一、 概述
傳統的資訊安全解決方案主要是通過網絡傳輸通道加密、pki或增強身份認證、防火牆、ips、堡壘機等技術構成綜合的資訊安全應對政策,但這些方案在現實中變得弱不禁風,大量資訊洩露事件頻繁爆發。
圖1 verizon2014資料洩露事件
2014年資料洩漏調查報告中回顧了63737起賽博安全事件和1367起已經确認的資料洩露事件(賽博含義了解為:敏感資料資産)。
圖2 verizon2014十大内部資産濫用排名
根據verizon2014年資料洩漏調查分析報告和對近期發生的資訊安全事件技術分析,總結出資訊洩露呈現兩個趨勢:
(1)黑客通過b/s應用,以web伺服器為跳闆,竊取資料庫中資料;傳統解決方案對應用通路和資料庫通路協定沒有任何控制能力,比如:sql注入就是一個典型的資料庫黑客攻擊手段。
(2)内部人員的濫用資料庫存儲的有價值資訊導緻資料資産丢失資料洩露常常發生在内部,大量的運維人員直接接觸敏感資料,傳統以防外為主的網絡安全解決方案失去了用武之地。
資料庫在這些洩露事件成為了主角,這與我們在傳統的安全建設中忽略了資料庫安全問題有關,在傳統的資訊安全防護體系中資料庫處于被保護的核心位置,不易被外部黑客攻擊,同時資料庫自身已經具備強大安全措施,表面上看足夠安全,但這種傳統安全防禦的思路,存在緻命的缺陷。
二、 資料庫本身存在重大安全缺陷
傳統觀念認為資料庫系統本身已具備完整的安全保障機制,存儲在資料庫中的資料足夠安全, oracle總裁larry ellison曾宣稱oracle資料庫是世界上最為安全的資料庫系統,但事實上以oracle為首的資料庫系統存在重大安全缺陷,主要展現為如下三個方面:
圖 3 主流資料庫系統漏洞級别分布
2.1存儲檔案解析後為明文
資料庫的資料是存儲在實體檔案裡,這些資料按照資料庫自定義的格式組織在資料庫中,但這些資料本質上都是明文存儲;主流的大型資料庫資料檔案的組織結構主動或被動公開化,隻要得到這些資料檔案,存儲的資料其實就是透明的。
這些存儲檔案包括資料庫的資料檔案、備份檔案、日志檔案等;這樣隻要能夠通路或得到資料庫存儲檔案,就可以獲得資料庫中的資訊。比如:在網際網路上公開的mydul軟體就是可以成功解析oracle資料檔案獲得明文資訊的開源工具。
資料庫的明文存儲也會因為磁盤、備份錄音帶的丢失引起洩密,如香港花旗銀行在裝修期間丢失了伺服器引起的客戶資料洩密。同時,明文存儲使隻要能夠通路到資料庫檔案的人員,都可以看到資料庫中的存儲内容,如網絡管理者或者攻入到内網當中的黑客。
2.2資料庫自身存在諸多可攻擊安全漏洞
資料庫往往被認為具備較為完備的安全機制,從身份認證、通路控制、到通訊加密,但事實上資料庫也存在諸多的安全漏洞,目前在國際漏洞庫cve上公布了2000多個資料庫漏洞,号稱最為安全的oracle資料庫就占了1000多個;這些漏洞大多是國際上的安全專家對資料庫安全狀況進行研究後發現的,包括提權漏洞(如從普通使用者提權到dba使用者)、緩沖區溢出漏洞(通過該漏洞可以使資料庫執行非法代碼或癱瘓)、系統注入漏洞(通過該漏洞在調用系統函數時執行任意非法sql代碼)。
黑客已經利用這些漏洞,對資料庫進行了多次侵入;雖然資料庫廠商據此提供了大量更新檔包,但這些更新檔包所修複的漏洞數量也是有限的,同時大量的應用系統出于系統穩定性和相容性的原因也無法實作更新檔更新;是以這些漏洞依然是黑客入侵資料庫的常用通道,同時随着這些安全問題的廣泛傳播,資料庫維護人員和程式人員也使用這些技術手段進行越權工作,對資料庫造成了巨大威脅。
2.3資料庫自身的通路控制存在缺陷
資料庫采用的通路控制機制,依然是典型的三元組,也就是主體、客體和操作,其中主體主要是資料庫使用者或角色,客體是資料庫對象,操作是典型的ddl、dml、acl語句和某些維護操作;但對這些操作的具體内容和影響不再做控制,如是否采用了欺騙性的sql語句、是否傳回了大量資料無法控制。
