我国著名的信息安全专家屈延文老师认为,结构性安全问题已经取代脆弱性安全问题成为当前形势下信息安全的最主要威胁。他认为“信息安全问题其实可以分两类,一类是因为产品或方案不完善而使信息系统存在脆弱性,常见的病毒、木马、后门问题几乎都是系统的脆弱性引起的,另一类是正常功能被错误应用引起的,也就是人们常说的没管好、用好信息系统。病毒、木马威胁或者黑客攻击其实都属于第一类信息安全问题,是最基本层次的信息安全威胁,事实上,大多数信息威胁都来自于后面这种结构性安全问题。”

  以数据库为例,数据库系统在企业管理等领域具有广泛的应用,如ERP系统、计费系统、经分系统等等,是应用系统的基础,承载了企业运营的关键数据,是企业核心IT资产,防范严密,很少被木马、入侵等攻击行为侵袭。但是在实际运行中,却经常出现由于数据库管理不善导致各种安全事故的情况,对于数据库系统这类结构性安全问题,主要有安全配置管理、安全审计等技术手段。

  在《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中对数据库审计做出了明确的要求:

  • 审计范围应覆盖到服务器的每个数据库用户;

  • 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全相关事件;

  • 审计记录应包括事件的日期、时间、类型、主体标识(账号)、客体标识(数据库表级、数据库字段级)和结果等;

  • 应能根据记录数据进行分析,并生成审计报表;

  • 应保护审计进程,避免受到未预期的中断;

  • 应保护审计记录,避免受到未预期的删除、修改或覆盖等。

  相对应的在《GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求》中对数据库安全审计进一步做了阐述:

  • 建立独立的安全审计系统;

  • 定义与数据库安全相关的审计事件;

  • 设置专门的安全审计员;

  • 设置专门用于存储数据库系统审计数据的安全审计库;

  • 提供适用于数据库系统的安全审计设置、分析和查阅的工具。

  由此可见,国家主管机构对于数据库系统的安全审计要求是有着深刻的认识的,这和信息安全的发展趋势是相契合的。那么,国外的相关机构又是怎么认识这个问题的呢?在这里就不得不提美国国会出台的《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯法案,SOX法案),按照萨班斯法案生效时的约定,在美上市公司必须遵守SOX法案404条款,依据COBIT(Control Objectives for Information and related Technology是目前国际上通用的信息技术控制目标)建立企业信息技术内部控制,其中对数据库安全审计的细化要求如下:

  • 对企业内部敏感数据的存取行为审计

  • 对数据的DML操作行为审计

  • 对数据表的DDL操作行为审计

  • 出现的账号登录失败、SQL访问关键错误等异常情况审计

  • 对账号和角色的操作行为,例如Grant、Revoke等命令的审计

  值得重视的是,2008年5月22日,有中国SOX法案之称的《企业内部控制基本规范》由财政部、证监会、审计署、银监会、保监会联合制定并发布,2010年4月26日,在基本规范的基础上发布了《企业内部控制配套指引》,其中对安全审计的要求为:

  • 企业应当对必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。

  • 企业应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。

  为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。

  那么部署数据库安全审计系统,能够帮助用户解决什么问题呢?对于一个数据库系统来说,面临的风险是与用户身份和操作行为密切相关的,主要有如下几种情况:

  • 特权用户的访问风险

    特权用户对业务数据的访问和修改;
    特权用户对数据库结构的修改;
    特权用户账号的恶意使用。

  • 业务用户的访问风险

    超出正常业务需求的使用;
    非正常时间的访问;
    使用业务系统账号直接访问数据库的行为。

  • 开发者的访问风险

    对正在运行的业务系统的访问。

  • IT运维人员的访问风险

    未经批准的改变数据库配置的行为;
    未经批准的补丁行为。

  下面我们可以通过几个实际案例的分析,来帮助我们理解数据库系统所面临的风险。

 

