微服務(wù)場景下數(shù)據(jù)庫安全研究

盛 碩，車 堃，張 濤，葉 瑩

（1.證通股份有限公司，上海 201206；2.證券期貨行業(yè)網(wǎng)絡(luò)安全創(chuàng)新實驗室，上海 200120）

數(shù)據(jù)庫安全是一種數(shù)據(jù)平臺共享關(guān)注點，可以防護(hù)業(yè)界惡意威脅和攻擊，應(yīng)用方向比較廣泛，主要涉及數(shù)據(jù)庫安全以及相對應(yīng)的底層環(huán)境[1-2]。所以應(yīng)該要有恰當(dāng)?shù)南到y(tǒng)理論化方法來加固數(shù)據(jù)庫軟硬件安全?；谀壳艾F(xiàn)狀，幾乎涉及全行業(yè)領(lǐng)域的組織和機構(gòu)都在使用IT，并且全部日期都被保存到了數(shù)據(jù)庫。因此，進(jìn)一步設(shè)計安全加固策略優(yōu)化數(shù)據(jù)庫安全是非常必要的。

本文是一篇關(guān)于數(shù)據(jù)庫安全的理論性和必要的評價論文，目的是要認(rèn)識到數(shù)據(jù)庫安全本質(zhì)意義、性質(zhì)和趨勢，進(jìn)一步滿足不同類型數(shù)據(jù)庫的基本儲存機制和性能需求，同時在數(shù)據(jù)庫安全領(lǐng)域校驗不同場景下數(shù)據(jù)庫存儲形態(tài)、攻擊安全風(fēng)險等。

1 數(shù)據(jù)庫安全

數(shù)據(jù)庫安全是IT 安全的一個重要組成部分，其負(fù)責(zé)保護(hù)數(shù)據(jù)庫免于網(wǎng)絡(luò)等意外威脅。數(shù)據(jù)庫安全威脅破壞了對數(shù)據(jù)庫各個組件或相關(guān)分庫分表安全機制策略，最終可能對整個數(shù)據(jù)庫結(jié)構(gòu)產(chǎn)生嚴(yán)重影響。此外，數(shù)據(jù)庫安全涉及硬件、軟件程序應(yīng)用細(xì)節(jié)、人力資源和間接記錄的安全。針對不同數(shù)據(jù)格式，數(shù)據(jù)庫需要進(jìn)一步提供適當(dāng)?shù)脑L問控制機制，同時需要進(jìn)一步應(yīng)對數(shù)據(jù)庫可能遇到的盜竊和欺詐等惡意攻擊，避免失去保密性、數(shù)據(jù)隱私安全、記錄和內(nèi)容材料的可用性丟失等特性。同時應(yīng)該注意減少威脅損失，類似于破壞數(shù)據(jù)庫內(nèi)部的記錄[3-4]。圖1 簡要描述了數(shù)據(jù)庫安全領(lǐng)域涉及的安全風(fēng)險。然而，除技術(shù)細(xì)節(jié)對于數(shù)據(jù)庫加固之外，物理機房、機架、可用資源和故障工具等都會影響數(shù)據(jù)庫的安全、穩(wěn)定、吞吐率等。

數(shù)據(jù)庫安全是信息技術(shù)安全的重要組成部分，因此數(shù)據(jù)庫安全也可以被視為一個網(wǎng)絡(luò)安全、IT 安全的子集，因此非常接近公共場景下的安全領(lǐng)域：網(wǎng)絡(luò)安全、新興云安全、新興的移動安全和應(yīng)用程序安全等。隨著數(shù)據(jù)庫的使用，各種組織和機構(gòu)發(fā)展也在不斷涌現(xiàn)，伴隨而來的威脅和攻擊在威脅數(shù)據(jù)庫安全。

2 數(shù)據(jù)庫威脅和攻擊

如圖2 所示，通常計算機系統(tǒng)上存在著不同類型的威脅，數(shù)據(jù)庫管理系統(tǒng)（DBMS）的保護(hù)大致有：①訪問授權(quán)；②訪問控制；③備份事實；④恢復(fù)事實；⑤數(shù)據(jù)完整性；⑥加密事實；⑦與RAID 相關(guān)技術(shù)。

