绿盟科技蒲新宇：揭秘数据库的访问审计

郑全

已成燃眉之急

　　Willie Sutton是十九世纪二十年代闻名一时的银行大盗，当他被问为什么抢劫银行时曾说过一句经典的话：“因为那是放钱的地方”。在当今世界，所谓的"钱"就是信息，而一个公司最有价值的资产就存放在其数据库中。因此，如果Willie Sutton是一个黑客的话，他一定会把目标瞄准目标数据库，因为那就是公司存放"钱"的地方。 数据库显然存放着最真实和最有价值的那部分资产：可能是知识产权(如可口可乐的配方)，也可能是价格和交易数据或者客户信息。这些重要数据，一旦被人非法窃取篡改将带来难以想象的严重后果。

　　下面是近年发生在我国的一起典型通过非法篡改数据库牟利的案例。

　　张某于2000年进入某电信运营商分公司工作，担任该公司综合市场部计费及维护员。张某作为公司计费营帐系统的管理员，拥有该系统的工号和密码，可以直接进入该系统进行查询、调研和数据统计等工作。该计费营帐系统与充值卡数据系统分属于不同的系统，但共用同一数据库。按照该分公司对计费及维护员职责的规定，张某无权对公司计费营帐系统内的充值卡数据进行新生成或修改。2004年期间，张某在办公室的电脑上用自己掌握的密码，进入了该分公司的充值卡数据系统，通过运行数据库的操作语言修改了数据库中的充值卡数据，将已充值使用过的每张面值为50元的7000张充值卡修改为未使用的状态。其后，把充值卡的卡号、密码等数据按面值七折的价格出售给他人，获利20万余元，造成该公司经济损失达29.25万元。

　　目前，国内类似上述企业数据库的重要数据被内部员工非法篡改牟利问题已日益增多，企业数据库信息安全面临严峻挑战，并已引起各企业高度重视，成为迫切需要解决的问题

郑全

威胁与风险并存

　　由于企业数据库系统用户众多，涉及数据库管理员、内部员工及合作方人员等，因此网络管理更加复杂，企业数据库面临的主要安全威胁与风险总结如下：

　　? 数据库账户和权限的滥用

　　? 表现一：缺少针对数据库管理员监控机制。数据库管理员拥有数据库系统管理、账号管理、权限分配等系统最高权限。如果数据库管理员利用工作之便，窃取、篡改、毁坏重要业务数据，对企业数据库安全的打击将是巨大的。国内某著名网络游戏厂商高管王某非法修改游戏服务器数据牟利就是一个很典型的例子，王某利用职务便利，非法修改网游数据库服务器的游戏装备数据，然后通过网站私下交易出售给其他玩家，非法获利200余万，给企业造成难以挽回的重大经济损失。

　　? 表现二：合法用户权限滥用。数据库系统的操作管理采用分权管理形式，包括多个账号，如普通账号、用于数据库日常维护的临时账号;如果上述账号权限被内部人员或合作方人员用来窃取、恶意损毁数据库的重要业务数据，在短时间内管理者极难察觉发现数据被篡改或删除，事后也难以追查取证，造成难以弥补的损失!

　　? 数据库自身日志审计的缺陷

　　? 表现一：难以实时监测发现问题。数据库系统自身的日志审计功能可以记录各种数据库系统修改、权限使用等日志信息，并不能帮助管理者及时发现定位问题;同时由于不能实时监测报警，因此在数据库异常安全事件发生时，无法第一时间报告给管理者，导致管理者不能及时采取有效措施。

　　? 表现二：影响数据库服务器运行与性能。数据库自身日志审计也会占用了大量的硬盘空间，降低数据库服务的性能，甚至可能影响正常应用的顺利进行，同时面对成千上万条日志记录，很少有数据库管理员为了寻找几条有用的项目，去查看数千的审计日志条目，因此如何筛选出有用信息也是客观存在的问题

 

郑全

安全需求紧迫

　　根据对企业数据库系统的威胁与风险分析，企业的数据库安全需求主要集中在以下方面：

　　? 一是，全面监测数据库超级账户、临时账户等重要账户的数据库操作。

　　? 二是，实时监测数据库操作行为，发现非法违规操作能及时告警响应。

　　? 三是详细记录数据库操作信息，并提供丰富的审计信息查询方式和报表，方便安全事件定位分析，事后追查取证。

　　同时根据美国国防部TCSEC/TDI标准中关于安全策略的要求，数据库审计是数据库系统达到C2级以上安全级别必不可少的一项。

　　因此需要企业网络中部署专业的数据库安全审计系统，可有效监控数据库访问行为，准确掌握数据库系统的安全状态，及时发现违反数据库安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，保障企业数据库安全

郑全

 

 

 

 

 

　　数据库安全审计系统介绍

　　数据库安全审计系统是通过对网络数据的采集、分析、识别，实时监控网络中数据库的所有访问操作，发现各种违规数据库操作行为，及时报警响应操作还原，实现数据库安全事件的准确跟踪定位，保障数据库系统安全。

