前瞻
“相信嗎?數(shù)據(jù)庫(kù)正在不斷的改變企業(yè)和機(jī)構(gòu)的命運(yùn),全世界將會(huì)有80%以上的資金或者資產(chǎn)會(huì)被數(shù)據(jù)庫(kù)的安全狀況左右。”當(dāng)這句話從一個(gè)信息安全行業(yè)專家嘴里說(shuō)出來(lái)的時(shí)候,讓人有些震驚。但是仔細(xì)一想,卻也并不夸張,想想數(shù)據(jù)庫(kù)大多都用在財(cái)務(wù)系統(tǒng)、資金系統(tǒng)、稅務(wù)系統(tǒng)、計(jì)費(fèi)系統(tǒng)、結(jié)算系統(tǒng)、運(yùn)營(yíng)系統(tǒng)、ERP系統(tǒng)、營(yíng)銷系統(tǒng)……,幾乎所有數(shù)據(jù)庫(kù)覆蓋到的地方,無(wú)一不和企業(yè)資金或者資產(chǎn)緊緊的綁在一起。數(shù)據(jù)庫(kù)是一個(gè)讓人心驚肉跳的地方,這一點(diǎn)不夸張。通俗意義上來(lái)講,數(shù)據(jù)庫(kù)就像家里用來(lái)裝現(xiàn)金和珠寶的保險(xiǎn)柜,但事實(shí)上,數(shù)據(jù)庫(kù)的安全問題遠(yuǎn)比保險(xiǎn)柜來(lái)的更為重要。
時(shí)光倒回到十幾年前,上世紀(jì)末,所有的人都在擔(dān)心一個(gè)問題,“千年蟲”。因?yàn)楫?dāng)時(shí)的計(jì)算機(jī)在年份的設(shè)置上,只能支持兩位數(shù),也就是只能支持0-99,如果“千年蟲”問題不解決的話,從1999年跨度到2000年的時(shí)候,銀行的數(shù)據(jù)庫(kù)系統(tǒng)在進(jìn)行利率結(jié)算時(shí),可能重新以1900年為終點(diǎn)進(jìn)行計(jì)算,屆時(shí),人們存在銀行里的資產(chǎn)都會(huì)存在負(fù)利率,存在銀行里的錢將會(huì)越變?cè)缴佟?/p>
幸運(yùn)的是,“千年蟲”問題在國(guó)際社會(huì)的努力下,有驚無(wú)險(xiǎn)的進(jìn)行了過(guò)渡。但是,我們從中可以看到,數(shù)據(jù)庫(kù)關(guān)系到的是人們的生活、企業(yè)的發(fā)展以及社會(huì)的穩(wěn)定,關(guān)系到企業(yè)和老百姓的“錢袋子”。計(jì)算機(jī)自身的“千年蟲”問題已經(jīng)成了歷史,但我們是否能夠保證來(lái)自于數(shù)據(jù)庫(kù)系統(tǒng)外部意外的或惡意的“千年蟲”問題不會(huì)重現(xiàn)呢?數(shù)據(jù)庫(kù)是一個(gè)非常脆弱的系統(tǒng),如何保證數(shù)據(jù)庫(kù)系統(tǒng)的安全及連續(xù)性運(yùn)營(yíng),如何保證存儲(chǔ)在數(shù)據(jù)庫(kù)里面的數(shù)據(jù)的完整性,是每一個(gè)企業(yè)都亟待考慮的問題。
解析數(shù)據(jù)庫(kù)安全現(xiàn)狀
