安恒信息：深入淺出數據庫安全審計

2013-10-22 10:30:40 eNet硅谷動力　點擊量：評論 (0)

數據庫安全現狀　　大學數據庫原理教科書中，數據庫是這樣被解釋的：數據庫是計算機應用系統中的一種專門管理數據庫資源的系統。數據具有多種形式，如文字數碼符號圖形圖象以及聲音。數據庫系統立足于數

數據庫安全現狀

　　大學數據庫原理教科書中，數據庫是這樣被解釋的：數據庫是計算機應用系統中的一種專門管理數據庫資源的系統。數據具有多種形式，如文字/數碼/符號/圖形/圖象以及聲音。數據庫系統立足于數據本身的管理，將所有的數據保存于數據庫中，進行科學地組織，借助于數據庫管理系統，并以此為中介，與各種應用程序或應用系統接口，使之能方便地使用并管理數據庫中的數據，如數據查詢/添加/刪除/修改等。

　　數據庫無所不在。海量的數據信息因為數據庫的產生而變得更加容易管理和使用。政府、金融、運營商、公安、能源、稅務、工商、社保、交通、衛生、教育、電子商務及企業等行業，紛紛建立起各自的數據庫應用系統，以便隨時對數據庫中海量的數據進行管理和使用，國家/社會的發展帶入信息時代。同時，隨著互聯網的發展，數據庫作為網絡的重要應用，在網站建設和網絡營銷中發揮著重要的作用，包括信息收集/信息查詢及搜索/產品或業務管理/新聞發布/BBS論壇等等。

　　然而，信息技術是一把雙刃劍，為社會的進步和發展帶來遍歷的同時，也帶來了許多的安全隱患。對數據庫而言，其存在的安全隱患存在更加難以估計的風險值，數據庫安全事件曾出不窮：

　　某系統開發工程師通過互聯網入侵移動中心數據庫，盜取沖值卡

　　某醫院數據庫系統遭到非法入侵，導致上萬名患者私隱信息被盜取

　　某網游公司內部數據庫管理人員通過違規修改數據庫數據盜竊網游點卡

　　黑客利用SQL注入攻擊，入侵某防病毒軟件數據庫中心，竊取大量機密信息，導致該防病毒軟件公司嚴重損失

　　某證券交易所內部數據庫造黑客股民入侵，盜竊證券交易內部報告

　　……

　　數據庫安全面臨內部惡意操作以及外部惡意入侵兩大夾擊。如何有效保護數據庫信息成為當前信息安全界最為關注的課題。

數據庫安全分析

　　三大安全風險

　　數據庫是任何商業和公共安全中最具有戰略性的資產，通常都保存著重要的商業伙伴和客戶信息，這些信息需要被保護起來，以防止競爭者和其他非法者獲取。互聯網的急速發展使得企業數據庫信息的價值及可訪問性得到了提升，同時，也致使數據庫信息資產面臨嚴峻的挑戰，概括起來主要表現在以下三個層面：

　　管理層面：主要表現為人員的職責、流程有待完善，內部員工的日常操作有待規范，第三方維護人員的操作監控失效等等，致使安全事件發生時，無法追溯并定位真實的操作者。

　　技術層面：現有的數據庫內部操作不明，無法通過外部的任何安全工具（比如：防火墻、IDS、IPS等）來阻止內部用戶的惡意操作、濫用資源和泄露企業機密信息等行為。

　　審計層面：現有的依賴于數據庫日志文件的審計方法，存在諸多的弊端，比如：數據庫審計功能的開啟會影響數據庫本身的性能、數據庫日志文件本身存在被篡改的風險，難于體現審計信息的真實性。

　　伴隨著數據庫信息價值以及可訪問性提升，使得數據庫面對來自內部和外部的安全風險大大增加，如違規越權操作、惡意入侵導致機密信息竊取泄漏，但事后卻無法有效追溯和審計。

　　傳統數據庫安全方案缺陷

　　傳統的審計方案，或多或少存在一些缺陷，主要表現在以下兩個方面。

　　傳統網絡安全方案：依靠傳統的網絡防火墻及入侵保護系統（IPS），在網絡中檢查并實施數據庫訪問控制策略。但是網絡防火墻只能實現對IP地址、端口及協議的訪問控制，無法識別特定用戶的具體數據庫活動（比如：某個用戶使用數據庫客戶端刪除某張數據庫表）；而 IPS雖然可以依賴特征庫有限阻止數據庫軟件已知漏洞的攻擊，但他同樣無法判別具體的數據庫用戶活動，更談不上細粒度的審計。因此，無論是防火墻，還是 IPS都不能解決數據庫特權濫用等問題。

基于日志收集方案：需要數據庫軟件本身開啟審計功能，通過采集數據庫系統日志信息的方法形成審計報告，這樣的審計方案受限于數據庫的審計日志功能和訪問控制功能，在審計深度、審計響應的實時性方面都難以獲得很好的審計效果。同時，開啟數據庫審計功能，一方面會增加數據庫服務器的