏重于應(yīng)用層，號稱是UTM（Unified Threat Management統(tǒng)一威脅管理）有更多技術(shù)革新性的產(chǎn)品，集成了傳統(tǒng)防火墻、IPS、防病毒、防垃圾郵件等諸多功能的綜合安全產(chǎn)品。NGFW將視角更多地轉(zhuǎn)向了應(yīng)用層，在控制規(guī)則上增加了用戶、應(yīng)用類型和內(nèi)容，一些NGFW產(chǎn)品也號稱能夠識別幾百種應(yīng)用；但NGFW中所兼容的應(yīng)用層協(xié)議，特別是對應(yīng)用層的協(xié)議內(nèi)容進(jìn)行控制，僅限于標(biāo)準(zhǔn)化的應(yīng)用服務(wù)，如FTP協(xié)議、Telnet協(xié)議、Mail協(xié)議、LDAP協(xié)議；但對于數(shù)據(jù)庫這種沒有通訊協(xié)議標(biāo)準(zhǔn)、通訊又極其復(fù)雜、各個廠商各自為政的應(yīng)用層協(xié)議，當(dāng)前沒有任何一家NGFW產(chǎn)品能夠?qū)崿F(xiàn)對數(shù)據(jù)庫通訊協(xié)議的安全控制；因此即使有了NGFW，依然無法阻止黑客通過數(shù)據(jù)庫的通訊進(jìn)行的攻擊。

內(nèi)網(wǎng)管控的堡壘機(jī)解決方案存在重大缺陷

針對來自于內(nèi)部的數(shù)據(jù)安全問題，當(dāng)前比較流行的是以堡壘機(jī)為核心的集中運維管控解決方案，通過這種方案可以將運維人員對主機(jī)設(shè)備和數(shù)據(jù)庫的維護(hù)集中到堡壘機(jī)上完成，在堡壘機(jī)上完成統(tǒng)一的認(rèn)證、授權(quán)和審計。

但堡壘機(jī)的解決方案存在以下安全缺陷：

A、堡壘機(jī)無法對圖形化工具的操作進(jìn)行控制，只能通過錄屏的方式進(jìn)行錄像記錄；

B、備份的磁帶不受堡壘機(jī)控制，DBA可以通過磁帶獲取明文數(shù)據(jù)；

C、網(wǎng)絡(luò)管理員可以通過解析數(shù)據(jù)文件，獲取數(shù)據(jù)庫中明文數(shù)據(jù)；

D、程序開發(fā)人員通過在生產(chǎn)系統(tǒng)的服務(wù)器上駐留后門程序訪問數(shù)據(jù)庫；

E、測試和開發(fā)人員訪問測試系統(tǒng)的數(shù)據(jù)庫獲得真實數(shù)據(jù)。

以上安全問題決定市場上還是需要更為專業(yè)的數(shù)據(jù)庫安全產(chǎn)品。場上需要更為專業(yè)的數(shù)據(jù)庫安全整體應(yīng)對策略：

提供專業(yè)工具對數(shù)據(jù)庫的安全狀況進(jìn)行評估。

防止外部黑客通過數(shù)據(jù)庫通訊鏈路進(jìn)行攻擊行為。

防止內(nèi)部運維人員的高危數(shù)據(jù)庫操作。

防止信息服務(wù)外包人員的刷庫行為（對敏感數(shù)據(jù)大規(guī)模下載）。

對數(shù)據(jù)庫的訪問行為進(jìn)行記錄，提供事后分析工具。

存儲數(shù)據(jù)、備份數(shù)據(jù)和導(dǎo)出數(shù)據(jù)為加密態(tài)。

通過以上數(shù)據(jù)庫安全措施，有效地防止敏感數(shù)據(jù)泄露的安全事件發(fā)生。

數(shù)據(jù)庫漏掃

數(shù)據(jù)庫漏掃是一種幫助用戶對當(dāng)前的數(shù)據(jù)庫系統(tǒng)進(jìn)行自動化安全評估的專業(yè)軟件，能有效暴露當(dāng)前數(shù)據(jù)庫系統(tǒng)的安全問題，提供對數(shù)據(jù)庫的安全狀況進(jìn)行持續(xù)化監(jiān)控，幫助用

市場需要專業(yè)的數(shù)據(jù)庫安全

數(shù)據(jù)庫安全整體應(yīng)對策略

圖5 數(shù)據(jù)庫防火墻的核心功能

目前數(shù)據(jù)庫應(yīng)用和維護(hù)環(huán)境有了很大的變化，傳統(tǒng)安全解決方案存在了諸多安全隱患，數(shù)據(jù)庫安全問題也越來越引起國家安全部門的重視，市戶保持?jǐn)?shù)據(jù)庫的安全健康狀態(tài)。發(fā)現(xiàn)外部黑客攻擊漏洞，實現(xiàn)從外到內(nèi)的檢測；模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)，在沒有授權(quán)的情況下，對目標(biāo)數(shù)據(jù)庫的安全性作深入的探測分析。

數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻是一款基于數(shù)據(jù)庫訪問協(xié)議分析與控制技術(shù)的網(wǎng)絡(luò)數(shù)據(jù)庫安全防護(hù)系統(tǒng)，基于主動防御機(jī)制，實現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險操作阻斷、可疑行為審計，如圖5。

數(shù)據(jù)庫防火墻面對來自于外部的入侵行為，提供SQL注入禁止和數(shù)據(jù)庫虛擬補丁包功能；通過虛擬補丁包，數(shù)據(jù)庫系統(tǒng)不用升級、打補丁，即可完成對主要數(shù)據(jù)庫漏洞的防控。

數(shù)據(jù)庫加密

數(shù)據(jù)庫加密是基于透明加解密技術(shù)的數(shù)據(jù)庫安全加固系統(tǒng)，基于主動防御機(jī)制，可以防止明文存儲引起的數(shù)據(jù)泄密、突破邊界防護(hù)的外部黑客攻擊、來自于內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取、防止繞開合法應(yīng)用系統(tǒng)直接訪問數(shù)據(jù)庫，能夠?qū)崿F(xiàn)對數(shù)據(jù)加密存儲、訪問控制增強(qiáng)、應(yīng)用訪問安全、安全審計以及三權(quán)分立等功能，從根本上解決數(shù)據(jù)庫敏感數(shù)據(jù)泄漏問題。