【51CTO.com 綜合消息】從一則案例說起

小冷在一個單位部門里擔任網(wǎng)絡安全主管，維護著單位重要的信息系統(tǒng)。最近，小冷十分郁悶，因為有人發(fā)現(xiàn)他們單位的上萬筆重要數(shù)據(jù)在網(wǎng)上被人叫賣。小冷的領導很重視這個事情，讓小冷查清原委。小冷仔細查對了存放重要數(shù)據(jù)的數(shù)據(jù)庫，沒有發(fā)現(xiàn)異常，而保護數(shù)據(jù)庫的IPS和防火墻也沒有什么重要的攻擊警告。小冷又與部門中所有可能接觸到數(shù)據(jù)庫的管理員談話，也一無所獲。小冷又找到使用這些重要數(shù)據(jù)的相關業(yè)務部門，可以業(yè)務部門主管把皮球踢了回來，說信息部門應該首先提供相關證據(jù)，才能在業(yè)務部門進行自查。

小冷的調查工作陷入困境，而領導那邊給他壓力也很大。如何才能杜絕以后發(fā)生類似事件呢？

數(shù)據(jù)安全日趨重要

隨著信息化、網(wǎng)絡化水平的不斷提升，重要的數(shù)據(jù)信息越來越受到安全威脅，而大量的重要數(shù)據(jù)往往都存放在數(shù)據(jù)庫系統(tǒng)中，如何保護數(shù)據(jù)庫，有效防范信息泄漏和篡改成為一個重要的安全保障目標。

最近幾年，信息泄露、信息篡改等信息安全問題屢見不鮮，所有存在數(shù)據(jù)的地方，只要數(shù)據(jù)是有價值的，就存在風險，就有人會去想法子竊取、篡改、販賣，從中牟利：北京市教育考試院信息篡改事件、教育學籍信息泄漏事件、深圳孕婦信息的“泄密光盤”、車主股民信息泄露、福彩中獎信息篡改、“力拓門”事件，從個人隱私，到企業(yè)的商業(yè)秘密，甚至到政府國家的核心機密，都出現(xiàn)了不同程度的信息安全問題。

這些案例都告訴我們，數(shù)據(jù)安全保護十分重要。由于目前大部分重要數(shù)據(jù)都是通過數(shù)據(jù)庫系統(tǒng)來存儲的，因此，數(shù)據(jù)庫安全保護尤其重要。

為了防范信息泄漏和篡改，我國去年頒布實施的《刑法》（七）修正案修訂了第253條和285條，明確了信息泄漏及篡改將面臨的刑事指控和量刑依據(jù)。其中，第253條指出“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金?！?/P>

就在前不久，《南方都市報》報道了珠海的一起在《刑法修正案(七)》頒布后的全國首例侵犯個人信息安全刑事宣判。

有了法律依據(jù)后，企事業(yè)單位更應該抓緊加固數(shù)據(jù)庫系統(tǒng)，保護其安全，這既是對于防范攻擊和違法犯罪的需要，也是盡責盡職的體現(xiàn)，是對法律的捍衛(wèi)。

此外，根據(jù)國家等級保護相關要求，《信息系統(tǒng)等級保護基本要求》中對于信息系統(tǒng)在主機和數(shù)據(jù)庫安全方面明確要求進行安全審計，其中，第三級要求“審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件；審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等?！?/P>

防范措施

那么，如何才能更加有效地保護數(shù)據(jù)庫安全，防范信息泄漏和篡改呢？

首先，需要加強對數(shù)據(jù)庫的訪問控制，明確數(shù)據(jù)庫管理和使用職責分工，最小化數(shù)據(jù)庫帳號使用權限，防止權利濫用。同時，要加強口令管理，使用高強度口令，刪除系統(tǒng)默認帳號口令等。

其次，要對數(shù)據(jù)庫及其核心業(yè)務系統(tǒng)進行安全加固，保護在系統(tǒng)邊界部署防火墻、IDS/IPS、防病毒系統(tǒng)等，并及時地進行系統(tǒng)補丁檢測、安全加固。

最后，要對數(shù)據(jù)庫系統(tǒng)及其所在主機進行實時安全監(jiān)控、事后操作審計，部署一套數(shù)據(jù)庫審計系統(tǒng)。這一點尤為重要！相當于數(shù)據(jù)庫安全的最后一道防線。

事實表明，現(xiàn)在的數(shù)據(jù)泄漏和篡改事件都是“內部人員”作案為主，他們有合法的帳號口令，他們完全可以把自己偽裝成一個“合法”的內部人員，堂而皇之的竊取數(shù)據(jù)庫信息，根本不用任何攻擊手段，防火墻、IDS/IPS之類的傳統(tǒng)安全系統(tǒng)根本發(fā)現(xiàn)不了。因此，對數(shù)據(jù)庫系統(tǒng)的使用進行監(jiān)控和審計，最關鍵的就在于對內部人員的違規(guī)和誤操作進行監(jiān)控和審計。而這，正在數(shù)據(jù)庫審計系統(tǒng)的特長。

