◆楊瑤姬

?

數(shù)據(jù)庫安全平臺模型分析

◆楊瑤姬

（中南空管局氣象中心 廣東 510405）

為提高數(shù)據(jù)庫安全性能，本文討論分析了一種可運行在不同類型的數(shù)據(jù)庫管理系統(tǒng)上的數(shù)據(jù)庫安全平臺模型，通過引入的行為監(jiān)測、數(shù)據(jù)庫評估等功能的分析，驗證了該數(shù)據(jù)庫安全平臺提高了數(shù)據(jù)庫安全的有效性。

DBMSs ；數(shù)據(jù)庫安全；行為監(jiān)測；數(shù)據(jù)庫評估

0 引言

信息化社會發(fā)展至今，敏感數(shù)據(jù)大部分被存儲在郵件系統(tǒng)、終端設(shè)備和文件服務(wù)器上，絕大部分是以數(shù)據(jù)庫的形式來存儲的。這種現(xiàn)實狀態(tài)凸顯了數(shù)據(jù)庫安全的重要性。問題是，數(shù)據(jù)庫的安全是不容易做到的，因為它涉及多個復(fù)雜進程和多種安全策略，以及DBA和安全團隊之間強有力的協(xié)調(diào)和合作。根據(jù)ESG的研究報告，15%的企業(yè)將數(shù)據(jù)庫安全認作是最重要的信息安全挑戰(zhàn)，此外還有57%的企業(yè)認為數(shù)據(jù)庫安全是他們前五位信息安全挑戰(zhàn)之一[1]。由此可見數(shù)據(jù)庫安全之重要。

1 數(shù)據(jù)庫安全平臺的定義

根據(jù)forrester的研究報告[2]，數(shù)據(jù)庫的安全應(yīng)該包括：新的許可與支持，數(shù)據(jù)庫審計，實時保護，數(shù)據(jù)屏蔽，脆弱性評估，數(shù)據(jù)庫加密。

任何一種單一的安全策略和安全工具是不足以保障數(shù)據(jù)庫安全的，一種可運行在不同類型的數(shù)據(jù)庫管理系統(tǒng)上的數(shù)據(jù)庫安全平臺模型是指通過一系列的安全策略，評估數(shù)據(jù)庫的安全性，實時或者近似實時捕捉和記錄所有數(shù)據(jù)庫（包括管理員的活動）活動，能夠跨多個數(shù)據(jù)庫類型和平臺，能夠警告和對非法行為進行阻止。

數(shù)據(jù)庫安全平臺的主要功能：

（1）數(shù)據(jù)庫安全平臺必須同時支持關(guān)系型和非關(guān)系型的數(shù)據(jù)庫；

（2）數(shù)據(jù)庫安全平臺包括安全評估功能；

（3）數(shù)據(jù)庫安全平臺必須有抗非法攻擊能力；

（4）數(shù)據(jù)庫安全平臺應(yīng)該包括一些額外的保護功能，如屏蔽或應(yīng)用程序的安全。

數(shù)據(jù)庫安全平臺的架構(gòu)圖如圖1所示。

圖1 數(shù)據(jù)庫安全平臺

2 數(shù)據(jù)庫安全平臺信息采集與模式

2.1 數(shù)據(jù)庫安全平臺信息采集

數(shù)據(jù)庫安全平臺的主要優(yōu)勢之一是它能夠在不同操作系統(tǒng)上(例如Windows、Unix等)，掃描和監(jiān)控運行在不同類型的數(shù)據(jù)庫管理系統(tǒng)（DBMSs）上的數(shù)據(jù)庫。數(shù)據(jù)庫安全平臺將多個采集點信息整合到一個安全的中央服務(wù)器進行分析。

信息大部分來源于本地OS/協(xié)議棧的代理，網(wǎng)路監(jiān)控，內(nèi)存掃描代理，數(shù)據(jù)庫審計日志，如圖2所示。

圖2 數(shù)據(jù)庫安全平臺信息采集

（1）本地OS/協(xié)議棧的代理：一個軟件“代理”是安裝在數(shù)據(jù)庫服務(wù)器來捕獲被發(fā)送到數(shù)據(jù)庫的SQL語句。被捕獲到的事件返回給遠程的數(shù)據(jù)庫安全平臺。本地代理會根據(jù)相應(yīng)的安全策略選擇性地實時分析事件和做出相應(yīng)。代理被部署到主機的網(wǎng)絡(luò)協(xié)議?；蛘咔度氲讲僮飨到y(tǒng)中，來捕獲與數(shù)據(jù)庫之間的通信。它們能監(jiān)測到所有被送往數(shù)據(jù)庫的外部SQL語句，包括它們的參數(shù)和查詢結(jié)果。更關(guān)鍵的是它們能從控制臺捕獲不通過正常網(wǎng)絡(luò)連接的管理者的行為。

