李 瀟,張思東
北京交通大學(xué)電子信息工程學(xué)院,北京 100044
數(shù)據(jù)庫(kù)系統(tǒng)在企業(yè)管理等領(lǐng)域已經(jīng)具有非常廣泛的應(yīng)用,如ERP系統(tǒng)、計(jì)費(fèi)系統(tǒng)、經(jīng)分系統(tǒng)等。數(shù)據(jù)庫(kù)系統(tǒng)作為應(yīng)用系統(tǒng)的核心,承載了企業(yè)運(yùn)營(yíng)的關(guān)鍵數(shù)據(jù),是企業(yè)核心IT資產(chǎn)之一。 因此,長(zhǎng)期以來(lái),在保障業(yè)務(wù)連續(xù)性和性能的前提下,最大限度的保障數(shù)據(jù)庫(kù)安全一直是數(shù)據(jù)庫(kù)管理人員、安全管理人員孜孜不倦追求的安全目標(biāo)。
數(shù)據(jù)庫(kù)安全涉及入侵防御、賬號(hào)管理、訪(fǎng)問(wèn)控制、安全審計(jì)、防病毒、評(píng)估加固等多個(gè)方面,常見(jiàn)的安全產(chǎn)品如UTM、入侵檢測(cè)、漏洞掃描等產(chǎn)品為保障數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)行起到了重要作用。但是,通過(guò)對(duì)諸多安全事件的處理、分析,調(diào)查人員發(fā)現(xiàn)企業(yè)內(nèi)部人員造成的違規(guī)事件占了較大比例。
究其原因,主要是因?yàn)檫@些違規(guī)行為與傳統(tǒng)的攻擊行為不同,對(duì)內(nèi)部的違規(guī)行為無(wú)法利用攻擊機(jī)理和漏洞機(jī)理進(jìn)行分析,這就導(dǎo)致了那些抵御外部入侵的產(chǎn)品無(wú)用武之地。因此,要防止內(nèi)部的違規(guī)行為,就需要在內(nèi)部建設(shè)審計(jì)系統(tǒng),通過(guò)對(duì)操作行為的分析,實(shí)現(xiàn)對(duì)違規(guī)行為的及時(shí)響應(yīng)和追溯。
2009年Verizon基于對(duì)2億8500萬(wàn)次累計(jì)破壞行為數(shù)據(jù)進(jìn)行一次調(diào)查,結(jié)果得出外部入侵對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的嘗試破壞行為占比最高,在75%左右。這是為什么呢?
主要原因在于:一方面由于數(shù)據(jù)庫(kù)系統(tǒng)往往承載關(guān)鍵業(yè)務(wù)數(shù)據(jù),而這些數(shù)據(jù)牽涉到企業(yè)各個(gè)方面的信息,從政治、經(jīng)濟(jì)而言都具備重要的價(jià)值;另一方面由于數(shù)據(jù)庫(kù)系統(tǒng)通常比較復(fù)雜,且其對(duì)連續(xù)性、穩(wěn)定性有高標(biāo)準(zhǔn)的要求,安全管理人員在缺乏相關(guān)知識(shí)的情況下、往往出現(xiàn)想不到、不敢想、不敢動(dòng)的情況,從而導(dǎo)致數(shù)據(jù)庫(kù)安全管理工作滯后于業(yè)務(wù)需求的滿(mǎn)足。
實(shí)際上,關(guān)于數(shù)據(jù)庫(kù)系統(tǒng)的安全事件層出不窮,而且有愈演愈烈之勢(shì):遠(yuǎn)有某市雙色球開(kāi)獎(jiǎng)數(shù)據(jù)庫(kù)被篡改,3305萬(wàn)巨獎(jiǎng)險(xiǎn)被冒領(lǐng)的案件;近的更有,匯豐銀行2.4萬(wàn)帳號(hào)數(shù)據(jù)被盜的列子……對(duì)此,國(guó)家相關(guān)部門(mén)非常重視,在《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》、《信息系統(tǒng)安全等級(jí)基本要求》等相關(guān)政策中,對(duì)于審計(jì)系統(tǒng)也有明確的要求??梢?jiàn),保障數(shù)據(jù)庫(kù)安全和穩(wěn)定,已經(jīng)成為信息時(shí)代舉足輕重的一項(xiàng)工作。
常見(jiàn)的安全審計(jì)技術(shù)主要有四類(lèi),分別是:基于日記的審計(jì)技術(shù)、基于代理的審計(jì)技術(shù)、基于網(wǎng)絡(luò)監(jiān)聽(tīng)的審計(jì)技術(shù)、基于網(wǎng)關(guān)的審計(jì)技術(shù)。
1)基于日記的審計(jì)技術(shù):該技術(shù)通常是通過(guò)數(shù)據(jù)庫(kù)自身功能實(shí)現(xiàn),Oracle、DB2等主流數(shù)據(jù)庫(kù),均具備自身審計(jì)功能,通過(guò)配置數(shù)據(jù)庫(kù)的自審計(jì)功能,即可實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的審計(jì),
該技術(shù)能夠?qū)W(wǎng)絡(luò)操作及本地操作數(shù)據(jù)庫(kù)的行為進(jìn)行審計(jì),由于依托于現(xiàn)有數(shù)據(jù)庫(kù)管理系統(tǒng),因此兼容性很好。
但這種審計(jì)技術(shù)的缺點(diǎn)也比較明顯。首先,在數(shù)據(jù)庫(kù)系統(tǒng)上開(kāi)啟自身日志審計(jì)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的性能就有影響,特別是在大流量情況下,損耗較大;其次,日志審計(jì)記錄的細(xì)粒度上差,缺少一些關(guān)鍵信息,比如源IP、SQL語(yǔ)句等等,審計(jì)溯源效果不好,最后就是日志審計(jì)需要到每一臺(tái)被審計(jì)主機(jī)上進(jìn)行配置和查看,較難進(jìn)行統(tǒng)一的審計(jì)策略配置和日志分析。
2)基于代理的審計(jì)技術(shù):該技術(shù)是通常在數(shù)據(jù)庫(kù)系統(tǒng)上安裝相應(yīng)的審計(jì)Agent,在Agent上實(shí)現(xiàn)審計(jì)策略的配置和日志的采集,常見(jiàn)的產(chǎn)品如Oracle公司的Oracle Audit Vauit IBM公司的DB2 Audit Management Expert Tool以及第三方安全提供的產(chǎn)品。
該技術(shù)與日志審計(jì)技術(shù)比較類(lèi)似,最大的不同是需要在被審計(jì)主機(jī)上安裝代理程序。代理審計(jì)技術(shù)從審計(jì)力度上要優(yōu)于日志審計(jì)技術(shù),但是性能上損耗是要大于日志審計(jì)技術(shù),因?yàn)閿?shù)據(jù)庫(kù)系統(tǒng)廠(chǎng)商未公開(kāi)細(xì)節(jié),由數(shù)據(jù)庫(kù)廠(chǎng)商提供的代理審計(jì)類(lèi)產(chǎn)品對(duì)自有數(shù)據(jù)庫(kù)系統(tǒng)的兼容性較好,但是在跨數(shù)據(jù)庫(kù)系統(tǒng)的支持上,比如要同時(shí)審計(jì)Oracle和DB2時(shí),存在一定的兼容性風(fēng)險(xiǎn)。同時(shí)由于在引入代理審計(jì)后,原數(shù)據(jù)庫(kù)系統(tǒng)的穩(wěn)定性、可靠性、性能或多或少都會(huì)有一些影響,實(shí)際的應(yīng)用面較窄。
3)基于網(wǎng)絡(luò)監(jiān)聽(tīng)的審計(jì)技術(shù):該技術(shù)是通過(guò)獎(jiǎng)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪(fǎng)問(wèn)流境像到交換機(jī)某一個(gè)端口,然后通過(guò)專(zhuān)用硬件設(shè)備對(duì)該端口流量進(jìn)行分析和還原,從而實(shí)現(xiàn)對(duì)數(shù)據(jù)接訪(fǎng)問(wèn)的審計(jì)。
該技術(shù)最大的優(yōu)點(diǎn)就是與現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)無(wú)關(guān),部署過(guò)程不會(huì)給數(shù)據(jù)庫(kù)系統(tǒng)帶來(lái)性能上的負(fù)擔(dān),即使出現(xiàn)故障也不會(huì)影響數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)行,具備易部署、無(wú)風(fēng)險(xiǎn)的特點(diǎn);但是,其部署的實(shí)現(xiàn)原理決定了網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)在針對(duì)加密協(xié)議時(shí),只能實(shí)現(xiàn)到會(huì)話(huà)級(jí)別審計(jì)(即可以審計(jì)到時(shí)間、源IP、源端口、目的IP、目的端口等信息)、而沒(méi)法對(duì)內(nèi)容進(jìn)行審計(jì)。