從一則案例說起
小冷在一個單位部門里擔任網絡安全主管,維護著單位重要的信息系統。最近,小冷十分郁悶,因為有人發現他們單位的上萬筆重要數據在網上被人叫賣。小冷的領導很重視這個事情,讓小冷查清原委。小冷仔細查對了存放重要數據的數據庫,沒有發現異常,而保護數據庫的IPS和防火墻也沒有什么重要的攻擊警告。小冷又與部門中所有可能接觸到數據庫的管理員談話,也一無所獲。小冷又找到使用這些重要數據的相關業務部門,可以業務部門主管把皮球踢了回來,說信息部門應該首先提供相關證據,才能在業務部門進行自查。
小冷的調查工作陷入困境,而領導那邊給他壓力也很大。如何才能杜絕以后發生類似事件呢?
數據安全日趨重要
隨著信息化、網絡化水平的不斷提升,重要的數據信息越來越受到安全威脅,而大量的重要數據往往都存放在數據庫系統中,如何保護數據庫,有效防范信息泄漏和篡改成為一個重要的安全保障目標。
最近幾年,信息泄露、信息篡改等信息安全問題屢見不鮮,所有存在數據的地方,只要數據是有價值的,就存在風險,就有人會去想法子竊取、篡改、販賣,從中牟利:北京市教育考試院信息篡改事件、教育學籍信息泄漏事件、深圳孕婦信息的“泄密光盤”、車主股民信息泄露、福彩中獎信息篡改、“力拓門”事件,從個人隱私,到企業的商業秘密,甚至到政府國家的核心機密,都出現了不同程度的信息安全問題。
這些案例都告訴我們,數據安全保護十分重要。由于目前大部分重要數據都是通過數據庫系統來存儲的,因此,數據庫安全保護尤其重要。
為了防范信息泄漏和篡改,我國去年頒布實施的《刑法》(七)修正案修訂了第253條和285條,明確了信息泄漏及篡改將面臨的刑事指控和量刑依據。其中,第253條指出“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。”
就在前不久,《南方都市報》報道了珠海的一起在《刑法修正案(七)》頒布后的全國首例侵犯個人信息安全刑事宣判。
有了法律依據后,企事業單位更應該抓緊加固數據庫系統,保護其安全,這既是對于防范攻擊和違法犯罪的需要,也是盡責盡職的體現,是對法律的捍衛。
此外,根據國家等級保護相關要求,《信息系統等級保護基本要求》中對于信息系統在主機和數據庫安全方面明確要求進行安全審計,其中,第三級要求“審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等。”
防范措施
那么,如何才能更加有效地保護數據庫安全,防范信息泄漏和篡改呢?
首先,需要加強對數據庫的訪問控制,明確數據庫管理和使用職責分工,最小化數據庫帳號使用權限,防止權利濫用。同時,要加強口令管理,使用高強度口令,刪除系統默認帳號口令等。
其次,要對數據庫及其核心業務系統進行安全加固,保護在系統邊界部署防火墻、IDS/IPS、防病毒系統等,并及時地進行系統補丁檢測、安全加固。
最后,要對數據庫系統及其所在主機進行實時安全監控、事后操作審計,部署一套數據庫審計系統。這一點尤為重要!相當于數據庫安全的最后一道防線。
事實表明,現在的數據泄漏和篡改事件都是“內部人員”作案為主,他們有合法的帳號口令,他們完全可以把自己偽裝成一個“合法”的內部人員,堂而皇之的竊取數據庫信息,根本不用任何攻擊手段,防火墻、IDS/IPS之類的傳統安全系統根本發現不了。因此,對數據庫系統的使用進行監控和審計,最關鍵的就在于對內部人員的違規和誤操作進行監控和審計。而這,正在數據庫審計系統的特長。
針對重要的數據庫及其業務系統,部署一套數據庫審計系統,可以達到以下目標:
1) 數據操作實時監控:對所有外部或者內部用戶對數據庫和主機的各種操作行為、內容,進行實時監控;
2) 高危操作即時阻斷:對于高危操作能夠實時阻斷,干擾攻擊或者違規行為的執行;
3) 安全預警:對于入侵和違規行為進行及時預警和告警,并指導管理員進行應急響應處理;
4) 事后調查取證:對于所有行為能夠進行事后查詢、取證、調查分析,出具各種審計報表報告。
5) 責任認定、事態評估:系統能夠記錄和定位誰、在什么時候、通過什么方式對數據庫進行了什么操作,以及操作的結果和可能的危害程度。
網神SecFox-NBA數據庫審計系統
針對客戶面臨的上述挑戰和需求,網御神州推出的新一代數據庫審計產品——SecFox-NBA網絡行為審計系統(業務審計型)是一款優秀的數據庫審計系統,并具有強大的用戶“合法”行為深度分析能力。
SecFox-NBA(業務審計型)采用旁路偵聽的方式對通過網絡連接到重要業務系統(服務器、數據庫、業務中間件、數據文件等)的數據流進行采集、分析和識別,實時監視用戶訪問業務系統的狀態,記錄各種訪問行為,發現并及時制止用戶的誤操作、違規訪問或者可疑行為。產品部署簡便,不需要修改任何網絡結構和應用配置,不會影響用戶的業務運行。
SecFox-NBA(業務審計型)產品區隔于傳統數據庫審計產品的特征在于:
1) 面向業務的安全審計
SecFox-NBA(業務審計型)獨有面向業務的安全審計技術,通過業務網絡拓撲記錄客戶業務網絡中各種數據庫、主機、web應用系統相互的關聯性,審計人員可以根據以數據庫為核心的業務網絡的變化快速查看業務網絡中各個設備和整個業務網絡的事件和告警信息。
2) 基于會話的行為審計
傳統的數據庫或者網絡審計系統都采用基于指令的操作分析技術,可以顯示出所有與數據庫主機相關的操作,但是這些操作都是一條條孤立的指令,無法體現這些操作之間的關聯,例如是否是同一用戶的操作、以及操作的時間先后,審計員被迫從大量的操作記錄中自行尋找蛛絲馬跡,效率低下。借助網御神州獨有的基于會話的行為分析技術,審計員可以對當前網絡中所有訪問者進行基于時間的審查,了解每個訪問者任意一段時間內先后進行了什么操作,并支持訪問過程回放。SecFox-NBA(業務審計型)真正實現了對“誰、什么時間段內、對什么(數據)、進行了哪些操作、結果如何”的全程審計。
3) 基于用戶ID的數據庫審計
傳統的數據庫審計產品僅僅能夠定位到是哪個IP地址進行了違規操作,但是無法確認是那個用戶或者是哪個單位職工進行的違規操作。這給審計后續的責任認定帶來了不小的麻煩。SecFox-NBA(業務審計型)使用多種方式,能夠協助審計員定位是那個用戶ID進行了數據庫操作,真正實現了責任認定。
京公網安備 11010502049343號