基于數(shù)據(jù)庫安全審計的研究
Willie Sutton是十九世紀(jì)二十年代聞名一時的銀行大盜,當(dāng)他被問為什么搶劫銀行時曾說過一句經(jīng)典的話:因為那是放錢的地方。在當(dāng)今世界,所謂的錢就是信息,而一個公司最有價值的資產(chǎn)就存放在其數(shù)據(jù)庫中。因此,
Willie Sutton是十九世紀(jì)二十年代聞名一時的銀行大盜,當(dāng)他被問為什么搶劫銀行時曾說過一句經(jīng)典的話:“因為那是放錢的地方”。在當(dāng)今世界,所謂的“錢”就是信息,而一個公司最有價值的資產(chǎn)就存放在其數(shù)據(jù)庫中。因此,如果WillieSutton是一個黑客的話,他一定會把目標(biāo)瞄準(zhǔn)數(shù)據(jù)庫,因為那就是公司存放“錢”的地方。
數(shù)據(jù)庫顯然存放著最真實和最有價值的那部分資產(chǎn):可能是知識產(chǎn)權(quán)(如可口可樂的配方),也可能是價格和交易數(shù)據(jù)或者客戶信息。這些重要數(shù)據(jù),一旦被人非法竊取篡改將帶來難以想象的嚴(yán)重后果。
下面是近年發(fā)生在我國的一起典型通過非法篡改數(shù)據(jù)庫牟利的案例。張某于2000年進入某電信運營商分公司工作,擔(dān)任該公司綜合市場部計費及維護員。張某作為公司計費營帳系統(tǒng)的管理員,擁有該系統(tǒng)的工號和密碼,可以直接進入該系統(tǒng)進行查詢、調(diào)研和數(shù)據(jù)統(tǒng)計等工作。該計費營帳系統(tǒng)與充值卡數(shù)據(jù)系統(tǒng)分屬于不同的系統(tǒng),但共用同一數(shù)據(jù)庫。按照該分公司對計費及維護員職責(zé)的規(guī)定,張某無權(quán)對公司計費營帳系統(tǒng)內(nèi)的充值卡數(shù)據(jù)進行新生成或修改。2004年期間,張某在辦公室的電腦上用自己掌握的密碼,進入了該分公司的充值卡數(shù)據(jù)系統(tǒng),通過運行數(shù)據(jù)庫的操作語言修改了數(shù)據(jù)庫中的充值卡數(shù)據(jù),將已充值使用過的每張面值為50元的7000張充值卡修改為未使用的狀態(tài)。其后,把充值卡的卡號、密碼等數(shù)據(jù)按面值七折的價格出售給他人,獲利20萬余元,造成該公司經(jīng)濟損失達29.25萬元。
目前,國內(nèi)類似上述數(shù)據(jù)庫的重要數(shù)據(jù)被內(nèi)部員工非法篡改牟利問題已日益增多,數(shù)據(jù)庫信息安全面臨嚴(yán)峻挑戰(zhàn),并已引起各單位高度重視,成為迫切需要解決的問題。其重要陛,不言而喻。
1 威脅與風(fēng)險并存
由于單位數(shù)據(jù)庫系統(tǒng)用戶眾多,涉及數(shù)據(jù)庫管理員、內(nèi)部員工及合作方人員等,因此網(wǎng)絡(luò)管理更加復(fù)雜,單位數(shù)據(jù)庫面臨的主要安全威脅與風(fēng)險總結(jié)如下:
1.1數(shù)據(jù)庫賬戶和權(quán)限的濫用
表現(xiàn)一:缺少針對數(shù)據(jù)庫管理員監(jiān)控機制。數(shù)據(jù)庫管理員擁有數(shù)據(jù)庫系統(tǒng)管理、賬號管理、權(quán)限分配等系統(tǒng)最高權(quán)限。如果數(shù)據(jù)庫管理員利用工作之便,竊取、篡改、毀壞重要業(yè)務(wù)數(shù)據(jù),對單位數(shù)據(jù)庫安全的打擊將是巨大的。國內(nèi)某著名網(wǎng)絡(luò)游戲廠商高管王某非法修改游戲服務(wù)器數(shù)據(jù)牟利就是一個很典型的例子,王某利用職務(wù)便利,非法修改網(wǎng)游數(shù)據(jù)庫服務(wù)器的游戲裝備數(shù)據(jù),然后通過網(wǎng)站私下交易出售給其他玩家,非法獲利200余萬,給單位造成難以挽回的重大經(jīng)濟損失。
表現(xiàn)二:合法用戶權(quán)限濫用。數(shù)據(jù)庫系統(tǒng)的操作管理采用分權(quán)管理形式,包括多個賬號,如普通賬號、用于數(shù)據(jù)庫日常維護的臨時賬號;如果上述賬號權(quán)限被內(nèi)部人員或合作方人員用來竊取、惡意損毀數(shù)據(jù)庫的重要業(yè)務(wù)數(shù)據(jù),在短時間內(nèi)管理者極難察覺發(fā)現(xiàn)數(shù)據(jù)被篡改或刪除,事后也難以追查取證,造成難以彌補的損失。
