数据库内部安全审计.docxVIP

数据库内部安全审计 背景 在信息系统的整体安全中，数据库往往是最吸引攻击者的目标，许多网络攻击的根本目的就是获取存放在数据库中的重要信息。传统的数据库安全保障方法一定程度上提高了数据库系统的安全性，但是它们大多是被动的安全技术，以预防为主，无法有效地制止入侵行为，特别是对于数据库用户( 如数据库管理员等) 的权限滥用等内部攻击常常是无能为力的。 内部威胁问题具体表现为: (1)非故意的授权用户攻击，即用户不小心访问到了通常不访问的敏感信息，严重的是无意间将其错误地修改或者删除了； (2)盗取了正常用户信息的攻击者对数据库进行操作，他们拥有合法的访问权限，对数据库数据进行肆意的盗窃和破坏； (3)心怀不轨的内部工作人员对数据库的恶意攻击。 据统计，数据库安全问题近80%来自数据库系统内部，即数据库系统授权用户没有按照自身授权进行数据操作，而是跨越权限篡改或破坏数据。根据2013年Verizon的数据泄露调查报告:所有数据泄露事件中76%源自授权用户对敏感数据的访问；在47000多件安全事故中，69%的攻击来自于内部人员。京东发生的大型数据泄露事件造成5O亿条公民信息流出，导致用户损失数百万元，罪魁祸首就是内部工作人员。内部原因造成的数据库损失发生率和影响度都远远超过人们的想象。 由于此类安全问题发生在系统集团内部，因此，对数据库的危害极大，并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题，即使一些防火墙软硬件也无法实时检测内部入侵。因此，针对数据库系统中用户异常行为检测研究就显得尤为重要。 据统计，传统的数据安全模型是上个世纪 70 年代提出的，并且得到较好发展。到目前为止，在数据库上实现的安全策略基本上没有变化，仍旧为访问控制、用户认证、审计和加密存储。安全审计的任务是对用户已经完成的行为，给予回追式的分析，并对该行为的结果给出最终评价。这些安全机制在数据库管理上取得了较好成绩，但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境，这些安全机制将无法实时监测入侵行为，保护数据库与数据的安全。基于异常的入侵检测是入侵检测研究领域中的一个重要课题，并取得了一定的研究成果。但是，这些研究成果主要针对操作系统和计算机网络，针对数据库系统的研究成果则相对较少。 以访问控制为例，虽然访问控制能够保证只有拥有相关权限的用户才可以访问数据，这也是防止数据泄露的第一道屏障，但是访问控制有一定的限制:如果采用严格的机制，访问控制的规则可能表达不够充分，在动态的环境中访问控制的规则可能需要频繁地更新，这些更新会带来管理者的经济成本；而且在紧急的情况下，访问控制机制会影响用户对数据的获取，权限的申请需要时间也影响了事务的效率。所以，通常业务系统都采用相对宽松的访问控制机制。宽松的访问机制的直接表现是用户通常会获得比实际所需更多的权限，这显然为数据库系统中的数据安全埋下了隐患。因此，数据库管理系统的发展需要对传统的权限管理增加辅助的安全分析和评估机制。 现状 数据库安全审计是指按照确定的标准、收集软件执行过程中发生的事件并评估其安全性的行为。根据设置的规则，监控、跟踪用户对数据库的各种操作，分析判断用户行为是否合规，并对违规行为进行告警的过程叫做数据库安全审计。 目前国际上主流的数据库安全审计产品包括以色列Imperva公司的安全审计系统SecureSphere, IBM公司的Guardium数据库安全产品，Application Security Inc 公司的数据库入侵检测产品 AppRadar等。这些数据库安全审计产品的功能都很强大。Application Security Inc 公司的数据库入侵检测产品 AppRadar，它可针对不同的数据库设计不同的入侵检测系统。Imperva公司是行业内起步较早的公司，一直专精于数据库安全审计，他们的系统采用数据库应用防火墙的思路，串联部署局域网计算机，能够在线阻断数据库的安全威胁，是A1级别的审计系统，但是SecureSphere支持的数据库协议太少，对各种数据库的本地访问支持不足；Guardium公司具有较强的技术实力，被IBM收购之后，品牌影响力也进一步加大，他们的产品使用数据库代理服务器或是在数据库服务器上安装引擎，搭配旁路的监听器，能够实时分析并判断用户操作行为是否合规，但Guardium同一时间只能支持一个审计策略，不够灵活。此外，因为这些系统是按照国外的审计需求设计的，基本上只针对国外的审计需求进行审计，且价格高昂，对大部分国内用户来说，实用性不高。 在国内，根据赛迪顾问2016年5月的行业研究报告，2015年我国的数据库安全审计与防护市场产品结构中，硬件产品占据了76%的市场份额，软件的市场份额仅为18%。但随着IT基础设施的演进，软件服务类数据库安全审计产品市场份额增