兩位一體:論信息化中的應(yīng)用安全和數(shù)據(jù)庫安全
應(yīng)用安全和數(shù)據(jù)庫的安全就像是拼圖中的拼圖塊,它們雖然不同,卻彼此之間需要對方,缺少任何一個,都不能形成一個安全整體。如果其中一方出現(xiàn)安全隱患就會令整個安全防御徹底失效,如WEB應(yīng)用程序存在SQL注入
應(yīng)用安全和數(shù)據(jù)庫的安全就像是拼圖中的拼圖塊,它們雖然不同,卻彼此之間需要對方,缺少任何一個,都不能形成一個安全整體。如果其中一方出現(xiàn)安全隱患就會令整個安全防御徹底失效,如WEB應(yīng)用程序存在SQL注入的時候,就會對整個系統(tǒng)和數(shù)據(jù)庫產(chǎn)生更大的影響。為了減小攻擊范圍,開發(fā)人員和數(shù)據(jù)庫管理員必須明晰他們在這個過程中的角色,共同工作,以避免WEB應(yīng)用暴露任何敏感數(shù)據(jù)庫。
如今,許多行業(yè)用戶將大量有價值的客戶數(shù)據(jù)存儲于在線數(shù)據(jù)庫,通過網(wǎng)絡(luò)應(yīng)用與外界交互。不論是通信、金融、電子政務(wù)、電子商務(wù)抑或是小小的個人博客,前端應(yīng)用程序和后臺數(shù)據(jù)庫都不可避免地結(jié)合在我們現(xiàn)在的模型中,任何一個都不可離開另一個而單獨存在。
但是由于那些應(yīng)用程序在設(shè)計時是允許任何人、從任何地方登陸進入訪問,因而也成為了通往隱藏在深處的重要數(shù)據(jù)的橋梁。比如在去年十二月,國內(nèi)最大的程序員社區(qū)網(wǎng)站CSDN就遭到了黑客從WEB應(yīng)用層的攻擊,使得包含用戶密碼的數(shù)據(jù)庫泄密。
那么如何才能使這個模型更安全呢?安恒信息專家將為您做詳細(xì)的解讀:使模型更安全的解決方法是讓應(yīng)用程序作為人與數(shù)據(jù)互動的唯一接口,應(yīng)用程序界面是機器與數(shù)據(jù)互動的唯一接口。如果不是這樣,那么數(shù)據(jù)交互就有可能不能被充分控制好,這將會是一個非常基本的潛在漏洞。即使訪問方式定義明確,實際上應(yīng)用程序依然有無數(shù)種方式令防護數(shù)據(jù)庫失敗,最終導(dǎo)致整個系統(tǒng)被黑客竊取或破壞。
安恒信息專家表示,安全管理人員和開發(fā)人員經(jīng)常忽視或者錯誤地理解數(shù)據(jù)庫,常僅僅關(guān)注于保護網(wǎng)絡(luò)應(yīng)用程序不受風(fēng)險的威脅--比如說跨站腳本攻擊或者注入攻擊,而忘記了留意數(shù)據(jù)庫本身的安全隱患。很明顯,用戶需要有專門的工具和策略來幫助網(wǎng)絡(luò)應(yīng)用程序開發(fā)人員保護后臺數(shù)據(jù)庫的安全性,而數(shù)據(jù)庫開發(fā)人員必須確保他們的網(wǎng)絡(luò)接口盡可能地安全。
同時安恒信息專家還指出,現(xiàn)在大多數(shù)用戶都是憑感覺在運行數(shù)據(jù)庫安全。絕大多數(shù)用戶根本沒有監(jiān)控他們的數(shù)據(jù)庫。更令人不安的是,大多數(shù)用戶甚至不知道他們的重要數(shù)據(jù)的位置,很多管理員在調(diào)查中承認(rèn)他們并不能肯定數(shù)據(jù)庫中包含著重要信息。
在多數(shù)情況下,關(guān)鍵點在于網(wǎng)絡(luò)應(yīng)用程序本身對于攻擊者而言沒什么價值,他們只是利用應(yīng)用程序作為竊取或破壞數(shù)據(jù)的一種手段,第一個防范措施便是確保不僅僅是數(shù)據(jù)庫管理員了解重要數(shù)據(jù)在哪里存放、如何訪問到,以及面臨的實際威脅。我們通常將數(shù)據(jù)庫看作是一個黑盒子,只向需要的人和應(yīng)用程序提供訪問的方法,當(dāng)選取、更新或者插入操作成功后,人們會忘記還有一些事情會發(fā)生,所以說團隊合作是關(guān)鍵,必須要把應(yīng)用安全和數(shù)據(jù)安全做到兩位一體。
我們所面臨的網(wǎng)絡(luò)威脅
數(shù)據(jù)庫除了有與生俱來的安全隱患以外,當(dāng)應(yīng)用程序訪問數(shù)據(jù)庫時,還要考慮到更多的威脅。數(shù)據(jù)庫打補丁、權(quán)限管理和連接管理都是典型的數(shù)據(jù)庫安全防范措施,常見的由網(wǎng)絡(luò)應(yīng)用程序引發(fā)的安全威脅有SQL注入式攻擊,XSS跨站攻擊、不安全的會話處理和權(quán)限升級、目錄遍歷漏洞和敏感信息泄露等漏洞。我們會深入挖掘每一種模型,但是考慮到這些風(fēng)險的存在,我們最重要的是盡可能少的給予特權(quán),通過監(jiān)控輸入數(shù)據(jù)和建立安全連接來加強讀取方式的安全性,同時還要限制數(shù)據(jù)庫服務(wù)器對外暴露的機率。SQL注入、跨站腳本漏洞、目錄遍歷漏洞、敏感信息泄露等漏洞
SQL注入攻擊SQL注入漏洞的產(chǎn)生原因是網(wǎng)站程序在編寫時,沒有對用戶輸入數(shù)據(jù)的合法性進行判斷,導(dǎo)致應(yīng)用程序存在安全隱患。SQL注入漏洞攻擊的就是利用現(xiàn)有應(yīng)用程序沒有對用戶輸入數(shù)據(jù)的合法性進行判斷,將惡意的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的黑客攻擊手段。
XSS跨站攻擊跨站腳本攻擊簡稱為XSS又叫CSS 是指服務(wù)器端的CGI程序沒有對用戶提交的變量中的HTML代碼進行有效的過濾或轉(zhuǎn)換,允許攻擊者往WEB頁面里插入對終端用戶造成影響或損失的HTML代碼。
未驗證輸入web請求信息在被Web應(yīng)用使用之前都是未驗證的,攻擊者能夠利用其中的弱點攻擊服務(wù)器;攻擊者通過偽造HTTP請求的各個部分,例如URL,查詢字符串,頭,cookies,表單域,隱藏域等繞過站點的安全機制。這些常見的偽造輸入攻擊通常包括:強制瀏覽,命令插入,跨站腳本,緩沖區(qū)溢出,格式化字符串,SQL注入,cookie中毒,隱藏域操作等等。
網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息(如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細(xì)信息)的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚攻擊將收信人引誘到一個通過精心設(shè)計與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上,并獲取收信人在此網(wǎng)站上輸入的個人敏感信息,通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力,因為這些信息使得他們可以假冒受害者進行欺詐性金融交易,從而獲得經(jīng)濟利益。受害者經(jīng)常遭受顯著的經(jīng)濟損失或全部個人信息被竊取并用于犯罪的目的。
通過應(yīng)用程序造成隱私泄漏個人或團體的信息被其他不應(yīng)獲得者獲取。如攻擊者通過入侵大型網(wǎng)絡(luò)社區(qū)、交友網(wǎng)站、免費郵箱等網(wǎng)絡(luò)應(yīng)用程序獲取數(shù)據(jù)庫用戶信息,并利用獲取到的個人用戶信息進行欺騙獲取更多的利益。
我們需要共同協(xié)作
安全問題不是某個個人的職責(zé),關(guān)鍵需要團隊的協(xié)作。這對于應(yīng)用程序的安全問題來說更是如此,信息安全人員、開發(fā)人員、系統(tǒng)和數(shù)據(jù)庫管理員都包括在內(nèi),這就是團隊協(xié)作。除非你所在的單位已經(jīng)擁有了一個成熟的安全環(huán)境,而且已經(jīng)使用安全類庫來處理數(shù)據(jù)庫調(diào)用和數(shù)據(jù)驗證,在數(shù)據(jù)庫和應(yīng)用程序之間有一層數(shù)據(jù)訪問層,并確保所有的數(shù)據(jù)庫權(quán)限都受到了嚴(yán)格的限制,在這種情況下應(yīng)當(dāng)讓所有團隊成員參與并且了解高層次的應(yīng)用程序。通過共同協(xié)作,所有人都可以了解到這些安全威脅,隨后可以共同想出更好的解決方案來應(yīng)對。所有參與網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫開發(fā)維護管理的人員都應(yīng)該對目前存在的安全威脅有一個充分的認(rèn)識和理解,這是非常重要的。我們必須要確保所有人員都理解應(yīng)用程序的所有技術(shù)通信原理和數(shù)據(jù)流,了解數(shù)據(jù)從哪里來,如何到那里去的,以及數(shù)據(jù)是否和多個應(yīng)用程序進行通信。這就是關(guān)于數(shù)據(jù)庫保護的第一層措施。
