企業(yè)信息數(shù)據(jù)的高利益誘惑�、不斷精進(jìn)的武器化攻擊方法、攻擊情報(bào)收集更加便利����,在日益劇增的網(wǎng)絡(luò)安全威脅狀況下��,傳統(tǒng)性的終端安全和網(wǎng)絡(luò)安全顯得捉襟見肘�,已無法保障企業(yè)組織真正重要的東西–業(yè)務(wù)數(shù)據(jù)和應(yīng)用程序���。
如何維持企業(yè)的核心競爭力��,保證業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全,需要構(gòu)建更高層次���、更全面���、更具成熟度的數(shù)據(jù)安全能力(參考DSMM數(shù)據(jù)安全能力成熟度模型)。
而數(shù)據(jù)庫安全能力�,承載了企業(yè)核心業(yè)務(wù)數(shù)據(jù)的系統(tǒng)軟件,已經(jīng)成為業(yè)務(wù)運(yùn)行和數(shù)據(jù)保護(hù)的基礎(chǔ)設(shè)施����,自然也成為針對(duì)性攻擊的首要目標(biāo)。
而數(shù)據(jù)風(fēng)險(xiǎn)帶來的爆炸半徑早已遠(yuǎn)超過去���,數(shù)據(jù)庫安全首當(dāng)其沖躍上安全部門的數(shù)據(jù)安全能力建設(shè)工作清單榜首�����。
數(shù)據(jù)庫安全能力如何建設(shè)�?保護(hù)企業(yè)數(shù)據(jù)庫和應(yīng)用程序安全,滿足數(shù)據(jù)合規(guī)要求以及有效管控?cái)?shù)據(jù)庫免遭數(shù)據(jù)竊取�����,是每個(gè)CSO都會(huì)關(guān)注的事情�����,筆者近幾年一直在漢領(lǐng)信息從事數(shù)據(jù)庫安全管控方面的工作�,下面介紹下我的數(shù)據(jù)庫安全準(zhǔn)入控制矩陣模型的構(gòu)建和實(shí)踐心得,以此為企業(yè)組織的數(shù)據(jù)安全能力建設(shè)提供借鑒思路��。
隨著信息化開展�,業(yè)務(wù)系統(tǒng)數(shù)據(jù)化明顯,數(shù)據(jù)被廣泛應(yīng)用于企業(yè)內(nèi)部支撐�����、合作經(jīng)營���、產(chǎn)品研發(fā)等���,數(shù)據(jù)共享帶來了普遍性�,促進(jìn)了生產(chǎn)力發(fā)展���,同時(shí)也讓數(shù)據(jù)的邊界模糊��,流動(dòng)變得頻繁��。
因此���,流通共享數(shù)據(jù)的安全訪問控制帶來了更高的挑戰(zhàn)。
為什么傳統(tǒng)的身份認(rèn)證和訪問控制不再適用于數(shù)據(jù)安全�����?因?yàn)閭鹘y(tǒng)的身份認(rèn)證和訪問控制是基于網(wǎng)絡(luò)層的訪問控制�,通過劃分獨(dú)立數(shù)據(jù)網(wǎng)絡(luò)區(qū)域和運(yùn)維管理區(qū)域��,以IP資源(協(xié)議端口)為對(duì)象���,控制力度較為寬泛�,只能參與網(wǎng)絡(luò)傳輸層的訪問要求�。
與業(yè)務(wù)系統(tǒng)有關(guān)的訪問控制�����,通常以核心業(yè)務(wù)實(shí)現(xiàn)為中心設(shè)計(jì)����,通過控制用戶對(duì)不同功能界面的訪問來達(dá)到權(quán)限控制的目的��。
部分?jǐn)?shù)據(jù)共享時(shí)��,通常系統(tǒng)允許以文件或圖片方式保存���,并在文件中添加水印�����,用于在信息泄露后的追溯����,如果高權(quán)限人員對(duì)數(shù)據(jù)庫內(nèi)具有流動(dòng)性的單條數(shù)據(jù)進(jìn)行傳播��,系統(tǒng)則難以招架��。
