【51CTO.com 綜合報道】

一、信息安全時代的到來

2005年美國最大的金融數(shù)據(jù)泄密事件爆發(fā)， 數(shù)千萬信用卡數(shù)據(jù)被竊， 損失數(shù)以億萬美金計。幾乎同時國內(nèi)出現(xiàn)的某移動充值卡事件， 某電信的計費數(shù)據(jù)庫被清零事件，某醫(yī)院所有病人的個人檔案和處方信息被竊取，包括前幾天出現(xiàn)的3.15信息非法外泄的披露， 現(xiàn)實告訴我們，信息安全時代呼喚專業(yè)實效的數(shù)據(jù)庫審計。

新信息安全時代區(qū)別于10年前開始的網(wǎng)絡安全時代的最大特征在于，信息安全更關(guān)注于ISO七層之上的用戶數(shù)據(jù)， 而非端口的開和關(guān)， 協(xié)議的通行與否，以及系統(tǒng)的補丁和溢出攻擊。 事實上， 上述的所有信息安全事件， 都是在沒有破壞網(wǎng)絡和不為人覺察的情況下發(fā)生的。 統(tǒng)計表明， 70%安全問題出在內(nèi)部， 內(nèi)部的風險策略控制在核心數(shù)據(jù)庫層面表現(xiàn)地越來越突出。

二、數(shù)據(jù)庫面臨的安全挑戰(zhàn)

數(shù)據(jù)庫是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的商業(yè)伙伴和客戶信息，這些信息需要被保護起來，以防止競爭者和其他非法者獲取。互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫信息的價值及可訪問性得到了提升，同時，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴峻的挑戰(zhàn)，概括起來主要表現(xiàn)在以下三個層面：

管理風險：主要表現(xiàn)為人員的職責、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護人員的操作監(jiān)控失效等等，離職員工的后門， 致使安全事件發(fā)生時，無法追溯并定位真實的操作者。

技術(shù)風險：Oracle, SQL Server是一個龐大而復雜的系統(tǒng)，安全漏洞如溢出， 注入層出不窮，每一次的CPU（Critical Patch Update）都疲于奔命， 而企業(yè)和政府處于穩(wěn)定性考慮， 往往對補丁的跟進非常延后，更何況通過應用層的注入攻擊使得數(shù)據(jù)庫處于一個無辜受害的狀態(tài)。目前的現(xiàn)實狀況是很難通過外部的任何網(wǎng)絡層安全設備（比如：防火墻、IDS、IPS等）來阻止應用層攻擊的威脅。

審計層面：現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計方法，存在諸多的弊端,比如:數(shù)據(jù)庫審計功能的開啟會影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文件本身存在被篡改的風險，難于體現(xiàn)審計信息的有效性和公正性。此外， 對于海量數(shù)據(jù)的挖掘和迅速定位也是任何審計系統(tǒng)必須面對和解決的一個核心問題之一。

伴隨著數(shù)據(jù)庫信息價值以及可訪問性提升，使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風險大大增加，如違規(guī)越權(quán)操作、惡意入侵導致機密信息竊取泄漏，但事后卻無法有效追溯和審計。美國等很多國家的公開法案都對數(shù)據(jù)信息的安全有很明確的規(guī)定,其中比較著名的是Sarbanes-Oxley薩班斯—奧克斯利法案，PCI (Payment Card Industry data standard) 規(guī)定。

三、數(shù)據(jù)庫審計的歷史回顧

數(shù)據(jù)庫審計并沒有一個非常標準公開的定義， 但是通常認為它應該具備解析，存儲所有訪問數(shù)據(jù)庫的相關(guān)信息并提供相關(guān)查詢和報表功能。