數(shù)據(jù)庫保護的第二層措施是安全架構(gòu)。安全設(shè)計的基礎(chǔ)有時候也被稱作為安全架構(gòu),也就是說當(dāng)我們以安全的方式設(shè)計數(shù)據(jù)庫環(huán)境時,應(yīng)減少安全威脅。如果攻擊者無法直接訪問數(shù)據(jù)庫,這樣就降低了他們攻擊的靈活性。我們?yōu)楣粽咛峁┑幕顒涌臻g越大,他們就越容易得手。同樣的,從相反的角度來看,我們就需要在后續(xù)做更多的工作,也就是說你必須確保對數(shù)據(jù)庫的訪問僅限于在需要的情況下進行系統(tǒng)訪問,而且所有的訪問都經(jīng)過認(rèn)證和加密的,而且不能影響到會話池。保證網(wǎng)絡(luò)和系統(tǒng)設(shè)計的安全將會對保護數(shù)據(jù)庫大有幫助,添加了數(shù)據(jù)庫訪問路徑的限制能夠大大地降低風(fēng)險。
數(shù)據(jù)庫保護的第三層措施是威脅建模。確定威脅的過程被稱為是威脅建模,過去威脅建模是用在應(yīng)用程序安全方面,用于確定應(yīng)用程序的最高風(fēng)險,這樣安全人員就可以重點關(guān)注在這一領(lǐng)域。這個概念開始延用到安全的其它領(lǐng)域中。應(yīng)注意的是這不是一個新的理念,實際上保險行業(yè)已經(jīng)采用此理念有數(shù)百年的歷史了,我們互聯(lián)網(wǎng)行業(yè)只是最近幾年才吸納這一理念,并開始就此主題發(fā)表了許多文章。
威脅建模包括將那些了解此應(yīng)用程序的人以及相關(guān)領(lǐng)域的專家召集在一起,大家共同理解應(yīng)用程序的不同部分、功能性和固有的威脅。花一定的時間來全面理解此應(yīng)用程序以及相關(guān)的威脅,可以定制出相對應(yīng)的保護和測試方案,可以節(jié)省時間或者在有限的時間和預(yù)算范圍內(nèi)最大程度地降低威脅。威脅建模對于安全人員來說可以提供一種很好的手段來掌握全局、分解風(fēng)險區(qū)域并與各小組單獨協(xié)作,確保保護措施落到實處。
在對多個應(yīng)用程序或開發(fā)項目進行威脅建模時,應(yīng)作好記錄,找到應(yīng)用程序的共通性。這些共通性可以用于審查內(nèi)部數(shù)據(jù)庫訪問標(biāo)準(zhǔn)、授權(quán)訪問以及優(yōu)化訪問過程。
在編寫策略時應(yīng)當(dāng)涵蓋常見情況,并且明確地為開發(fā)人員和數(shù)據(jù)庫管理人員提供指導(dǎo),確保人人手中都有一份參考資料。一旦這些步驟執(zhí)行到位后,可以開始從基礎(chǔ)做起向數(shù)據(jù)庫環(huán)境添加安全措施。
雖然各個系統(tǒng)環(huán)境都不相同,但是數(shù)據(jù)庫配置對于保護數(shù)據(jù)是最為重要的部分之一,應(yīng)當(dāng)實現(xiàn)的常見配置有:
1.應(yīng)當(dāng)有恰當(dāng)?shù)娜藛T維護和更新用戶名單,其中這些用戶可以訪問受管理的應(yīng)用服務(wù)環(huán)境中數(shù)據(jù)庫。
2.系統(tǒng)管理員和其他相關(guān)的IT人員應(yīng)該有充分的知識、技能并理解所有的關(guān)鍵的數(shù)據(jù)庫安全要求。
3. 當(dāng)部署數(shù)據(jù)庫到受管服務(wù)環(huán)境中時,應(yīng)該采用行業(yè)領(lǐng)先的配置標(biāo)準(zhǔn)和配套的內(nèi)部文檔。
4. 對于數(shù)據(jù)庫功能不需要的默認(rèn)用戶帳戶,應(yīng)該鎖定或是做過期處理。
5. 對于所有仍在使用中的默認(rèn)用戶帳戶,應(yīng)該主動地變更密碼以采用強密碼措施。
6. 應(yīng)該給數(shù)據(jù)庫內(nèi)的管理員帳戶分配不同的密碼,這些帳戶不應(yīng)使用共享密碼或組密碼。
7. 措施要到位,用于保護數(shù)據(jù)字典以及描述數(shù)據(jù)庫中所有對象的支持性元數(shù)據(jù)。
8. 對于任何訪問數(shù)據(jù)庫的基于主機的認(rèn)證措施,應(yīng)當(dāng)有足夠的適當(dāng)?shù)倪^程來確保這種訪問類型的整體安全。
9. 數(shù)據(jù)庫監(jiān)控應(yīng)到位,由能夠根據(jù)需要對相關(guān)的人員進行告警的工具組成。
10. 保證數(shù)據(jù)庫應(yīng)用了所有相關(guān)的和關(guān)鍵的安全補丁。
我們需要保護重要的數(shù)據(jù)
“一定要保護好數(shù)據(jù)庫的重要數(shù)據(jù)”,因為數(shù)據(jù)庫對于IT行業(yè)來說就好像是保管金銀珠寶的保險庫。如果保險庫不安全,財寶就很容易失竊,那主人就不會開心。
保護數(shù)據(jù)庫服務(wù)器的方式有網(wǎng)絡(luò)分段、系統(tǒng)分離,并將數(shù)據(jù)庫服務(wù)器放置在一層或多層保護網(wǎng)的后面。
有許多新的技術(shù),包括數(shù)據(jù)庫活動監(jiān)控軟件、數(shù)據(jù)丟失防護(DLP)、將數(shù)據(jù)庫分割,放到依據(jù)數(shù)據(jù)分類或風(fēng)險模型的系統(tǒng)中,還有確保低安全性的應(yīng)用程序無法訪問到高安全程度的數(shù)據(jù)庫等。
根據(jù)訪問權(quán)限和賬號,如果有多個部門的用戶因同一事件需要登陸進入同一應(yīng)用程序,應(yīng)該采取保護措施,以確保一個部門的人員無法訪問另一個部門的數(shù)據(jù)。這可以在數(shù)據(jù)庫層面上完成,方法是讓各個部門分別創(chuàng)建各自的數(shù)據(jù)庫或桌面;這樣的話可以實現(xiàn)數(shù)據(jù)分離,而且可以使用不同的數(shù)據(jù)庫賬號來加以保護。應(yīng)用程序可以使用單一賬號用于非認(rèn)證請求服務(wù),比如說用戶登錄;一旦發(fā)生此類情況,應(yīng)用程序可以將數(shù)據(jù)庫賬號切換至同用戶部門相關(guān)聯(lián)的另一個賬號。在設(shè)定許可權(quán)限時要防止通用賬戶訪問任何公司數(shù)據(jù)。
除此之外,部門A的數(shù)據(jù)庫賬號不能訪問部門B的數(shù)據(jù)。這樣就阻止了攻擊者越過公司的安全防線并擴大其接觸范圍。在進行應(yīng)用程序數(shù)據(jù)庫賬號轉(zhuǎn)換時必須非常小心,因為攻擊者可能通過SQL注入攻擊來迫使應(yīng)用程序改變其連接。在某些單位,開發(fā)人員會寫下他們自己的SQL查詢命令,而對于其它一些單位,查詢命令是由數(shù)據(jù)庫管理員來編寫和優(yōu)化,然后再提供給開發(fā)者。
在最安全的環(huán)境下,這些查詢命令由數(shù)據(jù)庫管理員編寫和執(zhí)行,作為存儲過程。存儲過程是由應(yīng)用程序執(zhí)行的預(yù)定義語句。這樣就使得SQL注入攻擊更加難于得到利用。在這種特殊情況下,如果沒有存儲過程的話,攻擊者可能已經(jīng)作為管理員登錄進入此應(yīng)用程序并且取得此數(shù)據(jù)庫完全控制權(quán),而且只需要得到管理員用戶名稱即可實現(xiàn)。
同時還需要建立敏感數(shù)據(jù)的安全邊界。通過采取相應(yīng)的技術(shù)措施,為用戶的各種數(shù)據(jù)庫建立一個關(guān)于數(shù)據(jù)的安全邊界。我們可以將數(shù)據(jù)庫服務(wù)器置于標(biāo)準(zhǔn)的網(wǎng)絡(luò)防火墻后面,并限制訪問,以確保我們了解什么系統(tǒng)能夠訪問你的數(shù)據(jù)庫,從而降低風(fēng)險。但是千萬不要以為簡單的配備一些防火墻就可以防范這些安全威脅,可能還會有其他我們未發(fā)現(xiàn)的未知風(fēng)險存在!
