一、信息安全时代的到来
2005年美国最大的金融数据泄密事件爆发, 数千万信用卡数据被窃, 损失数以亿万美金计。几乎同时国内出现的某移动充值卡事件, 某电信的计费数据库被清零事件,某医院所有病人的个人档案和处方信息被窃取,包括前几天出现的3.15信息非法外泄的披露, 现实告诉我们,信息安全时代呼唤专业实效的数据库审计。
新信息安全时代区别于10年前开始的网络安全时代的最大特征在于,信息安全更关注于ISO七层之上的用户数据, 而非端口的开和关, 协议的通行与否,以及系统的补丁和溢出攻击。 事实上, 上述的所有信息安全事件, 都是在没有破坏网络和不为人觉察的情况下发生的。 统计表明, 70%安全问题出在内部, 内部的风险策略控制在核心数据库层面表现地越来越突出。
二、数据库面临的安全挑战
数据库是任何商业和公共安全中最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战,概括起来主要表现在以下三个层面:
管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,离职员工的后门, 致使安全事件发生时,无法追溯并定位真实的操作者。
技术风险:Oracle, SQL Server是一个庞大而复杂的系统,安全漏洞如溢出, 注入层出不穷,每一次的CPU(Critical Patch Update)都疲于奔命, 而企业和政府处于稳定性考虑, 往往对补丁的跟进非常延后,更何况通过应用层的注入攻击使得数据库处于一个无辜受害的状态。目前的现实状况是很难通过外部的任何网络层安全设备(比如:防火墙、IDS、IPS等)来阻止应用层攻击的威胁。
审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的有效性和公正性。此外, 对于海量数据的挖掘和迅速定位也是任何审计系统必须面对和解决的一个核心问题之一。
伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。美国等很多国家的公开法案都对数据信息的安全有很明确的规定,其中比较著名的是Sarbanes-Oxley萨班斯-奥克斯利法案,PCI (Payment Card Industry data standard) 规定。
三、数据库审计的历史回顾
数据库审计并没有一个非常标准公开的定义, 但是通常认为它应该具备解析,存储所有访问数据库的相关信息并提供相关查询和报表功能。
对于数据库审计的理解,其实有一个发展过程。 从几年前开始, 有的厂家开始在原来日志审计的基础上发展包装了一个数据库审计,这类系统能记录并显示基本的往数据库发的sql, 并且有一定的查询和报表功能。客观地说, 这种系统一开始出现时满足了一定的需求。
但是随着新信息安全时代的到来,原来的基本功能越来越体现起不足,比如越来越多的控制是关注返回而不是请求, 弱口令等管理风险如何控制, 还有如何进行用户访问控制细粒度策略的定制和实施, 和万一数据被篡改或删除后(不管是有意还是无意)能否尽快实施定位式恢复。 其实从最近的众多实际用户需求案例也可以看出:
实际案例一: 某工商数据库
某省最大工商数据库要求除了追溯谁在什么时候做了企业数据篡改, 还要求迅速定位篡改前的数据。 以便更好的应对客户投诉。
实际案例二: 某医院数据库
承载千万病人机密信息和处方数据的数据库记录, 客户要求当某用户某字段的Select返回记录超过100万时, 立即进行告警和Action.
实际案例三: 某在线系统的后台数据库, 当发现数据库被非法篡改后,由于数据库审计显示的源地址都来自应用系统服务器IP, 要求能迅速通过三层关联定位通过应用攻击的客户端源地址,以便溯源。
实际案例四: 根据等级保护自查自纠原则, 除了实时的数据库监控审计外, 还要求能对数据库的弱口令,高危配置能定时进行静态扫描和审计。
四、解决方案概述
明御数据库防御与审计系统(DAS-DBAuditor)是自动化“评估/审计/保护”数据库运行的安全解决方案,支持Oracle、MS-SQL Server、 DB2及Sybase等业界主流数据库。专利级的双引擎技术使得数据库异常行为的检测正确率大幅度提升,同时高速环境下的线速捕获技术的采用,为DAS-DBAuditor的审计信息完整捕获提供了技术保障。DAS-DBAuditor可支持直连、旁路两种模式灵活地部署到网络中,在无需更改现有网络体系结构、不占用数据库服务器任何资源、不影响数据库性能的情况下几分钟内即可完成部署,从而满足企业核心数据库的大容量、高性能、高可靠性需求。
全数据安全生命周期:事前评估—事中监控—事后审计—篡改恢复
事件回放:允许安全管理员提取历史数据,对过去某一时段的事件进行回放,真实展现当时的完整操作过程,便于分析和追溯系统安全问题。
