前瞻
“相信嗎?數據庫正在不斷的改變企業和機構的命運,全世界將會有80%以上的資金或者資產會被數據庫的安全狀況左右。”當這句話從一個信息安全行業專家嘴里說出來的時候,讓人有些震驚。但是仔細一想,卻也并不夸張,想想數據庫大多都用在財務系統、資金系統、稅務系統、計費系統、結算系統、運營系統、ERP系統、營銷系統……,幾乎所有數據庫覆蓋到的地方,無一不和企業資金或者資產緊緊的綁在一起。數據庫是一個讓人心驚肉跳的地方,這一點不夸張。通俗意義上來講,數據庫就像家里用來裝現金和珠寶的保險柜,但事實上,數據庫的安全問題遠比保險柜來的更為重要。
時光倒回到十幾年前,上世紀末,所有的人都在擔心一個問題,“千年蟲”。因為當時的計算機在年份的設置上,只能支持兩位數,也就是只能支持0-99,如果“千年蟲”問題不解決的話,從1999年跨度到2000年的時候,銀行的數據庫系統在進行利率結算時,可能重新以1900年為終點進行計算,屆時,人們存在銀行里的資產都會存在負利率,存在銀行里的錢將會越變越少。
幸運的是,“千年蟲”問題在國際社會的努力下,有驚無險的進行了過渡。但是,我們從中可以看到,數據庫關系到的是人們的生活、企業的發展以及社會的穩定,關系到企業和老百姓的“錢袋子”。計算機自身的“千年蟲”問題已經成了歷史,但我們是否能夠保證來自于數據庫系統外部意外的或惡意的“千年蟲”問題不會重現呢?數據庫是一個非常脆弱的系統,如何保證數據庫系統的安全及連續性運營,如何保證存儲在數據庫里面的數據的完整性,是每一個企業都亟待考慮的問題。
解析數據庫安全現狀
從數據庫系統自身的角度來講,數據庫的安全問題主要分為物理安全、運行安全以及數據安全。物理安全主要考慮數據庫系統的運行中的環境安全、防災防盜等因素,運行安全主要考慮的是承載數據庫運行的系統環境以及數據庫系統本身的穩定性和持續性,數據安全泛指存儲在數據庫系統中數據的完整性和可靠性問題,例如SQL注入、數據惡意刪除和篡改等問題。對于物理安全及運行安全,目前已經有相當多的手段去進行控制,例如安防監控系統以及數據庫遠程容災備份等技術。但是,對于數據的安全,卻沒有太多的辦法,而據了解,90%的數據庫問題都是針對數據的,因為數據代表的是最直接的利益。舉幾個例子:
2005年6月,黑客通過入侵美國信用卡系統解決方案公司的數據庫,4000萬用戶的信用卡帳號被盜。
2006年2月,某通信設備公司工程師入侵某市移動網絡,竊取充值密碼獲利370萬元
2007年11月至2009年5月間,某市2名稅務員修改系統無償幫助親友免稅,造成國家35萬元的稅款無法回收。
通過權威機構近幾年的統計,針對數據庫的攻擊及非法獲利的問題呈急速上升的趨勢,Verizon Business的年度計算機破壞報告中說明,2008年的數據丟失案中,數據庫破壞占據了30%,更糟糕的是,在數據入侵的統計中,數據庫入侵的比率高達75%。2009年的全球信息安全報告中對企業數據泄密的途徑進行了統計,結果表明,有57%的攻擊者通過數據庫獲得了企業的機密數據進行非法獲利。面對越來越多的數據安全問題,企業作為數據的擁有者,該如何去保護自己的無形資產呢?
北信源公司數據保護的解決之道
首先,我們舉一個小偷入室盜竊的例子,一個手段極高的小偷進入了一個富人的別墅,打開了富人的保險柜,將別墅里面值錢的東西洗劫一空。警方接到報案后,通過安裝在別墅里面的視頻監控系統,很快就抓住了小偷,并將贓物全部追回,原來小偷是經常來往于該別墅的一家家政公司的員工。小偷還沒來得及享受,就直接被押進了鐵窗,這個偷盜高手做夢都沒想到,自己最后竟然栽在了一個小小的攝像頭手上。
為什么舉這樣一個例子呢,因為企業的無形資產--數據,它所存放的地方,和我們現實中的實物財產存放的地方是何其的相似。通常,數據(財產)存儲在數據庫系統(保險柜)之上,數據庫系統安裝在服務器(別墅)上提供服務,服務器在企業或運營商的核心數據機房(別墅莊園)運行。從企業的角度出發,我們無法阻止黑客(有可能是第三方工作人員)去攻擊我們的數據庫,無法阻止不良企圖者試圖獲取我們的數據非法獲利,但是我們應該需要一個安裝在數據庫網絡鏈路上的視頻監控系統,記錄下不良企圖者對數據庫的每一步操作,以便于事后及時查清責任人,及時追討損失,及時發現數據庫的風險并進行補漏。那這個視頻監控系統到底是一個什么樣的系統呢?北信源數據庫審計系統(VRV-DBAS)將給您答案。
北信源數據庫審計系統VRV-DBAS(VRV DataBase Audit system)是北信源公司面向網絡空間的終端安全管理體系(VRV SpecSec)架構下的一款重要產品,是北信源公司集多年行業安全經驗積累而推出的數據庫應用安全產品。其采用分體式組件化設計,可進行海量數據離線審計。與此同時,還可以進行細粒度審計結果分析和零風險并行部署,搭建可擴展的系統架構,從而實現完整的安全規則庫,對數據進行全方位保護。
七大獨門秘籍,保證北信源數據庫審計系統VRV-DBAS 的卓越性
作為一個在數據庫系統網絡訪問鏈路上的監察者,具體應該要履行什么樣的職責呢?作為企業的CTO,您認為什么樣的產品最適合本企業呢?相信您心中早有標準。那么就北信源數據庫審計系統VRV-DBAS而言,又有哪些個性特點迎合您的需求呢?
