解析數(shù)據(jù)庫(kù)威脅保護(hù)的幾個(gè)關(guān)鍵點(diǎn)

1、解析數(shù)據(jù)庫(kù)威脅保護(hù)的幾個(gè)關(guān)鍵點(diǎn) 近兩年，拖庫(kù)現(xiàn)象頻發(fā)，黑客盜取數(shù)據(jù)庫(kù)的技術(shù)在不斷提升。雖然數(shù)據(jù)庫(kù)的防護(hù)能力也在提升，但相比黑客的手段來(lái)說(shuō)，單純的數(shù)據(jù)庫(kù)防護(hù)還是心有余而力不足。數(shù)據(jù)庫(kù)審計(jì)已經(jīng)不是一種新興的技術(shù)手段，但是卻在數(shù)據(jù)庫(kù)安全事件頻發(fā)的今天給我們以新的啟示。InforCube安全專(zhuān)家總結(jié)了數(shù)據(jù)庫(kù)受到的威脅大致有這么幾種： 一、內(nèi)部人員錯(cuò)誤 數(shù)據(jù)庫(kù)安全的一個(gè)潛在風(fēng)險(xiǎn)就是“非故意的授權(quán)用戶(hù)攻擊”和內(nèi)部人員錯(cuò)誤。這種安全事件類(lèi)型的最常見(jiàn)表現(xiàn)包括：由于不慎而造成意外刪除或泄漏，非故意的規(guī)避安全策略。在授權(quán)用戶(hù)無(wú)意訪(fǎng)問(wèn)敏感數(shù)據(jù)并錯(cuò)誤地修改或刪除信息時(shí)，就會(huì)發(fā)生第一種風(fēng)險(xiǎn)。在用戶(hù)為了備份或“將工作帶回

2、家”而作了非授權(quán)的備份時(shí)，就會(huì)發(fā)生第二種風(fēng)險(xiǎn)。雖然這并不是一種惡意行為，但很明顯，它違反了公司的安全策略，并會(huì)造成數(shù)據(jù)存放到存儲(chǔ)設(shè)備上，在該設(shè)備遭到惡意攻擊時(shí)，就會(huì)導(dǎo)致非故意的安全事件。例如，筆記本電腦就能造成這種風(fēng)險(xiǎn)。 二、社交工程 由于攻擊者使用的高級(jí)釣魚(yú)技術(shù)，在合法用戶(hù)不知不覺(jué)地將安全機(jī)密提供給攻擊者時(shí)，就會(huì)發(fā)生大量的嚴(yán)重攻擊。這些新型攻擊的成功，意味著此趨勢(shì)在 2012年繼續(xù)。在這種情況下，用戶(hù)會(huì)通過(guò)一個(gè)受到損害的網(wǎng)站或通過(guò)一個(gè)電子郵件響應(yīng)將信息提供給看似合法的請(qǐng)求。應(yīng)當(dāng)通知雇員這種非法的請(qǐng)求，并教育他們不要做出響應(yīng)。此外，企業(yè)還可以通過(guò)適時(shí)地檢測(cè)可疑活動(dòng)，來(lái)減輕成功的釣魚(yú)攻擊的影響。

3、數(shù)據(jù)庫(kù)活動(dòng)監(jiān)視和審計(jì)可以使這種攻擊的影響最小化。 三、內(nèi)部人員攻擊 很多數(shù)據(jù)庫(kù)攻擊源自企業(yè)內(nèi)部。當(dāng)前的經(jīng)濟(jì)環(huán)境和有關(guān)的裁員方法都有可能引起雇員的不滿(mǎn)，從而導(dǎo)致內(nèi)部人員攻擊的增加。這些內(nèi)部人員受到貪欲或報(bào)復(fù)欲的驅(qū)使，且不受防火墻及入侵防御系統(tǒng)等的影響，容易給企業(yè)帶來(lái)風(fēng)險(xiǎn)。 四、錯(cuò)誤配置 黑客可以使用數(shù)據(jù)庫(kù)的錯(cuò)誤配置控制“肉機(jī)”訪(fǎng)問(wèn)點(diǎn)，借以繞過(guò)認(rèn)證方法并訪(fǎng)問(wèn)敏感信息。這種配置缺陷成為攻擊者借助特權(quán)提升發(fā)動(dòng)某些攻擊的主要手段。如果沒(méi)有正確的重新設(shè)置數(shù)據(jù)庫(kù)的默認(rèn)配置，非特權(quán)用戶(hù)就有可能訪(fǎng)問(wèn)未加密的文件，未打補(bǔ)丁的漏洞就有可能導(dǎo)致非授權(quán)用戶(hù)訪(fǎng)問(wèn)敏感數(shù)據(jù)。 五、未打補(bǔ)丁的漏洞如今攻擊已經(jīng)從公開(kāi)的漏洞利用發(fā)

