1. 背景概述
当前,信息时代进入数据时代,数据的价值正在进一步的凸显和被挖掘。同时,数据已经成为企业的核心资产。相应的,以数据为目标的网络攻击已经成为数据时代新的安全威胁。来自Verizon的报告显示,数据泄漏事件愈发广泛且后果愈发严重。过去一年全球有近8万家公司被黑,其中2122家公司公开确认信息被窃取,全球500强企业大面积沦陷。在大多数情况下,攻击者只需短短数分钟内就可以入侵一家企业。银行、信用卡公司、医院、零售业、保险业、电商、娱乐等行业巨头们纷纷中招。索尼、Target等企业被黑客攻击后,均蒙受了巨大的财产和品牌损失。而在国内,数据泄密事件也是层出不穷。2015年发生酒店入住信息泄漏、12306网站用户信息泄露和社保信息泄露等上千起数据泄露事件,都正在给我们敲响警钟,数据资源安全正面临前所未有的严峻挑战。
网络技术、互联网以及互联网+的飞速发展,将众多传统行业信息化、数据化、在线化、移动化、远程化,甚至是虚拟化。无论是核心业务、边缘业务还是内部的支撑系统都已经越来越多地运行在网络上。而在开放复杂的网络环境中,这些蕴藏着巨大商业和政治利益的企业数据不可避免地成为攻击窃取对象。而据Verizon公布的数据侵犯调查报告显示,网络环境下的数据泄露事件,92%的泄漏记录来自于数据库泄密。之前发生的酒店入住信息泄漏、12306网站用户信息泄露和社保信息泄露都是企业数据库被黑客拖库或者撞库所致,根源都在于数据库记录遭受了泄漏。数据库作为数据资产的管理工具,正成为黑客们的主要攻击对象。
正是由于数据库的重要性,数据库安全一直是信息安全体系中除网络安全、操作系统安全外的第三极。随着数据价值的凸显,数据安全成为信息安全领域的重点问题。而作为数据资产的管理工具,数据库的安全问题自然愈发重要,逐步成为整个信息系统安全防护的矛盾聚焦点。但是,国内信息安全的现状是,企业在网络安全和操作系统安全方面一般都愿意投入,在绝大多数网络节点上部署了防火墙、入侵检测、UTM、桌面管控、防病毒、VPN等等产品,甚至还部署了WAF, NGFW等较新的应用层安全产品。但在对数据最直接的安全管理方面,也就是数据库安全方面,由于相关产业发展缓慢和整体重视程度不够,投入还处于较低的水平。绝大多数的企业在自己内部的数据库服务器周边,没有部署任何针对数据安全的防护产品。而少数一些企业,也只是部署了传统的网络安全设备,或者仅仅部署了数据库审计设备,对数据库提供的防护能力十分有限。事实上,根据信息安全的木桶原理,这种情况使得整个系统的安全防护能力处于一个相对较低的水平。
上图是一个典型的信息系统和安全防范情况示意图,描述了当前信息安全的总体情况。从图中可以看出,从用户终端浏览器或APP用户到Web/APP服务器这一段的防护手段是比较多的。但是,在Web/APP服务器之后,防护手段就相当有限。在这种情况下,数据库和其中的数据,极易遭受来自于外部和内部的形式多样的攻击。外部攻击者可以绕过前端防护系统或者穿透应用程序直接访问数据库。而内部人员的蓄意越权访问、误操作、或是介质窃取等,都是数据泄露的通常途径。虽然被报道的数据泄密事件主要是来自于外部攻击,但是据多个调查结果显示,来自于内部的数据泄漏事件占70%以上。
Gartener对当前网络环境下的数据安全管理和数据库安全问题进行了调研,总结了数据库及其管理的数据所面临的主要泄密风险,如下:
1) 越权权限的滥用:数据库权限设置违反了“权限最小原则”在很多信息系统中比较普遍。如果这些超出的权限被滥用,则极易发生敏感数据泄漏事件;
2) 合法权限滥用:系统中总是有一部分用户合法的拥有较大甚至是超级管理权限。如果这些权限被滥用,则极易发生严重后果;
3) 权限盗用:由于商用数据库的用户认证方式主要为单一的口令方式,权限盗用容易发生,进而极易导致严重的数据泄漏事件;