1.2數(shù)據(jù)庫自身日志審計的缺陷
表現(xiàn)一:難以實時監(jiān)測發(fā)現(xiàn)問題。數(shù)據(jù)庫系統(tǒng)自身的14志審計功能可以記錄各種數(shù)據(jù)庫系統(tǒng)修改、權(quán)限使用等日志信息,并不能幫助管理者及時發(fā)現(xiàn)定位問題;同時由于不能實時監(jiān)測報警,因此在數(shù)據(jù)庫異常安全事件發(fā)生時,無法第一時間報告給管理者,導(dǎo)致管理者不能及時采取有效措施。表現(xiàn)二:影響數(shù)據(jù)庫服務(wù)器運行與性能。數(shù)據(jù)庫61身日志審計也會t與用了大量的硬盤空問,降低數(shù)據(jù)庫服務(wù)的性能,甚至可能影響正常應(yīng)用的順利進行,同時面對成千上萬條日志記錄,很少有數(shù)據(jù)庫管理員為了尋找?guī)讞l有用的項目,去查看數(shù)千的審計日志條目,因此如何篩選出有用信息也是客觀存在的問題。
2 安全需求緊迫
根據(jù)對單位數(shù)據(jù)庫系統(tǒng)的威脅與風(fēng)險分析,單位的數(shù)據(jù)庫安全需求主要集中在以下方面:
一是,全面監(jiān)測數(shù)據(jù)庫超級賬戶、臨時賬戶等重要賬戶的數(shù)據(jù)庫操作。
二是,實時監(jiān)測數(shù)據(jù)庫操作行為,發(fā)現(xiàn)非法違規(guī)操作能及時告警響應(yīng)。
三是,詳細(xì)記錄數(shù)據(jù)庫操作信息,并提供豐富的審計信息查詢方式和報表,方便安全事件定位分析,事后追查取證。同時根據(jù)美國國防部TCSEC/TDI標(biāo)準(zhǔn)中關(guān)于安全策略的要求,數(shù)據(jù)庫審計是數(shù)據(jù)庫系統(tǒng)達到c2級以上安全級別必不可少的一項。
因此需要單位網(wǎng)絡(luò)中部署專業(yè)的數(shù)據(jù)庫安全審計系統(tǒng),可有效監(jiān)控數(shù)據(jù)庫訪問行為,準(zhǔn)確掌握數(shù)據(jù)庫系統(tǒng)的安全狀態(tài),及時發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件并實時告警、記錄,同時進行安全事件定位分析,事后追查取證,保障單位數(shù)據(jù)庫安全。
3 數(shù)據(jù)庫安全審計系統(tǒng)介紹
數(shù)據(jù)庫安全審計系統(tǒng)是通過對網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別,實時監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作,發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為,及時報警響應(yīng)操作還原,實現(xiàn)數(shù)據(jù)庫安全事件的準(zhǔn)確跟蹤定位,保障數(shù)據(jù)庫系統(tǒng)安全。
數(shù)據(jù)庫安全審計系統(tǒng)模型包括兩個部分:一是審計數(shù)據(jù)采集器,用于采集審計數(shù)據(jù),并存儲為審計日志;二是審計數(shù)據(jù)分析器,負(fù)責(zé)分析審計數(shù)據(jù)采集器發(fā)送的數(shù)據(jù);審計數(shù)據(jù)字典則是數(shù)據(jù)庫審計規(guī)則庫。
數(shù)據(jù)庫安全審計系統(tǒng)首先收集來自用戶的事件,當(dāng)用戶進行數(shù)據(jù)庫訪問操作時,采集器根據(jù)審計數(shù)據(jù)字典,判斷其數(shù)據(jù)庫訪問行為是否為審計事件,當(dāng)數(shù)據(jù)庫訪問事件滿足審汁報警記錄條件時,分析器則向管理人員發(fā)送報警信息并把用戶對數(shù)據(jù)庫的所有操作自動記錄下來,存放在審計日志中。
