1、防止SQL注入的動機(jī)

近來教育行業(yè)的信息安全問題真是一波未平一波又起：陸續(xù)發(fā)生多個高校網(wǎng)站系統(tǒng)被更改，影響惡劣;高校密集被爆SQL注入漏洞，涉及80%以上的高校;教育行業(yè)成為電信詐騙的重災(zāi)區(qū)，據(jù)統(tǒng)計，被騙學(xué)生占全部被騙人數(shù)的20%左右，甚至發(fā)生了大學(xué)生和準(zhǔn)大學(xué)生被騙導(dǎo)致含恨離世的人間慘劇;考試成績被改，涉事人員被判;學(xué)校內(nèi)部一卡通系統(tǒng)賬目被改動;以及諸多尚未公開的安全事件。

其中SQL注入漏洞問題，其實(shí)與多個事件是關(guān)聯(lián)的。首先，黑客利用SQL注入漏洞拖庫，造成數(shù)據(jù)泄漏。黑客由此掌握大量真實(shí)數(shù)據(jù)，倒賣給黑產(chǎn)，被用于實(shí)施電信詐騙;其次，SQL注入漏洞被利用，替換數(shù)據(jù)庫內(nèi)容，或者間接控制文件系統(tǒng)，更改網(wǎng)站系統(tǒng);再次，利用SQL注入漏洞修改數(shù)據(jù)庫內(nèi)容，破壞數(shù)據(jù)一致性和真實(shí)性。

所以，防治SQL注入漏洞，是高校信息安全的重要工作，也是能夠迅速提升信息安全水平，尤其是數(shù)據(jù)安全水平的舉措。

2、高校防止SQL注入的困難

(1)意識方面，對SQL注入漏洞威脅的后果嚴(yán)重程度認(rèn)識不足;

(2)經(jīng)費(fèi)審批，某些單位意識跟上了，但是沒有當(dāng)期預(yù)算，只好拖著;

(3)技術(shù)和產(chǎn)品方面，以為WAF和NGFW就能阻止SQL注入。其實(shí)根除SQL注入，不能僅依靠WAF和NGFW。否則IMPERVA的產(chǎn)品為什么要有WAF和數(shù)據(jù)庫防火墻?但是國內(nèi)的數(shù)據(jù)庫防火墻可選擇余地有限。

(4)系統(tǒng)分散，數(shù)據(jù)分散，系統(tǒng)開發(fā)發(fā)布比較隨意，安全測試嚴(yán)重不足;

(5)安全運(yùn)維人力普遍嚴(yán)重不足，WAF和數(shù)據(jù)庫防火墻的規(guī)則配置質(zhì)量難以保證。

3、可行的解決方案

總體思路是：采用系統(tǒng)安全掃描+WAF/NGFW+DB FIREWALL，根治SQL注入漏洞。

(1)系統(tǒng)安全掃描：采用商用系統(tǒng)漏洞掃描工具或者開源SQL注入漏洞掃描工具，檢測系統(tǒng)SQL注入漏洞，在上線前盡量消除這些漏洞。

(2)WAF/NGFW。采用商業(yè)的或者開源的WAF/NGFW，部分阻止SQL注入漏洞。

(3)數(shù)據(jù)庫防火墻。由于SQL注入特征在數(shù)據(jù)庫訪問SQL語句上會被放大，從而，在數(shù)據(jù)庫前端部署數(shù)據(jù)庫防火墻，理論上能夠根治SQL注入漏洞。

4、方案分析

該方案成敗的核心問題之一在于數(shù)據(jù)庫防火墻的規(guī)則配置。如果沒有配置出合理有效的規(guī)則，數(shù)據(jù)庫防火墻的防護(hù)能力將會大打折扣。針對教育行業(yè)，尤其是高校中信息系統(tǒng)運(yùn)維人員較少的現(xiàn)實(shí)情況，又對規(guī)則配置的簡單易用性提出了很高的要求。鑒于此，數(shù)據(jù)庫防火墻應(yīng)該應(yīng)提供基于自動學(xué)習(xí)的規(guī)則配置方式，實(shí)現(xiàn)規(guī)則零配置。

該方案成敗的另一核心問題是部署方式。因?yàn)樵诮逃袠I(yè)，尤其是高校的另一個實(shí)際問題是系統(tǒng)眾多、數(shù)據(jù)分散。根據(jù)教育行業(yè)等保定級指導(dǎo)意見，高校信息系統(tǒng)中設(shè)計敏感信息的系統(tǒng)有幾十個之多。如果完全采用硬件方式的數(shù)據(jù)庫防火墻，將給實(shí)際的部署以及采購成本帶來壓力。所以數(shù)據(jù)庫防火墻最好能夠以軟件方式運(yùn)行于學(xué)?，F(xiàn)有服務(wù)器或虛擬環(huán)境之上，從而極減少方案的實(shí)施成本。

5、數(shù)據(jù)庫防火墻部署方式

方式一：硬件方式。將商業(yè)數(shù)據(jù)庫防火墻硬件產(chǎn)品部署于數(shù)據(jù)庫之前，形成對數(shù)據(jù)庫中核心數(shù)據(jù)的保護(hù)。如果有多個數(shù)據(jù)庫，可以用一臺數(shù)據(jù)庫保護(hù)多臺數(shù)據(jù)庫系統(tǒng)，并且最好采用雙機(jī)熱備的方式。

方式二：軟件方式。將數(shù)據(jù)庫防火墻以軟件或者虛擬機(jī)的方式部署于獨(dú)立的硬件之上，部署在數(shù)據(jù)庫前端，形成對數(shù)據(jù)庫中核心數(shù)據(jù)的保護(hù)。這種方案既適用于傳統(tǒng)環(huán)境，又適用于虛擬環(huán)境。

方式三：部署于數(shù)據(jù)庫服務(wù)器。在數(shù)據(jù)庫服務(wù)器上安裝數(shù)據(jù)庫防火墻軟件或者虛擬機(jī)，直接保護(hù)數(shù)據(jù)庫中的核心數(shù)據(jù)。這種方式適用于分散的網(wǎng)站系統(tǒng)。

6、產(chǎn)品選擇

1)系統(tǒng)安全掃描

商業(yè)系統(tǒng)：綠盟，安恒，啟明等

開源系統(tǒng)：穿山甲等

2)WAF/NGFW

商業(yè)系統(tǒng)：綠盟、WebRay、深信服、啟明、山石等......

開源系統(tǒng)：ModSecurity

3)數(shù)據(jù)庫防火墻

商業(yè)系統(tǒng)：中安比特、安華金河

開源系統(tǒng)：GreenSQL早期開源版本，現(xiàn)在應(yīng)該沒有開源的了。

鑒于國內(nèi)數(shù)據(jù)庫防火墻可選擇余地不大，在此將中安比特的中安威士防火墻和安華金和的防火墻做個比較，信息來源于廠家公開的資料。