發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時(shí)間:2020-09-16 瀏覽次數(shù): 次
企業(yè)信息數(shù)據(jù)的高利益誘惑、不斷精進(jìn)的武器化攻擊方法、攻擊情報(bào)收集更加便利,在日益劇增的網(wǎng)絡(luò)安全威脅狀況下,傳統(tǒng)性的終端安全和網(wǎng)絡(luò)安全顯得捉襟見肘,已無法保障企業(yè)組織真正重要的東西–業(yè)務(wù)數(shù)據(jù)和應(yīng)用程序。
如何維持企業(yè)的核心競(jìng)爭(zhēng)力,保證業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全,需要構(gòu)建更高層次、更全面、更具成熟度的數(shù)據(jù)安全能力。
而數(shù)據(jù)庫安全能力,承載了企業(yè)核心業(yè)務(wù)數(shù)據(jù)的系統(tǒng)軟件,已經(jīng)成為業(yè)務(wù)運(yùn)行和數(shù)據(jù)保護(hù)的基礎(chǔ)設(shè)施,自然也成為針對(duì)性攻擊的首要目標(biāo)。
而數(shù)據(jù)風(fēng)險(xiǎn)帶來的爆炸半徑早已遠(yuǎn)超過去,數(shù)據(jù)庫安全首當(dāng)其沖躍上安全部門的數(shù)據(jù)安全能力建設(shè)工作清單榜首。
數(shù)據(jù)庫安全能力如何建設(shè)?保護(hù)企業(yè)數(shù)據(jù)庫和應(yīng)用程序安全,滿足數(shù)據(jù)合規(guī)要求以及有效管控?cái)?shù)據(jù)庫免遭數(shù)據(jù)竊取,是每個(gè)CSO都會(huì)關(guān)注的事情,筆者近幾年一直在漢領(lǐng)信息從事數(shù)據(jù)庫安全管控方面的工作,下面介紹下我的數(shù)據(jù)庫安全準(zhǔn)入控制矩陣模型的構(gòu)建和實(shí)踐心得,以此為企業(yè)組織的數(shù)據(jù)安全能力建設(shè)提供借鑒思路。
隨著信息化開展,業(yè)務(wù)系統(tǒng)數(shù)據(jù)化明顯,數(shù)據(jù)被廣泛應(yīng)用于企業(yè)內(nèi)部支撐、合作經(jīng)營、產(chǎn)品研發(fā)等,數(shù)據(jù)共享帶來了普遍性,促進(jìn)了生產(chǎn)力發(fā)展,同時(shí)也讓數(shù)據(jù)的邊界模糊,流動(dòng)變得頻繁。
因此,流通共享數(shù)據(jù)的安全訪問控制帶來了更高的挑戰(zhàn)。
為什么傳統(tǒng)的身份認(rèn)證和訪問控制不再適用于數(shù)據(jù)安全?因?yàn)閭鹘y(tǒng)的身份認(rèn)證和訪問控制是基于網(wǎng)絡(luò)層的訪問控制,通過劃分獨(dú)立數(shù)據(jù)網(wǎng)絡(luò)區(qū)域和運(yùn)維管理區(qū)域,以IP資源(協(xié)議端口)為對(duì)象,控制力度較為寬泛,只能參與網(wǎng)絡(luò)傳輸層的訪問要求。
與業(yè)務(wù)系統(tǒng)有關(guān)的訪問控制,通常以核心業(yè)務(wù)實(shí)現(xiàn)為中心設(shè)計(jì),通過控制用戶對(duì)不同功能界面的訪問來達(dá)到權(quán)限控制的目的。
部分?jǐn)?shù)據(jù)共享時(shí),通常系統(tǒng)允許以文件或圖片方式保存,并在文件中添加水印,用于在信息泄露后的追溯,如果高權(quán)限人員對(duì)數(shù)據(jù)庫內(nèi)具有流動(dòng)性的單條數(shù)據(jù)進(jìn)行傳播,系統(tǒng)則難以招架。
這些方式在面對(duì)數(shù)據(jù)中心級(jí)別資源池面前,便不足以支撐對(duì)企業(yè)內(nèi)數(shù)據(jù)傳輸、數(shù)據(jù)交換、數(shù)據(jù)處理的更高細(xì)粒度的訪問準(zhǔn)入控制要求。
一個(gè)核心技術(shù)點(diǎn)是協(xié)議解碼框架,需要有專業(yè)的全協(xié)議解碼能力,識(shí)別和分析數(shù)據(jù)庫傳輸協(xié)議以及應(yīng)用層的協(xié)議解碼,剝離SQL語句。
通過流會(huì)話技術(shù),對(duì)協(xié)議進(jìn)行流重組,所有解析語句會(huì)被標(biāo)記唯一的標(biāo)識(shí)。
在此基礎(chǔ)上,針對(duì)數(shù)據(jù)庫安全訪問的準(zhǔn)入控制方面,總結(jié)形成了一個(gè)安全準(zhǔn)入控制矩陣模型。
傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中,不注重?cái)?shù)據(jù)安全的流向,關(guān)注點(diǎn)始終停留在網(wǎng)絡(luò)建設(shè)層面,對(duì)數(shù)據(jù)庫的訪問準(zhǔn)入策略,元素使用網(wǎng)絡(luò)傳輸?shù)膩碓磁c目標(biāo)IP、目標(biāo)端口及協(xié)議(TCP/UDP)。
要實(shí)現(xiàn)對(duì)數(shù)據(jù)庫訪問準(zhǔn)入的控制,首當(dāng)其沖便是對(duì)數(shù)據(jù)庫協(xié)議的解析。
