1. <small id="rw2jk"></small>
      網絡安全 頻道

      安華金和政府外網數據庫安全解決方案

        【IT168 方案】

         一. 政府外網安全背景分析

        中國軟件測評中心(中國國家工業和信息化部下屬單位)2014年12月3日發布《2014年中國政府網站績效評估總報告》顯示,今年評估的900余家政府網站當中,超過93%的網站存在著本級的安全漏洞,其中97%的區縣網站被監測到有安全隱患,接受評估的網站包括部委網站、省級政府網站、副省級政府網站、地市政府網站及區縣政府網站。這個給政府的形象帶來了很不利的影響,甚至給政府工作的正常運行帶來了嚴重的威脅。

        近兩年暴露的大型安全事件中,主要以互聯網公司或大型民營企業為主,如2013年的CSDN 600萬用戶信息泄露開始;2014年5月小米論壇疑似被“拖庫”,該漏洞影響約有800萬左右小米論壇用戶,2014年3月,攜程網也曾連續爆發安全漏洞。事實上,我國政府外網遭受的攻擊和信息泄漏事件同樣不少,只是出于政府的特殊敏感性,并未進行大規模報道。互聯網上近5年此類情況雖多有報道,但更多的事件還隱藏在公眾之外。

        以下幾個典型安全事件的發生,其關鍵因素在于,政府外網上的數據庫安全沒有得到重視,這些數據庫基本沒有防護措施,處于“裸奔”狀態。

        (1)2014年11月12日,江蘇連云港檢察院披露,一位多地公安車管系統軟件供應商竟變身“黑客”,勾結“黃牛”,在車管所軟件系統植入程序,從互聯網遠程侵入公安網絡系統,非法刪除車輛違章記錄上萬條獲利,涉案金額1800余萬元。

        (2)2012年濟南市公安局近日成功偵破一起新型制售假證大案。令人吃驚的是,與一般的制售假證件犯罪不同,這伙犯罪分子采取黑客攻擊手段,入侵國家級教育網站和多所高校網站,篡改數據后大肆制作和銷售假學歷、假證書。從2009年11月份至2012年,吳某先后攻擊“陜西招生考試信息網”、“江南大學網絡教育學院”等網站,向網站數據庫添加公共英語三級、計算機二級、自考等各類信息2200余條,每條提成20元-80元不等,共獲利10萬余元。

        (3)2012年廣東省揭陽警方發現,被入侵的政府網站多達185個,遍布除西藏外的全國30個省(市、自治區)。在該團伙使用的數據庫中發現3萬多人辦理各類假證的數據,涉案金額3億多元,盜賣涉及個人隱私的資料數據300多萬條。警方共抓獲犯罪嫌疑人165名,收繳各類假證書7100多本、假印章10000多枚。

        (4)2011年,知名IT人士@月光博客發布微博:“廣東省公安廳出入境政務服務網網上申請數據泄露,幾乎全部提交網上申請用戶的真實姓名、護照號碼、港澳通行證號碼遭到泄密,目前該漏洞還沒有修復。”并提供了相關信息的模糊截圖。根據泄露網頁首頁和末頁的 數據,此次泄露的信息范圍是2011年6月24日2011年12月所有通過網站申請簽注的用戶資料,總數高達4441387條。

        此類事件,不勝枚舉,究竟如何破解這個安全難題?