針對重要的數(shù)據(jù)庫及其業(yè)務系統(tǒng)，部署一套數(shù)據(jù)庫審計系統(tǒng)，可以達到以下目標：

1） 數(shù)據(jù)操作實時監(jiān)控：對所有外部或者內部用戶對數(shù)據(jù)庫和主機的各種操作行為、內容，進行實時監(jiān)控；

2） 高危操作即時阻斷：對于高危操作能夠實時阻斷，干擾攻擊或者違規(guī)行為的執(zhí)行；

3） 安全預警：對于入侵和違規(guī)行為進行及時預警和告警，并指導管理員進行應急響應處理；

4） 事后調查取證：對于所有行為能夠進行事后查詢、取證、調查分析，出具各種審計報表報告。

5） 責任認定、事態(tài)評估：系統(tǒng)能夠記錄和定位誰、在什么時候、通過什么方式對數(shù)據(jù)庫進行了什么操作，以及操作的結果和可能的危害程度。

網(wǎng)神SecFox-NBA數(shù)據(jù)庫審計系統(tǒng)

針對客戶面臨的上述挑戰(zhàn)和需求，網(wǎng)御神州推出的新一代數(shù)據(jù)庫審計產(chǎn)品——SecFox-NBA網(wǎng)絡行為審計系統(tǒng)（業(yè)務審計型）是一款優(yōu)秀的數(shù)據(jù)庫審計系統(tǒng)，并具有強大的用戶“合法”行為深度分析能力。

SecFox-NBA（業(yè)務審計型）采用旁路偵聽的方式對通過網(wǎng)絡連接到重要業(yè)務系統(tǒng)（服務器、數(shù)據(jù)庫、業(yè)務中間件、數(shù)據(jù)文件等）的數(shù)據(jù)流進行采集、分析和識別，實時監(jiān)視用戶訪問業(yè)務系統(tǒng)的狀態(tài)，記錄各種訪問行為，發(fā)現(xiàn)并及時制止用戶的誤操作、違規(guī)訪問或者可疑行為。產(chǎn)品部署簡便，不需要修改任何網(wǎng)絡結構和應用配置，不會影響用戶的業(yè)務運行。

SecFox-NBA（業(yè)務審計型）產(chǎn)品區(qū)隔于傳統(tǒng)數(shù)據(jù)庫審計產(chǎn)品的特征在于：

1） 面向業(yè)務的安全審計

SecFox-NBA（業(yè)務審計型）獨有面向業(yè)務的安全審計技術，通過業(yè)務網(wǎng)絡拓撲記錄客戶業(yè)務網(wǎng)絡中各種數(shù)據(jù)庫、主機、web應用系統(tǒng)相互的關聯(lián)性，審計人員可以根據(jù)以數(shù)據(jù)庫為核心的業(yè)務網(wǎng)絡的變化快速查看業(yè)務網(wǎng)絡中各個設備和整個業(yè)務網(wǎng)絡的事件和告警信息。

2） 基于會話的行為審計

傳統(tǒng)的數(shù)據(jù)庫或者網(wǎng)絡審計系統(tǒng)都采用基于指令的操作分析技術，可以顯示出所有與數(shù)據(jù)庫主機相關的操作，但是這些操作都是一條條孤立的指令，無法體現(xiàn)這些操作之間的關聯(lián)，例如是否是同一用戶的操作、以及操作的時間先后，審計員被迫從大量的操作記錄中自行尋找蛛絲馬跡，效率低下。借助網(wǎng)御神州獨有的基于會話的行為分析技術，審計員可以對當前網(wǎng)絡中所有訪問者進行基于時間的審查，了解每個訪問者任意一段時間內先后進行了什么操作，并支持訪問過程回放。SecFox-NBA（業(yè)務審計型）真正實現(xiàn)了對“誰、什么時間段內、對什么（數(shù)據(jù)）、進行了哪些操作、結果如何”的全程審計。

3） 基于用戶ID的數(shù)據(jù)庫審計

傳統(tǒng)的數(shù)據(jù)庫審計產(chǎn)品僅僅能夠定位到是哪個IP地址進行了違規(guī)操作，但是無法確認是那個用戶或者是哪個單位職工進行的違規(guī)操作。這給審計后續(xù)的責任認定帶來了不小的麻煩。SecFox-NBA（業(yè)務審計型）使用多種方式，能夠協(xié)助審計員定位是那個用戶ID進行了數(shù)據(jù)庫操作，真正實現(xiàn)了責任認定。  

【編輯推薦】

1. 解析數(shù)據(jù)庫安全審計
2. 小測驗：數(shù)據(jù)庫應用程序安全