審計日志記錄的內(nèi)容一般包括:用戶名稱,操作時問,操作類型(如修改、查詢、刪除),操作所涉及到相關(guān)數(shù)據(jù)(如表、視圖等)等。利用這些信息,可以進一步找出非法存取修改數(shù)據(jù)庫的人員及其修改時問和修改內(nèi)容等。同時管理人員也可以通過手工查詢分析審計信息,并形成數(shù)據(jù)庫審計報告。審計報告通常包括用戶名稱、時問、具體數(shù)據(jù)庫操作(包括采用什么命令}方問哪些數(shù)據(jù)庫表、字段)等。
當(dāng)發(fā)現(xiàn)新數(shù)據(jù)庫訪問具有潛在危害性,而審計數(shù)據(jù)字典未制定的對應(yīng)審計規(guī)則,管理人員可以在審計數(shù)據(jù)字典中更新審計規(guī)則。在安全審汁模型中,數(shù)據(jù)庫審計日志信息起著非常關(guān)鍵的作用,它記錄了各種類型的數(shù)據(jù)庫訪問事件,為管理人員提供了事后審汁的依據(jù),同時幫助管理人員實時掌握數(shù)據(jù)庫操作事件的動態(tài)。
4 基本標(biāo)準(zhǔn)評價
是否能夠很好地幫助管理者完成對數(shù)據(jù)庫訪問行為的監(jiān)測是數(shù)據(jù)庫安全審計系統(tǒng)的基本標(biāo)準(zhǔn)。一個完善的數(shù)據(jù)庫安全審計系統(tǒng)應(yīng)該從幾個方面評價:
一是,具有全面豐富的數(shù)據(jù)庫審計類型。
二是,具有細(xì)粒度的數(shù)據(jù)庫操作內(nèi)容審計。
三是,能準(zhǔn)確及時的違規(guī)操作告警響應(yīng)。
四是,可以全面詳細(xì)的審計信息,豐富可定制的報表分析系統(tǒng)。
五是,自身的安全性高,不易遭受攻擊。
由此可見,能通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別,實時監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作,同時支持自定義內(nèi)容關(guān)鍵字庫,實現(xiàn)數(shù)據(jù)庫操作的內(nèi)容監(jiān)測識別,發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為,并及時報警響應(yīng)、全過程操作還原,從而實現(xiàn)安全事件的準(zhǔn)確全程跟蹤定位和全面保障數(shù)據(jù)庫系統(tǒng)安全的數(shù)據(jù)庫安全審計系統(tǒng),才是一款合適的產(chǎn)品。
5 數(shù)據(jù)庫安全審計特性分析
5.1全面的審計類型
系統(tǒng)應(yīng)覆蓋ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等主流數(shù)據(jù)庫系統(tǒng)。
5.2靈活的審計策略
系統(tǒng)應(yīng)支持基于內(nèi)容關(guān)鍵字、IP地址、用戶/用戶組、時間、數(shù)據(jù)庫類型、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等多種組合數(shù)據(jù)庫審計策略,從而全面監(jiān)測發(fā)現(xiàn)各種非法操作及合法用戶的違規(guī)操作。
5.3數(shù)據(jù)庫操作信息還原
系統(tǒng)應(yīng)實時審計用戶對數(shù)據(jù)庫系統(tǒng)所有操作(如:插入、刪除、更新、用戶自定義操作等),并完全還原SQL操作命令包括源IP地址、目的IP地址、訪問時間、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表和字段名等,實現(xiàn)安全事件準(zhǔn)確全程跟蹤定位,為事后追查取證提供有力支持。
5.4多種業(yè)務(wù)運維操作審計
系統(tǒng)需要支持對TELNET.FTP等操作的命令級審計和全過程記錄。
5.4.1審計信息管理
5.4.1.1系統(tǒng)需支持?jǐn)?shù)據(jù)庫審計事件信息的備份、恢復(fù)、清除、歸并等功能;日志信息應(yīng)能保存到SQL Server、Oracle等大型數(shù)據(jù)庫中。
