从安全攻击实例看数据库安全（四）数据安全防护方法

摘要：本文通过对信息安全攻击实例中的数据库安全风险进行分析，结合信息安全等级保护对数据库安全防护的指导思路，提高信息系统的数据库安全防护能力。

数据库安全风险分析

与很多业务快速发展而忽视了信息安全建设的公司类似，好运公司被黑客卡尔窃取了大量客户和信用卡信息，而且自己也没有发现。一段时间后，监管机构发现大量信用卡欺诈行为，涉案信用卡有一个共同点，曾在好运公司进行过信用卡交易，由此监管机构发现好运公司出现了问题，并通知了好运公司。好运公司展开内部调查，按照有关法律，好运公司不得不告知信用卡持卡人，并履行相应的赔偿。由于卡尔这次信用卡盗窃行为，好运公司蒙受了惨痛的声誉和经济损失。那么在实际的应用中，究竟都存在哪些数据库安全风险导致敏感信息的批量泄漏？如下图所示：

风险1：利用数据库漏洞对数据库进行攻击，批量导出数据或篡改数据；风险2：外部黑客通过应用系统的SQL注入点越权查询数据库敏感信息；风险3：绕过合法应用暴力破解登录数据库或获取明文存储数据库文件。那么好运公司如何在业务快速发展的同时做好信息安全建设呢？下面我们来看下信息系统等级保护有哪些指导性的建议。

信息安全政策要求

等级保护制度是国家信息安全保障工作的基本制度、基本国策，是开展信息安全工作的基本方法，是促进信息化维护国家信息安全的根本保障。《信息安全技术 信息系统安全等级保护基本要求》对信息系统分等级进行安全保护和监管，五个规定动作：信息系统定级、备案、安全建设整改、等级测评、监督检查，信息安全产品分等级使用管理，信息安全事件分等级响应、处置，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展工作。《基本要求》是阶段性目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一，提出“一个中心三维防护”（安全管理中心和计算环境安全、区域边界安全、通信网络安全）的安全保护设计技术要求。数据库安全在等级保护《基本要求》中的位置是主机安全的一个部分，数据库的安全技术建设指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。主机安全中的身份鉴别、访问控制、安全审计和资源控制，数据安全中的数据保密性，都对数据库安全有具体要求。在等保定级为二级的系统，数据库安全审计产品是必选设备，同时对三级及以上系统中的关键敏感数据安全防护，等保技术指标要求如下：安全审计要求“对用户行为、安全事件等进行记录”。访问控制强调了最小授权原则，使得用户的权限最小化，同时要求对重要信息资源设置敏感标记。数据保密性要求“实现系统管理数据、鉴别信息和重要业务数据的存储保密性”。

Oracle查看是否启用口令复杂度函数：select limit from dba_profiles where profile=‘DEFAULT’ and resource_name=‘PASSWORD_VERIFY_FUNCTION’;2)检查utlpwdmg.sql中“-- Check for the minimum length of the password”部分中“length(password)<”后的值。3)或者：查看口令管理制度以及执行记录，并选择验证。

Oracle执行命令：select limit from dba_profiles where profile='DEFAULT' and resource_name='FAILED_LOGIN_ATTEMPTS'。执行命令：select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_LOCK_TIME' 。

应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令。Oracle登录验证sys的口令是否为CHANGE_ON_INSTALL；登录验证system的口令是否为manager；登录验证dbsnmp的口令是否为dbsnmp。

Oracle1）检查是否启用了数据库自带安全审计功能：select value from v$parameter where name='audit_trail';2）或使用第三方的安全审计工具。3）检查审计策略，审计范围是否覆盖到所有用户。