4、展到更精細(xì)的方法，并敢于挑戰(zhàn)傳統(tǒng)的入侵檢測(cè)機(jī)制。漏洞利用的腳本在數(shù)據(jù)庫(kù)補(bǔ)丁發(fā)布的幾小時(shí)內(nèi)就可以被發(fā)到網(wǎng)上。當(dāng)即就可以使用的漏洞利用代碼，再加上幾十天的補(bǔ)丁周期(在多數(shù)企業(yè)中如此)，實(shí)質(zhì)上幾乎把數(shù)據(jù)庫(kù)的大門(mén)完全打開(kāi)了。 六、高級(jí)持續(xù)性威脅 之所以稱(chēng)其為高級(jí)持續(xù)性威脅，是因?yàn)閷?shí)施這種威脅的是有組織的專(zhuān)業(yè)公司或政府機(jī)構(gòu)，它們掌握了威脅數(shù)據(jù)庫(kù)安全的大量技術(shù)和技巧，而且是“咬定青山不放松”“立根原在金錢(qián)(有資金支持)中”，“千磨萬(wàn)擊還堅(jiān)勁，任爾東西南北風(fēng)”。這是一種正甚囂塵上的風(fēng)險(xiǎn)：熱衷于竊取數(shù)據(jù)的公司甚至外國(guó)政府專(zhuān)門(mén)竊取存儲(chǔ)在數(shù)據(jù)庫(kù)中的大量關(guān)鍵數(shù)據(jù)，不再滿(mǎn)足于獲得一些簡(jiǎn)單的數(shù)據(jù)。特別是一些個(gè)人的私密及

5、金融信息，一旦失竊，這些數(shù)據(jù)記錄就可以在信息黑市上銷(xiāo)售或使用，并被其它政府機(jī)構(gòu)操縱。鑒于數(shù)據(jù)庫(kù)攻擊涉及到成千上萬(wàn)甚至上百萬(wàn)的記錄，所以其日益增長(zhǎng)和普遍。通過(guò)鎖定數(shù)據(jù)庫(kù)漏洞并密切監(jiān)視對(duì)關(guān)鍵數(shù)據(jù)存儲(chǔ)的訪(fǎng)問(wèn)，數(shù)據(jù)庫(kù)的專(zhuān)家們可以及時(shí)發(fā)現(xiàn)并阻止這些攻擊。 數(shù)據(jù)庫(kù)審計(jì)不但可以在發(fā)生數(shù)據(jù)泄露和損壞之前，起到一定的防護(hù)作用，更重要的是數(shù)據(jù)庫(kù)審計(jì)能夠詳細(xì)的記錄數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)的歷史記錄，可以真實(shí)的還原數(shù)據(jù)泄露的過(guò)程，再現(xiàn)事件當(dāng)事人的行為細(xì)節(jié)，為日后法律責(zé)任追究建立有效的證據(jù)，防止事態(tài)擴(kuò)大化。一般來(lái)講，數(shù)據(jù)庫(kù)審計(jì)能夠起到如下的作用： 滿(mǎn)足合規(guī)性要求，順利通過(guò)IT審計(jì) 目前，越來(lái)越多的單位面臨一種或者幾種合規(guī)性要求。比如

6、，在美上市的中國(guó)移動(dòng)集團(tuán)公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求;而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求;政府的行政事業(yè)單位或者國(guó)有企業(yè)則要遵循等級(jí)保護(hù)的合規(guī)性要求。 有效減少核心信息資產(chǎn)的破壞和泄露 對(duì)單位的業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個(gè)關(guān)鍵系統(tǒng)和關(guān)鍵服務(wù)器上，能夠加強(qiáng)對(duì)這些關(guān)鍵系統(tǒng)的訪(fǎng)問(wèn)控制與審計(jì)，從而有效地減少核心信息資產(chǎn)的破壞和泄露。 有效控制運(yùn)維操作風(fēng)險(xiǎn)，便于事后追查原因與界定責(zé)任 一個(gè)單位里負(fù)責(zé)運(yùn)維的部門(mén)通常擁有目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的最高權(quán)限，因而也承擔(dān)著很高的風(fēng)險(xiǎn)(誤操作或者是個(gè)別人員的惡意破壞)。基于角色的訪(fǎng)問(wèn)控制與審計(jì)，有效地控制運(yùn)維操作風(fēng)險(xiǎn)，還能夠有效地區(qū)分不同維護(hù)人員的身份，便于事后追查原因與界定責(zé)任。 有效控制業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)，直觀(guān)掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況 業(yè)務(wù)系統(tǒng)的正常運(yùn)行需要一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。提供審計(jì)事件及會(huì)話(huà)的統(tǒng)計(jì)分析功能，能夠直觀(guān)地反映網(wǎng)絡(luò)環(huán)境的安全狀況。 實(shí)現(xiàn)獨(dú)立審計(jì)與三權(quán)分立，完善IT內(nèi)