【51CTO.com 綜合消息】從一則案例說起

小冷在一個(gè)單位部門里擔(dān)任網(wǎng)絡(luò)安全主管，維護(hù)著單位重要的信息系統(tǒng)。最近，小冷十分郁悶，因?yàn)橛腥税l(fā)現(xiàn)他們單位的上萬筆重要數(shù)據(jù)在網(wǎng)上被人叫賣。小冷的領(lǐng)導(dǎo)很重視這個(gè)事情，讓小冷查清原委。小冷仔細(xì)查對(duì)了存放重要數(shù)據(jù)的數(shù)據(jù)庫，沒有發(fā)現(xiàn)異常，而保護(hù)數(shù)據(jù)庫的IPS和防火墻也沒有什么重要的攻擊警告。小冷又與部門中所有可能接觸到數(shù)據(jù)庫的管理員談話，也一無所獲。小冷又找到使用這些重要數(shù)據(jù)的相關(guān)業(yè)務(wù)部門，可以業(yè)務(wù)部門主管把皮球踢了回來，說信息部門應(yīng)該首先提供相關(guān)證據(jù)，才能在業(yè)務(wù)部門進(jìn)行自查。

小冷的調(diào)查工作陷入困境，而領(lǐng)導(dǎo)那邊給他壓力也很大。如何才能杜絕以后發(fā)生類似事件呢？

數(shù)據(jù)安全日趨重要

隨著信息化、網(wǎng)絡(luò)化水平的不斷提升，重要的數(shù)據(jù)信息越來越受到安全威脅，而大量的重要數(shù)據(jù)往往都存放在數(shù)據(jù)庫系統(tǒng)中，如何保護(hù)數(shù)據(jù)庫，有效防范信息泄漏和篡改成為一個(gè)重要的安全保障目標(biāo)。

最近幾年，信息泄露、信息篡改等信息安全問題屢見不鮮，所有存在數(shù)據(jù)的地方，只要數(shù)據(jù)是有價(jià)值的，就存在風(fēng)險(xiǎn)，就有人會(huì)去想法子竊取、篡改、販賣，從中牟利：北京市教育考試院信息篡改事件、教育學(xué)籍信息泄漏事件、深圳孕婦信息的“泄密光盤”、車主股民信息泄露、福彩中獎(jiǎng)信息篡改、“力拓門”事件，從個(gè)人隱私，到企業(yè)的商業(yè)秘密，甚至到政府國家的核心機(jī)密，都出現(xiàn)了不同程度的信息安全問題。

這些案例都告訴我們，數(shù)據(jù)安全保護(hù)十分重要。由于目前大部分重要數(shù)據(jù)都是通過數(shù)據(jù)庫系統(tǒng)來存儲(chǔ)的，因此，數(shù)據(jù)庫安全保護(hù)尤其重要。

為了防范信息泄漏和篡改，我國去年頒布實(shí)施的《刑法》（七）修正案修訂了第253條和285條，明確了信息泄漏及篡改將面臨的刑事指控和量刑依據(jù)。其中，第253條指出“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金?！?/P>

就在前不久，《南方都市報(bào)》報(bào)道了珠海的一起在《刑法修正案(七)》頒布后的全國首例侵犯?jìng)€(gè)人信息安全刑事宣判。

有了法律依據(jù)后，企事業(yè)單位更應(yīng)該抓緊加固數(shù)據(jù)庫系統(tǒng)，保護(hù)其安全，這既是對(duì)于防范攻擊和違法犯罪的需要，也是盡責(zé)盡職的體現(xiàn)，是對(duì)法律的捍衛(wèi)。

此外，根據(jù)國家等級(jí)保護(hù)相關(guān)要求，《信息系統(tǒng)等級(jí)保護(hù)基本要求》中對(duì)于信息系統(tǒng)在主機(jī)和數(shù)據(jù)庫安全方面明確要求進(jìn)行安全審計(jì)，其中，第三級(jí)要求“審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等。”