安全人員在開發(fā)新的安全數(shù)據(jù)安全模型時,安全人員應(yīng)該進行測試,以確保他們提供了需要的保護級別,并且沒有引入新風(fēng)險。最后關(guān)于實現(xiàn)數(shù)據(jù)基于策略的自動管理問題,它包括數(shù)據(jù)的分類、備份、遷移、刪除等,實現(xiàn)全面的數(shù)據(jù)存儲管理自動化,這樣不但減少了人為出錯的可能性,也提高了數(shù)據(jù)庫的安全性和可用性。使用一套優(yōu)質(zhì)的解決方案按照標(biāo)準(zhǔn)的規(guī)范進行設(shè)計和部署,提供充分的靈活性、擴展性和安全性,滿足數(shù)據(jù)庫安全保管方面當(dāng)前和今后的法規(guī)要求。
回到源頭,WEB安全刻不容緩
最小權(quán)限原則、保護數(shù)據(jù)庫連接、分段服務(wù)器和網(wǎng)絡(luò)、安全驗證、安全邊界和數(shù)據(jù)庫安全配置對保護數(shù)據(jù)很有用處,但是這些不會解決攻擊者所有的攻擊企圖。從廣義上講,數(shù)據(jù)庫的安全首先依賴于網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障,外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開始的。所以現(xiàn)在需要關(guān)注最普遍存在的威脅;WEB應(yīng)用安全。
由于某些開發(fā)人員犯了非常低級的編程錯誤,比如:應(yīng)用ID只能被應(yīng)用使用,而不能被單獨的用戶或是其它進程使用。但是開發(fā)人員不這么做,他們給予了應(yīng)用程序更多的數(shù)據(jù)訪問權(quán)限。這就類似于醫(yī)生因沒有洗手而傳播了傳染病,從而導(dǎo)致各種漏洞的出現(xiàn)。
我們必須接受已經(jīng)存在的應(yīng)用缺陷和漏洞。通過發(fā)揮數(shù)據(jù)庫管理員的安全職責(zé)去阻止因為應(yīng)用缺陷和漏洞所造成的不良后果。比如如果開發(fā)人員不重視應(yīng)用與數(shù)據(jù)交互的安全性,堅持最小權(quán)限原則,數(shù)據(jù)庫管理員則有權(quán)在這場互動中占取主動,不給開發(fā)人員全權(quán)委托,數(shù)據(jù)庫管理員可以不允許那么多的交互被授權(quán);為了阻止黑客的滲透攻擊從不可避免的網(wǎng)絡(luò)程序應(yīng)用漏洞中占便宜,數(shù)據(jù)庫管理員也有權(quán)進行其他有效的安全控制。并且數(shù)據(jù)庫管理員應(yīng)對數(shù)據(jù)庫進行加密保護,如密碼不能使用明文保存;對所有應(yīng)用層和數(shù)據(jù)層通信的審計監(jiān)控將有助于快速識別和解決問題以及準(zhǔn)確的判斷任何安全事件的范圍,直到實現(xiàn)安全風(fēng)險最小化的目標(biāo)。
假如出現(xiàn)數(shù)據(jù)外泄事件(如2011年年底的CSDN等網(wǎng)站的用戶數(shù)據(jù)信息泄密事件),責(zé)任也不止是在數(shù)據(jù)庫管理員身上,開發(fā)人員也需要共同承擔(dān)責(zé)任。其中一個非常重要的方面,開發(fā)人員能做的就是在用戶能輸入的地方最好過濾危險字符,這樣可以防止黑客通過諸如SQL注入攻擊獲取到數(shù)據(jù)庫的敏感信息。目前在各類行業(yè)網(wǎng)站上,各種WEB應(yīng)用漏洞隨處可見,可以被黑客們檢測到(他們一般會用軟件同時掃描數(shù)千個網(wǎng)站)。
開發(fā)人員在完成一套新的應(yīng)用程序后應(yīng)使用安全檢測工具對其進行反復(fù)白盒測試,有條件的情況下可以請信息安全人員模擬黑客進行黑盒滲透測試,盡可能的發(fā)現(xiàn)應(yīng)用程序的弱點并進行修補。如果想實現(xiàn)更完整的解決方案,更多有關(guān)的保護數(shù)據(jù)和數(shù)據(jù)庫是應(yīng)當(dāng)實施源代碼分析。這是一項冗長的處理過程,可以請安全服務(wù)提供商用專業(yè)的源碼審計軟件對應(yīng)用程序代碼進行詳細(xì)的分析處理,這些工具會直接查找出更精確的缺陷結(jié)果。
同時應(yīng)該與開發(fā)商或者安全廠商合作并確保能提供安全解決方案,這對于任何致力于部署網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)庫正常安全訪問的用戶都至關(guān)重要,WEB應(yīng)用安全測試對于確保數(shù)據(jù)庫的安全性有至關(guān)重要的作用。
一款好的工具可以有助于加快進度并且提供更好的檢測結(jié)果和解決方案,以提供應(yīng)用程序更好的的安全性,關(guān)鍵是進行反復(fù)評估以確保管理工作正常,對結(jié)果實施驗證并加固,確保風(fēng)險一經(jīng)發(fā)現(xiàn)立即補救,并保證管理人員能夠了解到相關(guān)問題的存在。
黑盒測試 黑盒測試是一種把軟件產(chǎn)品當(dāng)成是一個黑箱的測試技術(shù),這個黑箱有入口和出口,測試過程中只需要了解黑箱的輸入和輸出結(jié)果,不需要了解黑箱里面具體是怎樣操作的。這當(dāng)然很好,因為測試人員不用費神去理解軟件里面的具體構(gòu)成和原理,測試人員只需要像用戶一樣看待軟件產(chǎn)品就行了。
例如,銀行轉(zhuǎn)賬系統(tǒng)提供給用戶轉(zhuǎn)賬的功能,則測試人員在使用黑盒測試方法時,不需要知道轉(zhuǎn)賬的具體實現(xiàn)代碼是怎樣工作的,只需要把自己當(dāng)成用戶,模擬盡可能多的轉(zhuǎn)賬情況來檢查這個軟件系統(tǒng)能否按要求正常實現(xiàn)轉(zhuǎn)賬功能即可。
如果只像用戶使用和操作軟件一樣去測試軟件黑盒測試可能存在一定的風(fēng)險。例如,某個安全性要求比較高的軟件系統(tǒng),開發(fā)人員在設(shè)計程序時考慮到記錄系統(tǒng)日志的必要性,把軟件運行過程中的很多信息都記錄到了客戶端的系統(tǒng)日志中,甚至把客戶端連接服務(wù)器端的數(shù)據(jù)庫連接請求字符串也記錄到了系統(tǒng)日志中,像下面的一段字符串:
"Data Source=192.168.100.99;Initial Catalog=AcoDB;User ID=sa;PassWord=123456;
那么按照黑盒測試的觀點,這是程序內(nèi)部的行為,用戶不會直接操作數(shù)據(jù)庫的連接行為,因此檢查系統(tǒng)日志方面的測試是不會做的。這明顯構(gòu)成了一個Bug,尤其是對于安全性要求高的軟件系統(tǒng),因為它暴露了后臺數(shù)據(jù)庫賬號信息。
有人把黑盒測試比喻成中醫(yī),做黑盒測試的測試人員應(yīng)該像一位老中醫(yī)一樣,通過“望、聞、問、切”的方法,來判斷程序是否“有病”。這比單純的操作黑箱的方式進了一步,這種比喻給測試人員一個啟示,不要只是簡單地看和聽,還要積極地去問,積極地去發(fā)現(xiàn)、搜索相關(guān)的信息。應(yīng)該綜合應(yīng)用中醫(yī)看病的各種“技術(shù)”和理念來達到找出軟件“病癥”的目的,具體作法如下:
“望”,觀察軟件的行為是否正常;
“聞”,檢查輸出的結(jié)果是否正確;
“問”,輸入各種信息,結(jié)合“望”、“聞”來觀察軟件的響應(yīng)程度;
“切”,像中醫(yī)一樣給軟件“把脈”,敲擊一下軟件的某些“關(guān)節(jié)”。
白盒測試如果把黑盒測試比喻成中醫(yī)看病,那么白盒測試無疑就是西醫(yī)看病了。測試人員采用各種儀器和設(shè)備對軟件進行檢測,甚至把軟件擺上手術(shù)臺解剖來看個究竟。白盒測試是一種以理解軟件內(nèi)部結(jié)構(gòu)和程序運行方式為基礎(chǔ)的軟件測試技術(shù),通常需要跟蹤一個輸入經(jīng)過了哪些處理,這些處理方式是否正確。
在很多測試人員,尤其是初級測試人員看來,白盒測試是一種只有非常了解程序代碼的高級測試人員才能做的測試。熟悉代碼結(jié)構(gòu)和功能實現(xiàn)的過程當(dāng)然對測試有很大的幫助,但是從黑盒測試與白盒測試的區(qū)別可以看出,有些白盒測試是不需要測試人員懂得每一行程序代碼的。
如果把軟件看成一個黑箱,那么白盒測試的關(guān)鍵是給測試人員戴上一副X光透視眼鏡,測試人員通過這副X光透視眼鏡可以看清楚輸入到黑箱中的數(shù)據(jù)是怎樣流轉(zhuǎn)的。
一些測試工具就像醫(yī)院的檢測儀器一樣,可以幫助了解程序的內(nèi)部運轉(zhuǎn)過程。例如,對于一個與SQL Server數(shù)據(jù)庫連接的軟件系統(tǒng),可以簡單地把程序的作用理解為:把用戶輸入的數(shù)據(jù)通過SQL命令請求后臺數(shù)據(jù)庫,數(shù)據(jù)庫把請求的數(shù)據(jù)返回給程序的界面層展示給用戶。可以把SQL Server自帶的工具事件探查器當(dāng)成是一個檢查SQL數(shù)據(jù)傳輸?shù)木軆x器,它可以記錄軟件客戶端與服務(wù)器數(shù)據(jù)庫之間交互的一舉一動,從而讓測試人員可以洞悉軟件究竟做了哪些動作。
在測試過程中,應(yīng)該綜合應(yīng)用黑盒測試方法和白盒測試方法,按需要采用不同的技術(shù)組合。不要用黑盒測試方法和白盒測試方法來劃分自己屬于哪一類測試人員,一名優(yōu)秀的測試人員應(yīng)該懂得各種各樣的測試技術(shù)和查找Bug的手段。
最后我們談?wù)勑碌姆阑饓栴}。到目前為止,我們都是側(cè)重于預(yù)防措施。但在現(xiàn)實世界中,我們不可能總是改編程序和環(huán)境,所以我們必須采用其他技術(shù)措施。這就是為什么會產(chǎn)生新的防火墻。
防火墻用于應(yīng)用程序或者監(jiān)控流量的運行監(jiān)控,也可以在執(zhí)行運行時進行分析。防火墻可以找出攻擊,并阻止嘗試或修改的要求,來確保WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器的安全運行。
目前不光有WEB應(yīng)用防火墻和網(wǎng)絡(luò)防火墻能防范攻擊者透過應(yīng)用層和網(wǎng)絡(luò)層的攻擊;“數(shù)據(jù)庫防火墻”也于這兩年在不斷的數(shù)據(jù)庫泄密事件中出現(xiàn)在公眾的視線里,國內(nèi)稱之為“數(shù)據(jù)庫審計”產(chǎn)品,這些產(chǎn)品能給數(shù)據(jù)庫提供實時的網(wǎng)絡(luò)存儲與訪問的安全。
任何一個好的數(shù)據(jù)庫安全策略都應(yīng)包括監(jiān)控和審計,以確保保護對象正常運行,并且運行在正確的位置上,這也是個非常耗時的過程。由于缺乏時間和工具,大多數(shù)用戶對于數(shù)據(jù)庫配置的檢查往往也僅是抽查而已。
這里還需要指出的是目前多數(shù)人認(rèn)為“數(shù)據(jù)庫審計”等同于數(shù)據(jù)庫安全,事實上,數(shù)據(jù)庫安全遠(yuǎn)遠(yuǎn)不是數(shù)據(jù)庫審計可以搞定的,數(shù)據(jù)庫審計只是數(shù)據(jù)庫安全的一個很小的方面,之所以有時候?qū)Φ绕饋恚环矫媸怯捎谑袌鲂麄鲗?dǎo)致的誤導(dǎo),另一方面的確是這個部分的問題比較容易產(chǎn)品化/工具化,技術(shù)實現(xiàn)相對比較成熟。數(shù)據(jù)庫安全應(yīng)該包括:數(shù)據(jù)庫資產(chǎn)管理、數(shù)據(jù)庫配置加固、職責(zé)分離、特權(quán)用戶控制、數(shù)據(jù)庫弱點掃描和補丁管理、數(shù)據(jù)庫加密、數(shù)據(jù)庫審計。
最后,我們還是回到應(yīng)用程序的安全以及與數(shù)據(jù)庫之間的相互作用問題上。即我們必須要考慮到的問題是應(yīng)用程序的安全以及與數(shù)據(jù)庫之間的相互作用,尤其是對于當(dāng)今流行的高度動態(tài)的和互動的網(wǎng)絡(luò)應(yīng)用程序而言。理解數(shù)據(jù)庫與應(yīng)用程序和系統(tǒng)環(huán)境之間的作用可以更加提升數(shù)據(jù)的安全性。
有問題是客觀情況,其實我們需要的不是過多的責(zé)難,而是不斷改進問題本身,當(dāng)我們被迫把安全做的簡單時,我們就被迫直接面對真正的問題。當(dāng)我們不能用表面的裝飾交差時,我們就不得不做好真正的本質(zhì)部分。希望本文可以讓讀者了解到一系列管理和風(fēng)險降低方面的策略,不論你是否愿意配置數(shù)據(jù)庫防火墻、進行源代碼審記或者嚴(yán)格地控制數(shù)據(jù)庫管理系統(tǒng),其目的都是相同的:做好應(yīng)用安全和數(shù)據(jù)安全的兩位一體,保護好重要數(shù)據(jù)。
如今,許多行業(yè)用戶將大量有價值的客戶數(shù)據(jù)存儲于在線數(shù)據(jù)庫,通過網(wǎng)絡(luò)應(yīng)用與外界交互。不論是通信、金融、電子政務(wù)、電子商務(wù)抑或是小小的個人博客,前端應(yīng)用程序和后臺數(shù)據(jù)庫都不可避免地結(jié)合在我們現(xiàn)在的模型中,任何一個都不可離開另一個而單獨存在。
但是由于那些應(yīng)用程序在設(shè)計時是允許任何人、從任何地方登陸進入訪問,因而也成為了通往隱藏在深處的重要數(shù)據(jù)的橋梁。比如在去年十二月,國內(nèi)最大的程序員社區(qū)網(wǎng)站CSDN就遭到了黑客從WEB應(yīng)用層的攻擊,使得包含用戶密碼的數(shù)據(jù)庫泄密。
那么如何才能使這個模型更安全呢?安恒信息專家將為您做詳細(xì)的解讀:使模型更安全的解決方法是讓應(yīng)用程序作為人與數(shù)據(jù)互動的唯一接口,應(yīng)用程序界面是機器與數(shù)據(jù)互動的唯一接口。如果不是這樣,那么數(shù)據(jù)交互就有可能不能被充分控制好,這將會是一個非常基本的潛在漏洞。即使訪問方式定義明確,實際上應(yīng)用程序依然有無數(shù)種方式令防護數(shù)據(jù)庫失敗,最終導(dǎo)致整個系統(tǒng)被黑客竊取或破壞。