從數(shù)據(jù)庫(kù)系統(tǒng)自身的角度來(lái)講,數(shù)據(jù)庫(kù)的安全問題主要分為物理安全、運(yùn)行安全以及數(shù)據(jù)安全。物理安全主要考慮數(shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行中的環(huán)境安全、防災(zāi)防盜等因素,運(yùn)行安全主要考慮的是承載數(shù)據(jù)庫(kù)運(yùn)行的系統(tǒng)環(huán)境以及數(shù)據(jù)庫(kù)系統(tǒng)本身的穩(wěn)定性和持續(xù)性,數(shù)據(jù)安全泛指存儲(chǔ)在數(shù)據(jù)庫(kù)系統(tǒng)中數(shù)據(jù)的完整性和可靠性問題,例如SQL注入、數(shù)據(jù)惡意刪除和篡改等問題。對(duì)于物理安全及運(yùn)行安全,目前已經(jīng)有相當(dāng)多的手段去進(jìn)行控制,例如安防監(jiān)控系統(tǒng)以及數(shù)據(jù)庫(kù)遠(yuǎn)程容災(zāi)備份等技術(shù)。但是,對(duì)于數(shù)據(jù)的安全,卻沒有太多的辦法,而據(jù)了解,90%的數(shù)據(jù)庫(kù)問題都是針對(duì)數(shù)據(jù)的,因?yàn)閿?shù)據(jù)代表的是最直接的利益。舉幾個(gè)例子:
2005年6月,黑客通過(guò)入侵美國(guó)信用卡系統(tǒng)解決方案公司的數(shù)據(jù)庫(kù),4000萬(wàn)用戶的信用卡帳號(hào)被盜。
2006年2月,某通信設(shè)備公司工程師入侵某市移動(dòng)網(wǎng)絡(luò),竊取充值密碼獲利370萬(wàn)元
2007年11月至2009年5月間,某市2名稅務(wù)員修改系統(tǒng)無(wú)償幫助親友免稅,造成國(guó)家35萬(wàn)元的稅款無(wú)法回收。
通過(guò)權(quán)威機(jī)構(gòu)近幾年的統(tǒng)計(jì),針對(duì)數(shù)據(jù)庫(kù)的攻擊及非法獲利的問題呈急速上升的趨勢(shì),Verizon Business的年度計(jì)算機(jī)破壞報(bào)告中說(shuō)明,2008年的數(shù)據(jù)丟失案中,數(shù)據(jù)庫(kù)破壞占據(jù)了30%,更糟糕的是,在數(shù)據(jù)入侵的統(tǒng)計(jì)中,數(shù)據(jù)庫(kù)入侵的比率高達(dá)75%。2009年的全球信息安全報(bào)告中對(duì)企業(yè)數(shù)據(jù)泄密的途徑進(jìn)行了統(tǒng)計(jì),結(jié)果表明,有57%的攻擊者通過(guò)數(shù)據(jù)庫(kù)獲得了企業(yè)的機(jī)密數(shù)據(jù)進(jìn)行非法獲利。面對(duì)越來(lái)越多的數(shù)據(jù)安全問題,企業(yè)作為數(shù)據(jù)的擁有者,該如何去保護(hù)自己的無(wú)形資產(chǎn)呢?