防范措施

那么，如何才能更加有效地保護(hù)數(shù)據(jù)庫安全，防范信息泄漏和篡改呢？

首先，需要加強(qiáng)對(duì)數(shù)據(jù)庫的訪問控制，明確數(shù)據(jù)庫管理和使用職責(zé)分工，最小化數(shù)據(jù)庫帳號(hào)使用權(quán)限，防止權(quán)利濫用。同時(shí)，要加強(qiáng)口令管理，使用高強(qiáng)度口令，刪除系統(tǒng)默認(rèn)帳號(hào)口令等。

其次，要對(duì)數(shù)據(jù)庫及其核心業(yè)務(wù)系統(tǒng)進(jìn)行安全加固，保護(hù)在系統(tǒng)邊界部署防火墻、IDS/IPS、防病毒系統(tǒng)等，并及時(shí)地進(jìn)行系統(tǒng)補(bǔ)丁檢測(cè)、安全加固。

最后，要對(duì)數(shù)據(jù)庫系統(tǒng)及其所在主機(jī)進(jìn)行實(shí)時(shí)安全監(jiān)控、事后操作審計(jì)，部署一套數(shù)據(jù)庫審計(jì)系統(tǒng)。這一點(diǎn)尤為重要！相當(dāng)于數(shù)據(jù)庫安全的最后一道防線。

事實(shí)表明，現(xiàn)在的數(shù)據(jù)泄漏和篡改事件都是“內(nèi)部人員”作案為主，他們有合法的帳號(hào)口令，他們完全可以把自己偽裝成一個(gè)“合法”的內(nèi)部人員，堂而皇之的竊取數(shù)據(jù)庫信息，根本不用任何攻擊手段，防火墻、IDS/IPS之類的傳統(tǒng)安全系統(tǒng)根本發(fā)現(xiàn)不了。因此，對(duì)數(shù)據(jù)庫系統(tǒng)的使用進(jìn)行監(jiān)控和審計(jì)，最關(guān)鍵的就在于對(duì)內(nèi)部人員的違規(guī)和誤操作進(jìn)行監(jiān)控和審計(jì)。而這，正在數(shù)據(jù)庫審計(jì)系統(tǒng)的特長。

針對(duì)重要的數(shù)據(jù)庫及其業(yè)務(wù)系統(tǒng)，部署一套數(shù)據(jù)庫審計(jì)系統(tǒng)，可以達(dá)到以下目標(biāo)：

1） 數(shù)據(jù)操作實(shí)時(shí)監(jiān)控：對(duì)所有外部或者內(nèi)部用戶對(duì)數(shù)據(jù)庫和主機(jī)的各種操作行為、內(nèi)容，進(jìn)行實(shí)時(shí)監(jiān)控；

2） 高危操作即時(shí)阻斷：對(duì)于高危操作能夠?qū)崟r(shí)阻斷，干擾攻擊或者違規(guī)行為的執(zhí)行；

3） 安全預(yù)警：對(duì)于入侵和違規(guī)行為進(jìn)行及時(shí)預(yù)警和告警，并指導(dǎo)管理員進(jìn)行應(yīng)急響應(yīng)處理；

4） 事后調(diào)查取證：對(duì)于所有行為能夠進(jìn)行事后查詢、取證、調(diào)查分析，出具各種審計(jì)報(bào)表報(bào)告。

5） 責(zé)任認(rèn)定、事態(tài)評(píng)估：系統(tǒng)能夠記錄和定位誰、在什么時(shí)候、通過什么方式對(duì)數(shù)據(jù)庫進(jìn)行了什么操作，以及操作的結(jié)果和可能的危害程度。

網(wǎng)神SecFox-NBA數(shù)據(jù)庫審計(jì)系統(tǒng)

針對(duì)客戶面臨的上述挑戰(zhàn)和需求，網(wǎng)御神州推出的新一代數(shù)據(jù)庫審計(jì)產(chǎn)品——SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)（業(yè)務(wù)審計(jì)型）是一款優(yōu)秀的數(shù)據(jù)庫審計(jì)系統(tǒng)，并具有強(qiáng)大的用戶“合法”行為深度分析能力。