目前廣為流傳的sql注入就是大量地利用這些控制缺陷,在sql語句中構造永真表達式、執行外部調用、非法登入應用系統進行批量資料導出。
同時某些程式人員也惡意利用這些控制缺陷,在應用程式中埋下後門程式,對有價值的資訊進行非法下載下傳,如陝西移動、深圳福彩、某三甲醫院統方的安全事件,這些惡意行為可以通過資料庫中的檢索傳回行數進行控制并阻斷。
三、 資料庫的應用環境變得日趨複雜
資料庫安全事件頻頻發生的原因也是由于目前資料庫的應用環境和應用模式日趨複雜,與資料庫應用環境相關的安全隐患主要有三個方面:
圖4 複雜業務環境下資料庫的安全隐患
3.1 b/s架構使資料庫間接暴露在網際網路上
大量web應用的興起,面向公衆的政府、金融機關提供服務的動态網站和應用系統快速增加;大企業的各分支機構分布地域廣闊,在企業内部也通過網際網路實作财務、辦公、商務等資訊化管理。這些系統采用b/s為主要技術架構,使用者通過浏覽器通路web伺服器,web伺服器再通路資料庫伺服器,形成了從使用者到資料庫的合法通路通道,進而将資料庫間接暴露在網際網路上。甚至在某些企業,資料庫就直接安裝在對外提供web服務的計算機上,通過攻擊web伺服器即可實作資料庫的敏感資料通路。
3.2資料庫維護模式改變為服務外包模式
傳統的資料庫維護主要是企業内部的dba完成,但随着業務系統複雜度的增加和累積資料規模的增大,大型企業和政府機關的資料庫采用服務外包給it企業的方式進行維護管理,同時各關鍵行業處于資訊化快速發展和建設中,往往是一邊開發新系統一邊正常使用完成的系統,就導緻存在大量的駐場程式開發人員;這樣使資料庫的直接接觸人員,不僅限于企業的内部維護人員,同時包含大量的服務外包人員、程式開發人員和系統測試人員,這些人員直接接觸資料庫系統的真實資料,使傳統基于人工内部管理模式為主的資料庫安全機制面臨巨大挑戰。
3.3通路資料庫系統的應用形式多樣化
目前資料庫内的資料被大量共享通路,資料庫的通路形式不僅限于傳統的模式,b/s架構的應用逐漸成為主流。資料查詢類、分析類應用迅速增加,資料倉庫、資料同步系統的建設以促進共享。資料的定期備份、異地備份大量增加以加強資料的可靠性,通路形式的多樣化,決定了資料庫安全問題的多樣化,需要綜合性的安全解決方案。
四、 傳統網絡安全解決方案存在緻命缺陷
我國經過十多年的資訊安全建設,已經建立起相對完善的網絡資訊安全體系,包括網絡安全裝置、終端安全、認證安全、主機安全、防病毒等系列化的安全産品和整體的安全解決方案;特别是以防火牆、ips/ids、utm等産品為代表的網絡安全産品,更是成為了目前安全建設的标配。但這些産品都無法防止資料庫服務的安全缺陷。傳統的網絡安全解決方案中存在如下緻命缺陷:
4.1網絡防火牆不對資料庫通訊協定進行控制
傳統的網絡防火牆産品主要是基于:源ip + 源端口 + 目的ip + 目的端口 + 協定類型進行通路控制,傳統的防火牆不對協定的内容進行解析和控制。由于應用要通路資料庫,是以資料庫的通訊端口總是開放的,本質來說傳統防火牆對于資料庫網絡通訊無任何的安全防護能力。
4.2 ips/ids對資料庫通訊協定的控制很弱
ips/ids(入侵防護系統/入侵偵測系統)産品比起傳統防火牆更進了一步,開始嘗試對應用層的通訊協定進行解析,但這些協定都限于标準通訊協定,如ftp、郵件、ldap、telnet等,對一些針對标準協定的攻擊行為進行防範;但對于資料庫這樣的非标準化通訊協定,協定的複雜度很高,目前市場上的主流ips/ids産品均未實作對資料庫通訊協定的解析和防護。
4.3 繞過waf系統的刷庫行為屢見不鮮
waf(web application firewall 網站應用防火牆)産品主要是對http協定的解析,通過對http協定中的内容進行分析,實作攻擊防禦;通過waf可以實作對部分sql注入行為的阻止,但waf對于複雜的sql注入和攻擊行為無能為力;2012年的黑客大會宣布有150多種方法可以繞開waf實作對web應用伺服器的攻擊。在web應用伺服器上利用應用的資料庫賬戶攻擊資料庫伺服器是目前刷庫的主要手段。