這些方式在面對(duì)數(shù)據(jù)中心級(jí)別資源池面前�����,便不足以支撐對(duì)企業(yè)內(nèi)數(shù)據(jù)傳輸、數(shù)據(jù)交換�、數(shù)據(jù)處理的更高細(xì)粒度的訪問準(zhǔn)入控制要求。
一個(gè)核心技術(shù)點(diǎn)是協(xié)議解碼框架���,需要有專業(yè)的全協(xié)議解碼能力�,識(shí)別和分析數(shù)據(jù)庫傳輸協(xié)議以及應(yīng)用層的協(xié)議解碼��,剝離SQL語句����。
通過流會(huì)話技術(shù),對(duì)協(xié)議進(jìn)行流重組�,所有解析語句會(huì)被標(biāo)記唯一的標(biāo)識(shí)。
在此基礎(chǔ)上���,針對(duì)數(shù)據(jù)庫安全訪問的準(zhǔn)入控制方面,總結(jié)形成了一個(gè)安全準(zhǔn)入控制矩陣模型�。
傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中,不注重?cái)?shù)據(jù)安全的流向����,關(guān)注點(diǎn)始終停留在網(wǎng)絡(luò)建設(shè)層面����,對(duì)數(shù)據(jù)庫的訪問準(zhǔn)入策略�,元素使用網(wǎng)絡(luò)傳輸?shù)膩碓磁c目標(biāo)IP、目標(biāo)端口及協(xié)議(TCP/UDP)�。
在安全準(zhǔn)入控制中,對(duì)數(shù)據(jù)庫的訪問準(zhǔn)入還能基于哪些元素�����?要實(shí)現(xiàn)對(duì)數(shù)據(jù)庫訪問準(zhǔn)入的控制����,首當(dāng)其沖便是對(duì)數(shù)據(jù)庫協(xié)議的解析。
首先需要從網(wǎng)絡(luò)流量中獲取數(shù)據(jù)庫的訪問流量���,識(shí)別數(shù)據(jù)庫協(xié)議���,例如Oracle的數(shù)據(jù)傳輸協(xié)議TNS、SQL Server傳輸協(xié)議TDS����。
然后對(duì)數(shù)據(jù)庫流量協(xié)議數(shù)據(jù)包進(jìn)行全協(xié)議解碼,其必然涉及到對(duì)加密數(shù)據(jù)庫信息的破解(如SQLServer的TDS協(xié)議�,需要通過獲取加密證書實(shí)現(xiàn)加密登錄參數(shù)解析)�����,從中識(shí)別可利用的獨(dú)特參數(shù)���。
除了訪問IP、端口和協(xié)議外����,還能夠采集的參數(shù)信息有客戶端應(yīng)用程序名(navicat.exe)、客戶端主機(jī)名(DESKTOP-VCK0MFC)��、客戶端主機(jī)用戶名(J)��,以及訪問時(shí)使用的數(shù)據(jù)庫賬號(hào)名(system)和實(shí)例服務(wù)名(xe)�����,以上稱為準(zhǔn)入控制因子�����。
企業(yè)組織架構(gòu)設(shè)計(jì)時(shí)���,可選用數(shù)據(jù)庫軟件種類眾多��,協(xié)議類型����、加密方法各不相同���,我們通過協(xié)議解析獲得的數(shù)據(jù)庫應(yīng)用協(xié)議內(nèi)的參數(shù)信息也不相同�����。
如何構(gòu)建實(shí)現(xiàn)矩陣模型?創(chuàng)新的安全準(zhǔn)入控制模型�����,以數(shù)據(jù)庫協(xié)議的解析為核心基礎(chǔ)��,加入流量解析識(shí)別而來的準(zhǔn)入因子�����,形成更完善的可選準(zhǔn)入控制因子集合�����。