圖2 數(shù)據(jù)庫威脅攻擊

因此，如圖3、圖4 所示，數(shù)據(jù)庫安全除保護(hù)數(shù)據(jù)庫表、數(shù)據(jù)屬性、數(shù)據(jù)字段之外，作為一種擴展方式，同時還關(guān)聯(lián)到機密性、完整性和可用性等。數(shù)據(jù)庫保護(hù)是需要通過以下方法來確定和測量：①黑客通過惡意攻擊未經(jīng)授權(quán)數(shù)據(jù)庫客戶端?？蛻舳藢ο笊踔吝€可能包括數(shù)據(jù)庫管理員、系統(tǒng)經(jīng)理、網(wǎng)絡(luò)管理員等。②未經(jīng)授權(quán)的內(nèi)部事件機制，包括各種布局在存儲庫或數(shù)據(jù)庫分布式事物事件表等，比如數(shù)據(jù)保護(hù)配置。③惡意軟件攻擊可以在未經(jīng)授權(quán)的執(zhí)行訪問的前提下大概率刪除這些事實或程序，拒絕訪問有時可能還會發(fā)起對數(shù)據(jù)庫系統(tǒng)攻擊，并導(dǎo)致數(shù)據(jù)庫故障。④對于數(shù)據(jù)庫保護(hù)方面，一般總體性能約束的過載會導(dǎo)致數(shù)據(jù)庫系統(tǒng)中的治理安全等問題。⑤通過火災(zāi)或洪水等意外天氣引起數(shù)據(jù)庫物理服務(wù)器破壞。⑥設(shè)計缺陷，主要包括編程中的bug，還有數(shù)據(jù)庫程序停止最終導(dǎo)致事實損失，甚至能夠?qū)е抡w性能下降。⑦數(shù)據(jù)損壞，由于輸入無效事實或命令，系統(tǒng)內(nèi)部錯誤會導(dǎo)致數(shù)據(jù)庫或存儲模塊出現(xiàn)讀寫異常等問題，引起最終結(jié)果脆弱因素。⑧系統(tǒng)/數(shù)據(jù)庫恢復(fù)，數(shù)據(jù)庫管理系統(tǒng)（DBMS）應(yīng)提供備份介質(zhì)，以恢復(fù)所涉及數(shù)據(jù)庫表。同時備份副本也需要定期保存在一個顯著位置。⑨盡量減少未經(jīng)授權(quán)使用的數(shù)據(jù)庫系統(tǒng)通過確保類似于多因素組成的記錄管理訪問。⑩負(fù)載平衡，進(jìn)一步查找在數(shù)據(jù)庫系統(tǒng)內(nèi)部涉及關(guān)鍵身份ID，以確保數(shù)據(jù)庫負(fù)載均衡穩(wěn)定。 11系統(tǒng)物理保護(hù)（數(shù)據(jù)庫），根據(jù)不同場景下進(jìn)行區(qū)分劃分不同服務(wù)器組成。 12監(jiān)控、評價數(shù)據(jù)庫工具，這些工具可以進(jìn)行多維度攻擊因素，并成為一個關(guān)鍵問題。

圖3 數(shù)據(jù)庫多維安全體系

圖4 分庫分表安全拆分

根據(jù)現(xiàn)有研究，常見地區(qū)數(shù)據(jù)庫保護(hù)問題，涉及數(shù)據(jù)庫安全管理，其中一些關(guān)鍵點如下所述。