        二. 敏感數據泄漏問題分析和解決方案

        以上案例,可以發現有個顯著特征,即黑客通過外部的Web系統,入侵到數據庫中,對數據庫中的數據進行了拖庫或者信息篡改。

        我們首先來研究下,政府外網的典型架構:

      安華金和政府外網數據庫安全解決方案
      ▲海關外網架構圖

        在這個架構中我們可以看到,在海關的外網和Internet接入網之間,通過網閘進行了隔離,WebLogic應用服務器在外網,在應用服務器的前端安裝的了防火墻。

        事實上這樣一個架構存在著重大的安全隱患:

        防火墻并不能防止外部黑客對應用服務器的攻擊。防火墻僅僅是一個對IP、Port和協議類型進行控制的安全設備,而對于需要提供外網服務的網站,是不可能中斷http協議訪問的;這樣對web的攻擊將穿透防火墻,實現對web的攻擊;

        網閘并不能阻止對數據庫的攻擊。在web被攻擊后,黑客將利用應用服務器為跳板,進行對數據庫服務器的攻擊;網閘雖然對公網和內網之間進行了物理隔離,但對于數據庫通訊協議并未進行任何的安全檢查。對于黑客利用數據庫漏洞進行數據庫攻擊行為,網閘無能為力(這是由于web服務器要訪問數據庫,網閘不可能對這些協議進行阻斷;但網閘并不具備對數據庫通訊協議的分析、檢查、告警和阻斷能力)。

        現在政府外網的客戶逐步已經意識到了以上問題,加強了對應用服務器的保護,WAF已經被大多數政府客戶加入到外網的安全防護方案中,以防止黑客的攻擊。WAF是一種應用防火墻,能夠對http通訊協議進行解析,對基于http通訊協議中的攻擊行為進行發現和阻斷,這種應用防火墻極大地提高了外網的安全性。

        但僅僅添加WAF是不夠的,繞過WAF的攻擊手段也很多。在2012年的黑客大會上,黑客們展示了存在180多種辦法繞過WAF,在Verizon公布的報告中,大多黑客攻擊也是通過WAF為跳板,進行數據庫攻擊的。另外開發人員在應用中種下的后門程序,所有的訪問都是正常的行為,是不可能被WAF所發現和阻止的。車管局的信息被篡改是一種典型的示例,公安車管系統軟件供應商竟變身“黑客”進行的入侵。而2011年轟動一時的1300萬用戶信息泄漏,也是開發商聯創的工程師在信息交易公司的誘惑下,在程序中種下了后門程序,完成了用戶信息的下載。

        數據庫防火墻,這是一種在國外被廣泛使用,國內的用戶和安全解決方案集成商逐漸意識到的一種網絡安全產品;這種安全產品與WAF一樣,都屬于應用層防火墻,能夠對數據庫的應用協議進行解析,對數據庫的攻擊行為進行防范,可以有效地防止SQL注入、數據庫漏洞攻擊、拖庫等黑客行為,對數據庫進行有效的進行防護。數據庫防火墻所能提供的安全防護功能,傳統的網絡防火墻、IPS、UTM、網閘等產品都均無法提供和替代。一個典型的數據庫防火墻具備的功能如下:

        (1)防止數據庫漏洞攻擊

        在CVE上公開了2000多個數據庫安全漏洞,這些漏洞給入侵者敞開了大門。數據庫廠商會定期推出數據庫漏洞補丁,出于數據庫打補丁工作的復雜性和應用穩定型的考慮,大多數企業無法及時更新補丁。

