保護數據安全——從管理特權用戶開始

關鍵字：信息泄露 數據庫審計 數據保護 憑證管理 特權賬號

近幾年給企業咨詢的過程中，我們看到信息安全得到了足夠的重視，許多企業在網絡環境中部署了大量的防火墻、入侵檢測等安全產品，越來越多的防護手段也被引入到抵抗外來入侵的防護中。防御外部風險的安全意識已經得到很好的貫徹實施?？墒菍映霾桓F的信息泄露事件，讓很多信息安全管理人員沮喪。

在為企業做合規性檢查時，我們發現，數據庫管理員可以不受控制地訪問到任何數據；同時以用戶數據分析人員、程序員、開發方維護人員為代表的特權用戶，也可以訪問到敏感數據。

特權賬號濫用，將數據庫置于風險之中。普通的應用操作很少需要由“超級”特權所許可的訪問，允許應用程序使用超級特權用戶，會為不適當的非授權活動創造機會。所有的應用程序都應當使用最少特權的用戶憑證連接到數據庫。

某央企信息中心在信息安全保障工作上，一直走在業內的前端，近幾年配合十二五規劃，廣泛在集團內部實施了安全防護措施，包括機房安全、物理隔離、防火墻、入侵檢測、加密傳輸等等。但進行滲透測試時發現，數據泄露的風險依然存在。經過排查，數據庫安全成為了企業信息安全的短板，具體表現在以下方面：

數據庫管理員角色能擁有至高的權限，權限可以不受限制的傳播。這就使得獲取數據庫管理員角色的權限成為攻擊者的目標。一旦攻擊者獲得該權限，數據庫將對其徹底暴露，毫無任何安全性可言。

數據庫存在許多漏洞，其中不少是致命的缺陷和漏洞。由于沒有及時打補丁，其中不少漏洞可以非常容易地被黑客利用。

數據庫及其應用系統在防御SQL注入等攻擊時，一旦攻擊者從應用程序設計中的漏洞下手，獲得不該具備的權限，整個數據庫文件都有可能會被下載

數據庫普遍采用基于口令的認證方式。本身缺乏有效的登錄口令管理機制，口令更換周期長，使用復雜口令很困難，口令泄露的風險大。

由于數據庫管理系統在上述各個安全方面的不可信，攻擊者可能通過非正常途徑來訪問數據庫，破壞系統的安全性。

從這個案例中，我們可以看到，做好數據安全防護，不能單純依靠網絡安全技術手段，最重要的是針對數據庫的訪問，制定合理的防護解決方案，最終達到：

滿足合規性要求；

減少核心信息資產的破壞和泄露的發生幾率；

追蹤溯源，便于事后追查原因與界定責任；

直觀掌握業務系統運行的安全狀況；

實現獨立審計，完善IT內控機制。

由于數據庫中存放的數據往往是高敏感數據，因此它也毫無疑問地是合規性檢查的重點區域。幾乎所有的企業合規都會對哪些人、能在什么時間、訪問什么數據庫作出規定，并且需要一個專職人員來管理權限。所以做好數據防護的合規性檢查，主要從以下幾個方面入手：

1.對訪問數據庫的所有用戶進行認證；

2.所有用戶訪問任何數據庫時，用戶的查詢和操作（例如移動、拷貝和刪除）只能通過編程性事務（例如存儲過程）；

3.數據庫和應用的配置設置為只限于給DBA（數據庫管理員）的直接用戶訪問或是查詢；

4.對于數據庫應用和相關的應用ID，應用ID只能被應用使用，而不能被單獨的用戶或是其他進程使用。

該集團企業最終針對發現的數據安全風險點，進行了詳細的差距分析，從可實際操作的角度，制定出以下八個步驟，形成合理的解決方案，目標實現數據安全的立體化防護。

1.數據庫直接監控；

2.評估和糾正缺陷；

3.審計用戶訪問；

4.了解用戶如何使用數據庫；

5.驗證交易的真實性；

6.需要獨立的審查；

7.自動化控制來降低年度審計成本；

8.使用加密來保護數據。

實施數據安全防護技術

具體如何實施防護技術呢？從上面的八個步驟，可以發現，實施數據安全防護的核心技術是檢測數據庫的活動，這包括：能夠以實時的速度分析數據庫查詢，區分正常的操作和攻擊。通過收集不同來源的信息，提供多種形式的高級分析和警告，甚至能直接中斷惡意活動。