  案例一 特权用户风险

  国家“金卫工程”的实施,使医院管理信息化的进程大大加快,很多医院实施了HIS系统,给医院管理带来了许多的便利,但是由此也带来了一些管理上的漏洞。特别是部分医院内部工作人员与医药营销人员内外勾结,私自进行“统方”行为,将医院用药信息泄漏给医药营销人员以此来获取利益,

  小A和小B的故事正是这样的,他们是大学同学, 毕业后小B被分配到某医院的信息中心负责数据库系统的管理,小A进入了一家医药公司任医药代表。有一次吃饭的时候,小B发现小A心事重重的样子,细问之下原来是销售业绩的压力,虽然小B也是在医院工作,但是他不在业务口,对医院用药情况并不清楚,为了哥们义气,他告诉小A可以登录到数据库将医院各科室用药情况进行查询。小A如获释宝,几个月过去后,在这些情报的指导下,小A有的放矢,销售业绩大涨...

  案例启示

  此案例暴露了某些医药销售代表为了达成自己的业绩,不惜走歪门邪道,损坏公众利益。从技术过程来分析,这是典型的DBA违规访问业务数据,对于一个特权用户,除非很特殊的情况,否则是不应该看到实际的业务数据(例如数据表的内容),这种滥用是很明显的。而要对该行为进行预防性控制是很困难的,但是采用数据库安全审计可以对特权用户进行有效的告警和审计跟踪。

  案例二 业务人员风险

  董某、李某、王某是某运营商客户服务中心投诉处理部的员工,由于工作上需要处理客户投诉等问题,董某拥有积分调整的权限。运营商定期都推广积分换礼活动,以奖励长期在网用户和大客户用户,发展新用户。某次工作中,由于有事脱不开身,董某将积分调整的账号/口令告知了王某,后来也未对口令进行更改;一天吃饭的时候,李某说“咱公司换的礼品这么好,啥时候我们也能换就好了”,王某听了小姐妹的言语,突然临机一动,打算利用积分调整权限让自己满足一下愿望。王某私下购买了1个号码,通过积分调整权限,增加了该号码的积分,兑换了3个礼品。顺利的过程让王、李二人心花怒放,她们商量着换取更多的礼物谋取更大的利益。短短10个月的时间过去了,2人在不断往相关手机账户内虚增积分的同时,大量更换礼品价值达几十万元。后来,在运营商内部进行内部审计的时候,才发现了问题,通过手机号和录像圈定了王某…

  案例启示

  随着各种准货币的产生,企业内部在管理上尚未上升到货币层面进行监管,造成了部分不法分子利用制度上的漏洞进行牟利,对于一个业务人员,其熟悉整个业务过程,这样就很容易被心怀叵测的员工滥用,一方面要限制滥用,另一方面要授予更多的权限满足业务发展的需求,这往往是一个矛盾。在这种情况下,可以选择对关键表的关键字段值设置阀值触发、对关键表的查询次数的统计等数据库安全审计功能,定期检查正常业务范围外可能出现的滥用操作。

  案例三 开发人员风险

  A公司是一家大型国有企业的业务系统开发商,为了适应用户业务系统不断发展的需要,该公司专门派驻了现场开发团队,负责业务系统的维护、定制、技术支持等工作, 并制定了具体的工作流程以保证开发和运行安全。正常情况下,业务系统的更新应在测试环境中经过充分测试,为确保业务顺利上线,在上线过程和上线后保证系统的稳定运行,需要制定周密的割接及回退计划。

  某天中午,该公司总经理突然接到了客户信息中心主任的电话,要他马上到现场处理问题,总经理一脸茫然的赶到了客户处,现场已经乱作一团,研发项目经理郁闷的告诉老总,手下一个新进工程师,在系统运行过程中升级了程序,出错处理不及时,最终导致数据库死锁,现在整个业务系统正在抢修恢复中…

  案例启示

  而随着业务的不断发展,越来越多的IT系统承担了传统业务系统的工作,核心系统的突发故障风险时刻都在威胁着业务系统的安全运行能力,业务的停顿,将会给企业带来严重的损失,该案例中,由于开发人员常常具备特权和较高的技术水平,他们可能由于工作不严谨或误操作对正在运行的系统进行配置或修改,甚至是未经充分测试的程序更新,这些很容易导致业务系统运行不稳定,进而出现崩溃的故障,采用数据库安全审计系统能够对数据库返回的重要错误进行及时的响应告警,帮助用户及时发现问题,规避风险。

