一、 信息安全时代的到来
近几年,金融数据泄密事件常常爆发,每年都有数千万信用卡数据被窃,损失数以亿万美金计。现实告诉我们,信息安全时代呼唤专业实效的数据库审计。新信息安全时代区别于10年前开始的网络安全时代的最大特征在于,信息安全更关注于ISO七层之上的用户数据,而非端口的开和关,协议的通行与否,以及系统的补丁和溢出攻击。 事实上, 上述的所有信息安全事件, 都是在没有破坏网络和不为人觉察的情况下发生的。 统计表明, 70%安全问题出在内部, 内部的风险策略控制在核心数据库层面表现地越来越突出。
二、数据库面临的安全挑战
数据库是任何商业和公共安全中最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战,概括起来主要表现在以下三个层面:
² 管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,离职员工的后门,致使安全事件发生时,无法追溯并定位真实的操作者。
² 技术风险:Oracle, SQL Server是一个庞大而复杂的系统,安全漏洞如溢出, 注入层出不穷,每一次的CPU(Critical Patch Update)都疲于奔命, 而企业和政府处于稳定性考虑,往往对补丁的跟进非常延后,更何况通过应用层的注入攻击使得数据库处于一个无辜受害的状态。目前的现实状况是很难通过外部的任何网络层安全设备(比如:防火墙、IDS、IPS等)来阻止应用层攻击的威胁。
² 审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的有效性和公正性。此外,对于海量数据的挖掘和迅速定位也是任何审计系统必须面对和解决的一个核心问题之一。
伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。美国等很多国家的公开法案都对数据信息的安全有很明确的规定,其中比较著名的是Sarbanes-Oxley萨班斯—奥克斯利法案,PCI(PaymentCardIndustry data standard) 规定。
三、 数据库审计的历史回顾
数据库审计并没有一个非常标准公开的定义,但是通常认为它应该具备解析,存储所有访问数据库的相关信息并提供相关查询和报表功能。
对于数据库审计的理解,其实有一个发展过程。从几年前开始,有的厂家开始在原来日志审计的基础上发展包装了一个数据库审计,这类系统能记录并显示基本的往数据库发的sql,并且有一定的查询和报表功能。客观地说, 这种系统一开始出现时满足了一定的需求。
但是随着新信息安全时代的到来,原来的基本功能越来越体现起不足,比如越来越多的控制是关注返回而不是请求,弱口令等管理风险如何控制,还有如何进行用户访问控制细粒度策略的定制和实施,和万一数据被篡改或删除后(不管是有意还是无意)能否尽快实施定位式恢复。其实从最近的众多实际用户需求案例也可以看出:
实际案例一:某工商数据库
某省最大工商数据库要求除了追溯谁在什么时候做了企业数据篡改,还要求迅速定位篡改前的数据。以便更好的应对客户投诉。
实际案例二:某医院数据库
承载千万病人机密信息和处方数据的数据库记录,客户要求当某用户某字段的Select返回记录超过100万时,立即进行告警和Action.
实际案例三:某在线系统的后台数据库,当发现数据库被非法篡改后,由于数据库审计显示的源地址都来自应用系统服务器IP,要求能迅速通过三层关联定位通过应用攻击的客户端源地址,以便溯源。
实际案例四:根据等级保护自查自纠原则,除了实时的数据库监控审计外,还要求能对数据库的弱口令,高危配置能定时进行静态扫描和审计。
为了解决和满足数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及内控审计需求,亚龙(安恒)信息科技(杭州)有限公司在深入研究审计需求结合其数据库安全方面的深厚技术底蕴的基础上,成功推出了明御数据库审计和风险控制系统--全球领先的、面向企业核心数据库的、集“事前评估,事中监控和全方位的风险控制、事后深层次的挖掘和审计和自动恢复”一体的零风险综合数据库审计和风险控制设备,为您的核心数据库提供全方位的静态和动态监控,审计和风险管理功能,实现系统运行可视化、日常操作可跟踪、安全事件可鉴定。
四、 解决方案概述
明御数据库防御与审计系统(DAS-DBAuditor)是自动化“评估/审计/保护”数据库运行的最佳安全解决方案,支持Oracle、MS-SQLServer、DB2及Sybase等业界主流数据库。通过亚龙(安恒)自主研发的智能自学习引擎,使得数据库访问的正向安全模型的动态创建工作变得轻而易举。专利级的双引擎技术使得数据库异常行为的检测正确率大幅度提升,同时高速环境下的线速捕获技术的采用,为DAS-DBAuditor的审计信息完整捕获提供了技术保障。DAS-DBAuditor可支持直连、旁路两种模式灵活地部署到网络中,在无需更改现有网络体系结构、不占用数据库服务器任何资源、不影响数据库性能的情况下几分钟内即可完成部署,从而满足企业核心数据库的大容量、高性能、高可靠性需求。
全数据安全生命周期:事前评估---事中监控---事后审计—篡改恢复
使用安恒信息的DAS-DBAuditor,可以让安全管理员保持对数据库的“可视、可跟踪、可鉴定”状态。
² 事件回放:允许安全管理员提取历史数据,对过去某一时段的事件进行回放,真实展现当时的完整操作过程,便于分析和追溯系统安全问题。
很多安全事件或者与之关联的事件在发生一段时间后才引发相应的人工处理,这个时候,作为独立审计的DAS-DBAuditor就发挥特别的作用.因为所有的FTP、telnet、客户端连接等事件都保存后台(包括相关的告警), 对相关的事件做定位查询,缩小范围,使得追溯变得容易;同时由于这是独立监控审计模式, 使得相关的证据更具有公证性。
下图为ftp和telnet到该服务器的命令回放示意图:
