【51CTO.com 綜合報(bào)道】

一、信息安全時(shí)代的到來(lái)

2005年美國(guó)最大的金融數(shù)據(jù)泄密事件爆發(fā)， 數(shù)千萬(wàn)信用卡數(shù)據(jù)被竊， 損失數(shù)以?xún)|萬(wàn)美金計(jì)。幾乎同時(shí)國(guó)內(nèi)出現(xiàn)的某移動(dòng)充值卡事件， 某電信的計(jì)費(fèi)數(shù)據(jù)庫(kù)被清零事件，某醫(yī)院所有病人的個(gè)人檔案和處方信息被竊取，包括前幾天出現(xiàn)的3.15信息非法外泄的披露， 現(xiàn)實(shí)告訴我們，信息安全時(shí)代呼喚專(zhuān)業(yè)實(shí)效的數(shù)據(jù)庫(kù)審計(jì)。

新信息安全時(shí)代區(qū)別于10年前開(kāi)始的網(wǎng)絡(luò)安全時(shí)代的最大特征在于，信息安全更關(guān)注于ISO七層之上的用戶數(shù)據(jù)， 而非端口的開(kāi)和關(guān)， 協(xié)議的通行與否，以及系統(tǒng)的補(bǔ)丁和溢出攻擊。 事實(shí)上， 上述的所有信息安全事件， 都是在沒(méi)有破壞網(wǎng)絡(luò)和不為人覺(jué)察的情況下發(fā)生的。 統(tǒng)計(jì)表明， 70%安全問(wèn)題出在內(nèi)部， 內(nèi)部的風(fēng)險(xiǎn)策略控制在核心數(shù)據(jù)庫(kù)層面表現(xiàn)地越來(lái)越突出。

二、數(shù)據(jù)庫(kù)面臨的安全挑戰(zhàn)

數(shù)據(jù)庫(kù)是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的商業(yè)伙伴和客戶信息，這些信息需要被保護(hù)起來(lái)，以防止競(jìng)爭(zhēng)者和其他非法者獲取?；ヂ?lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫(kù)信息的價(jià)值及可訪問(wèn)性得到了提升，同時(shí)，也致使數(shù)據(jù)庫(kù)信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，概括起來(lái)主要表現(xiàn)在以下三個(gè)層面：

管理風(fēng)險(xiǎn)：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，離職員工的后門(mén)， 致使安全事件發(fā)生時(shí)，無(wú)法追溯并定位真實(shí)的操作者。

技術(shù)風(fēng)險(xiǎn)：Oracle, SQL Server是一個(gè)龐大而復(fù)雜的系統(tǒng)，安全漏洞如溢出， 注入層出不窮，每一次的CPU（Critical Patch Update）都疲于奔命， 而企業(yè)和政府處于穩(wěn)定性考慮， 往往對(duì)補(bǔ)丁的跟進(jìn)非常延后，更何況通過(guò)應(yīng)用層的注入攻擊使得數(shù)據(jù)庫(kù)處于一個(gè)無(wú)辜受害的狀態(tài)。目前的現(xiàn)實(shí)狀況是很難通過(guò)外部的任何網(wǎng)絡(luò)層安全設(shè)備（比如：防火墻、IDS、IPS等）來(lái)阻止應(yīng)用層攻擊的威脅。

審計(jì)層面：現(xiàn)有的依賴(lài)于數(shù)據(jù)庫(kù)日志文件的審計(jì)方法，存在諸多的弊端,比如:數(shù)據(jù)庫(kù)審計(jì)功能的開(kāi)啟會(huì)影響數(shù)據(jù)庫(kù)本身的性能、數(shù)據(jù)庫(kù)日志文件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息的有效性和公正性。此外， 對(duì)于海量數(shù)據(jù)的挖掘和迅速定位也是任何審計(jì)系統(tǒng)必須面對(duì)和解決的一個(gè)核心問(wèn)題之一。

伴隨著數(shù)據(jù)庫(kù)信息價(jià)值以及可訪問(wèn)性提升，使得數(shù)據(jù)庫(kù)面對(duì)來(lái)自?xún)?nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無(wú)法有效追溯和審計(jì)。美國(guó)等很多國(guó)家的公開(kāi)法案都對(duì)數(shù)據(jù)信息的安全有很明確的規(guī)定,其中比較著名的是Sarbanes-Oxley薩班斯—奧克斯利法案，PCI (Payment Card Industry data standard) 規(guī)定。

三、數(shù)據(jù)庫(kù)審計(jì)的歷史回顧

數(shù)據(jù)庫(kù)審計(jì)并沒(méi)有一個(gè)非常標(biāo)準(zhǔn)公開(kāi)的定義， 但是通常認(rèn)為它應(yīng)該具備解析，存儲(chǔ)所有訪問(wèn)數(shù)據(jù)庫(kù)的相關(guān)信息并提供相關(guān)查詢(xún)和報(bào)表功能。

對(duì)于數(shù)據(jù)庫(kù)審計(jì)的理解，其實(shí)有一個(gè)發(fā)展過(guò)程。 從幾年前開(kāi)始， 有的廠家開(kāi)始在原來(lái)日志審計(jì)的基礎(chǔ)上發(fā)展包裝了一個(gè)數(shù)據(jù)庫(kù)審計(jì)，這類(lèi)系統(tǒng)能記錄并顯示基本的往數(shù)據(jù)庫(kù)發(fā)的sql, 并且有一定的查詢(xún)和報(bào)表功能?？陀^地說(shuō)， 這種系統(tǒng)一開(kāi)始出現(xiàn)時(shí)滿足了一定的需求。

但是隨著新信息安全時(shí)代的到來(lái)，原來(lái)的基本功能越來(lái)越體現(xiàn)起不足，比如越來(lái)越多的控制是關(guān)注返回而不是請(qǐng)求， 弱口令等管理風(fēng)險(xiǎn)如何控制， 還有如何進(jìn)行用戶訪問(wèn)控制細(xì)粒度策略的定制和實(shí)施， 和萬(wàn)一數(shù)據(jù)被篡改或刪除后（不管是有意還是無(wú)意）能否盡快實(shí)施定位式恢復(fù)。 其實(shí)從最近的眾多實(shí)際用戶需求案例也可以看出：

實(shí)際案例一： 某工商數(shù)據(jù)庫(kù)

某省最大工商數(shù)據(jù)庫(kù)要求除了追溯誰(shuí)在什么時(shí)候做了企業(yè)數(shù)據(jù)篡改， 還要求迅速定位篡改前的數(shù)據(jù)。 以便更好的應(yīng)對(duì)客戶投訴。

實(shí)際案例二： 某醫(yī)院數(shù)據(jù)庫(kù)

承載千萬(wàn)病人機(jī)密信息和處方數(shù)據(jù)的數(shù)據(jù)庫(kù)記錄， 客戶要求當(dāng)某用戶某字段的Select返回記錄超過(guò)100萬(wàn)時(shí)， 立即進(jìn)行告警和Action.

實(shí)際案例三： 某在線系統(tǒng)的后臺(tái)數(shù)據(jù)庫(kù)， 當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫(kù)被非法篡改后，由于數(shù)據(jù)庫(kù)審計(jì)顯示的源地址都來(lái)自應(yīng)用系統(tǒng)服務(wù)器IP, 要求能迅速通過(guò)三層關(guān)聯(lián)定位通過(guò)應(yīng)用攻擊的客戶端源地址，以便溯源。

實(shí)際案例四： 根據(jù)等級(jí)保護(hù)自查自糾原則， 除了實(shí)時(shí)的數(shù)據(jù)庫(kù)監(jiān)控審計(jì)外， 還要求能對(duì)數(shù)據(jù)庫(kù)的弱口令，高危配置能定時(shí)進(jìn)行靜態(tài)掃描和審計(jì)。

四、解決方案概述

明御數(shù)據(jù)庫(kù)防御與審計(jì)系統(tǒng)（DAS-DBAuditor）是自動(dòng)化“評(píng)估/審計(jì)/保護(hù)”數(shù)據(jù)庫(kù)運(yùn)行的安全解決方案，支持Oracle、MS-SQL Server、 DB2及Sybase等業(yè)界主流數(shù)據(jù)庫(kù)。專(zhuān)利級(jí)的雙引擎技術(shù)使得數(shù)據(jù)庫(kù)異常行為的檢測(cè)正確率大幅度提升，同時(shí)高速環(huán)境下的線速捕獲技術(shù)的采用，為DAS-DBAuditor的審計(jì)信息完整捕獲提供了技術(shù)保障。DAS-DBAuditor可支持直連、旁路兩種模式靈活地部署到網(wǎng)絡(luò)中，在無(wú)需更改現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)、不占用數(shù)據(jù)庫(kù)服務(wù)器任何資源、不影響數(shù)據(jù)庫(kù)性能的情況下幾分鐘內(nèi)即可完成部署，從而滿足企業(yè)核心數(shù)據(jù)庫(kù)的大容量、高性能、高可靠性需求。

全數(shù)據(jù)安全生命周期：事前評(píng)估---事中監(jiān)控---事后審計(jì)—篡改恢復(fù)

事件回放：允許安全管理員提取歷史數(shù)據(jù)，對(duì)過(guò)去某一時(shí)段的事件進(jìn)行回放，真實(shí)展現(xiàn)當(dāng)時(shí)的完整操作過(guò)程，便于分析和追溯系統(tǒng)安全問(wèn)題。

很多安全事件或者與之關(guān)聯(lián)的事件在發(fā)生一段時(shí)間后才引發(fā)相應(yīng)的人工處理, 這個(gè)時(shí)候, 作為獨(dú)立審計(jì)的DAS-DBAuditor就發(fā)揮特別的作用. 因?yàn)樗械腇TP、telnet、客戶端連接等事件都保存后臺(tái)(包括相關(guān)的告警), 對(duì)相關(guān)的事件做定位查詢(xún)，縮小范圍，使得追溯變得容易；同時(shí)由于這是獨(dú)立監(jiān)控審計(jì)模式, 使得相關(guān)的證據(jù)更具有公證性。

下圖為ftp和telnet到該服務(wù)器的命令回放示意圖:

五、產(chǎn)品特點(diǎn)

4.1 高性能

在實(shí)際用戶環(huán)境中， 該設(shè)備曾經(jīng)對(duì)一個(gè)VLAN的8臺(tái)數(shù)據(jù)庫(kù)同時(shí)進(jìn)行審計(jì)， 涵蓋了Oracle 9i/10g, SQL Server 2000/2005, Sybase 等主流版本， 流量達(dá)到接近千兆以太網(wǎng)里面峰值而完全正常運(yùn)行。

4.2 超細(xì)粒度審計(jì)和數(shù)據(jù)挖掘功能

由于數(shù)據(jù)庫(kù)進(jìn)出信息流量幾大， 一旦數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)部署一段時(shí)間后，很容易積累海量數(shù)據(jù)， 這時(shí)候普通的查詢(xún)很難滿足精準(zhǔn)定位的需求。

4.3 自動(dòng)化評(píng)估引擎和智能化的安全監(jiān)控引擎

高端數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制設(shè)備集成了數(shù)據(jù)庫(kù)自動(dòng)化評(píng)估引擎， 該引擎目前也被公安部等級(jí)保護(hù)測(cè)評(píng)中心和公安廳等級(jí)保護(hù)測(cè)評(píng)中心所用。利用該引擎，用戶可以自己對(duì)數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)化自查自糾工作。

該引擎能自動(dòng)完成對(duì)幾百種不當(dāng)?shù)臄?shù)據(jù)庫(kù)不安全配置、潛在弱點(diǎn)、數(shù)據(jù)庫(kù)用戶弱口令、數(shù)據(jù)庫(kù)軟件補(bǔ)丁、數(shù)據(jù)庫(kù)潛藏木馬等等全方位的掃描，最終形成嚴(yán)謹(jǐn)?shù)脑u(píng)估報(bào)告及加固建議。通過(guò)自動(dòng)化的風(fēng)險(xiǎn)評(píng)估，可以為后續(xù)的安全策略設(shè)置提供有力的依據(jù)。

此外， 智能化安全防護(hù)引擎集成了數(shù)據(jù)庫(kù)安全專(zhuān)家和風(fēng)險(xiǎn)控制專(zhuān)家的對(duì)各類(lèi)惡意行為和非正常行為的實(shí)時(shí)監(jiān)控和控制。

4.4 靈活的風(fēng)險(xiǎn)控制策略

安全策略之組成：DAS-DBAuditor可以對(duì)上述安全模型中的任意元素進(jìn)行組合，生成滿足應(yīng)用需求的安全策略。安全策略除了網(wǎng)絡(luò)五元組， 還可以組合定義應(yīng)用層的所有元素。

預(yù)設(shè)置安全策略：根據(jù)安全經(jīng)驗(yàn)、行業(yè)應(yīng)用需求不同，預(yù)先設(shè)置諸多的安全策略，大大縮短了設(shè)備部署的時(shí)間。

專(zhuān)家模式自定義策略：除了動(dòng)態(tài)建模、預(yù)設(shè)置安全策略外，安全管理員還可以利用系統(tǒng)提供的自定義策略配置功能，以手工方式配置滿足企業(yè)特殊需求的安全策略。

4.5 零風(fēng)險(xiǎn)部署

DAS-DBAuditor可靈活支持直連、旁路的模式部署到網(wǎng)絡(luò)中，因此，部署時(shí)不需要對(duì)現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)（包括：路由器、防火墻、應(yīng)用層負(fù)載均衡設(shè)備、應(yīng)用服務(wù)器等）進(jìn)行調(diào)整。

4.6 內(nèi)控合規(guī)性報(bào)告

DAS-DBAuditor內(nèi)嵌了功能強(qiáng)大的報(bào)表模塊，除了按安全經(jīng)驗(yàn)、行業(yè)需求分類(lèi)的預(yù)定義格式報(bào)表外(包括SOX, PCI報(bào)表)，管理員還可以利用報(bào)表自定義功能生成定制化的報(bào)告。報(bào)告模塊同時(shí)支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式的數(shù)據(jù)導(dǎo)出。支持兩種報(bào)表生成模式，即預(yù)置固定格式的報(bào)表、用戶自定義報(bào)表：

通過(guò)預(yù)置固定格式的報(bào)表：可快速查看安全告警、SOX審計(jì)、設(shè)備性能以及應(yīng)用系統(tǒng)受攻擊情況。

靈活的條件格式定義，可以方便的根據(jù)業(yè)務(wù)邏輯來(lái)動(dòng)態(tài)格式化報(bào)表元素，同時(shí)提供強(qiáng)大的樣式定義，對(duì)于熟悉CSS的設(shè)計(jì)人員來(lái)說(shuō)，可以設(shè)計(jì)出相當(dāng)出色的報(bào)表樣式。

4.7 可選的數(shù)據(jù)庫(kù)篡改定位恢復(fù)模塊

數(shù)據(jù)庫(kù)篡改恢復(fù)模塊無(wú)需額外打開(kāi)Oracle 歸檔等消耗開(kāi)關(guān)， 能利用數(shù)據(jù)庫(kù)底層原理進(jìn)行定位和恢復(fù)， 對(duì)發(fā)現(xiàn)的誤操作和惡意操作可以進(jìn)行無(wú)縫恢復(fù)， 大大減輕了管理員的壓力。