安恒信息專家表示,安全管理人員和開發(fā)人員經(jīng)常忽視或者錯誤地理解數(shù)據(jù)庫,常僅僅關(guān)注于保護網(wǎng)絡(luò)應(yīng)用程序不受風(fēng)險的威脅--比如說跨站腳本攻擊或者注入攻擊,而忘記了留意數(shù)據(jù)庫本身的安全隱患。很明顯,用戶需要有專門的工具和策略來幫助網(wǎng)絡(luò)應(yīng)用程序開發(fā)人員保護后臺數(shù)據(jù)庫的安全性,而數(shù)據(jù)庫開發(fā)人員必須確保他們的網(wǎng)絡(luò)接口盡可能地安全。
同時安恒信息專家還指出,現(xiàn)在大多數(shù)用戶都是憑感覺在運行數(shù)據(jù)庫安全。絕大多數(shù)用戶根本沒有監(jiān)控他們的數(shù)據(jù)庫。更令人不安的是,大多數(shù)用戶甚至不知道他們的重要數(shù)據(jù)的位置,很多管理員在調(diào)查中承認(rèn)他們并不能肯定數(shù)據(jù)庫中包含著重要信息。
在多數(shù)情況下,關(guān)鍵點在于網(wǎng)絡(luò)應(yīng)用程序本身對于攻擊者而言沒什么價值,他們只是利用應(yīng)用程序作為竊取或破壞數(shù)據(jù)的一種手段,第一個防范措施便是確保不僅僅是數(shù)據(jù)庫管理員了解重要數(shù)據(jù)在哪里存放、如何訪問到,以及面臨的實際威脅。我們通常將數(shù)據(jù)庫看作是一個黑盒子,只向需要的人和應(yīng)用程序提供訪問的方法,當(dāng)選取、更新或者插入操作成功后,人們會忘記還有一些事情會發(fā)生,所以說團隊合作是關(guān)鍵,必須要把應(yīng)用安全和數(shù)據(jù)安全做到兩位一體。
我們所面臨的網(wǎng)絡(luò)威脅
數(shù)據(jù)庫除了有與生俱來的安全隱患以外,當(dāng)應(yīng)用程序訪問數(shù)據(jù)庫時,還要考慮到更多的威脅。數(shù)據(jù)庫打補丁、權(quán)限管理和連接管理都是典型的數(shù)據(jù)庫安全防范措施,常見的由網(wǎng)絡(luò)應(yīng)用程序引發(fā)的安全威脅有SQL注入式攻擊,XSS跨站攻擊、不安全的會話處理和權(quán)限升級、目錄遍歷漏洞和敏感信息泄露等漏洞。我們會深入挖掘每一種模型,但是考慮到這些風(fēng)險的存在,我們最重要的是盡可能少的給予特權(quán),通過監(jiān)控輸入數(shù)據(jù)和建立安全連接來加強讀取方式的安全性,同時還要限制數(shù)據(jù)庫服務(wù)器對外暴露的機率。SQL注入、跨站腳本漏洞、目錄遍歷漏洞、敏感信息泄露等漏洞
SQL注入攻擊SQL注入漏洞的產(chǎn)生原因是網(wǎng)站程序在編寫時,沒有對用戶輸入數(shù)據(jù)的合法性進行判斷,導(dǎo)致應(yīng)用程序存在安全隱患。SQL注入漏洞攻擊的就是利用現(xiàn)有應(yīng)用程序沒有對用戶輸入數(shù)據(jù)的合法性進行判斷,將惡意的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的黑客攻擊手段。
XSS跨站攻擊跨站腳本攻擊簡稱為XSS又叫CSS 是指服務(wù)器端的CGI程序沒有對用戶提交的變量中的HTML代碼進行有效的過濾或轉(zhuǎn)換,允許攻擊者往WEB頁面里插入對終端用戶造成影響或損失的HTML代碼。
未驗證輸入web請求信息在被Web應(yīng)用使用之前都是未驗證的,攻擊者能夠利用其中的弱點攻擊服務(wù)器;攻擊者通過偽造HTTP請求的各個部分,例如URL,查詢字符串,頭,cookies,表單域,隱藏域等繞過站點的安全機制。這些常見的偽造輸入攻擊通常包括:強制瀏覽,命令插入,跨站腳本,緩沖區(qū)溢出,格式化字符串,SQL注入,cookie中毒,隱藏域操作等等。
網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息(如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細(xì)信息)的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚攻擊將收信人引誘到一個通過精心設(shè)計與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上,并獲取收信人在此網(wǎng)站上輸入的個人敏感信息,通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力,因為這些信息使得他們可以假冒受害者進行欺詐性金融交易,從而獲得經(jīng)濟利益。受害者經(jīng)常遭受顯著的經(jīng)濟損失或全部個人信息被竊取并用于犯罪的目的。
通過應(yīng)用程序造成隱私泄漏個人或團體的信息被其他不應(yīng)獲得者獲取。如攻擊者通過入侵大型網(wǎng)絡(luò)社區(qū)、交友網(wǎng)站、免費郵箱等網(wǎng)絡(luò)應(yīng)用程序獲取數(shù)據(jù)庫用戶信息,并利用獲取到的個人用戶信息進行欺騙獲取更多的利益。
我們需要共同協(xié)作
安全問題不是某個個人的職責(zé),關(guān)鍵需要團隊的協(xié)作。這對于應(yīng)用程序的安全問題來說更是如此,信息安全人員、開發(fā)人員、系統(tǒng)和數(shù)據(jù)庫管理員都包括在內(nèi),這就是團隊協(xié)作。除非你所在的單位已經(jīng)擁有了一個成熟的安全環(huán)境,而且已經(jīng)使用安全類庫來處理數(shù)據(jù)庫調(diào)用和數(shù)據(jù)驗證,在數(shù)據(jù)庫和應(yīng)用程序之間有一層數(shù)據(jù)訪問層,并確保所有的數(shù)據(jù)庫權(quán)限都受到了嚴(yán)格的限制,在這種情況下應(yīng)當(dāng)讓所有團隊成員參與并且了解高層次的應(yīng)用程序。通過共同協(xié)作,所有人都可以了解到這些安全威脅,隨后可以共同想出更好的解決方案來應(yīng)對。所有參與網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫開發(fā)維護管理的人員都應(yīng)該對目前存在的安全威脅有一個充分的認(rèn)識和理解,這是非常重要的。我們必須要確保所有人員都理解應(yīng)用程序的所有技術(shù)通信原理和數(shù)據(jù)流,了解數(shù)據(jù)從哪里來,如何到那里去的,以及數(shù)據(jù)是否和多個應(yīng)用程序進行通信。這就是關(guān)于數(shù)據(jù)庫保護的第一層措施。
數(shù)據(jù)庫保護的第二層措施是安全架構(gòu)。安全設(shè)計的基礎(chǔ)有時候也被稱作為安全架構(gòu),也就是說當(dāng)我們以安全的方式設(shè)計數(shù)據(jù)庫環(huán)境時,應(yīng)減少安全威脅。如果攻擊者無法直接訪問數(shù)據(jù)庫,這樣就降低了他們攻擊的靈活性。我們?yōu)楣粽咛峁┑幕顒涌臻g越大,他們就越容易得手。同樣的,從相反的角度來看,我們就需要在后續(xù)做更多的工作,也就是說你必須確保對數(shù)據(jù)庫的訪問僅限于在需要的情況下進行系統(tǒng)訪問,而且所有的訪問都經(jīng)過認(rèn)證和加密的,而且不能影響到會話池。保證網(wǎng)絡(luò)和系統(tǒng)設(shè)計的安全將會對保護數(shù)據(jù)庫大有幫助,添加了數(shù)據(jù)庫訪問路徑的限制能夠大大地降低風(fēng)險。