對于數(shù)據(jù)庫審計的理解，其實有一個發(fā)展過程。 從幾年前開始， 有的廠家開始在原來日志審計的基礎上發(fā)展包裝了一個數(shù)據(jù)庫審計，這類系統(tǒng)能記錄并顯示基本的往數(shù)據(jù)庫發(fā)的sql, 并且有一定的查詢和報表功能?？陀^地說， 這種系統(tǒng)一開始出現(xiàn)時滿足了一定的需求。

但是隨著新信息安全時代的到來，原來的基本功能越來越體現(xiàn)起不足，比如越來越多的控制是關(guān)注返回而不是請求， 弱口令等管理風險如何控制， 還有如何進行用戶訪問控制細粒度策略的定制和實施， 和萬一數(shù)據(jù)被篡改或刪除后（不管是有意還是無意）能否盡快實施定位式恢復。 其實從最近的眾多實際用戶需求案例也可以看出：

實際案例一： 某工商數(shù)據(jù)庫

某省最大工商數(shù)據(jù)庫要求除了追溯誰在什么時候做了企業(yè)數(shù)據(jù)篡改， 還要求迅速定位篡改前的數(shù)據(jù)。 以便更好的應對客戶投訴。

實際案例二： 某醫(yī)院數(shù)據(jù)庫

承載千萬病人機密信息和處方數(shù)據(jù)的數(shù)據(jù)庫記錄， 客戶要求當某用戶某字段的Select返回記錄超過100萬時， 立即進行告警和Action.

實際案例三： 某在線系統(tǒng)的后臺數(shù)據(jù)庫， 當發(fā)現(xiàn)數(shù)據(jù)庫被非法篡改后，由于數(shù)據(jù)庫審計顯示的源地址都來自應用系統(tǒng)服務器IP, 要求能迅速通過三層關(guān)聯(lián)定位通過應用攻擊的客戶端源地址，以便溯源。

實際案例四： 根據(jù)等級保護自查自糾原則， 除了實時的數(shù)據(jù)庫監(jiān)控審計外， 還要求能對數(shù)據(jù)庫的弱口令，高危配置能定時進行靜態(tài)掃描和審計。

四、解決方案概述

明御數(shù)據(jù)庫防御與審計系統(tǒng)（DAS-DBAuditor）是自動化“評估/審計/保護”數(shù)據(jù)庫運行的安全解決方案，支持Oracle、MS-SQL Server、 DB2及Sybase等業(yè)界主流數(shù)據(jù)庫。專利級的雙引擎技術(shù)使得數(shù)據(jù)庫異常行為的檢測正確率大幅度提升，同時高速環(huán)境下的線速捕獲技術(shù)的采用，為DAS-DBAuditor的審計信息完整捕獲提供了技術(shù)保障。DAS-DBAuditor可支持直連、旁路兩種模式靈活地部署到網(wǎng)絡中，在無需更改現(xiàn)有網(wǎng)絡體系結(jié)構(gòu)、不占用數(shù)據(jù)庫服務器任何資源、不影響數(shù)據(jù)庫性能的情況下幾分鐘內(nèi)即可完成部署，從而滿足企業(yè)核心數(shù)據(jù)庫的大容量、高性能、高可靠性需求。

全數(shù)據(jù)安全生命周期：事前評估---事中監(jiān)控---事后審計—篡改恢復

事件回放：允許安全管理員提取歷史數(shù)據(jù)，對過去某一時段的事件進行回放，真實展現(xiàn)當時的完整操作過程，便于分析和追溯系統(tǒng)安全問題。

很多安全事件或者與之關(guān)聯(lián)的事件在發(fā)生一段時間后才引發(fā)相應的人工處理, 這個時候, 作為獨立審計的DAS-DBAuditor就發(fā)揮特別的作用. 因為所有的FTP、telnet、客戶端連接等事件都保存后臺(包括相關(guān)的告警), 對相關(guān)的事件做定位查詢，縮小范圍，使得追溯變得容易；同時由于這是獨立監(jiān)控審計模式, 使得相關(guān)的證據(jù)更具有公證性。