4) 数据库平台漏洞:数据库管理系统是个复杂的软件系统,从数据库厂家发布的补丁情况来看,数据库系统无一例外的具有严重的安全漏洞。如缓冲区注入漏洞或者认证、权限管理漏洞。这些漏洞极易被攻击者利用以窃取数据;
5) SQL注入、缓冲区溢出风险:数据库本身不具备SQL注入攻击检测能力。通过Web/APP插入恶意语句,或者利用连接工具发动缓冲区溢出攻击,攻击者便有机会获得整个数据库的访问权限;
6) 弱鉴权机制:商业数据库系统提供的基本的管理机制,主要是自主访问控制(DAC)和基于角色的访问控制(RBAC)。并没有采用强制访问控制的方式(MAC),基于用户和数据的敏感级别来进行权限的鉴别。这容易使得低密级用户访问到高密级的数据;
7) 备份数据缺乏保护:从数据库备份的数据通常是以非加密的形式存储的,而且在运输、保存、销毁的生命期中,需要严密的保护。一旦疏忽,备份数据将有可能被窃取或偷窥而导致泄密;
8) 缺乏详尽审计:审计是每个数据库管理系统标配的安全特性,用于记录对数据的访问情况,从而形成对非法访问的威慑。而数据库自身的审计功能在可视化、智能化、入侵检测能力等方面能力较弱,通常无法满足实际的安全需求;
9) 数据库通信协议漏洞:数据库通信协议设计的漏洞,可能被攻击者利用,造成数据的泄漏。
除了上述泄密风险,我们在长期的数据库防泄密实践中还发现如下两个严重的泄密风险:
1) 恶意软件:攻击者使用木马病毒技术,通过邮件、图片等伪装方式,将恶意软件安装到数据库管理和运维人员的电脑上,攻击者利用管理员的电脑,窃取或者破坏数据库中的数据;
2) 明文存储:目前绝大多数数据库的数据文件都是以明文形态保存的。在数据的产生、使用、传输、保存、备份、销毁的整个生命周期内,任何接触到存储介质的攻击者,都有可能获取到数据。
市场上现有的网络安全和操作系统安全产品,都从不同的方向提供对数据的防护,但是都无法从根本上防止这些数据库泄密风险。只有在现有的安全防护体系中,补充对数据库的防护这一环节,部署“术业有专攻”的数据安全管理系统,才能从根本上解决数据安全问题。
2. 需求分析
如上所述,各企业的信息系统中,亟需部署数据安全管理系统,弥补现有的安全体系的不足。而数据安全管理是通过对数据的存储管理系统,也就是数据库的安全加固实现的。针对数据安全管理的需求主要包括如下:
1) 数据安全风险可视化
Ø 了解数据资产的分布。需要自动发现数据库服务器、敏感数据的分布情况,为后续安全加固明确目标。
Ø 实时掌握数据库系统的可用性。要求能对数据库运行状态进行实时监控,在状态异常时进行预警,提前防止业务瘫痪,保障业务系统的连续可用性。
Ø 实时掌握数据库存在的风险状况。要求能通过扫描的方式,静态的评估企业数据库系统的风险,扫描内容包括:弱口令检测、系统漏洞、配置风险等。
Ø 需要进行数据活动监控。实时监控数据活动情况,记录数据访问行为,尤其是对敏感数据的访问行为。要求能实现对数据库的直接访问和通过Web和应用对数据库的间接访问进行全面监控。
2) 数据安全风险可控化
Ø 需要进行数据活动保护。在数据活动监控的基础上,提供访问控制规则,对违规的数据访问进行阻止。要求系统能够自动学习应用系统对数据的访问行为模式,并生成不同粒度的访问规则。
Ø 需要进行数据库攻击检测和保护。在系统内置攻击检测规则,能够实时检测和阻止针对数据库协议、SQL注入和缓冲区溢出等多种攻击,同时详细地记录攻击的详细信息。
Ø 要求对数据库敏感数据进行透明加密。要求采用加密技术,有选择的将敏感内容进行加密存储,并提供进一步增强的访问控制,防止特权的滥用和盗用。并且要求加密对应用是透明的,不需要对应用系统进行改造。
Ø 要求实现运维、开发、测试中的敏感信息的脱敏。在涉及敏感数据的情况下,要能通过脱敏规则进行数据的变形,以在运维和生产环境,以及在外包、开发、测试和其它非生产环境中安全地使用脱敏后的准真实数据集。