不過(guò)在絕大多數(shù)業(yè)務(wù)環(huán)境下,因?yàn)閿?shù)據(jù)庫(kù)系統(tǒng)對(duì)業(yè)務(wù)性能的要求是遠(yuǎn)高于對(duì)數(shù)據(jù)傳輸加密的要求,很少有采用加密通訊方式訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)服務(wù)端口的情況,故網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)在實(shí)際的數(shù)據(jù)庫(kù)審計(jì)項(xiàng)目中應(yīng)用非常廣泛。
4)基于網(wǎng)關(guān)的審計(jì)技術(shù):該技術(shù)是通過(guò)在數(shù)據(jù)庫(kù)系統(tǒng)前部署網(wǎng)關(guān)設(shè)備,通過(guò)在線(xiàn)截獲并轉(zhuǎn)發(fā)到數(shù)據(jù)庫(kù)的流量而實(shí)現(xiàn)審計(jì)。
該技術(shù)是起源于安全審計(jì)在互聯(lián)網(wǎng)審計(jì)中的應(yīng)用,在互聯(lián)網(wǎng)環(huán)境中,審計(jì)過(guò)程除了記錄以外、還需要關(guān)注控制,而網(wǎng)絡(luò)監(jiān)聽(tīng)方式無(wú)法實(shí)現(xiàn)很好的控制效果,故多數(shù)互聯(lián)網(wǎng)審計(jì)廠(chǎng)商選擇通過(guò)串行的方式來(lái)實(shí)現(xiàn)控制。在應(yīng)用過(guò)程中,這種技術(shù)實(shí)現(xiàn)方式開(kāi)始在數(shù)據(jù)庫(kù)環(huán)境中使用,不過(guò)由于數(shù)據(jù)庫(kù)環(huán)境存在流量大、業(yè)務(wù)連續(xù)性要求高、可靠性要求高的特點(diǎn),與互聯(lián)網(wǎng)環(huán)境大相徑庭,故這種網(wǎng)關(guān)審計(jì)技術(shù)往往要運(yùn)用在對(duì)數(shù)據(jù)庫(kù)運(yùn)維審計(jì)的情況下,不能完覆蓋所有對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)的審計(jì)。
通過(guò)對(duì)以上4種技術(shù)的分析,在進(jìn)行數(shù)據(jù)庫(kù)審計(jì)技術(shù)方案的選擇時(shí),我們遵循的根本原則建議是:
1)業(yè)務(wù)保障原則
安全建設(shè)的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí),必須保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。
2)結(jié)構(gòu)簡(jiǎn)化原則
安全建設(shè)的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加安全,簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個(gè)安全防護(hù)體系的管理、執(zhí)行和維護(hù)。
3)生命周期原則
安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計(jì),還要考慮不斷的變化;系統(tǒng)應(yīng)具備適度的靈活性和擴(kuò)展性。
根據(jù)通常情況下用戶(hù)業(yè)務(wù)系統(tǒng)7×24小時(shí)不間斷運(yùn)行的特點(diǎn),從穩(wěn)定性、可靠性、可用性等多方面進(jìn)行考慮,特別是技術(shù)方案的選擇不應(yīng)對(duì)現(xiàn)有系統(tǒng)造成影響,建議優(yōu)選采用網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的審計(jì)。