安华金和:数据库虚拟补丁技术说明
安华金和数据库保险箱(DBCoffer for Mysql)用户手册说明书
安华金和数据库保险箱(DBCofferfor Mysql)用户手册■文档编号MySQL_TDE_Cloud_20170907■密级完全公开■版本编号V 1.2■日期2017.09.07©2017安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■适用性声明本模板用于撰写安华金和公司介绍、项目方案、商业计划书等目录安华金和数据库保险箱(DBCOFFER FOR MYSQL) (1)用户手册 (1)一.产品简介 (4)1.1概述 (4)1.2术语定义 (4)二.特别说明 (4)三.产品部署 (5)3.1W EB管理端配置 (5)3.2安全服务初始化 (8)3.3获取主机ID (9)3.4导入LICENSE (11)3.5启动安全服务 (12)3.6备份密钥库 (13)3.7添加M YSQL实例 (14)3.8DBC OFFER-MYSQL部署 (16)3.9数据表加解密 (17)3.9.1数据表加密 (17)3.9.2数据表解密 (21)3.10权限设置 (25)3.10.1客户端IP限定 (25)3.10.2权限设置 (27)3.10.3应用关联 (30)四.三权分立 (33)4.1系统管理员 (33)4.1.1网络管理 (33)4.1.2配置管理 (34)4.1.3用户管理 (36)4.2安全管理员 (38)4.3审计管理员 (39)五.加密数据文件离线还原工具 (40)一.产品简介1.1概述安华金和针对客户对MySQL数据库的高安全性需求,提供安华金和数据库保险箱(简称DBCoffer)产品。
安华金和数据库保险箱系统使用透明加密技术,在不影响MySQL原有功能的基础上,实现对高敏感及重要数据的加密保护。
能够主动保护内部的数据安全,对数据库系统进行有效的安全加固。
安华金和数据库脱敏系统白皮书
安华金和数据库脱敏系统白皮书目录安华金和数据库脱敏系统 (1)白皮书 (1)一. 产品简介 (3)二. 应用背景 (3)2.1数据库安全已经成为信息安全焦点 (3)2.2企业需要安全的使用隐私数据 (4)2.3越发复杂的敏感数据使用场景 (4)2.4数据安全相关政策与法律法规 (4)三. 客户价值 (5)3.1保护隐私数据,满足合规性 (5)3.2保证业务可靠运行 (5)3.3实时动态保护生产系统数据 (6)3.4敏感数据统一管理 (8)四. 功能特点 (8)4.1自动识别敏感数据 (8)4.2灵活的策略和方案管理 (8)4.3内置丰富脱敏算法 (9)4.4数据子集管理 (9)4.5脱敏任务管理 (9)4.6脱敏数据验证 (10)4.7动态数据脱敏 (10)五. 联系我们 ............................................................................................................. 错误!未定义书签。
一. 产品简介安华金和数据库脱敏系统(简称DBMasker)是一款高性能、高扩展性的数据屏蔽和脱敏产品,采用专门的脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密,将敏感数据转化为虚构数据,隐藏了真正的隐私信息,为数据的安全使用提供了基础保障。
同时脱敏后的数据可以保留原有数据的特征和分布,无需改变相应的业务系统逻辑,实现了企业低成本、高效率、安全的使用生产的隐私数据。
安华金和数据库脱敏系统脱敏产品,实现了自动识别敏感数据和管理敏感数据,提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助企业快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析,和第三方使用环境中。
安华金和数据库脱敏系统脱敏产品提供了具有极高附加价值的数据动态脱敏功能,该功能在数据库通讯协议层面,通过SQL代理技术,实现了完全透明的、实时的敏感数据掩码能力;在不需要对生产数据库中的数据进行任何改变的情况下,依据用户的角色、职责和其他IT定义规则,动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计,确保业务用户、外包用户、兼职雇员、合作伙伴、数据分析、研发和测试团队及顾问能够恰如其分地访问生产环境的敏感数据。
安华金和数据库漏洞扫描系统(DBScan)