下圖為ftp和telnet到該服務器的命令回放示意圖:

五、產(chǎn)品特點

4.1 高性能

在實際用戶環(huán)境中， 該設備曾經(jīng)對一個VLAN的8臺數(shù)據(jù)庫同時進行審計， 涵蓋了Oracle 9i/10g, SQL Server 2000/2005, Sybase 等主流版本， 流量達到接近千兆以太網(wǎng)里面峰值而完全正常運行。

4.2 超細粒度審計和數(shù)據(jù)挖掘功能

由于數(shù)據(jù)庫進出信息流量幾大， 一旦數(shù)據(jù)庫審計系統(tǒng)部署一段時間后，很容易積累海量數(shù)據(jù)， 這時候普通的查詢很難滿足精準定位的需求。

4.3 自動化評估引擎和智能化的安全監(jiān)控引擎

高端數(shù)據(jù)庫審計和風險控制設備集成了數(shù)據(jù)庫自動化評估引擎， 該引擎目前也被公安部等級保護測評中心和公安廳等級保護測評中心所用。利用該引擎，用戶可以自己對數(shù)據(jù)庫進行自動化自查自糾工作。

該引擎能自動完成對幾百種不當?shù)臄?shù)據(jù)庫不安全配置、潛在弱點、數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補丁、數(shù)據(jù)庫潛藏木馬等等全方位的掃描，最終形成嚴謹?shù)脑u估報告及加固建議。通過自動化的風險評估，可以為后續(xù)的安全策略設置提供有力的依據(jù)。

此外， 智能化安全防護引擎集成了數(shù)據(jù)庫安全專家和風險控制專家的對各類惡意行為和非正常行為的實時監(jiān)控和控制。

4.4 靈活的風險控制策略

安全策略之組成：DAS-DBAuditor可以對上述安全模型中的任意元素進行組合，生成滿足應用需求的安全策略。安全策略除了網(wǎng)絡五元組， 還可以組合定義應用層的所有元素。

預設置安全策略：根據(jù)安全經(jīng)驗、行業(yè)應用需求不同，預先設置諸多的安全策略，大大縮短了設備部署的時間。

專家模式自定義策略：除了動態(tài)建模、預設置安全策略外，安全管理員還可以利用系統(tǒng)提供的自定義策略配置功能，以手工方式配置滿足企業(yè)特殊需求的安全策略。

4.5 零風險部署

DAS-DBAuditor可靈活支持直連、旁路的模式部署到網(wǎng)絡中，因此，部署時不需要對現(xiàn)有的網(wǎng)絡體系結(jié)構(gòu)（包括：路由器、防火墻、應用層負載均衡設備、應用服務器等）進行調(diào)整。

4.6 內(nèi)控合規(guī)性報告

DAS-DBAuditor內(nèi)嵌了功能強大的報表模塊，除了按安全經(jīng)驗、行業(yè)需求分類的預定義格式報表外(包括SOX, PCI報表)，管理員還可以利用報表自定義功能生成定制化的報告。報告模塊同時支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式的數(shù)據(jù)導出。支持兩種報表生成模式，即預置固定格式的報表、用戶自定義報表：

通過預置固定格式的報表：可快速查看安全告警、SOX審計、設備性能以及應用系統(tǒng)受攻擊情況。

靈活的條件格式定義，可以方便的根據(jù)業(yè)務邏輯來動態(tài)格式化報表元素，同時提供強大的樣式定義，對于熟悉CSS的設計人員來說，可以設計出相當出色的報表樣式。

4.7 可選的數(shù)據(jù)庫篡改定位恢復模塊

數(shù)據(jù)庫篡改恢復模塊無需額外打開Oracle 歸檔等消耗開關(guān)， 能利用數(shù)據(jù)庫底層原理進行定位和恢復， 對發(fā)現(xiàn)的誤操作和惡意操作可以進行無縫恢復， 大大減輕了管理員的壓力。