代理是數(shù)據(jù)庫安全平臺的一個基本要求，它們能以最小的開銷度捕獲所有的SQL語句，包括源自控制臺和通過加密的網(wǎng)絡(luò)連接到達數(shù)據(jù)庫的。

（2）網(wǎng)絡(luò)監(jiān)控：采用直接從網(wǎng)絡(luò)嗅探的方法來監(jiān)控數(shù)據(jù)庫平臺的網(wǎng)絡(luò)狀態(tài)。這種辦法捕獲了原始信息，參數(shù)以及查詢結(jié)果的部分信息。所有被收集的信息返回服務(wù)器進行分析。網(wǎng)絡(luò)監(jiān)控對數(shù)據(jù)庫平臺的影響是最小的，仍然是監(jiān)控非關(guān)鍵性數(shù)據(jù)庫最常用的方法。

（3）內(nèi)存掃描代理：內(nèi)存掃描讀取數(shù)據(jù)庫活動的內(nèi)存結(jié)構(gòu)，監(jiān)測新的查詢語句。作為部署到數(shù)據(jù)庫平臺的一個代理，內(nèi)存掃描代理以預(yù)先設(shè)定好的頻率掃描SQL語句。在將結(jié)果返回到中央管理服務(wù)器之前，內(nèi)存掃描先分析查詢語句是否是非法查詢。

（4）數(shù)據(jù)庫審計日志：數(shù)據(jù)庫審計日志仍然是最常用來收集數(shù)據(jù)庫事件的。大部分數(shù)據(jù)庫都有本地審計功能，他們被配置來生成審計跟蹤，包括系統(tǒng)事件，事務(wù)事件，用戶事件。數(shù)據(jù)流輸出到一個文件中或者數(shù)據(jù)庫內(nèi)部。

2.2 數(shù)據(jù)庫安全平臺模式

根據(jù)企業(yè)的規(guī)模和需求的不同，有以下三種模式

（1）單一的服務(wù)器：一臺服務(wù)器，同時作為采集點和管理控制臺。這種模式適用于小型企業(yè)。

（2）兩層架構(gòu)：這種模式包含一個中央管理服務(wù)器和遠程采集點。中央服務(wù)器不直接監(jiān)測，而是從遠程系統(tǒng)整合信息，管理政策和產(chǎn)生警告。遠程收集點可以根據(jù)實際情況靈活使用采集技術(shù)。

（3）層次結(jié)構(gòu)：在這種模式中，采集點反過來整合地理上分散的管理服務(wù)器信息。層次部署適合擁有多重業(yè)務(wù)類型的大型企業(yè)。它們也可以設(shè)定在層與層之間只傳遞特定種類的數(shù)據(jù)信息，來滿足策略需求。

3 數(shù)據(jù)庫安全平臺核心功能

3.1 行為監(jiān)測

數(shù)據(jù)安全平臺的功能之一就是監(jiān)測和采集所有數(shù)據(jù)庫行為[3]。這些數(shù)據(jù)庫行為包含了所有管理員和系統(tǒng)行為，如下所示：

（1）所有的SQL語言—包括DDL（Data Definition Language）數(shù)據(jù)庫定義語言， DML（Data Manipulation Language）數(shù)據(jù)操縱語言，DCL（Data Control Language）數(shù)據(jù)庫控制語言，TCL（Transaction Control Language）事務(wù)控制語言：行為監(jiān)測應(yīng)該包含所有對數(shù)據(jù)庫中的數(shù)據(jù)進行操作的行為。

（2）‘SELECT’查詢：雖然`SELECT`查詢僅僅是DML行為之一，但因為‘select’查詢的頻繁使用，依然存在數(shù)據(jù)泄漏的可能性，因此更有必要密切監(jiān)測該行為。

