資料庫安全增強產品
套用背景及存在問題當前我國涉密部門(軍隊、軍工、政府、金融行業、保險行業、電信行業等)中,80%以上套用系統使用國外資料庫產品,特別是Oracle;如何保證系統在高性能、高可用的同時提升數據的安全性,確保關鍵信息不被泄露、國家利益不受損失已經迫在眉睫。
我國已有的安全建設重要圍繞著網路防護、主機訪問和套用層安全防護以及伺服器層安全防護進行,但對真正核心的數據存儲管理的核心資料庫並沒有採取有效的防護措施。網路層安全防護的主要產品有:防火牆、網路隔離設備、入侵檢測、防病毒等;套用層安全防護的主要產品有:安全認證、統一授權等;伺服器層安全防護的主要產品有:伺服器防護、防病毒、入侵檢測、主機審計等;數據層安全防護的主要產品有:資料庫安全增強、資料庫審計、文檔防護等,數據層安全防護是存放於伺服器內的數據本身的最後一道安全防護屏障,如果網路層、套用層和伺服器層的安全防護被攻破,只要數據層安全防護有效,就不致予泄露敏感數據。可見數據層安全防護的重要性。
世界最大職業中介網站Monster遭到黑客大規模攻擊,黑客竊取在網站註冊的數百萬求職者個人信息,並進行勒索;程式設計師程稚瀚四次侵入北京移動充值中心資料庫,盜取充值卡密碼,獲利300 多萬元。2003 年廣東聯通7 名人員,利用內部工號和密碼,對欠費停機手機進行充值,使聯通損失260 萬元。2005 年12 月25 日,美國銀行披露,2004 年12 月下旬,丟失了包括1200 萬信用卡信息的磁帶備份. ---Gartner Research;CSI/FBI 2005 年計算機犯罪和和安全會的相關報告中提到70%的信息系統數據丟失和遭受攻擊,都來自於內部。
當前主流Oracle安全增強方案包括前置代理、套用加密和Oracle自帶加密選件DTE等。前置代理需要套用大幅改造、大量Oracle核心特性無法使用;套用加密必須由套用實現數據加密,加密數據無法檢索,已有系統無法透明移植;DTE不能集成國產加密算法,不符合國家密碼政策。因此這幾種方案一直未能得到有效推廣。
國內外產品基本狀況
目前國外的Oracle資料庫加密產品相對較多,產品相對成熟。但面臨著不能集成國產的加密算法、不符合國家安全政策,不能利用密文索引進行範圍查詢,造成性能嚴重下降等問題,因此以上產品在我國尚未得到有效套用。
國內的資料庫安全增強產品往往採用套用層加密存儲或者前置代理的技術實現方式。套用層加密方式的缺點是套用必須對數據進行加解密,增加編程複雜度;加密後的數據不能作為條件進行檢索;同時對於已有的系統無法透明實現套用改造。前置代理的重要缺陷是套用必須進行現有程式的改造,使用加密前置代理提供的API;另外大量的Oracle重要特性將無法使用,如存儲過程、函式等。
安華金和資料庫保險箱系統(簡稱DBCoffer) 是一款Oracle資料庫安全加固系統,該產品能夠實現對Oracle數據的加密存儲、增強許可權控制、敏感數據訪問的審計。DBCoffer可以防止繞過防火牆的外部數據攻擊、來自於內部的高許可權用戶的數據竊取、以及由於磁碟、磁帶失竊等引起的數據泄密。
資料庫保險箱DBCoffer的核心價值是:
1、防止硬體存儲設備引起的泄密,當數據以明文形式存儲在硬體設備上時,無論是資料庫運行的存儲設備,還是用於數據備份的磁帶,若發生丟失或者維修,都會存在相應的數據丟失風險。一旦使用了資料庫保險箱,無論是運行環境的硬體存儲設備,還是數據備份的磁帶,敏感數據都是以加密的形態存儲的,從而有效地防止了由於硬體丟失或硬體維修等無意識的泄密。
2、防止作業系統檔案引起的數據泄密,通常Oracle 的數據是以明文的形式存儲在作業系統的檔案中;通過對檔案系統的訪問,就會訪問到敏感數據。這樣,該主機的作業系統管理員和高許可權用戶都可以接觸到這些敏感數據。另外通過網路訪問到這些檔案的用戶,也可以接觸到這些敏感數據。一旦使用了資料庫保險箱,敏感數據都是以密文的形式存儲在作業系統上,從而有效防止了由作業系統檔案引起的數據泄密。
3、防止資料庫超級用戶進行的數據竊取,在Oracle 中,以sys 和system 為代表的資料庫管理員用戶,具有至高無上的權利,可以訪問到任何數據;在大型企業和政府機構中,除了系統管理員,以用戶數據分析人員、程式設計師、開發方維護人員為代表的特權用戶,也可以訪問到敏感數據。這些都為數據的泄密,留下了極大的隱患。
資料庫保險箱通過獨立於Oracle 許可權控制之外的安全許可權體系,對數據的加解密進行了獨立的控制。 由安全管理員負責決定哪些資料庫用戶有權訪問敏感數據的明文信息;防止DBA 成為不受控制的超級用戶的同時,又可以使DBA 和開發人員正常地工作。
4、防止外部入侵進行的數據破解,隨著Internet、無線網路的普及,黑客有了更多辦法繞過防火牆和入侵檢測系統,到用戶的業務系統中進行窺視;當數據以明文的形式暴露在檔案系統和資料庫中時,黑客很容易獲得敏感數據。當我們對數據進行了有效加密保護,再厲害的黑客,在不掌握密鑰的情況下,都無法獲得敏感數據的明文信息。
DBCoffer產品,相對於市場上的其它產品在政策符合性、性能和套用透明性上具有明顯優勢,下面重點就國外產品和國內產品進行對比分析。
與普通的資料庫安全加固產品的競爭分析:
1、資料庫漏洞掃描產品
這種產品針對資料庫管理系統的漏洞及潛在的風險進行檢測。它可以對資料庫系統的各項設定、資料庫系統軟體本身已知漏洞、資料庫系統完整性進行檢查和對資料庫系統的整體安全性做出評估,並給出提高資料庫安全性的修復建議。這種產品重要的是對現有的資料庫系統在認證、授權上配置漏洞、數據局庫補丁漏洞進行掃描,並不能對現有的資料庫進行安全增強,與DBCoffer不是一類產品。
2、資料庫安全審計產品
資料庫審計作為信息安全審計的重要組成部分,同時也是資料庫管理系統安全性重要的一部分。安全審計類產品的優勢在於時候的追終與分析。DBCoffer除了具有對敏感數據的訪問審計能力,同時也具備了資料庫的加密功能、獨立於Oracle的授權控制體系,這是DBCoffer的最大競爭優勢。DBCoffer比起資料庫審計產品能多提供以下幾個方面的資料庫安全防範能力:防止DBA等高許可權用戶訪問敏感數據、防止來自於檔案層的數據竊取、防止硬體丟失的安全風險。
3、綜合性的資料庫安全增強產品
這一類的產品從資料庫的認證、授權和審計均進行了有效增強,但是必須有幾個限制:
(1)套用系統要經過改造,要使用該產品提供的套用接口
(2)DBA進行數據維護必須使用該產品提供的管理終端
總體上,DBCoffer不存在以上限制,與相關其他產品相比具有幾大優勢:更符合國家安全政策、性能更好、服務更好、性能更好、更為透明、Oracle功能更為無損。