5.4.1.2系統(tǒng)需提供詳細(xì)的綜合分析報表、自定義等多種類型報表模板,支持生成:日、周、月、季度、年度綜合報表。報表應(yīng)支持MS Word、Html、JPG等格式導(dǎo)出。
5.4.2豐富的管理能力
5.4.2.1為不影響數(shù)據(jù)庫系統(tǒng)自身運行與性能,系統(tǒng)需采用旁路監(jiān)聽部署模式。
5.4.2.2系統(tǒng)需支持多種響應(yīng)方式,包括發(fā)送郵件、安全中心顯示、日志數(shù)據(jù)庫記錄、打印機輸出、運行用戶自定義命令、TCPKiller等方式及時報警響應(yīng)。
5.4.3高可靠的自身安全性
系統(tǒng)需具有安全、可靠、高效的硬件運行平臺;采用強加密的S SL加密傳輸告警日志與控制命令,避免可能存在的嗅探行為,保證數(shù)據(jù)傳輸?shù)陌踩?/div>
6 典型部署及效果
通過在單位內(nèi)網(wǎng)核心交換機上旁路部署安全審計系統(tǒng)網(wǎng)絡(luò)引擎,實時審計所有用戶對數(shù)據(jù)庫服務(wù)器的操作。在單位的網(wǎng)絡(luò)管理區(qū)部署1臺服務(wù)器作為安全審計系統(tǒng)的安全中心,管理安全審計系統(tǒng)網(wǎng)絡(luò)引擎,并具有系統(tǒng)監(jiān)控和審計日志管理功能。
通過部署安全審計系統(tǒng)將幫助單位實現(xiàn):
實時監(jiān)控數(shù)據(jù)庫各種賬戶(如超級管理員、臨時賬戶等)的數(shù)據(jù)庫操作行為,準(zhǔn)確發(fā)現(xiàn)各種非法、違規(guī)操作,并及時告警響應(yīng)處理,降低數(shù)據(jù)庫安全風(fēng)險,保護單位數(shù)據(jù)庫資產(chǎn)安全;
全面記錄還原數(shù)據(jù)庫操作信息,提供豐富的審計信息查詢方式和報表,方便安全事件定位分析,事后追查取證。
因此,通過在單位網(wǎng)絡(luò)中部署安全審計系統(tǒng),可有效監(jiān)控數(shù)據(jù)庫訪問行為,準(zhǔn)確掌握數(shù)據(jù)庫系統(tǒng)的安全狀態(tài),及時發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件并實時告警、記錄,保障單位數(shù)據(jù)庫安全。
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
電動車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
2017年中國新能源重點細(xì)分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢及投資前景分析【圖】
-
電力轉(zhuǎn)型是推動能源轉(zhuǎn)型的關(guān)鍵
-
湖北2017年電力運行情況:直接交易完成簽約電量351.44億千瓦時
-
河南12月全社會用電量275.86億千瓦時 同比增長0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競爭刷新紀(jì)錄 實現(xiàn)開門紅
-
微網(wǎng)工程設(shè)計解析:并網(wǎng)型微電網(wǎng)建設(shè)規(guī)模分析
-
全面解析微電網(wǎng)結(jié)構(gòu)與發(fā)展趨勢(附五大案例與經(jīng)濟效益分析)
-
售電必備 | 聚焦2018年增量配電網(wǎng)的六大熱點問題
-
安徽電力直接交易執(zhí)行、出清細(xì)則和電力市場電量結(jié)算規(guī)則發(fā)布
-
電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度印發(fā):有配電業(yè)務(wù)的售電公司參照執(zhí)行
-
遼寧對居民電采暖用戶試行峰谷分時電價政策
-
預(yù)計南方五省區(qū)2018年用電保持中速增長:南方電網(wǎng)將多措并舉 全力保障電力供應(yīng)平穩(wěn)有序
-
財政部發(fā)布:電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度
-
聚焦:貴州電力市場陷入僵局 大云網(wǎng)電力分析師邀您觀望