（3）敏感數(shù)據(jù)的訪問：‘SELECT’查詢子集集中在訪問敏感數(shù)據(jù)，如信用卡或社會安全號碼的表或列。

（4）管理員活動：比起普通用戶，管理員能通過更多不同的方式連接到數(shù)據(jù)庫，更多的能力來隱藏或刪除其活動的蹤跡。不能只依靠本地審計，而應(yīng)該采用數(shù)據(jù)庫安全平臺工具。

（5）存儲程序，腳本，代碼的行為：隱藏在存儲程序和其他形式的數(shù)據(jù)庫腳本的過程中的攻擊行為常常能夠逃避監(jiān)測控制。數(shù)據(jù)庫安全平臺工具也應(yīng)跟蹤內(nèi)部活動。

（6）文件的活動：如果你可以跳過數(shù)據(jù)庫管理系統(tǒng)，直接編輯磁盤上的文件直接來進行數(shù)據(jù)的修改，在這種狀態(tài)下的行為就需要被監(jiān)測了。

3.2 評估

評估通常包含三種類型[4]。

（1）漏洞評估：包括已知的漏洞，缺少的安全補丁，默認帳戶，可疑的或者未使用的數(shù)據(jù)庫功能，默認/弱密碼，和更多的安全和合規(guī)相關(guān)的檢查。

（2）配置評估：分析數(shù)據(jù)庫內(nèi)部和外部與安全和合規(guī)相關(guān)的配置（例如文件系統(tǒng)的設(shè)置）

（3）權(quán)限分析：對一個數(shù)據(jù)庫中的用戶賬戶進行掃描，主要是為了確定安全性和合規(guī)問題，但也經(jīng)常用于一般賬戶的清理?；诙喾N類型的用戶賬戶及其定義，數(shù)據(jù)庫的用戶賬戶的復(fù)雜性遠遠高于要比其他系統(tǒng)。例如一個人同時擁有一個網(wǎng)絡(luò)用戶、一個數(shù)據(jù)庫賬戶和一個系統(tǒng)用戶賬戶是很常見的。但是依賴于數(shù)據(jù)庫提供權(quán)限的角色和組的權(quán)限就要復(fù)雜的多。

4 數(shù)據(jù)庫安全平臺擴展功能

擴展功能包括核心功能的擴展，主要定位于數(shù)據(jù)分析和保護。其中數(shù)據(jù)庫安全平臺的一個關(guān)鍵領(lǐng)域是采用新的安全技術(shù)來保護數(shù)據(jù)庫和擴大在其他應(yīng)用程序和數(shù)據(jù)存儲方面的保護。

換句話說，在數(shù)據(jù)庫安全平臺中，這些功能不是必須的，可以視具體需求而定。

4.1 分析和保護

（1）屏蔽/虛擬補?。和ㄟ^運行數(shù)據(jù)庫防火墻，數(shù)據(jù)庫安全平臺有能力屏蔽入站查詢，并且在執(zhí)行之前中斷查詢。可以采用的方法主要有網(wǎng)絡(luò)連接重置和內(nèi)存掃描代理。一種特定類型的屏蔽---“虛擬補丁”， 在補丁被部署之前，阻止已知漏洞的查詢。

（2）查詢白名單：傳統(tǒng)的屏蔽技術(shù)依賴于查詢參數(shù)和屬性的分析。這種技術(shù)是根據(jù)詞法分析，有兩個顯著的優(yōu)勢。首先監(jiān)測是基于查詢結(jié)構(gòu)，匹配”FROM”和”WHERE”語句的格式，以確定這個查詢是否符合允許列表。第二，如何產(chǎn)生允許查詢列表。通過監(jiān)測數(shù)據(jù)庫行為，數(shù)據(jù)庫安全平臺能夠自動標記這些被允許的查詢，從而生成白名單。當然用戶是被允許可以修改這個白名單的。所有不在白名單上的查詢是無法進入數(shù)據(jù)庫的。

（3）動態(tài)數(shù)據(jù)屏蔽：屏蔽是一種改變數(shù)據(jù)，使原始數(shù)據(jù)是模糊的，但數(shù)據(jù)本身并不會被破壞的方法。我們將敏感數(shù)據(jù)的一小部分用隨機值取代，使它們看起來像原稿一樣。例如，我們用一個電話簿中隨機選擇的名稱來替代數(shù)據(jù)庫中的客戶名稱的列表。