首先需要從網(wǎng)絡(luò)流量中獲取數(shù)據(jù)庫的訪問流量,識(shí)別數(shù)據(jù)庫協(xié)議,例如Oracle的數(shù)據(jù)傳輸協(xié)議TNS、SQL Server傳輸協(xié)議TDS。
然后對(duì)數(shù)據(jù)庫流量協(xié)議數(shù)據(jù)包進(jìn)行全協(xié)議解碼,其必然涉及到對(duì)加密數(shù)據(jù)庫信息的破解(如SQLServer的TDS協(xié)議,需要通過獲取加密證書實(shí)現(xiàn)加密登錄參數(shù)解析),從中識(shí)別可利用的獨(dú)特參數(shù)。
除了訪問IP、端口和協(xié)議外,還能夠采集的參數(shù)信息有客戶端應(yīng)用程序名(navicat.exe)、客戶端主機(jī)名(DESKTOP-VCK0MFC)、客戶端主機(jī)用戶名(J),以及訪問時(shí)使用的數(shù)據(jù)庫賬號(hào)名(system)和實(shí)例服務(wù)名(xe),以上稱為準(zhǔn)入控制因子。
企業(yè)組織架構(gòu)設(shè)計(jì)時(shí),可選用數(shù)據(jù)庫軟件種類眾多,協(xié)議類型、加密方法各不相同,我們通過協(xié)議解析獲得的數(shù)據(jù)庫應(yīng)用協(xié)議內(nèi)的參數(shù)信息也不相同。
如何構(gòu)建實(shí)現(xiàn)矩陣模型?創(chuàng)新的安全準(zhǔn)入控制模型,以數(shù)據(jù)庫協(xié)議的解析為核心基礎(chǔ),加入流量解析識(shí)別而來的準(zhǔn)入因子,形成更完善的可選準(zhǔn)入控制因子集合。
企業(yè)內(nèi)對(duì)數(shù)據(jù)庫訪問使用的準(zhǔn)入因子多種多樣,因?yàn)樵L問途徑較多,例如業(yè)務(wù)中間件與數(shù)據(jù)庫集群交互,業(yè)務(wù)應(yīng)用后臺(tái)維護(hù)對(duì)數(shù)據(jù)庫的訪問,運(yùn)維DBA利用工具對(duì)數(shù)據(jù)庫表的操作行為。
而做到評(píng)估所有的“需要知道”的訪問權(quán)限信息是非常困難且成本過高的,因此需要自動(dòng)化的方法,而且需要更智能。
安全準(zhǔn)入控制模型,基于數(shù)據(jù)中心大流量的數(shù)據(jù)庫協(xié)議全解碼技術(shù),通過機(jī)器學(xué)習(xí),實(shí)現(xiàn)對(duì)全網(wǎng)數(shù)據(jù)庫流量(包含業(yè)務(wù)系統(tǒng)請(qǐng)求的南北向流量、運(yùn)維與數(shù)據(jù)中心內(nèi)服務(wù)器交互的東西向流量)內(nèi)安全訪問準(zhǔn)入因子的自主學(xué)習(xí),甄別自動(dòng)化腳本攻擊摻入的臟數(shù)據(jù),快速完善數(shù)據(jù)庫訪問策略,形成準(zhǔn)入控制矩陣。
如何完美實(shí)現(xiàn)技術(shù)落地?在業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫訪問路徑中間,建立完善可視化的準(zhǔn)入控制矩陣,形成了白名單式的安全規(guī)則配置,對(duì)數(shù)據(jù)庫的所有訪問行為,都需要進(jìn)入準(zhǔn)入控制矩陣進(jìn)行混合匹配認(rèn)證,只有符合復(fù)雜白名單規(guī)則的訪問才被允許。
而自動(dòng)化變換攻擊腳本程序、更換賬號(hào)以及目標(biāo)設(shè)備的異常攻擊行為,都會(huì)被精準(zhǔn)識(shí)別并及時(shí)阻斷。
不管從業(yè)務(wù)系統(tǒng)的外來請(qǐng)求,還是服務(wù)器集群內(nèi)的東西向交互訪問,實(shí)現(xiàn)完全杜絕非法行為。
所以,數(shù)據(jù)庫安全準(zhǔn)入控制矩陣模型的構(gòu)建是以協(xié)議全解碼技術(shù)為基礎(chǔ),識(shí)別多項(xiàng)準(zhǔn)入控制因子,通過訪問內(nèi)容的自主學(xué)習(xí),形成的準(zhǔn)入控制矩陣。
對(duì)數(shù)據(jù)庫的訪問進(jìn)行準(zhǔn)入控制,對(duì)非理性和異常行為達(dá)到精準(zhǔn)阻斷,有效落地企業(yè)數(shù)據(jù)庫安全能力。
數(shù)據(jù)庫安全準(zhǔn)入控制矩陣模型是企業(yè)構(gòu)建數(shù)據(jù)庫安全能力建設(shè)內(nèi)容之中的一環(huán),是實(shí)現(xiàn)靈活多變、自適應(yīng)式、且具有高細(xì)粒度訪問控制矩陣的最佳實(shí)踐。
對(duì)企業(yè)組織而言,特別是在面對(duì)眾多以獲取企業(yè)敏感數(shù)據(jù)信息為目的的威脅面前,在未來以數(shù)據(jù)為中心的新經(jīng)濟(jì)時(shí)代,通過整合來自人、流程和技術(shù)的輸入信息,才能有效構(gòu)建并提升企業(yè)數(shù)據(jù)安全能力,才能在威脅來臨之際快速、自信地做出反應(yīng)。
Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有