數據庫行為實時監控與防御
VRV-DBAS可以實時監控用戶對數據庫系統所進行的所有操作行為。一方面,VRV-DBAS審計引擎可以根據制定的入侵檢測策略,快速地對數據庫的緩沖區溢出攻擊、口令字猜解等惡意攻擊做出反應。另外一方面,通過VRV-DBAS的數據審計中心,可以根據內容關鍵字、IP地址、用戶/用戶組、時間、數據庫類型、數據庫操作類型、數據庫表名等組合設定數據庫敏感行為預設反應策略。
·會話操作回放
傳統的數據庫審計系統對采用TELNET、FTP、SSH等方式登錄到數據庫服務器再執行數據庫語句的方式無法進行有效的審計,造成數據庫操作的審計覆蓋面不足。VRV-DBAS采用TELNET、SSH以及FTP會話深度還原的技術,能夠完整的回放通過Telnet、SSH、FTP等方式訪問數據庫的所有會話,使得通過該方式進行的數據庫違規行為無處可遁。
·風險行為實時報警
VRV-DBAS具備獨立的告警功能模塊,通過內置多種告警規則庫,支持對用戶所關注的敏感信息設置告警策略。當告警規則事件被觸發后,系統會將告警信息及時通知給管理員,告警方式包括郵件告警,聲音告警,短信告警等多種方式。這就類似于在小偷撬開我們的防盜門,再打開我們的保險柜的時候,我們可以及時的進行報警,在小偷接觸我們的財產之前就可以將他抓獲,避免造成進一步的損失。
·強大的數據定制功能
VRV-DBAS審計引擎具有非常強大的數據定制功能,在數據量非常大時,VRV-DBAS審計引擎可以根據管理員定制的規則進行數據采集,例如,可以根據操作源IP、操作源MAC、計算機名、程序名、生產數據庫名、生產數據庫用戶名、操作內容、表名等條件進行定制,從而只采集管理者真正關心的數據,減少其它信息的干擾。
·專業的報表定制功能
VRV-DBAS數據中心支持管理員自定義多種報表任務,包括數據庫訪問量報表、特權操作跟蹤報表、生命期跟蹤類報表以及周期性任務報表等,可將多種對象進行組合生成相應數據庫訪問量報表,如源IP、目標IP、協議類型、客戶端名、應用程序名、數據庫名、操作方式、操作對象、預警規則名、預警級別等。
·靈活的審計結果展示
VRV-DBAS支持對數據庫行為審計結果的實時分析、歷史數據統計以及深度分析的功能,所有審計結果都以專業的圖形報表形式進行展示,同時,對所有的圖形化報表均提供查詢接口。
·歷史數據自由回檔與檢索
為充分利用審計數據中心的存儲空間,該系統對審計數據進行了高達95%比率的壓縮,同時,VRV-DBAS可以根據需要重新檢索的數據范圍,對壓縮數據進行自動回檔操作,并對回檔出來的數據重新檢索。
·典型部署方式,滿足“今天”和“明天”的應用需求
北信源數據庫審計系統VRV-DBAS采用組件化的邏輯體系,硬件采用分體機架構,實現對數據捕獲、數據分析、數據展示以及系統配置的分布式協同處理。邏輯上VRV-DBAS主要分為四大組件:包含審計引擎AE(Audit Engine)、數據中心DC(Data Center)、審計視圖中心VC(View Center)以及系統配置中心CC(Configure Center)。
硬件劃分上,審計引擎為獨立的硬件處理平臺,以旁路監聽的方式接入網絡,通過在交換機上將訪問數據庫的流量鏡向或采用TAP分流監聽等方式,使數據庫審計引擎AE能夠監聽到用戶通過交換機與數據庫進行通訊的所有操作,以下是VRV-DBAS的典型部署方式:
結語:
信息泄露的事件天天都在發生,所有存在數據的地方,只要數據是有價值的,就存在風險,就有人會去想法子竊取、篡改、販賣,從中牟利。尤其是一些涉及到公民因私的信息泄漏甚至是涉及到國家機密的信息泄漏,不單單是違反行業內控規定這么簡單,而是可能觸犯國家的法律。作為企業的CTO,面對于此,如何高瞻遠矚地打造自己企業的數據庫系統想必已早有定論。
VRV-DBAS通過抓取和業務系統數據庫操作相關的數據包,實現對數據庫操作和用戶行為的審計,同時可以提供豐富的查詢接口,供數據管理者查詢、分析、取證、決策,及時發現可能危及企業生產和運行的數據庫風險因素,提供有效的風險控制依據。北信源數據庫審計系統可以針對MSSQL、Oracle、DB2、Sybase等數據庫系統的操作行為進行全面審計,主要應用在金融證券、電子政務、電子商務、醫療衛生、能源、教育等行業,其部署方式簡單靈活,只需要將審計引擎部署在任何可以捕捉到數據庫相關操作流量的位置,便可以實現全面的操作審計,從而保證從網絡安全審計的技術角度加強對數據庫的安全保護,保障數據安全。