可用性?！翱捎眯浴币辉~討論了使用信息、并適當(dāng)準(zhǔn)確獲取信息的權(quán)利。如果聯(lián)系信息錯位，這將導(dǎo)致可用性的損失，因此級別較高的安全標(biāo)準(zhǔn)是必要的。例如，缺乏可用性會妨礙網(wǎng)絡(luò)通信效率，從而破壞控制系統(tǒng)功能，而操作員系統(tǒng)則會阻止網(wǎng)絡(luò)的可用性?？捎眯怨艨赡軙で?、限制或阻礙數(shù)據(jù)傳輸。此外，智能電網(wǎng)中的可用性攻擊禁止并可能中斷授權(quán)訪問。在大規(guī)模常規(guī)電網(wǎng)中定位資產(chǎn)可用性具有挑戰(zhàn)性。ICT 被嵌入智能電網(wǎng)的信息資產(chǎn)，可能受到攻擊和完全無法訪問。DoS 攻擊被稱為可用性攻擊。DoS 攻擊試圖通過阻礙、破壞或停止數(shù)據(jù)傳輸來中斷數(shù)據(jù)傳輸。這使得網(wǎng)絡(luò)源無法訪問?？捎眯怨舻脑O(shè)計使用了幾種方法來均衡網(wǎng)絡(luò)負(fù)擔(dān)以確保系統(tǒng)能否正確運行。攻擊者傳輸大量的流量以壓倒網(wǎng)絡(luò)傳輸連接。此外，有效數(shù)據(jù)包將可能丟失，并且不會在網(wǎng)絡(luò)流量中進(jìn)行處理。IEC 61850 和IP/TCP 是基于IP 的協(xié)議系統(tǒng)，受可用性攻擊，必須執(zhí)行SG 技術(shù)中優(yōu)先級最高的標(biāo)準(zhǔn)，針對可用性攻擊進(jìn)行全面補救措施?？捎玫姆椒ò髁窟^濾、大管道、氣隙網(wǎng)絡(luò)和異常檢測方法。在SG 系統(tǒng)中，DoS 的攻擊對大數(shù)據(jù)的威脅巨大；因此，將軟件解決方案集成到不同的網(wǎng)絡(luò)層中可以顯著防止DoS 的攻擊。

完整性。在網(wǎng)絡(luò)系統(tǒng)中，完整性是保護(hù)數(shù)據(jù)防止未經(jīng)授權(quán)的修改或降級狀態(tài)的標(biāo)準(zhǔn)。當(dāng)數(shù)據(jù)存在被破壞、修改或被剝奪的可能時，會存在完整性缺失的潛在風(fēng)險。例如，SQL 注入是針對對手破壞性攻擊，攻擊者可以訪問、修改或刪除數(shù)據(jù)庫中的敏感信息，完整性威脅并不限于未經(jīng)授權(quán)的數(shù)據(jù)更改或注入。完整性攻擊包括設(shè)備模擬攻擊、稀疏攻擊和重放攻擊。通過加密技術(shù)和方法，可以防止數(shù)據(jù)完整性威脅。SQL 注入和MITM 攻擊使用數(shù)據(jù)庫操作進(jìn)一步改變、接管或破壞已授權(quán)操作。

在應(yīng)用系統(tǒng)中，數(shù)據(jù)集中器鏈接到SMHAN，攻擊者可以使用未經(jīng)授權(quán)的數(shù)據(jù)更改或MITM 攻擊來損害SM 和數(shù)據(jù)集中器單元之間的數(shù)據(jù)傳輸完整性，導(dǎo)致攻擊安全負(fù)載的下降。

在MITM 攻擊威脅場景下，安全網(wǎng)關(guān)支持目標(biāo)節(jié)點和源身份驗證，以及數(shù)據(jù)傳輸?shù)臋C密性。TLS 協(xié)議還包括內(nèi)置的非對稱加密特性，可以有效地發(fā)現(xiàn)和解決漏洞，以防止MITM 攻擊。通過將腳本命令插入到數(shù)據(jù)庫中，SQL 注入攻擊會試圖操作數(shù)據(jù)庫。SQL 注入攻擊會在數(shù)據(jù)庫系統(tǒng)中插入欺詐性的需求，以維護(hù)控制系統(tǒng)，刪除或更改當(dāng)前信息，并插入偽造的數(shù)據(jù)。通過使用輸入類型檢查、匹配正則校驗?zāi)Ｊ?、驗證靜態(tài)代碼、對遠(yuǎn)程用戶數(shù)據(jù)庫訪問預(yù)防、動態(tài)SQL 預(yù)防和進(jìn)行漏洞掃描等技術(shù)，可以減輕網(wǎng)絡(luò)系統(tǒng)中的SQL 注入攻擊。攻擊者可以使用分號等字符，因此，在類型驗證期間應(yīng)監(jiān)視和排除這些字符。其他類型的完整性攻擊包括篡改SCADA 系統(tǒng)、重放攻擊和時間同步攻擊（TSA）。為了防止上述對SG 網(wǎng)絡(luò)的完整性攻擊，使用了身份驗證方法和端到端加密建議。針對發(fā)起機密性或完整性攻擊，可以驗證攻擊者的通信網(wǎng)絡(luò)訪問和機密數(shù)據(jù)。因此，身份驗證和訪問控制是減少對通用網(wǎng)絡(luò)系統(tǒng)的完整性攻擊關(guān)鍵。