安华金和数据库漏洞扫描系统(DBScan)一. 产品概述安华金和数据库漏洞扫描系统(简称DBScan)是一款帮助用户对当前的数据库系统进行自动化安全评估的专业软件,能有效暴露当前数据库系统的安全问题,对数据库的安全状况进行持续化监控,帮助用户保持数据库的安全健康状态。
DBScan是国内首款:支持七种国际主流数据库和四种国产数据库漏洞扫描产品检测项达到4300个以上的数据库安全检测产品等保专用数据库风险等级评估检测工具二. 产品价值2.1 提升数据库使用安全系数主流数据库的自身漏洞逐步暴露,数量庞大;仅CVE公布的Oracle漏洞数已达1100多个;DBScan可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
对检测出的漏洞,提供漏洞产生的原因分析,有针对性地给出修复建议,以及修复漏洞所需的命令、脚本、执行步骤等。
2.2 降低数据库黑客攻击风险据了解,1/2以上的生产业务数据库中都存在默认用户名/默认口令;若干黑客典型攻击手段,仅使用了最常规的数据库安全漏洞。
这些攻击都可通过基本的安全配置增强完成防护。
DBScan可以检测出在数据库使用过程中,由于人为疏忽造成的诸多安全隐患:低安全配置、弱口令、高危程序代码、权限宽泛等。
2.3 满足行业安全检测规范支持能源、运营商等行业性数据库安全检测规范,可用于检测单位的行业检测、以及用户单位的自检。
等保工具箱集成产品,提供等级保护专业检测报告,实现数据库安全合规。
三. 产品优势3.1 丰富的漏洞库支持1300个以上安全漏洞库;国内普通安全厂商的漏洞检测数在300个左右;专业数据库漏洞工具的检测数600-700个。
3.2 全面检测能力DBScan提供最为全面的检测库,仅Oracle就达到3019个检测项。
不仅支持常规产品具备的DBMS漏洞、缺省配置、弱口令、补丁包等漏洞;还支持敏感数据发现、程序代码漏洞、宽泛权限检测。
3.3 等级保护专用检测工具针对我国等级保护1、2、3、4级对数据库的安全检测要求,建立数据库等级保护检测工具集,实现等级保护检测扫描,生成等级保护检测报告。
安华金和数据库安全银行行业解决方案
安华金和数据库安全银行行业解决方案一. 客户需求与挑战某商行信息化高速发展的时代背景下,各银行积累的客户数据、交易记录、管理数据等呈爆炸性增长,海量数据席卷而来,海量的业务数据不但成为金融业的命脉,也成为不法分子窥探的目标,因此也意味着面临了海量的风险。
目前国家和商行内部对数据的安全管控提出了以下要求:1) 随着客户的增加,数据库信息价值不断提升,使得数据库面对来自内部和外部的安全风险大大增加;2) 内部违规越权操作、外部恶意入侵等行为,事后却无法有效追溯和审计;3) 业务访问数据库过程过慢,SQL访问性能无法了解并改善;4) 国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计、安全控制,同时也明确要求了审计和控制的范围、内容等,粒度要求到用户级、数据表、字段级。
5) 银监会19号文中也明确提出“控制所有生产系统的活动日志,以支持有效的审计、安全论证分析和预防欺诈”。
6) 国外信息安全方面的标准或最佳实践(如ISO13335、ISO27001、SP800)等也要求对用户行为、系统、数据操作行为进行控制和审计。
特别是2014年9月银监会39号文,《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(简称意见),特别在操作系统、数据库等领域要加大探索和尝试力度;从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比该指导意见的发布是我国进一步重视银行业数据安全的表现。
二. 解决方案概述及要点描述某商行核心数据库在全行范围内是负责银行数据存储和处理核心设施,经过评估一旦核心数据机密性、完整性、可用性遭受损失,将会给社会秩序甚至国家安全造成严重损害。
银行因此委托了专业的数据库安全厂商,提出了以下4点安全目标:1)向合法用户提供可靠信息服务;2)拒绝非法用户对数据库的访问;3)拒绝对数据库执行高危操作4)跟踪数据库使用记录,为合规性、安全责任审查提供证据。
安华金和数据库脱敏系统(DBMasker)
安华金和数据库脱敏系统(DBMasker)一. 产品概述安华金和数据库脱敏系统(简称DBMasker)是一款面向生产数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏产品。
DBMasker可以满足测试、开发、培训和数据共享场景的敏感数据保护需求。
DBMasker符合金融、运营商、能源、政府等行业敏感数据防护的政策合规性需求。