北信源公司數(shù)據(jù)保護(hù)的解決之道
首先,我們舉一個(gè)小偷入室盜竊的例子,一個(gè)手段極高的小偷進(jìn)入了一個(gè)富人的別墅,打開了富人的保險(xiǎn)柜,將別墅里面值錢的東西洗劫一空。警方接到報(bào)案后,通過(guò)安裝在別墅里面的視頻監(jiān)控系統(tǒng),很快就抓住了小偷,并將贓物全部追回,原來(lái)小偷是經(jīng)常來(lái)往于該別墅的一家家政公司的員工。小偷還沒來(lái)得及享受,就直接被押進(jìn)了鐵窗,這個(gè)偷盜高手做夢(mèng)都沒想到,自己最后竟然栽在了一個(gè)小小的攝像頭手上。
為什么舉這樣一個(gè)例子呢,因?yàn)槠髽I(yè)的無(wú)形資產(chǎn)--數(shù)據(jù),它所存放的地方,和我們現(xiàn)實(shí)中的實(shí)物財(cái)產(chǎn)存放的地方是何其的相似。通常,數(shù)據(jù)(財(cái)產(chǎn))存儲(chǔ)在數(shù)據(jù)庫(kù)系統(tǒng)(保險(xiǎn)柜)之上,數(shù)據(jù)庫(kù)系統(tǒng)安裝在服務(wù)器(別墅)上提供服務(wù),服務(wù)器在企業(yè)或運(yùn)營(yíng)商的核心數(shù)據(jù)機(jī)房(別墅莊園)運(yùn)行。從企業(yè)的角度出發(fā),我們無(wú)法阻止黑客(有可能是第三方工作人員)去攻擊我們的數(shù)據(jù)庫(kù),無(wú)法阻止不良企圖者試圖獲取我們的數(shù)據(jù)非法獲利,但是我們應(yīng)該需要一個(gè)安裝在數(shù)據(jù)庫(kù)網(wǎng)絡(luò)鏈路上的視頻監(jiān)控系統(tǒng),記錄下不良企圖者對(duì)數(shù)據(jù)庫(kù)的每一步操作,以便于事后及時(shí)查清責(zé)任人,及時(shí)追討損失,及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫(kù)的風(fēng)險(xiǎn)并進(jìn)行補(bǔ)漏。那這個(gè)視頻監(jiān)控系統(tǒng)到底是一個(gè)什么樣的系統(tǒng)呢?北信源數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)(VRV-DBAS)將給您答案。
北信源數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)VRV-DBAS(VRV DataBase Audit system)是北信源公司面向網(wǎng)絡(luò)空間的終端安全管理體系(VRV SpecSec)架構(gòu)下的一款重要產(chǎn)品,是北信源公司集多年行業(yè)安全經(jīng)驗(yàn)積累而推出的數(shù)據(jù)庫(kù)應(yīng)用安全產(chǎn)品。其采用分體式組件化設(shè)計(jì),可進(jìn)行海量數(shù)據(jù)離線審計(jì)。與此同時(shí),還可以進(jìn)行細(xì)粒度審計(jì)結(jié)果分析和零風(fēng)險(xiǎn)并行部署,搭建可擴(kuò)展的系統(tǒng)架構(gòu),從而實(shí)現(xiàn)完整的安全規(guī)則庫(kù),對(duì)數(shù)據(jù)進(jìn)行全方位保護(hù)。
七大獨(dú)門秘籍,保證北信源數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)VRV-DBAS 的卓越性
作為一個(gè)在數(shù)據(jù)庫(kù)系統(tǒng)網(wǎng)絡(luò)訪問鏈路上的監(jiān)察者,具體應(yīng)該要履行什么樣的職責(zé)呢?作為企業(yè)的CTO,您認(rèn)為什么樣的產(chǎn)品最適合本企業(yè)呢?相信您心中早有標(biāo)準(zhǔn)。那么就北信源數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)VRV-DBAS而言,又有哪些個(gè)性特點(diǎn)迎合您的需求呢?