1.確定數據、事務的保護優先級。

首先要確定企業想保護的內容。顯然對每個事件都進行檢測是不現實的，因為這樣一來監測系統將比保護對象更加龐大。企業需要知道什么樣的數據或事務是重要的。

2.如何捕獲數據庫事件。

現在知道了何種事務是重要的，接下來需要決定如何收集數據庫事件。每一種數據庫檢測器都提供了多種收集數據的方法，每一種方法都各有優劣。

在數據庫平臺上安裝代理很常見，因為代理能捕獲所有SQL活動，在不影響數據庫性能的前提下，有助于理解某次查詢是否是惡意的。

本地審計功能可收集事件，但卻不一定能收集到原始的SQL查詢，開銷也要大很多，影響數據庫性能。

網絡收集器則提供了一種更快更容易的收集SQL活動的方法，但會丟失管理員通過控制臺進行的事務和活動。

因此，針對比較重要的關機數據庫，安裝代理是最佳選擇；而本地審計和網絡監控則適合非關鍵數據庫。

3.數據庫安全的基本定義。

現在，已經成功的在關鍵數據庫系統中收集事件，下一步是實現安全策略。數據庫活動檢測的工作方式是分析數據庫查詢，你可以選擇對哪些語句進行檢查，以及如何檢查。

大多數政策執行的是數據庫查詢屬性檢查：用戶是誰、用戶正在瀏覽哪一列、用戶使用何種應用程序、用戶接觸到的數據、操作時間等，這些通常都被用于定義安全策略?？梢苑謩e為每一個屬性分配特定值，當用戶超過這些預定義的閾值時，監測系統就會警告。例如，你可能會想對這些情況產生警告：所有午夜之后的查詢、三次失敗的登錄嘗試、任何對信用卡資料的訪問。

4.高級監控。

只是純粹的監測和警示，不足以幫助企業做出有效的防護，一套可靠的阻止攻擊、主動抵制濫用的方法，將更加高效地落實安全阻斷。比如SQL注入監測、攻擊阻止和虛擬補丁、特定應用程序用戶認證、會話終止、以及行為監控和內部威脅檢測。

但是，先進的分析手段就意味著先進的政策，這些政策要針對企業自身的環境而定制。比如為了檢測和阻止SQL注入攻擊，你需要為應用程序定義合法的SQL查詢語句。如果你不能及時地給數據庫打補丁，那么就需要編寫一個政策，用于檢測攻擊，同時部署數據庫活動檢測系統阻止威脅。

為實現行為監測，即發現異常的行為，你需要定義什么樣的行為才是正常的。要識別特定應用程序用戶，并不是通常地應用程序連接數據庫的賬戶，你需要提供查詢IP地址或者傳遞用戶憑證的手段。如果檢測到嚴重的威脅，你需要決定是否斷開該用戶，或者鎖定賬戶禁止其訪問系統。

當所有這一切都能夠結合企業實際情況得到落實，那么數據防護工作，才真正起到了應有的作用。

真實案例，數據安全實戰

某銀行的北京分行對重要系統的特權用戶（如UNIX的root用戶）的管理盡管有一定的審批流程及管理制度，但管理手段還停留在使用信封封存密碼的手動管理狀態，存在著一定的安全隱患。同時，由于數據中心低效的手工管理流程，導致對應用系統、數據庫和服務器等的 Root IDs/Support IDs/的管理工作增加。更為重要的是，該銀行的數據庫系統安全工作一直沒有進行有效的防護，存在數據泄露的風險。

因此在數據防護方面，該銀行需要一套整體的解決方案，以滿足：

實時監測

實時監控連接到數據庫/服務器上的會話，獲取會話的5W1H信息（Who、 When、 What、Where、Why、How）。方便安全管理人員對當前系統狀況的監控，實時查看連接到數據庫/服務器上的會話，把握當前各種操作的執行狀態，協助管理人員手動/自動地實時阻斷有風險的數據訪問，當違反策略時，生成告警，并可以通過電子郵件和短信息等方式發送告警。

實時防護

斷開違反安全策略的會話，在網關模式中，實時監測告警，并進行會話阻斷，在旁路監聽模式中，向DB發送KILL命令，殺死有問題的會話，并且能夠通過電子郵件、手機短信等方式向操作者實時發送警告內容

敏感數據遮蓋

基于預先設置的敏感數據遮蓋策略，對含有敏感數據的字段，通過敏感數據遮蓋引擎的處理，用其他的字符或數字（如：*，1）替代原有的數據，實現敏感數據的遮蓋。要能夠支持對字段的全部遮蓋和部分遮蓋。滿足企業對數據脫敏的需求，有效防止DBA、管理員等特權用戶泄露敏感數據。

憑證管理

針對特權賬號審批流程，管理整個賬戶的生命周期。從申請使用、批準、允許或拒絕、使用過程到使用結束狀態。

身份認證管理

結合行內現有認證手段，能夠快速實施各種不同的認證方法，并且要能夠支持未來新的認證方式快速被添加到現有體系中。同樣要可以根據強認證和授權的業務風險需求，使用兩個或多個認證方式的認證鏈強化認證。

特權賬號憑證管理和數據庫審計配合使用，使得任何對數據的訪問，都將受到實時監控，真正做到了數據的立體防護。更為重要的是，數據庫安全防護技術既提升了銀行整體安全水平，又將身份憑證技術無縫結合到上層應用，同時對目前市面上新型身份認證手段的廣泛支持，大大降低了實施成本。

企業的核心是數據，數據的安全會帶來核心競爭力的提升。保護好企業核心數據，是每個企業領導人應該鄭重思考的問題。