  案例四 IT运维人员风险

  31岁的程某是名牌大学毕业,经过多年打拼已是X公司资深软件研发工程师,聪明的头脑让他获得领导的赏识,可谓年轻有为,前途无量。程某对工作很是勤奋,工作上电信业务是他的强项,经过长时间业务接触,他对电信公司网络了如指掌。在一次偶然的机会里,程某无意间访问到了充值卡的信息。程某看到这些充值卡后开始动起了歪脑筋。

  程某告诉朋友赵某,这正是发财的一个机会。他们梦想自己过上优越的生活,坐好车、住好房、数钱……为了让自己的计划顺利实施,赵某、程某做了分工,程某负责盗窃、赵某负责销售。程某偷偷潜入了运营商网络,进入电信充值中心数据库,充值中心数据库有很多过期的充值卡,程某破解出密钥,修改充值卡的时间和金额,把“已充值”状态改为“未充值”。在4个月的作案过程中,程某共计牟利400多万,后来由于在修改过程中出现了未置位时间,被买到充值卡的用户举报到客服中心,经过内部层层追查才发现了程某…

  案例启示

  第三方运维是IT管理专业化分工协作的产物,这种工作模式在大中型企业及单位得到了广泛的使用,然而由于人员良莠不齐,难免有害群之马以系统账号的方式进入业务系统数据库对业务数据进行修改以牟取私利。这就要求我们采用安全审计手段,来管理和规范第三方运维人员,定期审查,提升管理水平,降低引入第三方运维带来的风险。

 

  通过上面的案例描述,我们可以看到在某些企业或单位中,习惯性的信息安全建设思维让人们常常忽略了数据库系统的安全风险,从而给整个安全体系造成了短板。在这里我们回顾一下ISO17799/BS7799中提到的经典理论“安全三要素:CIA”:

  • Confidentiality保密性:确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体;

  • Integrity完整性:确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当的修改信息,保持信息内部和外部的一致性;

  • Availability可用性:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。

  安全是相对的,在无法确保绝对安全的情况下,数据库安全审计系统可以对CIA关心的安全弱点进行实时监控、及时响应、完整审计,协助结构性安全体系的建设,它能够发现非授权用户对数据的使用、能够发现授权用户对数据的不恰当修改、能够发现数据库系统的异常情况…。

  最后,我们总结一下部署该类产品能够给用户带来的好处:

  1. 满足合规性要求,顺利通过IT审计

  目前,越来越多的单位面临一种或者几种合规性要求。比如,在美上市的中国移动集团公司及其下属分子公司就面临SOX法案的合规性要求;而商业银行则面临Basel协议的合规性要求;政府的行政事业单位或者国有企业则有遵循等级保护、分级保护的合规性要求。数据库审计系统为用户核心系统提供了独立的审计解决方案,有助于完善组织的IT内控体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。

  2. 有效减少核心信息资产的破坏和泄露

  对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用数据库安全审计产 品,能够加强对这些关键系统的审计,从而有效地减少对核心信息资产的破坏和数据泄露。

  3. 追踪溯源,便于事后追查原因与界定责任

  一个单位里负责运维的部门通常拥有数据库管理系统的最高权限(掌握DBA账号的口令),因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。审计系统能够帮助企 业进行事后追查原因与界定责任。

  4. 直观掌握业务系统运行的安全状况

  业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说,网络环境的安全状况事关重大。审计系统提供业务流量监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况。

  5. 实现独立审计,完善IT内控机制

  从内控的角度来看,IT系统的使用 权、管理权与监督权必须三权分立。审计系统实现独立审计,帮助监督人员获得有效的技术手段,从而完善企业IT内控机制。

文章如转载,请注明转载自:http://www.5iadmin.com/post/890.html