數(shù)據(jù)庫(kù)行為實(shí)時(shí)監(jiān)控與防御
VRV-DBAS可以實(shí)時(shí)監(jiān)控用戶對(duì)數(shù)據(jù)庫(kù)系統(tǒng)所進(jìn)行的所有操作行為。一方面,VRV-DBAS審計(jì)引擎可以根據(jù)制定的入侵檢測(cè)策略,快速地對(duì)數(shù)據(jù)庫(kù)的緩沖區(qū)溢出攻擊、口令字猜解等惡意攻擊做出反應(yīng)。另外一方面,通過(guò)VRV-DBAS的數(shù)據(jù)審計(jì)中心,可以根據(jù)內(nèi)容關(guān)鍵字、IP地址、用戶/用戶組、時(shí)間、數(shù)據(jù)庫(kù)類型、數(shù)據(jù)庫(kù)操作類型、數(shù)據(jù)庫(kù)表名等組合設(shè)定數(shù)據(jù)庫(kù)敏感行為預(yù)設(shè)反應(yīng)策略。
·會(huì)話操作回放
傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)采用TELNET、FTP、SSH等方式登錄到數(shù)據(jù)庫(kù)服務(wù)器再執(zhí)行數(shù)據(jù)庫(kù)語(yǔ)句的方式無(wú)法進(jìn)行有效的審計(jì),造成數(shù)據(jù)庫(kù)操作的審計(jì)覆蓋面不足。VRV-DBAS采用TELNET、SSH以及FTP會(huì)話深度還原的技術(shù),能夠完整的回放通過(guò)Telnet、SSH、FTP等方式訪問數(shù)據(jù)庫(kù)的所有會(huì)話,使得通過(guò)該方式進(jìn)行的數(shù)據(jù)庫(kù)違規(guī)行為無(wú)處可遁。
·風(fēng)險(xiǎn)行為實(shí)時(shí)報(bào)警
VRV-DBAS具備獨(dú)立的告警功能模塊,通過(guò)內(nèi)置多種告警規(guī)則庫(kù),支持對(duì)用戶所關(guān)注的敏感信息設(shè)置告警策略。當(dāng)告警規(guī)則事件被觸發(fā)后,系統(tǒng)會(huì)將告警信息及時(shí)通知給管理員,告警方式包括郵件告警,聲音告警,短信告警等多種方式。這就類似于在小偷撬開我們的防盜門,再打開我們的保險(xiǎn)柜的時(shí)候,我們可以及時(shí)的進(jìn)行報(bào)警,在小偷接觸我們的財(cái)產(chǎn)之前就可以將他抓獲,避免造成進(jìn)一步的損失。
·強(qiáng)大的數(shù)據(jù)定制功能
VRV-DBAS審計(jì)引擎具有非常強(qiáng)大的數(shù)據(jù)定制功能,在數(shù)據(jù)量非常大時(shí),VRV-DBAS審計(jì)引擎可以根據(jù)管理員定制的規(guī)則進(jìn)行數(shù)據(jù)采集,例如,可以根據(jù)操作源IP、操作源MAC、計(jì)算機(jī)名、程序名、生產(chǎn)數(shù)據(jù)庫(kù)名、生產(chǎn)數(shù)據(jù)庫(kù)用戶名、操作內(nèi)容、表名等條件進(jìn)行定制,從而只采集管理者真正關(guān)心的數(shù)據(jù),減少其它信息的干擾。
·專業(yè)的報(bào)表定制功能
VRV-DBAS數(shù)據(jù)中心支持管理員自定義多種報(bào)表任務(wù),包括數(shù)據(jù)庫(kù)訪問量報(bào)表、特權(quán)操作跟蹤報(bào)表、生命期跟蹤類報(bào)表以及周期性任務(wù)報(bào)表等,可將多種對(duì)象進(jìn)行組合生成相應(yīng)數(shù)據(jù)庫(kù)訪問量報(bào)表,如源IP、目標(biāo)IP、協(xié)議類型、客戶端名、應(yīng)用程序名、數(shù)據(jù)庫(kù)名、操作方式、操作對(duì)象、預(yù)警規(guī)則名、預(yù)警級(jí)別等。
·靈活的審計(jì)結(jié)果展示
VRV-DBAS支持對(duì)數(shù)據(jù)庫(kù)行為審計(jì)結(jié)果的實(shí)時(shí)分析、歷史數(shù)據(jù)統(tǒng)計(jì)以及深度分析的功能,所有審計(jì)結(jié)果都以專業(yè)的圖形報(bào)表形式進(jìn)行展示,同時(shí),對(duì)所有的圖形化報(bào)表均提供查詢接口。