　　数据库安全审计系统模型包括两个部分：一是审计数据采集器，用于采集审计数据，并存储为审计日志;二是审计数据分析器，负责分析审计数据采集器发送的数据;审计数据字典则是数据库审计规则库。如下图1所示：

 

　　图1 数据库安全审计流程

　　数据库安全审计系统首先收集来自用户的事件，当用户进行数据库访问操作时，采集器根据审计数据字典，判断其数据库访问行为是否为审计事件，当数据库访问事件满足审计报警记录条件时，分析器则向管理人员发送报警信息并把用户对数据库的所有操作自动记录下来，存放在审计日志中。

　　审计日志记录的内容一般包括：用户名称，操作时间，操作类型(如修改、查询、删除)，操作所涉及到相关数据(如表、视图等)等。利用这些信息，可以进一步找出非法存取修改数据库的人员及其修改时间和修改内容等。同时管理人员也可以通过手工查询分析审计信息，并形成数据库审计报告。审计报告通常包括用户名称、时间、具体数据库操作(包括采用什么命令访问哪些数据库表、字段)等。

　　当发现新数据库访问具有潜在危害性，而审计数据字典未制定的对应审计规则，管理人员可以在审计数据字典中更新审计规则。在安全审计模型中，数据库审计日志信息起着非常关键的作用，它记录了各种类型的数据库访问事件，为管理人员提供了事后审计的依据，同时帮助管理人员实时掌握数据库操作事件的动态

 

郑全

基本标准评价

　　是否能够很好地帮助管理者完成对数据库访问行为的监测是数据库安全审计系统的基本标准。一个完善的数据库安全审计系统应该从几个方面评价：

　　一是，具有全面丰富的数据库审计类型。

　　二是，具有细粒度的数据库操作内容审计。

　　三是，能准确及时的违规操作告警响应。

　　四是，可以全面详细的审计信息，丰富可定制的报表分析系统。

　　五是，自身的安全性高，不易遭受攻击。

　　由此可见，能通过网络数据的采集、分析、识别，实时监控网络中数据库的所有访问操作，同时支持自定义内容关键字库，实现数据库操作的内容监测识别，发现各种违规数据库操作行为，并及时报警响应、全过程操作还原，从而实现安全事件的准确全程跟踪定位和全面保障数据库系统安全的数据库安全审计系统，才是一款合适的产品

 

郑全

 

 

 

 

　　数据库安全审计特性分析

　　全面的审计类型

　　系统应覆盖ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等主流数据库系统。

　　灵活的审计策略

　　系统应支持基于内容关键字、IP地址、用户/用户组、时间、数据库类型、数据库操作类型、数据库表名、字段名等多种组合数据库审计策略，从而全面监测发现各种非法操作及合法用户的违规操作。

 

　　数据库操作信息还原

　　系统应实时审计用户对数据库系统所有操作(如：插入、删除、更新、用户自定义操作等)，并完全还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表和字段名等，实现安全事件准确全程跟踪定位，为事后追查取证提供有力支持。

 

　　多种业务运维操作审计

　　系统需要支持对TELNET、FTP等操作的命令级审计和全过程记录。

　　审计信息管理

　　系统需支持数据库审计事件信息的备份、恢复、清除、归并等功能;日志信息应能保存到SQL Server，Oracle等大型数据库中。

　　系统需提供详细的综合分析报表、自定义等多种类型报表模板，支持生成：日、周、月、季度、年度综合报表。报表应支持MS Word、Html、JPG等格式导出。

　　丰富的管理能力

　　为不影响数据库系统自身运行与性能，系统需采用旁路监听部署模式。

　　系统需支持多种响应方式，包括发送邮件、安全中心显示、日志数据库记录、打印机输出、运行用户自定义命令、TCPKiller等方式及时报警响应。

　　高可靠的自身安全性

　　系统需具有安全、可靠、高效的硬件运行平台;采用强加密的SSL加密传输告警日志与控制命令，避免可能存在的嗅探行为，保证数据传输的安全

郑全

型部署及效果

　　典型的数据库安全审计部署拓扑图如下：

说明: M:\53-产品图片\06-V5.6.3\SAS功能演示_数据库审计090916.jpg

　　通过在企业内网核心交换机上旁路部署安全审计系统网络引擎，实时审计所有用户对数据库服务器的操作。在企业的网络管理区部署1台服务器作为安全审计系统的安全中心，管理安全审计系统网络引擎，并具有系统监控和审计日志管理功能。

　　通过部署安全审计系统将帮助企业实现：

　　实时监控数据库各种账户(如超级管理员、临时账户等)的数据库操作行为，准确发现各种非法、违规操作，并及时告警响应处理，降低数据库安全风险，保护企业数据库资产安全。

　　全面记录还原数据库操作信息，提供丰富的审计信息查询方式和报表，方便安全事件定位分析，事后追查取证。

　　因此，通过在企业网络中部署安全审计系统，可有效监控数据库访问行为，准确掌握数据库系统的安全状态，及时发现违反数据库安全策略的事件并实时告警、记录，保障企业数据库安全