數(shù)據(jù)庫保護的第三層措施是威脅建模。確定威脅的過程被稱為是威脅建模,過去威脅建模是用在應(yīng)用程序安全方面,用于確定應(yīng)用程序的最高風(fēng)險,這樣安全人員就可以重點關(guān)注在這一領(lǐng)域。這個概念開始延用到安全的其它領(lǐng)域中。應(yīng)注意的是這不是一個新的理念,實際上保險行業(yè)已經(jīng)采用此理念有數(shù)百年的歷史了,我們互聯(lián)網(wǎng)行業(yè)只是最近幾年才吸納這一理念,并開始就此主題發(fā)表了許多文章。
威脅建模包括將那些了解此應(yīng)用程序的人以及相關(guān)領(lǐng)域的專家召集在一起,大家共同理解應(yīng)用程序的不同部分、功能性和固有的威脅。花一定的時間來全面理解此應(yīng)用程序以及相關(guān)的威脅,可以定制出相對應(yīng)的保護和測試方案,可以節(jié)省時間或者在有限的時間和預(yù)算范圍內(nèi)最大程度地降低威脅。威脅建模對于安全人員來說可以提供一種很好的手段來掌握全局、分解風(fēng)險區(qū)域并與各小組單獨協(xié)作,確保保護措施落到實處。
在對多個應(yīng)用程序或開發(fā)項目進行威脅建模時,應(yīng)作好記錄,找到應(yīng)用程序的共通性。這些共通性可以用于審查內(nèi)部數(shù)據(jù)庫訪問標(biāo)準(zhǔn)、授權(quán)訪問以及優(yōu)化訪問過程。
在編寫策略時應(yīng)當(dāng)涵蓋常見情況,并且明確地為開發(fā)人員和數(shù)據(jù)庫管理人員提供指導(dǎo),確保人人手中都有一份參考資料。一旦這些步驟執(zhí)行到位后,可以開始從基礎(chǔ)做起向數(shù)據(jù)庫環(huán)境添加安全措施。
雖然各個系統(tǒng)環(huán)境都不相同,但是數(shù)據(jù)庫配置對于保護數(shù)據(jù)是最為重要的部分之一,應(yīng)當(dāng)實現(xiàn)的常見配置有:
1.應(yīng)當(dāng)有恰當(dāng)?shù)娜藛T維護和更新用戶名單,其中這些用戶可以訪問受管理的應(yīng)用服務(wù)環(huán)境中數(shù)據(jù)庫。
2.系統(tǒng)管理員和其他相關(guān)的IT人員應(yīng)該有充分的知識、技能并理解所有的關(guān)鍵的數(shù)據(jù)庫安全要求。
3. 當(dāng)部署數(shù)據(jù)庫到受管服務(wù)環(huán)境中時,應(yīng)該采用行業(yè)領(lǐng)先的配置標(biāo)準(zhǔn)和配套的內(nèi)部文檔。
4. 對于數(shù)據(jù)庫功能不需要的默認(rèn)用戶帳戶,應(yīng)該鎖定或是做過期處理。
5. 對于所有仍在使用中的默認(rèn)用戶帳戶,應(yīng)該主動地變更密碼以采用強密碼措施。
6. 應(yīng)該給數(shù)據(jù)庫內(nèi)的管理員帳戶分配不同的密碼,這些帳戶不應(yīng)使用共享密碼或組密碼。
7. 措施要到位,用于保護數(shù)據(jù)字典以及描述數(shù)據(jù)庫中所有對象的支持性元數(shù)據(jù)。
8. 對于任何訪問數(shù)據(jù)庫的基于主機的認(rèn)證措施,應(yīng)當(dāng)有足夠的適當(dāng)?shù)倪^程來確保這種訪問類型的整體安全。
9. 數(shù)據(jù)庫監(jiān)控應(yīng)到位,由能夠根據(jù)需要對相關(guān)的人員進行告警的工具組成。
10. 保證數(shù)據(jù)庫應(yīng)用了所有相關(guān)的和關(guān)鍵的安全補丁。
我們需要保護重要的數(shù)據(jù)
“一定要保護好數(shù)據(jù)庫的重要數(shù)據(jù)”,因為數(shù)據(jù)庫對于IT行業(yè)來說就好像是保管金銀珠寶的保險庫。如果保險庫不安全,財寶就很容易失竊,那主人就不會開心。
保護數(shù)據(jù)庫服務(wù)器的方式有網(wǎng)絡(luò)分段、系統(tǒng)分離,并將數(shù)據(jù)庫服務(wù)器放置在一層或多層保護網(wǎng)的后面。
有許多新的技術(shù),包括數(shù)據(jù)庫活動監(jiān)控軟件、數(shù)據(jù)丟失防護(DLP)、將數(shù)據(jù)庫分割,放到依據(jù)數(shù)據(jù)分類或風(fēng)險模型的系統(tǒng)中,還有確保低安全性的應(yīng)用程序無法訪問到高安全程度的數(shù)據(jù)庫等。
根據(jù)訪問權(quán)限和賬號,如果有多個部門的用戶因同一事件需要登陸進入同一應(yīng)用程序,應(yīng)該采取保護措施,以確保一個部門的人員無法訪問另一個部門的數(shù)據(jù)。這可以在數(shù)據(jù)庫層面上完成,方法是讓各個部門分別創(chuàng)建各自的數(shù)據(jù)庫或桌面;這樣的話可以實現(xiàn)數(shù)據(jù)分離,而且可以使用不同的數(shù)據(jù)庫賬號來加以保護。應(yīng)用程序可以使用單一賬號用于非認(rèn)證請求服務(wù),比如說用戶登錄;一旦發(fā)生此類情況,應(yīng)用程序可以將數(shù)據(jù)庫賬號切換至同用戶部門相關(guān)聯(lián)的另一個賬號。在設(shè)定許可權(quán)限時要防止通用賬戶訪問任何公司數(shù)據(jù)。
除此之外,部門A的數(shù)據(jù)庫賬號不能訪問部門B的數(shù)據(jù)。這樣就阻止了攻擊者越過公司的安全防線并擴大其接觸范圍。在進行應(yīng)用程序數(shù)據(jù)庫賬號轉(zhuǎn)換時必須非常小心,因為攻擊者可能通過SQL注入攻擊來迫使應(yīng)用程序改變其連接。在某些單位,開發(fā)人員會寫下他們自己的SQL查詢命令,而對于其它一些單位,查詢命令是由數(shù)據(jù)庫管理員來編寫和優(yōu)化,然后再提供給開發(fā)者。
在最安全的環(huán)境下,這些查詢命令由數(shù)據(jù)庫管理員編寫和執(zhí)行,作為存儲過程。存儲過程是由應(yīng)用程序執(zhí)行的預(yù)定義語句。這樣就使得SQL注入攻擊更加難于得到利用。在這種特殊情況下,如果沒有存儲過程的話,攻擊者可能已經(jīng)作為管理員登錄進入此應(yīng)用程序并且取得此數(shù)據(jù)庫完全控制權(quán),而且只需要得到管理員用戶名稱即可實現(xiàn)。
同時還需要建立敏感數(shù)據(jù)的安全邊界。通過采取相應(yīng)的技術(shù)措施,為用戶的各種數(shù)據(jù)庫建立一個關(guān)于數(shù)據(jù)的安全邊界。我們可以將數(shù)據(jù)庫服務(wù)器置于標(biāo)準(zhǔn)的網(wǎng)絡(luò)防火墻后面,并限制訪問,以確保我們了解什么系統(tǒng)能夠訪問你的數(shù)據(jù)庫,從而降低風(fēng)險。但是千萬不要以為簡單的配備一些防火墻就可以防范這些安全威脅,可能還會有其他我們未發(fā)現(xiàn)的未知風(fēng)險存在!