二. 产品价值2.1 防止生产库中敏感数据泄露DBMasker通过对生产库中的身份、地址、银行卡号、电话号码等敏感数据进行混淆、扰乱后再提供给第三方使用,防止生产库中的敏感数据泄露;DBMasker通过对生产或漂白后的数据进行局部数据抽取,实现非生产环境下数据集合最小化。
2.2 提升测试、开发和培训数据质量DBMasker通过内置策略和算法,保证脱敏数据有效性(保持原有数据类型和业务格式)、完整性(保证长度不变、数据内涵不丢失)、关系性(保持表间、表内数据关联关系),以提升在测试、开发和培训环节的真实有效性。
2.3 提高数据维护和数据共享安全性DBMasker通过对生产数据库访问者用户名、IP、工具类型、时间等多个身份维度,控制对生产数据访问结果的差异化;返回结果可以为真实数据或掩码数据,或进行阻断、返回行数限定。
通过对访问者的不同策略,满足细粒度的生产数据访问需求。
比如:DBA可维护,但看不到敏感数据;业务系统访问真实数据,BI系统看到扰乱后用户身份信息。
2.4 实现隐私数据管理的政策合规性通过DBMasker脱敏产品,可以帮助组织满足国际标准、行业监管政策中,对测试和开发环节的敏感数据保护需求。
三. 产品优势3.1 漂白只是开始,完备脱敏解决方案DBMasker具备全面的数据漂白能力,同时DBMasker具备以下能力:1)数据间关系保持:实现表间关系、同表列间关系、数据分布关系保持;2)数据子集抽取:实现基于百分比、时间或其它条件的数据抽取;3)实时动态数据脱敏:不需要数据转换存储,实时数据掩码或访问控制。
安华金和数据库脱敏系统(DBMasker)
安华金和数据库脱敏系统(DBMasker)一. 产品概述安华金和数据库脱敏系统(简称DBMasker)是一款面向生产数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏产品。
DBMasker可以满足测试、开发、培训和数据共享场景的敏感数据保护需求。
DBMasker符合金融、运营商、能源、政府等行业敏感数据防护的政策合规性需求。
二. 产品价值2.1 防止生产库中敏感数据泄露DBMasker通过对生产库中的身份、地址、银行卡号、电话号码等敏感数据进行混淆、扰乱后再提供给第三方使用,防止生产库中的敏感数据泄露;DBMasker通过对生产或漂白后的数据进行局部数据抽取,实现非生产环境下数据集合最小化。
2.2 提升测试、开发和培训数据质量DBMasker通过内置策略和算法,保证脱敏数据有效性(保持原有数据类型和业务格式)、完整性(保证长度不变、数据内涵不丢失)、关系性(保持表间、表内数据关联关系),以提升在测试、开发和培训环节的真实有效性。
2.3 提高数据维护和数据共享安全性DBMasker通过对生产数据库访问者用户名、IP、工具类型、时间等多个身份维度,控制对生产数据访问结果的差异化;返回结果可以为真实数据或掩码数据,或进行阻断、返回行数限定。
通过对访问者的不同策略,满足细粒度的生产数据访问需求。
比如:DBA可维护,但看不到敏感数据;业务系统访问真实数据,BI系统看到扰乱后用户身份信息。
2.4 实现隐私数据管理的政策合规性通过DBMasker脱敏产品,可以帮助组织满足国际标准、行业监管政策中,对测试和开发环节的敏感数据保护需求。
三. 产品优势3.1 漂白只是开始,完备脱敏解决方案DBMasker具备全面的数据漂白能力,同时DBMasker具备以下能力:1)数据间关系保持:实现表间关系、同表列间关系、数据分布关系保持;2)数据子集抽取:实现基于百分比、时间或其它条件的数据抽取;3)实时动态数据脱敏:不需要数据转换存储,实时数据掩码或访问控制。
DBCoffer产品技术白皮书_标准版
2.5. DBCoffer 产品性能优势................................................................................................. 11
2.5.1.
测试结论.......................................................................................................... 11
安华金和数据库保险箱系统— DBCoffer 技术白皮书
北 京 安 华 金 和 科 技 有 限 公 司.
版权所有(©2010)
北京公司:北京市海淀区百花科技苑 A 座 201 电 话:010-88571665 传 真:010-88571665 邮 编:100081
安华金和数据库保险箱系统—DBCoffer 技术白皮书
1.2.4.