保密性。保密性保護(hù)了對記錄的獲取和傳播的允許限制。保密標(biāo)準(zhǔn)包括防止未經(jīng)授權(quán)的個人、組織或系統(tǒng)披露或訪問專有或敏感的細(xì)節(jié)。如果信息被釋放而被剝奪了許可，保密性就會受到損害。例如，信息在客戶和多個機構(gòu)之間傳播，計量使用、計量管理和計費信息可以是私人的和保護(hù)性的；否則，客戶的信息可以被利用和更改，或其他惡意用途。機密性攻擊還會對通信網(wǎng)絡(luò)的功能產(chǎn)生負(fù)面影響。保密攻擊尋求獲取應(yīng)在受信任各方之間保密或披露的數(shù)據(jù)，非法訪問設(shè)備內(nèi)存、重放攻擊、欺騙有效負(fù)載及改變軟件控制都是保密攻擊的實例。密碼攻擊通常包括社交操縱、字典攻擊、密碼嗅和密碼猜測。竊聽是一種被動攻擊，也損害了的數(shù)據(jù)保密性。在SG 網(wǎng)絡(luò)系統(tǒng)中對局域網(wǎng)（LAN）的竊聽攻擊嗅探IP 包或攔截?zé)o線傳輸，對系統(tǒng)的問責(zé)和透明度造成損害。加密保護(hù)敏感信息免受竊聽攻擊。流量分析攻擊是一種被動的保密性攻擊，通過解釋和嗅探這些消息，可以讓攻擊者圍繞網(wǎng)絡(luò)之間的通信模式獲取關(guān)鍵數(shù)據(jù)。偽裝攻擊，也被稱為模仿或身份欺騙，是其他保密攻擊。其他機密性攻擊包括未經(jīng)授權(quán)的訪問、MITM 攻擊和外部數(shù)據(jù)注入公司攻擊。針對防止保密攻擊，智能電網(wǎng)相關(guān)設(shè)備必須包括身份驗證、數(shù)據(jù)加密和對隱私協(xié)議等。

3 數(shù)據(jù)庫安全策略

行業(yè)領(lǐng)域各公司機構(gòu)都必須采取合規(guī)的法規(guī)標(biāo)準(zhǔn)措施，以實現(xiàn)高標(biāo)準(zhǔn)、高優(yōu)先級和適當(dāng)規(guī)模的數(shù)據(jù)庫系統(tǒng)控制。數(shù)據(jù)庫控制在保護(hù)完整的數(shù)據(jù)庫系統(tǒng)和控制方面起著重要的作用，特別是在分布式事務(wù)加鎖場景下。在數(shù)據(jù)庫管理員進(jìn)行數(shù)據(jù)庫權(quán)限加權(quán)過程中主要包括如下原則。

1）控制對數(shù)據(jù)庫訪問權(quán)限。

2）為消費者或用戶提供手動服務(wù)。管理適當(dāng)策略備份，比如治療記錄和內(nèi)容，以確保記錄完整性。

3）控制記錄保護(hù)。

4）設(shè)置記錄隱私。

5）制定IT 規(guī)范和指南。

此外，仔細(xì)控制對記錄的訪問，允許更好記錄保護(hù)，比如敏感信息記錄等。

4 結(jié)束語

數(shù)據(jù)庫和主系統(tǒng)通常面臨著許多安全威脅。這些威脅在小組織中是常見的，但在大組織和機構(gòu)中，漏洞可能是非常關(guān)鍵的威脅因素，因為其保存了敏感信息和核心部門人員的使用記錄。在數(shù)據(jù)丟失的情況下，無法檢索數(shù)據(jù)庫中的核心參數(shù)，因此，對于一致安全事實場景下非常重要。物理損壞也是數(shù)據(jù)庫安全的一個關(guān)鍵困難，包括人為錯誤或硬件故障等。此外，就數(shù)據(jù)庫系統(tǒng)而言，這些規(guī)范和指南還希望成為云原生場景下數(shù)據(jù)安全的廣泛依賴項。