SecFox-NBA（業(yè)務(wù)審計(jì)型）采用旁路偵聽的方式對(duì)通過網(wǎng)絡(luò)連接到重要業(yè)務(wù)系統(tǒng)（服務(wù)器、數(shù)據(jù)庫、業(yè)務(wù)中間件、數(shù)據(jù)文件等）的數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別，實(shí)時(shí)監(jiān)視用戶訪問業(yè)務(wù)系統(tǒng)的狀態(tài)，記錄各種訪問行為，發(fā)現(xiàn)并及時(shí)制止用戶的誤操作、違規(guī)訪問或者可疑行為。產(chǎn)品部署簡便，不需要修改任何網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用配置，不會(huì)影響用戶的業(yè)務(wù)運(yùn)行。

SecFox-NBA（業(yè)務(wù)審計(jì)型）產(chǎn)品區(qū)隔于傳統(tǒng)數(shù)據(jù)庫審計(jì)產(chǎn)品的特征在于：

1） 面向業(yè)務(wù)的安全審計(jì)

SecFox-NBA（業(yè)務(wù)審計(jì)型）獨(dú)有面向業(yè)務(wù)的安全審計(jì)技術(shù)，通過業(yè)務(wù)網(wǎng)絡(luò)拓?fù)溆涗浛蛻魳I(yè)務(wù)網(wǎng)絡(luò)中各種數(shù)據(jù)庫、主機(jī)、web應(yīng)用系統(tǒng)相互的關(guān)聯(lián)性，審計(jì)人員可以根據(jù)以數(shù)據(jù)庫為核心的業(yè)務(wù)網(wǎng)絡(luò)的變化快速查看業(yè)務(wù)網(wǎng)絡(luò)中各個(gè)設(shè)備和整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的事件和告警信息。

2） 基于會(huì)話的行為審計(jì)

傳統(tǒng)的數(shù)據(jù)庫或者網(wǎng)絡(luò)審計(jì)系統(tǒng)都采用基于指令的操作分析技術(shù)，可以顯示出所有與數(shù)據(jù)庫主機(jī)相關(guān)的操作，但是這些操作都是一條條孤立的指令，無法體現(xiàn)這些操作之間的關(guān)聯(lián)，例如是否是同一用戶的操作、以及操作的時(shí)間先后，審計(jì)員被迫從大量的操作記錄中自行尋找蛛絲馬跡，效率低下。借助網(wǎng)御神州獨(dú)有的基于會(huì)話的行為分析技術(shù)，審計(jì)員可以對(duì)當(dāng)前網(wǎng)絡(luò)中所有訪問者進(jìn)行基于時(shí)間的審查，了解每個(gè)訪問者任意一段時(shí)間內(nèi)先后進(jìn)行了什么操作，并支持訪問過程回放。SecFox-NBA（業(yè)務(wù)審計(jì)型）真正實(shí)現(xiàn)了對(duì)“誰、什么時(shí)間段內(nèi)、對(duì)什么（數(shù)據(jù)）、進(jìn)行了哪些操作、結(jié)果如何”的全程審計(jì)。

3） 基于用戶ID的數(shù)據(jù)庫審計(jì)

傳統(tǒng)的數(shù)據(jù)庫審計(jì)產(chǎn)品僅僅能夠定位到是哪個(gè)IP地址進(jìn)行了違規(guī)操作，但是無法確認(rèn)是那個(gè)用戶或者是哪個(gè)單位職工進(jìn)行的違規(guī)操作。這給審計(jì)后續(xù)的責(zé)任認(rèn)定帶來了不小的麻煩。SecFox-NBA（業(yè)務(wù)審計(jì)型）使用多種方式，能夠協(xié)助審計(jì)員定位是那個(gè)用戶ID進(jìn)行了數(shù)據(jù)庫操作，真正實(shí)現(xiàn)了責(zé)任認(rèn)定。  

【編輯推薦】

1. 解析數(shù)據(jù)庫安全審計(jì)
2. 小測(cè)驗(yàn)：數(shù)據(jù)庫應(yīng)用程序安全