安华金和：数据库虚拟补丁技术说明.pdfVIP

数据库虚拟补丁技术说明 一. 综述 虚拟补丁技术是通过控制所保护系统的输入输出，防止对系统的漏洞攻击行为的技术。 随着网络黑客的攻击活动方式越来越多，速度越来越快，针对信息系统的漏洞研究和系 统安全漏洞的修补，成为了攻与防永恒的主题。但系统漏洞的修补永远晚于漏洞的发现，系 统设计的缺陷导致漏洞难以修补，现实稳定运行的信息系统难以接受系统的升级等等，这些 原因都造成了现实世界中诸多被暴露了漏洞的系统仍然在持续‘裸奔’中。这如同已经被曝 了安全隐患的汽车，无法召回，人们只能祈祷‘厄运’不要降临在自己身上。 虚拟补丁技术是对已有系统通过外围的方式，针对漏洞攻击的特征进行攻击行为发现和 拦截的安全防御手段。它使针对漏洞防御的实施更为轻量，更为及时。当然这并不是一种彻 底的方式，更彻底的方式依然是系统自身的修复；但它不失为一种简易的解决方法，为彻底 修复赢得了时间；也使在某些特殊情况下无法进行的修复，有了轻便的解决方案。即使不彻 底但简单而有效。这就如同是有了炎症，要吃退烧和消炎药，但体质的增强还需要长久的锻 炼、起居、饮食和精神的调整。 虚拟补丁技术较早的使用是在web 应用系统上，较早提出这个概念的是趋势科技，近来 绿盟也加入了这个领域，也是在web 上。数据库的虚拟补丁是近几年的防御技术，较早提出 的是Mcaffee，国内数据库安全厂商安华金和也是这方面的佼佼者。 虚拟补丁技术较早地应用于web 应用系统和数据库的原因是，由于这两种系统与应用关 联的很紧密，一旦上线都需要稳定的运行，由于实施补丁升级引起的工程量和系统的下线成 本与代价都很高。同时的协议标准性很差、复杂性很高，传统的防火墙、IPS/IDS、UTM 等都 对此无能为力。 数据库虚拟补丁技术一般是集成在数据库防火墙产品中（一种新的、有效针对数据库进 行主动安全防御的产品）。这种技术，一经面世，就受到了国内外用户的广泛欢迎；除了防 御能力外，国内用户欢迎的一个重要原因还在于，在以极光为代表的网络漏扫工具，每年都 会对数据库主机报告数十个高中危漏洞，被检测单位亟待解决这些数据库漏洞问题，而虚拟 补丁技术，无疑也对这种现实的需求提供了有效的解决方案。 在本文，我们将对数据库的漏洞，以及数据库虚拟补丁技术进行深度的介绍。 © 2015 安华金和 - 1 - 密级：内部公开 二. 数据库虚拟补丁产生的原因 2.1 数据库漏洞分析 美国Verizon 就“核心数据是如何丢失的”做过一次全面的市场调查，结果发现，75%的 数据丢失情况是由于数据库漏洞造成的。据CVE 的数据安全漏洞统计，Oracle、SQL Server、 MySQL 等主流数据库的漏洞逐年上升。 数据库漏洞特指数据库软件在设计及开发阶段，因技术性缺陷而产生的不可预期，高隐 秘性的数据库安全漏洞。外部攻击利用这些安全漏洞，对数据库及其存储的大量数据资产可 造成恶意危害。数据库漏洞的种类繁多并且所造成的危害性严重，所以数据库漏洞目前已成 为数据库信息安全领域针对数据库防护的主要研究对象。 图2.1 数据库漏洞入侵方式 2.1.2 数据库漏洞可能造成的危害 （1）危害数据库自身系统，对数据库本机进行攻击。 （2 ）危害数据库所在服务器，利用数据库来对服务器做攻击。方式：  通过pl/sql 运行OS 命令  通过JAVA 运行OS 命令  直接通过任务调度程序运行OS 命令  使用ALTER SYSTEM 运行OS 命令  利用oracle 编译本地pl/sql 应用程序的方式来运行OS 命令 （3 ）危害数据库所在系统的文件系统。方式：  利用 UTL_FILE 包访问文件系统  利用JAVA 访问文件系统 © 2015 安华金和 - 2 - 密级：内部公开  利用操作系统环境变量访问文件系统 （4 ）危害数据库所在网络上的其他平台。 2.1.3 数据库漏洞的归类划分 根据CVE 最新发布的漏洞统计结果，统计公布的各类数据库漏洞分布如下： 423