安全人員在開發(fā)新的安全數(shù)據(jù)安全模型時,安全人員應(yīng)該進行測試,以確保他們提供了需要的保護級別,并且沒有引入新風(fēng)險。最后關(guān)于實現(xiàn)數(shù)據(jù)基于策略的自動管理問題,它包括數(shù)據(jù)的分類、備份、遷移、刪除等,實現(xiàn)全面的數(shù)據(jù)存儲管理自動化,這樣不但減少了人為出錯的可能性,也提高了數(shù)據(jù)庫的安全性和可用性。使用一套優(yōu)質(zhì)的解決方案按照標(biāo)準(zhǔn)的規(guī)范進行設(shè)計和部署,提供充分的靈活性、擴展性和安全性,滿足數(shù)據(jù)庫安全保管方面當(dāng)前和今后的法規(guī)要求。
回到源頭,WEB安全刻不容緩
最小權(quán)限原則、保護數(shù)據(jù)庫連接、分段服務(wù)器和網(wǎng)絡(luò)、安全驗證、安全邊界和數(shù)據(jù)庫安全配置對保護數(shù)據(jù)很有用處,但是這些不會解決攻擊者所有的攻擊企圖。從廣義上講,數(shù)據(jù)庫的安全首先依賴于網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障,外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開始的。所以現(xiàn)在需要關(guān)注最普遍存在的威脅;WEB應(yīng)用安全。
由于某些開發(fā)人員犯了非常低級的編程錯誤,比如:應(yīng)用ID只能被應(yīng)用使用,而不能被單獨的用戶或是其它進程使用。但是開發(fā)人員不這么做,他們給予了應(yīng)用程序更多的數(shù)據(jù)訪問權(quán)限。這就類似于醫(yī)生因沒有洗手而傳播了傳染病,從而導(dǎo)致各種漏洞的出現(xiàn)。
我們必須接受已經(jīng)存在的應(yīng)用缺陷和漏洞。通過發(fā)揮數(shù)據(jù)庫管理員的安全職責(zé)去阻止因為應(yīng)用缺陷和漏洞所造成的不良后果。比如如果開發(fā)人員不重視應(yīng)用與數(shù)據(jù)交互的安全性,堅持最小權(quán)限原則,數(shù)據(jù)庫管理員則有權(quán)在這場互動中占取主動,不給開發(fā)人員全權(quán)委托,數(shù)據(jù)庫管理員可以不允許那么多的交互被授權(quán);為了阻止黑客的滲透攻擊從不可避免的網(wǎng)絡(luò)程序應(yīng)用漏洞中占便宜,數(shù)據(jù)庫管理員也有權(quán)進行其他有效的安全控制。并且數(shù)據(jù)庫管理員應(yīng)對數(shù)據(jù)庫進行加密保護,如密碼不能使用明文保存;對所有應(yīng)用層和數(shù)據(jù)層通信的審計監(jiān)控將有助于快速識別和解決問題以及準(zhǔn)確的判斷任何安全事件的范圍,直到實現(xiàn)安全風(fēng)險最小化的目標(biāo)。
假如出現(xiàn)數(shù)據(jù)外泄事件(如2011年年底的CSDN等網(wǎng)站的用戶數(shù)據(jù)信息泄密事件),責(zé)任也不止是在數(shù)據(jù)庫管理員身上,開發(fā)人員也需要共同承擔(dān)責(zé)任。其中一個非常重要的方面,開發(fā)人員能做的就是在用戶能輸入的地方最好過濾危險字符,這樣可以防止黑客通過諸如SQL注入攻擊獲取到數(shù)據(jù)庫的敏感信息。目前在各類行業(yè)網(wǎng)站上,各種WEB應(yīng)用漏洞隨處可見,可以被黑客們檢測到(他們一般會用軟件同時掃描數(shù)千個網(wǎng)站)。
開發(fā)人員在完成一套新的應(yīng)用程序后應(yīng)使用安全檢測工具對其進行反復(fù)白盒測試,有條件的情況下可以請信息安全人員模擬黑客進行黑盒滲透測試,盡可能的發(fā)現(xiàn)應(yīng)用程序的弱點并進行修補。如果想實現(xiàn)更完整的解決方案,更多有關(guān)的保護數(shù)據(jù)和數(shù)據(jù)庫是應(yīng)當(dāng)實施源代碼分析。這是一項冗長的處理過程,可以請安全服務(wù)提供商用專業(yè)的源碼審計軟件對應(yīng)用程序代碼進行詳細(xì)的分析處理,這些工具會直接查找出更精確的缺陷結(jié)果。
同時應(yīng)該與開發(fā)商或者安全廠商合作并確保能提供安全解決方案,這對于任何致力于部署網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)庫正常安全訪問的用戶都至關(guān)重要,WEB應(yīng)用安全測試對于確保數(shù)據(jù)庫的安全性有至關(guān)重要的作用。
一款好的工具可以有助于加快進度并且提供更好的檢測結(jié)果和解決方案,以提供應(yīng)用程序更好的的安全性,關(guān)鍵是進行反復(fù)評估以確保管理工作正常,對結(jié)果實施驗證并加固,確保風(fēng)險一經(jīng)發(fā)現(xiàn)立即補救,并保證管理人員能夠了解到相關(guān)問題的存在。
黑盒測試 黑盒測試是一種把軟件產(chǎn)品當(dāng)成是一個黑箱的測試技術(shù),這個黑箱有入口和出口,測試過程中只需要了解黑箱的輸入和輸出結(jié)果,不需要了解黑箱里面具體是怎樣操作的。這當(dāng)然很好,因為測試人員不用費神去理解軟件里面的具體構(gòu)成和原理,測試人員只需要像用戶一樣看待軟件產(chǎn)品就行了。
例如,銀行轉(zhuǎn)賬系統(tǒng)提供給用戶轉(zhuǎn)賬的功能,則測試人員在使用黑盒測試方法時,不需要知道轉(zhuǎn)賬的具體實現(xiàn)代碼是怎樣工作的,只需要把自己當(dāng)成用戶,模擬盡可能多的轉(zhuǎn)賬情況來檢查這個軟件系統(tǒng)能否按要求正常實現(xiàn)轉(zhuǎn)賬功能即可。
如果只像用戶使用和操作軟件一樣去測試軟件黑盒測試可能存在一定的風(fēng)險。例如,某個安全性要求比較高的軟件系統(tǒng),開發(fā)人員在設(shè)計程序時考慮到記錄系統(tǒng)日志的必要性,把軟件運行過程中的很多信息都記錄到了客戶端的系統(tǒng)日志中,甚至把客戶端連接服務(wù)器端的數(shù)據(jù)庫連接請求字符串也記錄到了系統(tǒng)日志中,像下面的一段字符串:
"Data Source=192.168.100.99;Initial Catalog=AcoDB;User ID=sa;PassWord=123456;
那么按照黑盒測試的觀點,這是程序內(nèi)部的行為,用戶不會直接操作數(shù)據(jù)庫的連接行為,因此檢查系統(tǒng)日志方面的測試是不會做的。這明顯構(gòu)成了一個Bug,尤其是對于安全性要求高的軟件系統(tǒng),因為它暴露了后臺數(shù)據(jù)庫賬號信息。
有人把黑盒測試比喻成中醫(yī),做黑盒測試的測試人員應(yīng)該像一位老中醫(yī)一樣,通過“望、聞、問、切”的方法,來判斷程序是否“有病”。這比單純的操作黑箱的方式進了一步,這種比喻給測試人員一個啟示,不要只是簡單地看和聽,還要積極地去問,積極地去發(fā)現(xiàn)、搜索相關(guān)的信息。應(yīng)該綜合應(yīng)用中醫(yī)看病的各種“技術(shù)”和理念來達到找出軟件“病癥”的目的,具體作法如下:
“望”,觀察軟件的行為是否正常;
“聞”,檢查輸出的結(jié)果是否正確;
“問”,輸入各種信息,結(jié)合“望”、“聞”來觀察軟件的響應(yīng)程度;
“切”,像中醫(yī)一樣給軟件“把脈”,敲擊一下軟件的某些“關(guān)節(jié)”。