很多安全事件或者与之关联的事件在发生一段时间后才引发相应的人工处理, 这个时候, 作为独立审计的DAS-DBAuditor就发挥特别的作用. 因为所有的FTP、telnet、客户端连接等事件都保存后台(包括相关的告警), 对相关的事件做定位查询,缩小范围,使得追溯变得容易;同时由于这是独立监控审计模式, 使得相关的证据更具有公证性。
下图为ftp和telnet到该服务器的命令回放示意图:
数据库审计并没有一个非常标准公开的定义, 但是通常认为它应该具备解析,存储所有访问数据库的相关信息并提供相关查询和报表功能。
对于数据库审计的理解,其实有一个发展过程。 从几年前开始, 有的厂家开始在原来日志审计的基础上发展包装了一个数据库审计,这类系统能记录并显示基本的往数据库发的sql, 并且有一定的查询和报表功能。客观地说, 这种系统一开始出现时满足了一定的需求。
但是随着新信息安全时代的到来,原来的基本功能越来越体现起不足,比如越来越多的控制是关注返回而不是请求, 弱口令等管理风险如何控制, 还有如何进行用户访问控制细粒度策略的定制和实施, 和万一数据被篡改或删除后(不管是有意还是无意)能否尽快实施定位式恢复。 其实从最近的众多实际用户需求案例也可以看出:
实际案例一: 某工商数据库
某省最大工商数据库要求除了追溯谁在什么时候做了企业数据篡改, 还要求迅速定位篡改前的数据。 以便更好的应对客户投诉。
实际案例二: 某医院数据库
承载千万病人机密信息和处方数据的数据库记录, 客户要求当某用户某字段的Select返回记录超过100万时, 立即进行告警和Action.
实际案例三: 某在线系统的后台数据库, 当发现数据库被非法篡改后,由于数据库审计显示的源地址都来自应用系统服务器IP, 要求能迅速通过三层关联定位通过应用攻击的客户端源地址,以便溯源。
实际案例四: 根据等级保护自查自纠原则, 除了实时的数据库监控审计外, 还要求能对数据库的弱口令,高危配置能定时进行静态扫描和审计。
五、产品特点
4.1 高性能
在实际用户环境中, 该设备曾经对一个VLAN的8台数据库同时进行审计, 涵盖了Oracle 9i/10g, SQL Server 2000/2005, Sybase 等主流版本, 流量达到接近千兆以太网里面峰值而完全正常运行。
4.2 超细粒度审计和数据挖掘功能
由于数据库进出信息流量几大, 一旦数据库审计系统部署一段时间后,很容易积累海量数据, 这时候普通的查询很难满足精准定位的需求。
4.3 自动化评估引擎和智能化的安全监控引擎
高端数据库审计和风险控制设备集成了数据库自动化评估引擎, 该引擎目前也被公安部等级保护测评中心和公安厅等级保护测评中心所用。利用该引擎,用户可以自己对数据库进行自动化自查自纠工作。
该引擎能自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等全方位的扫描,最终形成严谨的评估报告及加固建议。通过自动化的风险评估,可以为后续的安全策略设置提供有力的依据。
此外, 智能化安全防护引擎集成了数据库安全专家和风险控制专家的对各类恶意行为和非正常行为的实时监控和控制。
4.4 灵活的风险控制策略
安全策略之组成:DAS-DBAuditor可以对上述安全模型中的任意元素进行组合,生成满足应用需求的安全策略。安全策略除了网络五元组, 还可以组合定义应用层的所有元素。
预设置安全策略:根据安全经验、行业应用需求不同,预先设置诸多的安全策略,大大缩短了设备部署的时间。
专家模式自定义策略:除了动态建模、预设置安全策略外,安全管理员还可以利用系统提供的自定义策略配置功能,以手工方式配置满足企业特殊需求的安全策略。
4.5 零风险部署
DAS-DBAuditor可灵活支持直连、旁路的模式部署到网络中,因此,部署时不需要对现有的网络体系结构(包括:路由器、防火墙、应用层负载均衡设备、应用服务器等)进行调整。
4.6 内控合规性报告
DAS-DBAuditor内嵌了功能强大的报表模块,除了按安全经验、行业需求分类的预定义格式报表外(包括SOX, PCI报表),管理员还可以利用报表自定义功能生成定制化的报告。报告模块同时支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式的数据导出。支持两种报表生成模式,即预置固定格式的报表、用户自定义报表:
通过预置固定格式的报表:可快速查看安全告警、SOX审计、设备性能以及应用系统受攻击情况。
灵活的条件格式定义,可以方便的根据业务逻辑来动态格式化报表元素,同时提供强大的样式定义,对于熟悉CSS的设计人员来说,可以设计出相当出色的报表样式。
4.7 可选的数据库篡改定位恢复模块
数据库篡改恢复模块无需额外打开Oracle 归档等消耗开关, 能利用数据库底层原理进行定位和恢复, 对发现的误操作和恶意操作可以进行无缝恢复, 大大减轻了管理员的压力。