“我們的網(wǎng)絡(luò)安全系統(tǒng)中已經(jīng)有了Web應(yīng)用防火墻、網(wǎng)絡(luò)防火墻和IPS,難道還需要數(shù)據(jù)庫審計嗎?”很多人有這樣的疑問,網(wǎng)絡(luò)中有層層防護(hù),還不能保護(hù)數(shù)據(jù)庫的安全嗎?是的,因為不同的安全防護(hù)系統(tǒng)針對的關(guān)鍵風(fēng)險不同。
防火墻
網(wǎng)絡(luò)防火墻(Firewall)是基于預(yù)定安全規(guī)則來監(jiān)視和控制傳入和傳出網(wǎng)絡(luò)流量的網(wǎng)絡(luò)安全系統(tǒng),正如小區(qū)中的崗?fù)?,人員、車輛進(jìn)出都需要經(jīng)過崗?fù)さ臋z查,計算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)防火墻對流經(jīng)它的網(wǎng)絡(luò)通信信息進(jìn)行掃描,避免一些攻擊行為在目標(biāo)計算機(jī)上被執(zhí)行。
網(wǎng)絡(luò)防火墻作為訪問控制設(shè)備,主要工作在OSI模型三層,基于IP報文進(jìn)行檢測,通常根據(jù)IP、端口信息及協(xié)議類型做過濾。其產(chǎn)品設(shè)計無需理解HTTP會話,也就決定了無法理解Web應(yīng)用程序語言如HTML、SQL語言。
因此,它不可能對HTTP通訊進(jìn)行輸入驗證或攻擊規(guī)則分析。針對Web網(wǎng)站的惡意攻擊絕大部分都將封裝為HTTP請求,從80或443端口順利通過防火墻檢測。
網(wǎng)絡(luò)防火墻是基于邊界防護(hù),同時因為Web服務(wù)的開放性,網(wǎng)絡(luò)防火墻對基于Web以及內(nèi)部的攻擊缺乏免疫。
入侵防御系統(tǒng)
入侵防御系統(tǒng)(以下簡稱“IPS”)也是為防止網(wǎng)絡(luò)攻擊而設(shè)計的。一般來說,IPS系統(tǒng)檢測攻擊的方法是依靠對數(shù)據(jù)包的檢測。
IPS將檢查入網(wǎng)的數(shù)據(jù)包,確定這種數(shù)據(jù)包的真正用途,然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。這就像存放貴重物品的場所,如博物館中,安裝的紅外感應(yīng)防御裝置,在紅外線識別到有人入侵時能夠及時做出防御。
IPS采用的是特征匹配技術(shù)、使用“允許除非明確否認(rèn)”模式,其防護(hù)對象是一段網(wǎng)絡(luò)、以及網(wǎng)絡(luò)中通用的設(shè)備或系統(tǒng)而不是特定的Web應(yīng)用。
IPS更多是針對攻擊行為的識別與防御,而數(shù)據(jù)庫數(shù)據(jù)泄露的風(fēng)險常常是來自于內(nèi)部人員,如合法權(quán)限的濫用或高級權(quán)限的違規(guī)使用。IPS無法對這類風(fēng)險進(jìn)行識別,也就無法對數(shù)據(jù)庫的安全進(jìn)行全面的防護(hù)。
Web應(yīng)用防火墻
從對Firewall的介紹可以看出來,傳統(tǒng)的防火墻對于應(yīng)用層的攻擊是無法進(jìn)行有效抵抗的;而IPS對防止應(yīng)用層攻擊能起到一部分作用,卻無法從根本上防護(hù)應(yīng)用層的攻擊。因此出現(xiàn)了保護(hù)Web應(yīng)用安全的Web應(yīng)用防火墻系統(tǒng)(以下簡稱“WAF”)。
WAF是一種基礎(chǔ)的安全保護(hù)模塊,通過特征提取和分塊檢索技術(shù)進(jìn)行特征匹配,主要針對 HTTP 訪問的 Web 程序保護(hù)。WAF部署在Web應(yīng)用程序前面,在用戶請求到達(dá) Web 服務(wù)器前對用戶請求進(jìn)行掃描和過濾,分析并校驗每個用戶請求的網(wǎng)絡(luò)包,確保每個用戶請求有效且安全,對無效或有攻擊行為的請求進(jìn)行阻斷或隔離。
WAF現(xiàn)在已經(jīng)成為許多商業(yè) Web 網(wǎng)站與系統(tǒng)的基本保護(hù)措施,它的確在防范許多針對Web系統(tǒng)的安全攻擊方面卓有成效;但WAF只監(jiān)控通過HTTP方式來的數(shù)據(jù),而數(shù)據(jù)庫的訪問源頭卻多種多樣,如以下幾種數(shù)據(jù)庫訪問方式:
1、組織內(nèi)其他應(yīng)用系統(tǒng)能訪問數(shù)據(jù)庫:比如在電子商務(wù)系統(tǒng)里,價格和庫存可能會用一些自動化的腳本來定時更新。
2、一些內(nèi)部管理程序可以訪問系統(tǒng),也可能是一些接口,方便雇員添加信息或者發(fā)送信息給客戶。
3、還有就是數(shù)據(jù)庫 DBA,IT 經(jīng)理,QA,開發(fā)人員等等內(nèi)部人員通過數(shù)據(jù)庫管理工具可以訪問數(shù)據(jù)庫。
這些潛在的數(shù)據(jù)庫訪問源頭WAF是毫不知情的,但是來自內(nèi)部的攻擊則更可怕。
從網(wǎng)絡(luò)防火墻到入侵防御系統(tǒng)再到Web應(yīng)用防火墻,當(dāng)我們給網(wǎng)絡(luò)穿上一層又一層的防護(hù)衣時,不得不正視,網(wǎng)絡(luò)攻擊越來越深入。當(dāng)數(shù)據(jù)的價值越來越高,數(shù)據(jù)庫成為“攻擊”目標(biāo)時,網(wǎng)絡(luò)防火墻、IPS、WAF的防護(hù)變得有些捉襟見肘。
數(shù)據(jù)庫審計系統(tǒng)可對數(shù)據(jù)的訪問操作行為做一個完整的記錄,以備違反安全規(guī)則的事件發(fā)生后,能有效的追查責(zé)任和分析原因,必要時還可以為懲罰惡意攻擊行為提供必要的證據(jù)。
另一方面,實施審計準(zhǔn)則之后,審計線索會指出特定人員沒有違反規(guī)程,也沒有破壞性行為,對合法用戶是一種良好的保護(hù)。
從信息安全的角度上看,審計是安全的數(shù)據(jù)庫系統(tǒng)不可缺少的一部分,也是數(shù)據(jù)庫的最后一道重要的安全防線。
數(shù)據(jù)庫暴露的訪問點多種多樣,網(wǎng)絡(luò)安全工作是一場旅程,起始于關(guān)鍵風(fēng)險和重要資產(chǎn)的識別,再在技術(shù)、流程和人員管理之間找到正確的組合。
因此,面對不同的網(wǎng)絡(luò)安全風(fēng)險,需要不同的技術(shù)手段加以防護(hù),在數(shù)據(jù)價值日益增加的現(xiàn)在,數(shù)據(jù)庫審計系統(tǒng)的作用逐漸突顯。