扫一扫
关注微信公众号

高瞻远瞩,如何打造安全可靠的数据库系统?
2012-03-28   中国IT运维网

前瞻

“相信吗?数据库正在不断的改变企业和机构的命运,全世界将会有80%以上的资金或者资产会被数据库的安全状况左右。”当这句话从一个信息安全行业专家嘴里说出来的时候,让人有些震惊。但是仔细一想,却也并不夸张,想想数据库大多都用在财务系统、资金系统、税务系统、计费系统、结算系统、运营系统、ERP系统、营销系统……,几乎所有数据库覆盖到的地方,无一不和企业资金或者资产紧紧的绑在一起。数据库是一个让人心惊肉跳的地方,这一点不夸张。通俗意义上来讲,数据库就像家里用来装现金和珠宝的保险柜,但事实上,数据库的安全问题远比保险柜来的更为重要。

时光倒回到十几年前,上世纪末,所有的人都在担心一个问题,“千年虫”。因为当时的计算机在年份的设置上,只能支持两位数,也就是只能支持0-99,如果“千年虫”问题不解决的话,从1999年跨度到2000年的时候,银行的数据库系统在进行利率结算时,可能重新以1900年为终点进行计算,届时,人们存在银行里的资产都会存在负利率,存在银行里的钱将会越变越少。

幸运的是,“千年虫”问题在国际社会的努力下,有惊无险的进行了过渡。但是,我们从中可以看到,数据库关系到的是人们的生活、企业的发展以及社会的稳定,关系到企业和老百姓的“钱袋子”。计算机自身的“千年虫”问题已经成了历史,但我们是否能够保证来自于数据库系统外部意外的或恶意的“千年虫”问题不会重现呢?数据库是一个非常脆弱的系统,如何保证数据库系统的安全及连续性运营,如何保证存储在数据库里面的数据的完整性,是每一个企业都亟待考虑的问题。

解析数据库安全现状

从数据库系统自身的角度来讲,数据库的安全问题主要分为物理安全、运行安全以及数据安全。物理安全主要考虑数据库系统的运行中的环境安全、防灾防盗等因素,运行安全主要考虑的是承载数据库运行的系统环境以及数据库系统本身的稳定性和持续性,数据安全泛指存储在数据库系统中数据的完整性和可靠性问题,例如SQL注入、数据恶意删除和篡改等问题。对于物理安全及运行安全,目前已经有相当多的手段去进行控制,例如安防监控系统以及数据库远程容灾备份等技术。但是,对于数据的安全,却没有太多的办法,而据了解,90%的数据库问题都是针对数据的,因为数据代表的是最直接的利益。举几个例子:

2005年6月,黑客通过入侵美国信用卡系统解决方案公司的数据库,4000万用户的信用卡帐号被盗。

2006年2月,某通信设备公司工程师入侵某市移动网络,窃取充值密码获利370万元

2007年11月至2009年5月间,某市2名税务员修改系统无偿帮助亲友免税,造成国家35万元的税款无法回收。

通过权威机构近几年的统计,针对数据库的攻击及非法获利的问题呈急速上升的趋势,Verizon Business的年度计算机破坏报告中说明,2008年的数据丢失案中,数据库破坏占据了30%,更糟糕的是,在数据入侵的统计中,数据库入侵的比率高达75%。2009年的全球信息安全报告中对企业数据泄密的途径进行了统计,结果表明,有57%的攻击者通过数据库获得了企业的机密数据进行非法获利。面对越来越多的数据安全问题,企业作为数据的拥有者,该如何去保护自己的无形资产呢? 

北信源公司数据保护的解决之道

首先,我们举一个小偷入室盗窃的例子,一个手段极高的小偷进入了一个富人的别墅,打开了富人的保险柜,将别墅里面值钱的东西洗劫一空。警方接到报案后,通过安装在别墅里面的视频监控系统,很快就抓住了小偷,并将赃物全部追回,原来小偷是经常来往于该别墅的一家家政公司的员工。小偷还没来得及享受,就直接被押进了铁窗,这个偷盗高手做梦都没想到,自己最后竟然栽在了一个小小的摄像头手上。

为什么举这样一个例子呢,因为企业的无形资产--数据,它所存放的地方,和我们现实中的实物财产存放的地方是何其的相似。通常,数据(财产)存储在数据库系统(保险柜)之上,数据库系统安装在服务器(别墅)上提供服务,服务器在企业或运营商的核心数据机房(别墅庄园)运行。从企业的角度出发,我们无法阻止黑客(有可能是第三方工作人员)去攻击我们的数据库,无法阻止不良企图者试图获取我们的数据非法获利,但是我们应该需要一个安装在数据库网络链路上的视频监控系统,记录下不良企图者对数据库的每一步操作,以便于事后及时查清责任人,及时追讨损失,及时发现数据库的风险并进行补漏。那这个视频监控系统到底是一个什么样的系统呢?北信源数据库审计系统(VRV-DBAS)将给您答案。

北信源数据库审计系统VRV-DBAS(VRV DataBase Audit system)是北信源公司面向网络空间的终端安全管理体系(VRV SpecSec)架构下的一款重要产品,是北信源公司集多年行业安全经验积累而推出的数据库应用安全产品。其采用分体式组件化设计,可进行海量数据离线审计。与此同时,还可以进行细粒度审计结果分析和零风险并行部署,搭建可扩展的系统架构,从而实现完整的安全规则库,对数据进行全方位保护。