4.4 ngfw無法解決來自于業務系統本身的安全威脅
ngfw(next generation firewall下一代防火牆)比傳統防火牆更近了一步,更偏重于應用層,号稱是utm(unified threat management統一威脅管理)有更多技術革新性的産品,內建了傳統防火牆、ips、防病毒、防垃圾郵件等諸多功能的綜合安全産品。ngfw将視角更多地轉向了應用層,在控制規則上增加了使用者、應用類型和内容,一些ngfw産品也号稱能夠識别幾百種應用;但ngfw中所相容的應用層協定,特别是對應用層的協定内容進行控制,僅限于标準化的應用服務,如ftp協定、telnet協定、mail協定、ldap協定;但對于資料庫這種沒有通訊協定标準、通訊又極其複雜、各個廠商各自為政的應用層協定,目前沒有任何一家ngfw産品能夠實作對資料庫通訊協定的安全控制;是以即使有了ngfw,依然無法阻止黑客通過資料庫的通訊進行的攻擊。
4.5 内網管控的堡壘機解決方案存在重大缺陷
針對來自于内部的資料安全問題,目前比較流行的是以堡壘機為核心的集中運維管控解決方案,通過這種方案可以将運維人員對主機裝置和資料庫的維護集中到堡壘機上完成,在堡壘機上完成統一的認證、授權和審計。
但堡壘機的解決方案存在以下安全缺陷:
a、堡壘機無法對圖形化工具的操作進行控制,隻能通過錄屏的方式進行錄像記錄;
b、備份的錄音帶不受堡壘機控制,dba可以通過錄音帶擷取明文資料;
c、網絡管理者可以通過解析資料檔案,擷取資料庫中明文資料;
d、程式開發人員通過在生産系統的伺服器上駐留後門程式通路資料庫;
e、測試和開發人員通路測試系統的資料庫獲得真實資料。
以上安全問題決定市場上還是需要更為專業的資料庫安全産品。
五、 市場需要專業的資料庫安全
5.1資料庫安全整體應對政策
目前資料庫應用和維護環境有了很大的變化,傳統安全解決方案存在了諸多安全隐患,資料庫安全問題也越來越引起國家安全部門的重視,市場上需要更為專業的資料庫安全整體應對政策:
Ø 提供專業工具對資料庫的安全狀況進行評估。
Ø 防止外部黑客通過資料庫通訊鍊路進行攻擊行為。
Ø 防止内部運維人員的高危資料庫操作。
Ø 防止資訊服務外包人員的刷庫行為(對敏感資料大規模下載下傳)。
Ø 對資料庫的通路行為進行記錄,提供事後分析工具。
Ø 存儲資料、備份資料和導出資料為加密态。
通過以上資料庫安全措施,有效地防止敏感資料洩露的安全事件發生。
5.2 資料庫漏掃
資料庫漏掃是一種幫助使用者對目前的資料庫系統進行自動化安全評估的專業軟體,能有效暴露目前資料庫系統的安全問題,提供對資料庫的安全狀況進行持續化監控,幫助使用者保持資料庫的安全健康狀态。發現外部黑客攻擊漏洞,實作從外到内的檢測;模拟黑客使用的漏洞發現技術,在沒有授權的情況下,對目标資料庫的安全性作深入的探測分析。
5.3資料庫防火牆
資料庫防火牆是一款基于資料庫通路協定分析與控制技術的網絡資料庫安全防護系統,基于主動防禦機制,實作資料庫的通路行為控制、危險操作阻斷、可疑行為審計。
圖5 資料庫防火牆的核心功能
資料庫防火牆面對來自于外部的入侵行為,提供sql注入禁止和資料庫虛拟更新檔包功能;通過虛拟更新檔包,資料庫系統不用更新、打更新檔,即可完成對主要資料庫漏洞的防控。
5.4 資料庫加密
資料庫加密是基于透明加解密技術的資料庫安全加強系統,基于主動防禦機制,可以防止明文存儲引起的資料洩密、突破邊界防護的外部黑客攻擊、來自于内部高權限使用者的資料竊取、防止繞開合法應用系統直接通路資料庫,能夠實作對資料加密存儲、通路控制增強、應用通路安全、安全審計以及三權分立等功能,從根本上解決資料庫敏感資料洩漏問題。
作者:安華金和 石川 潭心 廉小偉
來源:51cto