系统安全............................................................................................................ 4
1.2.5.
维护管理功能.................................................................................................... 4
2.1. Oracle 加密产品基本状况............................................................................................... 6
安华金和数据库防火墙(DBFirewall)
安华金和数据库防火墙系统(DBFirewall)一. 产品概述安华金和数据库防火墙系统(简称DBFirewall),是一款基于数据库协议分析与控制技术的数据库安全防护系统。
DBFirewall基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
二. 产品价值2.1 防止外部黑客攻击威胁:黑客利用Web应用漏洞,进行SQL注入;或以Web应用服务器为跳板,利用数据库自身漏洞攻击和侵入。
防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL 注入行为。
2.2 防止内部高危操作威胁:系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,有意无意的高危操作对数据造成破坏。
防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate 等高危操作避免大规模损失。
2.3 防止敏感数据泄漏威胁:黑客、开发人员可以通过应用批量下载敏感数据,内部维护人员远程或本地批量导出敏感数据。
防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
2.4 审计追踪非法行为威胁:业务人员在利益诱惑下,通过业务系统提供的功能完成对敏感信息的访问,进行信息的售卖和数据篡改。
防护:提供对所有数据访问行为的记录,对风险行为进行Syslog、邮件、短信等方式的告警,提供事后追踪分析工具。
三. 产品优势3.1 全面的入侵防御技术提供业界最为全面的数据库攻击行为检测和阻断技术:虚拟补丁技术:针对CVE公布的漏洞库,提供漏洞特征检测技术。
高危访问控制技术:提供对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。
SQL注入禁止技术:提供SQL注入特征库。
返回行超标禁止技术:提供对敏感表的返回行数控制。
SQL黑名单技术:提供对非法SQL的语法抽象描述。
3.2 应用“零”误报技术对于IPS类产品最重要的是在保持“低漏报率”的同时维护“低误报率”;对于数据库而言这点更为关键,一点点“误报”可能就会造成重大业务影响。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
库存在数据泄露的真空期。 数据库利用补丁进行修补的过程中存在兼容性隐患,为数据库造成新的危害。 数据库补丁修补过程中具有一定风险,并且会消耗用户大量资源。
); END;
防护的规则和手段可以为: (1)解析出会话的用户名:证明不是 sys 用户,可能会是一种越权行为。 (2)对语句进行进一步验证:证明语句中包含有常被用来的攻击的字段名: dbms_metadata,并且含有函数 get_ddl。 (3)满足上述条件,可以猜测为攻击行为。 (4)最后验证语句并非查询类型 select ....,排除正常行为。 至此,认为该语句是个攻击语句,存在风险。
© 2015 安华金和
-1-
密级:内部公开
二. 数据库虚拟补丁产生的原因
2.1 数据库漏洞分析
美国 Verizon 就“核心数据是如何丢失的”做过一次全面的市场调查,结果发现,75%的 数据丢失情况是由于数据库漏洞造成的。据 CVE 的数据安全漏洞统计,Oracle、SQL Server、 MySQL 等主流数据库的漏洞逐年上升。