        數據庫防火墻提供了虛擬補丁功能,在數據庫外的網絡層創建了一個安全層,在用戶在無需補丁情況下,完成數據庫漏洞防護。

        (2)防止批量數據下載和數據篡改

        數據庫防火墻針對不同的數據庫用戶,提供敏感表的操作權限、訪問行數和影響行數的控制,以及限制NO WHERE查詢和更新,從而避免大規模數據泄露和篡改。

        (3)實現黑白名單支持

        數據庫防火墻通過學習模式以及SQL語法分析構建動態模型,形成SQL白名單和SQL黑名單,對符合SQL白名單語句放行,對符合SQL黑名單特征語句阻斷。

        (4)完成SQL注入檢測和阻斷

        數據庫防火墻通過對SQL語句進行注入特征描述,完成對SQL注入行為的檢測和阻斷。系統提供缺省SQL注入特征庫;系統提供定制化的擴展接口。

        (5)提供用戶細粒度管理權限

        數據庫防火墻對于數據庫用戶提供比DBMS系統更詳細的虛擬權限控制。

        控制策略包括:用戶+操作+對象+時間。

        在控制操作中增加了Update Nowhere、delete Nowhere等高危操作;控制規則中增加返回行數和影響行數控制。

        (6)控制動作

        控制動作是對數據庫訪問行為阻斷所采取的控制行為,包括:“中斷會話”和“攔截語句”兩種方式。中斷會話,是斷開發現攻擊行為的數據庫連接,攔截語句是將危險語句攔截下來,返回防火墻錯誤。

      安華金和政府外網數據庫安全解決方案
      ▲數據庫防火墻典型部署圖

        國內專注于數據庫安全領域的廠商安華金和,其數據庫防火墻(DBFirewall)集成了Oracle和McAfee數據庫防火墻的白名單語句和虛擬補丁功能的國產數據庫防火墻產品,已經在我國的政府部委(公安部、北京市委)、省社保(吉林社保)、省級運營商(四川移動)、金融(渤海葡萄酒交易所)等領域得到了廣泛使用。其中,關于數據庫防火墻在政府外網的一個典型案例,如下文介紹:

        三. 國家四大基礎庫之“人口庫”數據庫安全案例

        3.1 人口庫背景

        國家人口基礎信息庫建設項目是國家十二五規劃確定的國家重大信息化建設項目之一。該項目由公安部牽頭,民政部、人力資源和社會保障部、國家人口和計劃生育委員會、教育部、衛生部六部委共同參與建設。

        人口庫將集中存儲我國十五億人口的基礎信息,成為最為權威的個人信息來源,并提供給其他政府部門、相關企業機構實現個人資信信息的查詢和檢索。

        3.2 人口庫的數據庫安全需求分析和解決辦法

        ·需求分析

        國家人口庫將通過互聯網提供對外的數據查詢服務;人口信息是我國公民的核心信息,涉及大量個人隱私;這些信息的泄漏將帶來極大的公共危機,對公民個體帶來極大傷害。

        對公民信息安全的防護,需要構建一個立體的防御體系,既要防御外部的黑客攻擊,又要防止內部運維或第三方開發人員在利益的驅使下,引發對公民信息的批量泄漏。而這個立體的防御體系,僅僅通過傳統的防火墻和WAF是難以構建的,我們需要對數據存儲的核心——數據庫前建立最后的防御體系。

        ·防護措施

        通過數據庫防火墻,建立網絡上的外部黑客數據庫攻擊防御體系,阻止對數據庫的攻擊,防止公民隱私信息的批量下載,防止各部門業務系統在使用人口基本信息過程中產生的、與其他部門共享的人口信息被篡改,實現對數據庫訪問行為的高效審計,防止誤操作對數據信息的批量破壞。

        通過數據庫加密,實現從根本上對人口庫敏感數據的加密保存。包括對敏感數據在數據庫文件和備份中的存儲加密,防止“拖庫”的情況發生,同時對內部數據庫運維人員做到敏感數據訪問的受控。

        ·產品價值

        數據庫防火墻能夠對流入的SQL語句進行自動分類,自動記錄和分析SQL語句并快速制定安全策略,可以根據IP地址、數據庫用戶、操作系統用戶、應用程序、時間等屬性執行不同策略,對數據庫服務器的操作進行記錄、警報,包括讀,寫,查詢,修改等內容進行實時的監控。

        3.3 人口庫的實施狀況

        部署位置:數據區

        在核心數據庫前部署兩套數據庫防火墻,防止外部的黑客入侵和內部的運維人員誤操作;

        每日SQL訪問量在8000萬左右,峰值3-4億條;

        數據庫為Oracle 11g,RAC;

        數據庫防火墻的硬件配置為:4*4核CPU,32G內存,2TB,光纖網卡。

      0
      相關文章
        影视站