  七大独门秘籍,保证北信源数据库审计系统VRV-DBAS 的卓越性
 
 作为一个在数据库系统网络访问链路上的监察者,具体应该要履行什么样的职责呢?作为企业的CTO,您认为什么样的产品最适合本企业呢?相信您心中早有标准。那么就北信源数据库审计系统VRV-DBAS而言,又有哪些个性特点迎合您的需求呢?
 数据库行为实时监控与防御

 VRV-DBAS可以实时监控用户对数据库系统所进行的所有操作行为。一方面,VRV-DBAS审计引擎可以根据制定的入侵检测策略,快速地对数据库的缓冲区溢出攻击、口令字猜解等恶意攻击做出反应。另外一方面,通过VRV-DBAS的数据审计中心,可以根据内容关键字、IP地址、用户/用户组、时间、数据库类型、数据库操作类型、数据库表名等组合设定数据库敏感行为预设反应策略。

·会话操作回放

 传统的数据库审计系统对采用TELNET、FTP、SSH等方式登录到数据库服务器再执行数据库语句的方式无法进行有效的审计,造成数据库操作的审计覆盖面不足。VRV-DBAS采用TELNET、SSH以及FTP会话深度还原的技术,能够完整的回放通过Telnet、SSH、FTP等方式访问数据库的所有会话,使得通过该方式进行的数据库违规行为无处可遁。

·风险行为实时报警

 VRV-DBAS具备独立的告警功能模块,通过内置多种告警规则库,支持对用户所关注的敏感信息设置告警策略。当告警规则事件被触发后,系统会将告警信息及时通知给管理员,告警方式包括邮件告警,声音告警,短信告警等多种方式。这就类似于在小偷撬开我们的防盗门,再打开我们的保险柜的时候,我们可以及时的进行报警,在小偷接触我们的财产之前就可以将他抓获,避免造成进一步的损失。

·强大的数据定制功能

 VRV-DBAS审计引擎具有非常强大的数据定制功能,在数据量非常大时,VRV-DBAS审计引擎可以根据管理员定制的规则进行数据采集,例如,可以根据操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、表名等条件进行定制,从而只采集管理者真正关心的数据,减少其它信息的干扰。

·专业的报表定制功能

 VRV-DBAS数据中心支持管理员自定义多种报表任务,包括数据库访问量报表、特权操作跟踪报表、生命期跟踪类报表以及周期性任务报表等,可将多种对象进行组合生成相应数据库访问量报表,如源IP、目标IP、协议类型、客户端名、应用程序名、数据库名、操作方式、操作对象、预警规则名、预警级别等。

·灵活的审计结果展示

VRV-DBAS支持对数据库行为审计结果的实时分析、历史数据统计以及深度分析的功能,所有审计结果都以专业的图形报表形式进行展示,同时,对所有的图形化报表均提供查询接口。

·历史数据自由回档与检索

为充分利用审计数据中心的存储空间,该系统对审计数据进行了高达95%比率的压缩,同时,VRV-DBAS可以根据需要重新检索的数据范围,对压缩数据进行自动回档操作,并对回档出来的数据重新检索。

 ·典型部署方式,满足“今天”和“明天”的应用需求

 北信源数据库审计系统VRV-DBAS采用组件化的逻辑体系,硬件采用分体机架构,实现对数据捕获、数据分析、数据展示以及系统配置的分布式协同处理。逻辑上VRV-DBAS主要分为四大组件:包含审计引擎AE(Audit Engine)、数据中心DC(Data Center)、审计视图中心VC(View Center)以及系统配置中心CC(Configure Center)。

 硬件划分上,审计引擎为独立的硬件处理平台,以旁路监听的方式接入网络,通过在交换机上将访问数据库的流量镜向或采用TAP分流监听等方式,使数据库审计引擎AE能够监听到用户通过交换机与数据库进行通讯的所有操作,以下是VRV-DBAS的典型部署方式:

结语:

信息泄露的事件天天都在发生,所有存在数据的地方,只要数据是有价值的,就存在风险,就有人会去想法子窃取、篡改、贩卖,从中牟利。尤其是一些涉及到公民因私的信息泄漏甚至是涉及到国家机密的信息泄漏,不单单是违反行业内控规定这么简单,而是可能触犯国家的法律。作为企业的CTO,面对于此,如何高瞻远瞩地打造自己企业的数据库系统想必已早有定论。

VRV-DBAS通过抓取和业务系统数据库操作相关的数据包,实现对数据库操作和用户行为的审计,同时可以提供丰富的查询接口,供数据管理者查询、分析、取证、决策,及时发现可能危及企业生产和运行的数据库风险因素,提供有效的风险控制依据。北信源数据库审计系统可以针对MSSQL、Oracle、DB2、Sybase等数据库系统的操作行为进行全面审计,主要应用在金融证券、电子政务、电子商务、医疗卫生、能源、教育等行业,其部署方式简单灵活,只需要将审计引擎部署在任何可以捕捉到数据库相关操作流量的位置,便可以实现全面的操作审计,从而保证从网络安全审计的技术角度加强对数据库的安全保护,保障数据安全。

热词搜索:

上一篇:银行业务系统监控技术浅析
下一篇:VMware发布Cloud Foundry的免费版本

分享到: 收藏