3) 数据安全管理合规化
Ø 遵守监管合规性。国家和各行业的监管机构越来越重视数据的安全管理,相继出台了《加强网络信息保护的决定》、《信息安全等级保护管理办法》和《电信和互联网用户个人信息保护规定》等几十项法规和标准,并开展了以数据安全管理为重点的安全评测和检查。因此,除上述功能要求外,数据安全管理系统还必须帮助企业经济快速地满足合规审计要求。
3. 解决方案
中安威士(北京)科技有限公司对于解决数据库安全问题的基本思路是满足其三大主要需求:可视、可控和合规。
可视,是指将数据库的风险和访问情况可视化。实时显示企业敏感数据的分布情况、访问情况、风险状况,即时发现数据的异常活动状况和风险。这是数据库安全最基本的要求。
可控,是指将数据库的访问操作行为可控化,通过控制访问数据的活动和操作行为,保证数据的安全。可控包括两个方面:
其一,防泄漏,即防止数据库中的敏感信息部分或全部被偷窥,被拖库或者镜像;
其二,防篡改,即防止数据库中的敏感信息被非法修改或者删除。做到可视和可控这两点,基本上就能保证企业数据库的业务安全。
而所谓合规,则是指企业需要满足上级监管部门的各种安全保密检查和测评,比如等保、分保测评,或者行业法规标准。帮助企业满足合规审计也是我们的解决方案的一个重要功能。
按照可视、可控和合规这样一个基本思路,我们设计了一个针对数据安全管理的完整解决方案:数据库访问的全面审计+细粒度访问控制+敏感数据加密和脱敏。如下图所示:
该方案可以概括为三个递进层次:
数据活动的全面审计:对数据的分布、性能、访问和活动情况进行全方位的监控和记录,便于事后审计和追查。及时发现数据的异常活动情况和风险,产生报警。输出可视化的报表,便于分析;
细粒度访问控制:基于自动学习,生成细粒度的访问控制规则,阻断异常的查询和访问,防止敏感数据泄漏。阻断异常的和违规的数据修改和删除操作,防止敏感数据被非法篡改;
敏感内容加密和脱敏:有选择性的对敏感内容加密和脱敏,防止在线数据和备份数据的存储介质丢失被窃取导致敏感数据泄露。增强的对加密敏感数据的权限管理,防止越权权限的滥用、合法权限被盗用和滥用导致的数据泄漏。
该思路通过全方位的审计实现了风险的可视化,通过细粒度访问控制实现了非法操作的可控,再加上敏感内容加密和脱敏,避免了存储介质丢失和内部人员权限盗用和滥用造成数据泄密的风险。可以说,该思路以数据库安全加固为落脚点,全面地解决了数据安全管理的问题,几乎从所有环节防止了数据泄密的发生。
遵循以上思路,北京中安威士的数据安全解决方案基于自主研发的系列数据库安全加固产品而实现。具体的实施方案如下图所示。
该解决方案的要点如下:
1) 对所有数据库部署数据库审计系统
Ø 通过旁路镜像的方式,在不改变数据库系统的任何原有设置和在不影响数据库系统自身性能的前提下,实现对数据库的在线监控和保护;
Ø 对于应用系统和数据库在同一台服务器的系统,或者云计算和虚拟化平台上的数据库系统,以及难以实施镜像部署的系统,通过部署中安威士特有的软件探针,实现全面审计;
Ø 使用数据发现功能,自动生成数据库服务器和敏感数据的分布情况,并将所发现的重要服务器、服务和数据进行分类,并生成统计报表。将所有发现和分类结果直接应用到后续模块中的规则中;
Ø 开启数据库性能监控功能,对数据库运行状态进行实时监控,在状态异常时进行预警,提前防止业务瘫痪,保障业务系统的连续可用性;
Ø 开启数据库性风险评估功能,扫描弱口令、系统漏洞、配置等风险,全面评估数据库系统的风险状态;
Ø 开启学习功能,自动生成基线模型白名单访问规则,实现规则零配置,解决因人力不足无法详细设置审计规则的问题。通过人工添加黑名单规则,实现灵活的细粒度访问规则;