入侵方法分为:
代码注入 代码注入攻击多在支持多条 SQL 语句执行的数据中存在。它是通过黑客在正常语句中加入恶 意 EXECUTE 命令完成攻击的。 函数调用注入 函数调用注入是代码注入的变体,但确实整个 SQL 注入的核心。它利用数据库存在漏洞将恶 意语句注入其中。具体手法分为: 注入 select /delete/insert/update 语句 注入函数 注入匿名 pl/sql 块 游标注入 利用触发器 lateral 提权技术
© 2015 安华金和
-2-
密级:内部公开
利用操作系统环境变量访问文件系统 (4)危害数据库所在网络上的其他平台。
2.1.3 数据库漏洞的归类划分
根据 CVE 最新发布的漏洞统计结果,统计公布的各类数据库漏洞分布如下:
423
203
175
74
92
28
38
8
图 2.2 各类数据库漏洞分布
下图为 CVE 统计的一类 oracle 数据库漏洞,证用户可以通过未知向量影响系统的可用性(属 缓冲区溢出类)。
(2)缓冲区溢出 源缓冲区的数据向小于自身位数的缓冲区复制数据时,超越目标缓冲区的位数边界,并且数 据库未对存入数据进行边界判断,最终导致目标缓冲区爆满。目标缓冲区内存改变程序控制 流、夺取操作系统、禁止访问等多种结果。缓冲区溢出主要可以分成四种:静态数据溢出、 栈溢出、堆溢出和格式化串。
© 2015 安华金和
-7-
密级:内部公开
在正常的 sql 语句中通过嵌入、注释、转义符等手段加入针对数据库漏洞或数据库设置缺
陷的畸形字符串或其他畸形输入。通过单次或多次这种畸形输入逐步获取数据库中更高权限,
最终获取数据库中敏感信息或直接夺取数据库 DBA 权限。进而可能对数据库所在的网络环境
和本地服务器造成危害。
上述虚拟补丁防护方式方法不但提高了执行效率,更有效的降低了误报的频率,虚拟补 丁对数据库漏洞的防护方式大致如此。
安华金和的虚拟补丁技术,基于数据库防护考虑,将数据库漏洞分为了 22 类。本文只列 举下述部分数据库漏洞做分类说明,有利于对虚拟补丁防护方式的理解。 (1)DBMS SQL 注入
这里指的是 DBMS 系统的函数、存储过程中注入漏洞,而不是我们常规说的应用系统的 SQL 注入漏洞,这些漏洞的 SQL 语句完成语句注入。
简单的说,虚拟补丁通过控制受影响的应用程序的输入或输出,来改变或消除漏洞,是 在数据库的前端进行控制或告警的一种技术。它是一种透明的对数据库进行保护的方法,不 需要重启数据库或进行大范围应用系统的回归测试。
3.2 虚拟补丁的防护原理
虚拟补丁技术防护的基本原理就是攻击规则的匹配。根据攻击的方式,我们可以分为两 种:一种是对网络通讯中直接的攻击的防护,比如对 Oracle TNS 协议中的缓冲区溢出漏洞; 一种是对通过 SQL 语句中的攻击行为的防护,比如数据库系统的提权漏洞、注入漏洞。
数据库虚拟补丁技术说明
一. 综述
虚拟补丁技术是通过控制所保护系统的输入输出,防止对系统的漏洞攻击行为的技术。 随着网络黑客的攻击活动方式越来越多,速度越来越快,针对信息系统的漏洞研究和系 统安全漏洞的修补,成为了攻与防永恒的主题。但系统漏洞的修补永远晚于漏洞的发现,系 统设计的缺陷导致漏洞难以修补,现实稳定运行的信息系统难以接受系统的升级等等,这些 原因都造成了现实世界中诸多被暴露了漏洞的系统仍然在持续‘裸奔’中。这如同已经被曝 了安全隐患的汽车,无法召回,人们只能祈祷‘厄运’不要降临在自己身上。 虚拟补丁技术是对已有系统通过外围的方式,针对漏洞攻击的特征进行攻击行为发现和 拦截的安全防御手段。它使针对漏洞防御的实施更为轻量,更为及时。当然这并不是一种彻 底的方式,更彻底的方式依然是系统自身的修复;但它不失为一种简易的解决方法,为彻底 修复赢得了时间;也使在某些特殊情况下无法进行的修复,有了轻便的解决方案。即使不彻 底但简单而有效。这就如同是有了炎症,要吃退烧和消炎药,但体质的增强还需要长久的锻 炼、起居、饮食和精神的调整。 虚拟补丁技术较早的使用是在 web 应用系统上,较早提出这个概念的是趋势科技,近来 绿盟也加入了这个领域,也是在 web 上。数据库的虚拟补丁是近几年的防御技术,较早提出 的是 Mcaffee,国内数据库安全厂商安华金和也是这方面的佼佼者。 