（4）應(yīng)用活動監(jiān)測：數(shù)據(jù)庫很少孤立存在，它們常常是應(yīng)用程序的擴展，但我們常常把它們看做獨立的組件。通過監(jiān)測數(shù)據(jù)庫與應(yīng)用程序之間的數(shù)據(jù)交換，能大大提高監(jiān)測數(shù)據(jù)庫的能力。

（5）文件活動監(jiān)測：文件活動監(jiān)測的范圍包括文件打開、保存、刪除和復(fù)制，而不是僅僅局限于“SELECT”，“INSERT”，“UPDATE”，“DELETE”等SQL查詢語句。

（6）查詢重寫：另一個保護數(shù)據(jù)和數(shù)據(jù)庫免受惡意查詢的有用的技術(shù)就是查詢重寫。通過部署一個反向數(shù)據(jù)庫代理，評估查詢指令的共同屬性和查詢結(jié)構(gòu)。如果一個查詢看起來可疑，或者違反安全政策，它會被一個類似的授權(quán)查詢所取代。例如，一個包括社會安全號碼的列查詢可能被從結(jié)果中刪除。查詢重寫，保護了應(yīng)用的連續(xù)性，因為可疑的查詢不是簡單地被丟棄，而是返回請求的數(shù)據(jù)的一個子集，所以誤報不會導(dǎo)致應(yīng)用程序掛起或崩潰。

（7）連接池的用戶識別：如果所有的查詢都是由同一個賬戶發(fā)起，那么細粒度的安全監(jiān)控將變得困難。這個功能需要使用多種技術(shù)來匹配每個應(yīng)用者的每個查詢。

4.2 發(fā)現(xiàn)和內(nèi)容分析

（1）數(shù)據(jù)庫發(fā)現(xiàn)：數(shù)據(jù)庫中發(fā)現(xiàn)兩種方法之一：主動掃描和被動檢測。大多數(shù)進行主動掃描網(wǎng)絡(luò)的工具，通過詢問數(shù)據(jù)庫端口來識別數(shù)據(jù)庫。通常有一個快速掃描的選擇——只是尋找數(shù)據(jù)庫的標準端口數(shù)量，或遍歷整個端口地址范圍來進行完整的掃描。后者是耗時的，但是安全性更高。第二個選擇是監(jiān)聽網(wǎng)絡(luò)，以混雜方式，尋找任何與數(shù)據(jù)庫的通信。這種被動的發(fā)現(xiàn)模式需要花更多的時間去發(fā)現(xiàn)數(shù)據(jù)庫。

（2）內(nèi)容發(fā)現(xiàn)：通常我們認為已經(jīng)足夠了解我們的數(shù)據(jù)庫了，但其實我們并不真正知道數(shù)據(jù)庫里面在運行什么。數(shù)據(jù)庫安全平臺中的內(nèi)容發(fā)現(xiàn)功能能夠區(qū)分像社會安全號碼這樣的敏感信息。發(fā)現(xiàn)工具爬過注冊數(shù)據(jù)庫，尋找匹配政策的內(nèi)容和元數(shù)據(jù)，當敏感信息出現(xiàn)在未經(jīng)允許的位置時發(fā)出警告。

（3）動態(tài)內(nèi)容分析：監(jiān)控敏感數(shù)據(jù)的實時查詢的結(jié)果，并根據(jù)結(jié)果產(chǎn)生相應(yīng)的警告。

5 總結(jié)

本文討論了一種可運行在不同類型的數(shù)據(jù)庫管理系統(tǒng)上的數(shù)據(jù)庫安全平臺模型，通過分析一系列安全策略和安全技術(shù)在該平臺上的運用，驗證數(shù)據(jù)庫安全平臺架構(gòu)在提高數(shù)據(jù)庫安全方面的有效性。

[1]joltsik on Tue ，Database Security: More Than DAM Database Activity Monitoring (DAM) should be one of many controls, 2011-10-25, http://securosis.com

[2]Adrian Lane, Rich Mogull ，Selecting a Database Security Platform，http://securosis.com

[3]Aaron Newman,Database Activity Monitoring:Intrusion Detection & Security Auditing by, Application Security, Inc. CTO & Founder

[4]Adrian Lane,Selecting a Database Assessment Solution ，http://securosis.com