企業(yè)內(nèi)對(duì)數(shù)據(jù)庫訪問使用的準(zhǔn)入因子多種多樣��,因?yàn)樵L問途徑較多��,例如業(yè)務(wù)中間件與數(shù)據(jù)庫集群交互���,業(yè)務(wù)應(yīng)用后臺(tái)維護(hù)對(duì)數(shù)據(jù)庫的訪問��,運(yùn)維DBA利用工具對(duì)數(shù)據(jù)庫表的操作行為�。
而做到評(píng)估所有的“需要知道”的訪問權(quán)限信息是非常困難且成本過高的��,因此需要自動(dòng)化的方法���,而且需要更智能����。
安全準(zhǔn)入控制模型��,基于數(shù)據(jù)中心大流量的數(shù)據(jù)庫協(xié)議全解碼技術(shù)�,通過機(jī)器學(xué)習(xí),實(shí)現(xiàn)對(duì)全網(wǎng)數(shù)據(jù)庫流量(包含業(yè)務(wù)系統(tǒng)請(qǐng)求的南北向流量�����、運(yùn)維與數(shù)據(jù)中心內(nèi)服務(wù)器交互的東西向流量)內(nèi)安全訪問準(zhǔn)入因子的自主學(xué)習(xí),甄別自動(dòng)化腳本攻擊摻入的臟數(shù)據(jù)����,快速完善數(shù)據(jù)庫訪問策略�,形成準(zhǔn)入控制矩陣。
如何完美實(shí)現(xiàn)技術(shù)落地�����?在業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫訪問路徑中間�����,建立完善可視化的準(zhǔn)入控制矩陣��,形成了白名單式的安全規(guī)則配置�����,對(duì)數(shù)據(jù)庫的所有訪問行為���,都需要進(jìn)入準(zhǔn)入控制矩陣進(jìn)行混合匹配認(rèn)證�,只有符合復(fù)雜白名單規(guī)則的訪問才被允許����。
而自動(dòng)化變換攻擊腳本程序�����、更換賬號(hào)以及目標(biāo)設(shè)備的異常攻擊行為�,都會(huì)被精準(zhǔn)識(shí)別并及時(shí)阻斷��。
不管從業(yè)務(wù)系統(tǒng)的外來請(qǐng)求�����,還是服務(wù)器集群內(nèi)的東西向交互訪問�����,實(shí)現(xiàn)完全杜絕非法行為�。
所以,數(shù)據(jù)庫安全準(zhǔn)入控制矩陣模型的構(gòu)建是以協(xié)議全解碼技術(shù)為基礎(chǔ)�����,識(shí)別多項(xiàng)準(zhǔn)入控制因子��,通過訪問內(nèi)容的自主學(xué)習(xí)�����,形成的準(zhǔn)入控制矩陣。
對(duì)數(shù)據(jù)庫的訪問進(jìn)行準(zhǔn)入控制���,對(duì)非理性和異常行為達(dá)到精準(zhǔn)阻斷��,有效落地企業(yè)數(shù)據(jù)庫安全能力。
數(shù)據(jù)庫安全準(zhǔn)入控制矩陣模型是企業(yè)構(gòu)建數(shù)據(jù)庫安全能力建設(shè)內(nèi)容之中的一環(huán)���,是實(shí)現(xiàn)靈活多變�����、自適應(yīng)式���、且具有高細(xì)粒度訪問控制矩陣的最佳實(shí)踐。
對(duì)企業(yè)組織而言����,特別是在面對(duì)眾多以獲取企業(yè)敏感數(shù)據(jù)信息為目的的威脅面前,在未來以數(shù)據(jù)為中心的新經(jīng)濟(jì)時(shí)代����,通過整合來自人��、流程和技術(shù)的輸入信息����,才能有效構(gòu)建并提升企業(yè)數(shù)據(jù)安全能力�����,才能在威脅來臨之際快速���、自信地做出反應(yīng)��。