·歷史數(shù)據(jù)自由回檔與檢索
為充分利用審計(jì)數(shù)據(jù)中心的存儲(chǔ)空間,該系統(tǒng)對(duì)審計(jì)數(shù)據(jù)進(jìn)行了高達(dá)95%比率的壓縮,同時(shí),VRV-DBAS可以根據(jù)需要重新檢索的數(shù)據(jù)范圍,對(duì)壓縮數(shù)據(jù)進(jìn)行自動(dòng)回檔操作,并對(duì)回檔出來(lái)的數(shù)據(jù)重新檢索。
·典型部署方式,滿足“今天”和“明天”的應(yīng)用需求
北信源數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)VRV-DBAS采用組件化的邏輯體系,硬件采用分體機(jī)架構(gòu),實(shí)現(xiàn)對(duì)數(shù)據(jù)捕獲、數(shù)據(jù)分析、數(shù)據(jù)展示以及系統(tǒng)配置的分布式協(xié)同處理。邏輯上VRV-DBAS主要分為四大組件:包含審計(jì)引擎AE(Audit Engine)、數(shù)據(jù)中心DC(Data Center)、審計(jì)視圖中心VC(View Center)以及系統(tǒng)配置中心CC(Configure Center)。
硬件劃分上,審計(jì)引擎為獨(dú)立的硬件處理平臺(tái),以旁路監(jiān)聽的方式接入網(wǎng)絡(luò),通過(guò)在交換機(jī)上將訪問數(shù)據(jù)庫(kù)的流量鏡向或采用TAP分流監(jiān)聽等方式,使數(shù)據(jù)庫(kù)審計(jì)引擎AE能夠監(jiān)聽到用戶通過(guò)交換機(jī)與數(shù)據(jù)庫(kù)進(jìn)行通訊的所有操作,以下是VRV-DBAS的典型部署方式:
結(jié)語(yǔ):
信息泄露的事件天天都在發(fā)生,所有存在數(shù)據(jù)的地方,只要數(shù)據(jù)是有價(jià)值的,就存在風(fēng)險(xiǎn),就有人會(huì)去想法子竊取、篡改、販賣,從中牟利。尤其是一些涉及到公民因私的信息泄漏甚至是涉及到國(guó)家機(jī)密的信息泄漏,不單單是違反行業(yè)內(nèi)控規(guī)定這么簡(jiǎn)單,而是可能觸犯國(guó)家的法律。作為企業(yè)的CTO,面對(duì)于此,如何高瞻遠(yuǎn)矚地打造自己企業(yè)的數(shù)據(jù)庫(kù)系統(tǒng)想必已早有定論。
VRV-DBAS通過(guò)抓取和業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)操作相關(guān)的數(shù)據(jù)包,實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)操作和用戶行為的審計(jì),同時(shí)可以提供豐富的查詢接口,供數(shù)據(jù)管理者查詢、分析、取證、決策,及時(shí)發(fā)現(xiàn)可能危及企業(yè)生產(chǎn)和運(yùn)行的數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)因素,提供有效的風(fēng)險(xiǎn)控制依據(jù)。北信源數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可以針對(duì)MSSQL、Oracle、DB2、Sybase等數(shù)據(jù)庫(kù)系統(tǒng)的操作行為進(jìn)行全面審計(jì),主要應(yīng)用在金融證券、電子政務(wù)、電子商務(wù)、醫(yī)療衛(wèi)生、能源、教育等行業(yè),其部署方式簡(jiǎn)單靈活,只需要將審計(jì)引擎部署在任何可以捕捉到數(shù)據(jù)庫(kù)相關(guān)操作流量的位置,便可以實(shí)現(xiàn)全面的操作審計(jì),從而保證從網(wǎng)絡(luò)安全審計(jì)的技術(shù)角度加強(qiáng)對(duì)數(shù)據(jù)庫(kù)的安全保護(hù),保障數(shù)據(jù)安全。