虚拟补丁技术较早地应用于 web 应用系统和数据库的原因是,由于这两种系统与应用关 联的很紧密,一旦上线都需要稳定的运行,由于实施补丁升级引起的工程量和系统的下线成 本与代价都很高。同时的协议标准性很差、复杂性很高,传统的防火墙、IPS/IDS、UTM 等都 对此无能为力。 数据库虚拟补丁技术一般是集成在数据库防火墙产品中(一种新的、有效针对数据库进 行主动安全防御的产品)。这种技术,一经面世,就受到了国内外用户的广泛欢迎;除了防 御能力外,国内用户欢迎的一个重要原因还在于,在以极光为代表的网络漏扫工具,每年都 会对数据库主机报告数十个高中危漏洞,被检测单位亟待解决这些数据库漏洞问题,而虚拟 补丁技术,无疑也对这种现实的需求提供了有效的解决方案。 在本文,我们将对数据库的漏洞,以及数据库虚拟补丁技术进行深度的介绍。
数据库漏洞特指数据库软件在设计及开发阶段,因技术性缺陷而产生的不可预期,高隐 秘性的数据库安全漏洞。外部攻击利用这些安全漏洞,对数据库及其存储的大量数据资产可 造成恶意危害。数据库漏洞的种类繁多并且所造成的危害性严重,所以数据库漏洞目前已成 为数据库信息安全领域针对数据库防护的主要研究对象。
图 2.1 数据库漏洞入侵方式
以安华金和数据库防火墙产品(DBF)为例的虚拟补丁技术的防护原理是对数据库和客 户端之间的通信进行通信协议解析,获取到会话信息(包括:数据库用户,操作系统用户等) 和用户实际执行的语句,对会话信息和语句中的攻击特征字符串进行综合分析,判断该语句 是否有攻击意图。
其中语句分析拆取需要的语句信息,如:SQL 语句操作类型,常出现在攻击语句中的关 键词(如用来攻击的包、函数名等)。当语句中包含这些关键词,则判定为是一种漏洞攻击
© 2015 安华金和
-5-
密级:内部公开
三. 虚拟补丁对数据库的防护
3.1 虚拟补丁的产品优势
虚拟补丁的优势所在,就是可以在无需修补 DBMS 内核的情况下保护数据库。虚拟补丁 在数据库外创建了一个安全层,从而无需根据数据库厂商提供的补丁做数据库修复,也不需 要停止服务和回归测试。
虚拟补丁的防护机制,旨在通过监控所有数据库活动,获取通讯信息。利用监控数据与 保护规则相比较,从而发现攻击企图。当比较结果与规则匹配时,就发出告警警报,并根据 防护策略及时的终止可疑会话、操作程序或隔离用户,直到这个可疑的活动被审查通过。
© 2015 安华金和
-6-
密级:内部公开
行为。最后对特征字符串进行进一步验证,结合关键词所在的上下文,甄别语句的行为,排 除正常行为所产生的语句。
例如:攻击语句
图 3.1 防护示例
DECLARE a clob; BEGIN
a := sys.dbms_metadata.get_ddl ( '''|| scott.get_dba() ||''', 'DBMS_METADATA'
2.3 数据库虚拟补丁技术
通过数据库漏洞的高危害性分析和漏洞补丁包的低可用性说明。我们可知,市场亟需一 种数据库漏洞防护方式,在无需对数据库做深度操作的前提下,进行漏洞的修补与防护,以 期达到数据库的安全标准要求。
常规的数据库虚拟补丁技术主要分 2 种: 方案一. 修改数据库程序的运行时代码。如果发现攻击涉及到某些存储敏感信息的数据表,会 创造一个输出补丁,从而改变数据库返回的结果集输出的方向,向某特定地址传输该数据包。 方案二. 在数据库的前端设置某种类型代理,以控制数据库的输入和输出,从而阻止或消除攻 击行为。可以检测对漏洞的尝试利用,并终止可疑的会话。 当前市场上的数据库防护工具,如果具备数据库漏洞防护能力,通常采用第二种虚拟补丁防 护方式,避免对数据库做代码层级的改动。
© 2015 安华金和
-3-
密级:内部公开
数据库漏洞成因,主要分为以下几种: (1)输入验证错误 (2)边界条件错误 (3)缓冲区溢出错误 (4)访问验证错误 (5)意外条件错误 (6)其他错误 通过研究数据库漏洞分类,有助于人们对漏洞的深入理解并加以预防和避免。
2.2 数据库补丁包的缺陷
由于数据库漏洞的不可预期性和高隐蔽性,数据库开发商只能通过事后,周期性,有针 对性的对已发现的数据库漏洞进行安全性处理,并以数据库补丁包的形式进行针对性的漏洞 修复。所以,对数据库打补丁和扩容存储已经成为 DBA 的常规性必处理业务。