攻与防的较量信息化安全提升的源动力.docxVIP

? 2016 攻与防的较量——信息化安全提升的源动力 信息化安全的提升，某种程度上，依赖于攻击与防护对抗的碰撞力度。攻击愈烈，防守意识愈能提升，安全防护的技术水平愈加速发展，和安全防御的能力愈不断提升；而防守越强，同时也反向刺激攻击手段不断“创新”与“求变”。 本次社保行业信息泄露事件的集中报道，就是信息化安全攻与防较量的一个典型代表。 1、社保数据遭受泄露事件曝光绝不”纯属偶然” 7天连锁酒店的600万会员信息泄密； CSDN 1000多万客户信息被窃取； 12306网站被攻破，上百万人的信息泄露； “房叔房姐”信息屡被搜集挖掘，终被曝光； 陕西移动1300万的用户数据泄露，被运维工程师窃取网上兜售； 3.15晚会连续4年报道电信行业内鬼，持续倒卖客户信息…… 近4、5年来，数据泄密事件层出不穷。大大小小的企业、组织都在遭到数据库泄密事件的重创。组织整体的信息化安全结构和水平决定了安全攻击的目标和核心。 根据verizon 对2亿8500万次累计攻击行为调查而发布的数据泄露调查报告表明，数据库成为入侵者最主要的攻击目标，高达76%的数据泄露直接来自数据库。  - PAGE 4 - ? 2016 2、安全事件发生的原因分析 当前信息化安全主要短板逐渐显示在后端 绝大部分政府/大型企业用户，当前已经进行了终端安全、网络安全防护，形成相对有效的边界安全防护能力，防火墙、防病毒软件、网站防攻击软件、CA认证系统等都已具备。 然而，在最接近核心资产数据库的后端”应用”和数据库部分，很多用户是没有有效防护手段甚至没有意识到需要安全防护。 B/S外网系统，存在明显的隐患，成为安全攻击的重要场所 B/S应用系统，由于其特殊的使用方式，使得终端用户可以轻松与后台应用服务进行互联，当前外网型B/S应用已经成为黑客及其他攻击者的首选试验田。 其中，最常用的就是利用应用系统、数据库的漏洞进行SQL注入。一旦SQL注入成功，可以轻松做到：一、不具备用户口令，但骗取登入应用；二、在查询窗口注入语句，可骗取应用的处理逻辑直接获得整表或大批量数据。 SQLMap等开源SQL注入工具，已经验证一大批B/S应用的注入点，成为攻击者的教学使用软件。 当前虽然有不少用户已经使用了WAF(WEB应用防火墙)等手段进行防护，但效果显然还不够健壮。目前已经曝光的多种SQL注入，是WAF不易防范的，如运算函数、SQL动态语句、数据库函数运算等特征的SQL注入等。 数据库自身缺陷，使得运维端容易获取批量数据 数据库自身的设计缺陷，使得DBA超级用户在数据库中完全不受限，另外有Oracle等数据库存在SYS超级用户本地访问不需校验密码等重大缺陷。这使得运维域的管理员、驻场人员、运维人员、测试人员、网管等都有机会批量获取敏感数据。 3、敏感数据安全提升的有效解决办法 敏感数据的安全性提升，严格来讲，不是某一个安全产品或厂商的单点职责。有效的安全机制应该是一个闭环的、由外到内的、由弱到强的、多层次塔式防御体系。 在终端、网络等传统安全措施相对健全的条件下、重点需要加强针对数据库内在核心的本质防护。 作为人力资源和社会保障自主可控信息化产业联盟（简称人社联盟）成员单位，北京安华金和科技有限公司，作为国家专业数据库安全厂商，为广大用户可提供如下数据库安全防护建议： 建立数据库安全主动防御机制 利用专门的数据库防火墙技术，彻底的对SQL注入、数据库漏洞攻击行为进行防御。 数据库防火墙，不同于传统的防火墙，传统的防火墙无法防止SQL注入等攻击手段；也不同于WEB防火墙，WEB防火墙实际上有很多的应用限制，有很多的SQL注入绕开手段，WEB防火墙也无法做到防止批量下载和后门程序。 而数据库防火墙可以对数据库的通讯过程进行精确的解析和控制；对于SQL注入本身比WEB防火墙拦截得更为彻底；同时可以对社保行业应用建立应用特征模型，建立社保正常访问语句的抽象表达，对每种语句的返回总量进行控制；从而防止批量下载和后门程序。 建立数据库底线保护机制 安全防护与安全攻击一样，都有成功概率。即使能防护住99%的行为，也有可能存在1%的攻破概率，而且随着攻击人员不断“创新”攻击方案或程序，比如会存在短暂的攻方暂时领先，如同杀毒软件的病毒库更新一样。 因此，在数据库安全的防护上，建议增加底线防护机制，通过使用数据记录行数阀值控制的技术，在最邻近数据库的位置部署数据库防火墙，即使攻击方法穿透了网络、主机、应用，但是一旦超过一定阀值（如100行），所有的访问行为将立即进行阻断、拦截。首先能做到规避大规模数据的泄密灾难。 建立数据库安全监控和告警机制 利用数据库监控与审计技术，可以记录下所有人员、所有通道、所有时间的数据库访问行为；可以突破应用层限制，将SQL语句与业务人员身份有效关