数据库安全产品防护效果

根据数据库安全防护的不同时机我们分为事前诊断（数据库漏扫）、事中控制（数据库防火墙、数据库保险箱）和事后审计（数据库监控与审计）。数据库漏洞扫描可以通过事前的数据库安全风险评估，检测数据库的弱口令、连续登录失败锁定的次数，检查数据库系统的缺省账户，多余、过期的共享账户，应对等保中对身份鉴别和访问控制的要求。数据库防火墙从网络层实现数据库的外围防御，在发生非法批量导出的操作时，提供细粒度的访问控制、提供行数限制的阀值控制，可以实现唯一内网接入通道，同时通过IP访问控制规则，实现对网址等条件的安全保证，有效解决数据库访问控制的问题。在数据库资源访问控制方面，可以提供每个用户对数据库的最大连接数等限制，防止数据库资源由于连接数过大导致服务器宕机。数据库保险箱从根本上对数据库进行安全加固，通过数据库加密让数据库文件中存储的敏感信息为密文，即使数据库文件丢失了敏感数据也不会泄漏。通过独立权控确保即使有数据库管理员权限，如果安全管理员不允许访问敏感信息，也能有效阻止非法查询和篡改，同时又不会影响DBA对数据库正常的运维访问和对没有敏感标记明文数据的操作。数据库监控与审计是可以审计到每个用户的行为、各种可疑操作并进行告警通知，能对操作记录进行全面的分析，提供自身审计进程的监控，审计记录防止恶意删除，同时具备自动归档能力，覆盖等保安全审计的要求。

建议防护部署

数据库漏扫系统，接入到可连通数据库服务器的交换机上，采用旁路部署即可。
实现等保要求的身份鉴别和访问控制能力：1）分析内部不安全配置，防止越权访问：通过只读账户，实现由内到外的检测；提供现有数据的漏洞透视图和数据库配置安全评估；避免内外部的非授权访问。2）发现外部黑客攻击漏洞，防止外部攻击：实现非授权的从外到内的检测；模拟黑客使用的漏洞发现技术，在没有授权的情况下，对目标数据库的安全性作深入的探测分析；收集外部人员可以利用的数据库漏洞的详细信息。3）监控数据库安全状况，防止数据库安全状况恶化：对于数据库建立安全基线，对数据库进行定期扫描，对所有安全状况发生的变化进行报告和分析。数据库防火墙设备，数据库防火墙以串接方式部署，串接的部署方式有透明网桥和本地代理两种。透明网桥模式：在网络上物理串联接入数据库防火墙设备，所有用户访问的网络流量都串联流经设备，通过透明网桥技术，客户端看到的数据库地址不变。代理接入模式：网络上并联接入数据库防火墙设备，客户端逻辑连接防火墙设备地址，防火墙设备转发流量到数据库服务器。

1）满足等保中的访问控制增强要求防止来自于内部运维侧的高危操作，实现数据的访问控制增强。防护：通过限定更新和删除的影响行数、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。2）满足等保中的资源控制的要求防护：通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。防护：限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。数据库保险箱设备包括三个子系统，安全代理子系统安装在数据库里，安全服务子系统一般使用两台设备，以主从的方式部署，安全管理子系统安装在安全管理员使用的终端上。如下部署图所示。

1）实现等保中数据存储保密性要求防护：将信用卡信息和顾客信息按列加密存储，防止数据库文件丢失导致的明文数据泄漏。2）实现等保中访问控制的要求防护：通过独立权控确保即使是数据库管理员在没有安全管理员的许可下也不能访问敏感数据。防护：合法应用程序绑定，有效识别前台web应用程序。数据库监控与审计设备，在虚拟专用网上，通过交换机镜像流量的方式旁路部署，对现有网络性能零影响。实现等保要求的安全审计能力，提供对所有数据访问行为的记录，提供事后追踪分析工具，对违规操作通过短信和邮件及时向安全管理员告警。

结论

等保实施的目的就是要提高信息系统的安全防护能力，好运公司如果在业务快速发展的同时，也能按等保的要求注重信息安全建设，极有可能避免惨痛的声誉和经济损失，信息安全建设与快速的经济发展之间是相辅相成的关系。

本文出自 “数据库安全” 博客，请务必保留此出处http://schina.blog.51cto.com/9734953/1708026