1 概述

　　1.1 黑客攻击由网络层转向应用层

　　随着互联网技术的迅猛发展，许多政府、企业及高校的关键业务活动越来越多地依赖于WEB应用，在向公众及学生提供通过浏览器访问高校信息功能的同时，高校所面临的风险在不断增加。主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。

　　然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击(如：针对WEB应用的SQL注入攻击、跨站脚本攻击等)发生时，传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。

　　据统计75%的网络攻击和互联网安全侵害源于应用软件，网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识;应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治，仅仅靠打补丁和安装防火墙是远远不够的。

　　2008 年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。

国家互联网应急中心(CNCERT)监测到中国大陆被篡改网站总数达到35113 个，同比增加了23.7%。按月统计情况如图所示：

 　　2008 年上半年中国被篡改网站数量

　　2008 年1 月至6 月期间，中国大陆政府网站被篡改数量基本保持平稳，各月累计达2242个。与去年上半年同期监测情况相比，增加了41%。从中可以看出，每月被篡改的gov.cn域名网站约占整个大陆地区被篡改网站的7%，而gov.cn 域名网站仅占.cn 域名的2.3%，因此政府网站仍然是黑客攻击的重要目标。具体比例如下图：

　　1.1 面向应用层新型攻击特点简析

　　n 隐蔽性强：利用Web漏洞发起对WEB应用的攻击纷繁复杂，包括SQL 注入，跨站脚本攻击等等，一个共同特点是隐蔽性强，不易发觉。

　　n 攻击时间短：可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制，以至于非常困难做出人为反应。

　　n 危害性大：目前几乎所有银行，证券，电信，移动，政府以及电子商务企业都提供在线交易，查询和交互服务。用户的机密信息包括账户，个人私密信息(如身份证)，交易信息等等，都是通过Web存储于后台数据库中， 这样，在线服务器一旦瘫痪，或虽在正常运行，但后台数据已被篡改或者窃取， 都将造成企业或个人巨大的损失。据权威部门统计，目前身份失窃(identity theft)已成为全球最严重的问题之一。

　　n 造成非常严重的有形和无形损失：目前，很多大型企业都是在国内外上市的企业， 一旦发生这类安全事件，必将造成人心惶惶，名誉扫地，以至于造成经济和声誉上的巨大损失，即便不上市，其影响和损失也是不可估量的。

　　1.2 现有的网络层防护产品面对应用层攻击束手无策

　　传统的防火墙或IDS产品存在以下不足：

　　n 防火墙：通过端口限制实现访问控制，但对于WEB应用而言，其HTTP/HTTPS端口是开放的。因此，防火墙无法检测到WEB应用攻击的发生，更谈不上阻止攻击。

　　n IDS：依靠特征库检测已知攻击，而对于WEB应用攻击，变形非常多(比如：SQL注入、跨站脚本、恶意文件包含等)，IDS无法穷尽所有的特征，当然，更加不可能预知未来的变形。

　　1.3 数据库面临的安全挑战

　　数据库是信息系统核心业务开展过程中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。互联网的急速发展使得企业的数据库信息价值及可访问性得到了提升，同时，高校中的校园一卡通系统的重要组成部分――电子钱包，关系着每位师生在校园活动的记录，对核心的数据库信息资产也面临严峻的挑战，概括起来主要表现在以下三个层面：

　　n 管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

　　n 技术层面：

为保护数据库信息的安全性，制定了相应的管理制度，但没有相应的技术手段进行控制。

数据库安装部署时，使用数据库厂商默认配置、缺省口令、默认权限等现象普遍存在。

现有的数据库内部操作不明，无法通过外部的任何安全工具(比如：防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。

　　n 审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。

　　伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。

　　1.4 数据库用户的客观需求

　　针对目前的数据库用户概括来说主要是三个方面的需求：一是确保数据的完整性，避免因管理缺位造成数据丢失;二是让管理者全面了解数据库的潜在风险，以及实际发生的情况;三是在可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生。因此对数据库的安全性方面要求就特别高。任何一种遗漏关键活动的行为，都会导致数据库安全上的错误判断，并且干扰数据库在运行时的性能。

　　1.5 现有的数据库安全解决方案的不足

　　现有的数据库安全解决方案，都把注意力集中在以下几个方面：

　　n 硬件层面：常见的方案包括在线存储RAID、多数据库服务器的集群工作、离线备份、异地容灾等;

　　n 软件层面：被及时发现的误操作，通过数据库软件本身的回滚或通过备份文件来恢复;数据库软件本身的问题，完全依赖于数据库厂商的补丁升级来解决;

　　而对于数据库的安全防护与风险控制，几乎都是通过防火墙或IDS/IPS进行简单的端口隔离及访问策略控制，来实现外部风险的控制，而对于内部人员的违规操作则更加缺乏有效的控制手段，主要原因是：

　　n 传统网络安全方案：网络防火墙只能实现对IP地址、端口及协议的访问控制，无法识别特定用户的具体数据库活动(比如：某个用户使用数据库客户端删除某张数据库表);而IPS虽然可以依赖特征库有限识别数据库软件已知漏洞的攻击，但他同样无法判别具体的数据库用户活动，更谈不上细粒度的审计。

　　n 数据库安全操作：需要数据库软件本身开启审计功能，通过采集数据库系统日志信息的方法形成审计报告，这样的审计方案受限于数据库的审计日志功能和访问控制功能，在审计深度、审计响应的实时性方面都难以获得很好的审计效果。同时，开启数据库审计功能，一方面会增加数据库服务器的资源消耗，严重影响数据库性能;另一方面审计信息的真实性、完整性也无法保证。

　　n 其他诸如应用程序修改、数据源触发器、统一认证系统授权等等方式，均只能记录有限的信息，更加无法提供细料度的数据库操作审计。

　　1.6 本方案解决的数据库安全问题

　　安恒公司针对数据库面临的风险及行业客户的实际需求，结合其数据库安全的深入研究及安全服务团队的实践经验积累，推出本数据库安全整体解决方案，该方案主要从以下几个方面入手，力求从多个层面解决数据库面临的管理风险、技术风险及审计风险：

　　n 管理风险：协助企业建立完善的数据库安全管理体系，规范内部人员的职责及流程;

　　n 技术风险：

通过专用的数据库安全审计设备部署，对重要数据、敏感信息设置细粒度的风险控制策略及审计规则，使得相应的管理制度能够得到有效的贯彻与落实。

通过数据库的静态审计(即风险评估)，实现对数据库不安全配置、潜在弱点、弱口令、默认口令、软件补丁等多方面的安全评估及加固，消除默认配置、默认权限等不安全隐患，实现对数据库攻击风险的有效控制。

通过灵活的策略定制：根据登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL操作、记录内容的灵活组合来定义客户所关心的重要事件和风险事件，实现内部人员操作的透明化，控制误操作、违规操作及恶意操作事件的发生;

通过专用的数据库安全审计设备部署，实时监控来自各个层面的所有数据库活动(比如：来自业务系统的、来自管理员远程登录的、来自数据库客户端软件的等)，营造安全的数据库运行环境。

　　n 审计风险：

通过专用的数据库安全审计设备的部署，实现安全审计与日常数据库管理分离，确保审计信息的真实性、完整性、公正性;

部署独立的、专用数据库安全审计设备的部署，确保审计工作不影响数据库本身的性能;

　　通过专用的数据库安全审计设备的部署，提供细粒度的行为检索及安全事件回放，辅助安全事件的成因分析与责任认定。