白盒測試如果把黑盒測試比喻成中醫(yī)看病,那么白盒測試無疑就是西醫(yī)看病了。測試人員采用各種儀器和設(shè)備對軟件進行檢測,甚至把軟件擺上手術(shù)臺解剖來看個究竟。白盒測試是一種以理解軟件內(nèi)部結(jié)構(gòu)和程序運行方式為基礎(chǔ)的軟件測試技術(shù),通常需要跟蹤一個輸入經(jīng)過了哪些處理,這些處理方式是否正確。
在很多測試人員,尤其是初級測試人員看來,白盒測試是一種只有非常了解程序代碼的高級測試人員才能做的測試。熟悉代碼結(jié)構(gòu)和功能實現(xiàn)的過程當(dāng)然對測試有很大的幫助,但是從黑盒測試與白盒測試的區(qū)別可以看出,有些白盒測試是不需要測試人員懂得每一行程序代碼的。
如果把軟件看成一個黑箱,那么白盒測試的關(guān)鍵是給測試人員戴上一副X光透視眼鏡,測試人員通過這副X光透視眼鏡可以看清楚輸入到黑箱中的數(shù)據(jù)是怎樣流轉(zhuǎn)的。
一些測試工具就像醫(yī)院的檢測儀器一樣,可以幫助了解程序的內(nèi)部運轉(zhuǎn)過程。例如,對于一個與SQL Server數(shù)據(jù)庫連接的軟件系統(tǒng),可以簡單地把程序的作用理解為:把用戶輸入的數(shù)據(jù)通過SQL命令請求后臺數(shù)據(jù)庫,數(shù)據(jù)庫把請求的數(shù)據(jù)返回給程序的界面層展示給用戶。可以把SQL Server自帶的工具事件探查器當(dāng)成是一個檢查SQL數(shù)據(jù)傳輸?shù)木軆x器,它可以記錄軟件客戶端與服務(wù)器數(shù)據(jù)庫之間交互的一舉一動,從而讓測試人員可以洞悉軟件究竟做了哪些動作。
在測試過程中,應(yīng)該綜合應(yīng)用黑盒測試方法和白盒測試方法,按需要采用不同的技術(shù)組合。不要用黑盒測試方法和白盒測試方法來劃分自己屬于哪一類測試人員,一名優(yōu)秀的測試人員應(yīng)該懂得各種各樣的測試技術(shù)和查找Bug的手段。
最后我們談?wù)勑碌姆阑饓栴}。到目前為止,我們都是側(cè)重于預(yù)防措施。但在現(xiàn)實世界中,我們不可能總是改編程序和環(huán)境,所以我們必須采用其他技術(shù)措施。這就是為什么會產(chǎn)生新的防火墻。
防火墻用于應(yīng)用程序或者監(jiān)控流量的運行監(jiān)控,也可以在執(zhí)行運行時進行分析。防火墻可以找出攻擊,并阻止嘗試或修改的要求,來確保WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器的安全運行。
目前不光有WEB應(yīng)用防火墻和網(wǎng)絡(luò)防火墻能防范攻擊者透過應(yīng)用層和網(wǎng)絡(luò)層的攻擊;“數(shù)據(jù)庫防火墻”也于這兩年在不斷的數(shù)據(jù)庫泄密事件中出現(xiàn)在公眾的視線里,國內(nèi)稱之為“數(shù)據(jù)庫審計”產(chǎn)品,這些產(chǎn)品能給數(shù)據(jù)庫提供實時的網(wǎng)絡(luò)存儲與訪問的安全。
任何一個好的數(shù)據(jù)庫安全策略都應(yīng)包括監(jiān)控和審計,以確保保護對象正常運行,并且運行在正確的位置上,這也是個非常耗時的過程。由于缺乏時間和工具,大多數(shù)用戶對于數(shù)據(jù)庫配置的檢查往往也僅是抽查而已。
這里還需要指出的是目前多數(shù)人認(rèn)為“數(shù)據(jù)庫審計”等同于數(shù)據(jù)庫安全,事實上,數(shù)據(jù)庫安全遠(yuǎn)遠(yuǎn)不是數(shù)據(jù)庫審計可以搞定的,數(shù)據(jù)庫審計只是數(shù)據(jù)庫安全的一個很小的方面,之所以有時候?qū)Φ绕饋恚环矫媸怯捎谑袌鲂麄鲗?dǎo)致的誤導(dǎo),另一方面的確是這個部分的問題比較容易產(chǎn)品化/工具化,技術(shù)實現(xiàn)相對比較成熟。數(shù)據(jù)庫安全應(yīng)該包括:數(shù)據(jù)庫資產(chǎn)管理、數(shù)據(jù)庫配置加固、職責(zé)分離、特權(quán)用戶控制、數(shù)據(jù)庫弱點掃描和補丁管理、數(shù)據(jù)庫加密、數(shù)據(jù)庫審計。
最后,我們還是回到應(yīng)用程序的安全以及與數(shù)據(jù)庫之間的相互作用問題上。即我們必須要考慮到的問題是應(yīng)用程序的安全以及與數(shù)據(jù)庫之間的相互作用,尤其是對于當(dāng)今流行的高度動態(tài)的和互動的網(wǎng)絡(luò)應(yīng)用程序而言。理解數(shù)據(jù)庫與應(yīng)用程序和系統(tǒng)環(huán)境之間的作用可以更加提升數(shù)據(jù)的安全性。
有問題是客觀情況,其實我們需要的不是過多的責(zé)難,而是不斷改進問題本身,當(dāng)我們被迫把安全做的簡單時,我們就被迫直接面對真正的問題。當(dāng)我們不能用表面的裝飾交差時,我們就不得不做好真正的本質(zhì)部分。希望本文可以讓讀者了解到一系列管理和風(fēng)險降低方面的策略,不論你是否愿意配置數(shù)據(jù)庫防火墻、進行源代碼審記或者嚴(yán)格地控制數(shù)據(jù)庫管理系統(tǒng),其目的都是相同的:做好應(yīng)用安全和數(shù)據(jù)安全的兩位一體,保護好重要數(shù)據(jù)。
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
現(xiàn)貨模式下谷電用戶價值再評估
2020-10-10電力現(xiàn)貨市場,電力交易,電力用戶 -
PPT | 高校綜合能源服務(wù)有哪些解決方案?
2020-10-09綜合能源服務(wù),清潔供熱,多能互補 -
深度文章 | “十三五”以來電力消費增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量
-
PPT | 高校綜合能源服務(wù)有哪些解決方案?
2020-10-09綜合能源服務(wù),清潔供熱,多能互補 -
深度文章 | “十三五”以來電力消費增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量 -
我國電力改革涉及的電價問題
-
電化學(xué)儲能應(yīng)用現(xiàn)狀及對策研究
2019-08-14電化學(xué)儲能應(yīng)用 -
《能源監(jiān)測與評價》——能源系統(tǒng)工程之預(yù)測和規(guī)劃
-
《能源監(jiān)測與評價》——能源系統(tǒng)工程之基本方法
-
貴州職稱論文發(fā)表選擇泛亞,論文發(fā)表有保障
2019-02-20貴州職稱論文發(fā)表 -
《電力設(shè)備管理》雜志首屆全國電力工業(yè) 特約專家征文
2019-01-05電力設(shè)備管理雜志 -
國內(nèi)首座蜂窩型集束煤倉管理創(chuàng)新與實踐
-
人力資源和社會保障部:電線電纜制造工國家職業(yè)技能標(biāo)準(zhǔn)
-
人力資源和社會保障部:變壓器互感器制造工國家職業(yè)技能標(biāo)準(zhǔn)
-
《低壓微電網(wǎng)并網(wǎng)一體化裝置技術(shù)規(guī)范》T/CEC 150
2019-01-02低壓微電網(wǎng)技術(shù)規(guī)范
-
現(xiàn)貨模式下谷電用戶價值再評估
2020-10-10電力現(xiàn)貨市場,電力交易,電力用戶 -
建議收藏 | 中國電價全景圖
2020-09-16電價,全景圖,電力 -
一張圖讀懂我國銷售電價附加
2020-03-05銷售電價附加