Ø 开启入侵检测功能,及时发现针对数据库的违规操作行为,并进行记录、报警。一旦发生威胁,可迅速判断是内部人员的越权操作,还是外部人员的入侵行为,事后追责,满足合规审计要求;
Ø 开启运维审计功能,审计通过SSH/TELNET/FTP等协议对数据库服务器进行的运维操作;
Ø 开启Web应用审计和三层关联审计,实现完整地溯源能力。
2) 对更重要的数据库实施数据库防火墙系统
Ø 对于更重要的、易受攻击的系统,尤其是需要通过网络对外提供服务的应用系统的数据库,如门户系统的数据库,部署数据库防火墙;
Ø 开启入侵保护功能,以抵御SQL注入攻击和针对数据库漏洞的攻击,还能防止全表删除等误操作、超级权限滥用等风险;
Ø 开启学习功能,生成白名单规则,并手工添加黑名单规则,解决详细设置数据库防火墙规则困难的问题;
Ø 对于云计算和虚拟化平台上的数据库,部署软件形态的数据库防火墙系统。
3) 对于尤其重要的数据库系统,部署数据库加密系统
Ø 对于尤其重要的数据库,部署数据库加密系统,对制定的敏感字段进行加密;
Ø 通过三权分立的限管控系统来实现对敏感数据访问的权限控制,确保其数据的安全性;
Ø 开启敏感数据访问审计功能,记录对加密数据的访问;
Ø 定期轮换密钥,保证加密数据的安全。
4) 部署数据库脱敏系统
Ø 对于运维操作,通过动态脱敏功能,确保运维人员在运维时不能看到真实的数据;
Ø 对于需要管控的应用程序,通过动态脱敏,确保系统只能看到脱敏后的准真实数据;
Ø 对于开发和测试工程,通过静态脱敏功能,确保开发和测试人员只能看到脱敏后的准真实数据;
Ø 对于外包、数据外送等情形,通过静态脱敏功能,使得交付的是脱敏后的数据,防止真实数据外泄。
4. 方案优势
中安威士提供的数据安全管理解决方案,基于数据库审计、数据库防火墙和数据库加密产品实现,并辅以数据库脱敏产品。方案非常完美地解决了当前信息系统所广泛面临的数据泄露困境。该方案的优势体现在:
1) 完整的防护体系。方案涵盖针对数据库中数据的审计、访问控制、入侵检测、加密和脱敏等数据管理。经过几年的潜心研究,依托团队卓越的研发能力,北京中安威士的数据库安全产品获得了多次重大突破,已形成了国内最齐全、最成熟的数据库安全产品线。产品的功能和性能都处于国内领先行列,能提供最完整、最有效的数据安全管理解决方案;
2) 完全自主知识产权。公司的核心产品都是自主研发的,拥有多项核心专利,拥有完全独立的知识产权。另外,产品资质齐全,通过了公安部、中国人民解放军、国家保密局、中国信息安全测评中心等论证机构的高等级严格测评。获得了国内最高的公安部销售许可证(三级)、军B级信息安全产品资质、保密局数据库安全网关涉密产品资质和ISCCC等证书;
3) 数据库实时、全面的审计。审计范围包括业务审计、数据库运维审计、系统运维审计、FTP审计以及Web应用审计。审计范围涵盖了所有可能访问数据的途径,外部入侵和内部越权访问被全面记录,一览无遗。对数据的访问和活动情况进行全方位的监控和记录,便于事后审计和追查。有效解决了企业人员复杂,数据库面临内外诸多风险的难题,对企业的所面对的Web应用监控难题也迎刃而解;
4) 零配置,降低管理工作量。自动学习规则,生成白名单基线模型,无需投入大量人力资源进行安全规则的设置,有效解决了安全管理人员匮乏、水平层次不齐等现实问题;
5) 混合部署且方式灵活。产品支持旁路、串联和软件探针等三种基本部署方式,也可以根据实际需要,采用混合的部署方案,不受企业数据库分散、云计算和虚拟化趋势的影响。软件探针部署同时也解决了应用系统和数据库部署在同一服务器上导致的不能进行旁路审计的问题;
6) 增强的细粒度访问控制。通过部署数据库防火墙,设置细粒度的SQL白名单规则,使信息的保护真正提升到业务层。及时发现数据的异常活动情况和风险,产生报警。阻断异常的查询和操作,防止敏感数据泄漏和非法篡改;
7) 敏感内容加密和脱敏。有选择性地对敏感内容加密,防止在线数据和备份数据的存储介质丢失或被窃取,导致敏感数据泄露。增强的对加密敏感数据的权限管理,防止越权权限的滥用、超级权限的盗用、滥用导致的数据泄漏。通过动态和静态双重数据脱敏机制,保证运维、开发、测试过程中不会发生敏感数据泄漏;
8) 方案成熟。方案所采用的自主研发的系列产品已经受了市场检验,应用于国内近千家大型企业客户;
9) 超高性能。所采用的产品性能优势突出,远高于国内竞争产品,可以有效地降低财务支出成本。同时,在查询、报表方面的高性能,有效的提升了用户的体验;
10) 方便检查和报表。提供丰富优质的报表,可实现报表格式和模板的自定义。系统自动生成方便用户查看的表格、柱状图、饼状图等,报表支持多种格式的输出。
5. 方案价值
通过上述解决方案,有效满足了企业所面临的数据安全管理的需求:
1) 使数据安全可视。实时显示企业敏感数据的分布情况、访问情况、风险状况,及时发现数据的异常活动状况和风险,实现数据库安全最基本的要求;
2) 使数据安全可控。即通过控制对企业数据的活动和访问,防止数据库中的敏感信息部分或全部被偷窥、拖库或者镜像,防止数据库中的敏感信息被非法修改或者删除;
3) 使数据安全合规。产品实现独立的审计和访问控制,直接输出合规的报表,满足国家和各行业多个法规和标准的要求。能够帮助企业快速通过各种安全保密检查和评测,比如等保评测。
除带来上述主要价值外,具体来说,中安威士数据安全管理解决方案还带给企业客户如下价值:
4) 简化业务治理,提高数据安全管理能力。由于数据库系统是一个复杂的“黑盒子”软件系统,其可视化程度很低。数据库管理员很难说清在某个时刻数据被访问的情况,这对业务治理带来了很大的困难。尤其在云环境中,这种不可视化程度更加严重。中安威士数据安全管理解决方案通过多种手段全面监控数据的访问情况,并提供丰富的预设统计报表,以图形化的方式将数据的访问情况和风险情况可视化,进而提供访问控制能力,极大的简化了业务治理,提高了数据安全管理能力;
5) 完善纵深防御体系,提升整体安全防护能力。建立纵深的防御体系已是信息安全建设的共识。应用系统到数据库这一段,是信息安全的最后一公里,也是最后一道防线,涉及的是最直接的敏感数据安全管理,直接关系到敏感数据的安全。同时,在数据/业务层加强安全防护,也逐步成为信息安全的新方向。中安威士数据安全管理解决方案紧紧围绕核心数据,针对信息安全的最后一公里以及数据/业务层提供完整的防护手段,有利于企业完善纵深防御体系,提升整体安全防护能力;
6) 减少核心数据资产被侵犯,保障业务连续性。信息系统最有价值的资产是数据,而数据也是攻击者想偷窥、篡改、甚至删除的终极目标。核心数据被侵犯,轻则导致业务中断,重则导致信息泄密和篡改,严重影响企业的声誉乃至危及生存。围绕核心数据的攻防对抗将长期存在。云环境中管理权和所有权的分离也大大提升了数据被侵犯的风险。中安威士数据安全管理解决方案紧密贴合数据,提供数据发现、风险评估、审计、防火墙、加密、脱敏等手段,实现数据安全的可视性和可控性,并最终减少核心数据资产被侵犯的可能性,保障正常的业务连续性;
7) 从根源上杜绝SQL注入攻击。从访问数据库的SQL语句级别和查看数据库的字段级别进行防控,从根源上彻底防止了SQL注入等攻击。也防止了企业内部人员及外部人员对敏感数据的篡改和窃取,从而保证了企业敏感数据的安全;
8) 维护企业的公信力。确保企业不会发生信息的泄露和不良信息的传递,提升企业在社会上的影响力和声誉。
综上所述,中安威士数据安全管理解决方案,对网络环境中的企业数据提供了全方位,高水平的保护,为企业带来崭新的数据安全体验。
数据安全管理专家-中安威士
网址:www.csbit.cn
微信号:中安威士
2017年1月3日