数据库安全之电子政务

当前电子政务内网信息系统中的涉密数据在数据库集中存储，传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略，但这些方案在现实中变得弱不禁风，大量信息泄露事件频繁爆发。

传统解决方案对应用访问和数据库访问协议没有任何控制能力，比如:SQL注入就是一个典型的数据库黑客攻击手段；数据泄露常常发生在内部，大量的运维人员直接接触敏感数据，传统以防外为主的网络安全解决方案失去了用武之地；由于数据库漏洞被攻击破坏将可能牵连多个部门的系统的数据库不能使用，导致被刷库后数据集中泄密；缺乏数据库安全管控手段，需要实现精细控制，当前的技术手段下，信息中心无法控制和追踪数据库管理员对敏感数据的访问；数据库的存储文件解析后为明文，主流的大型数据库数据文件的组织结构主动或被动公开化，只要得到这些数据文件，存储的数据其实就是透明的。数据访问追踪信息出现断层，需要业务用户关联审计，信息中心需要最精确、详细的审计记录，需要将数据的访问真正定位到操作人，才能有效定责问责。

新的信息化形势下，电子政务内网往往要做到异地数据协同，在数据访问过程中应该采用数据库加固保证数据的安全性，同时不同地域的数据库之间要同步，这样既可以保证数据的保密性，同时也不能影响正常的使用。

安全政策要求分级保护，保护国家秘密的安全，国家保密局于2007年发布并实施的分保保密要求，对涉及国家秘密的信息系统的安全保密措施，分别提出了分级保护的技术要求和及测评要求，对于达不到分级保护要求的涉密信息系统则停止运行。

在数据保密方面，分级保护要求机密级以上系统要从运行管理三权分立、身份鉴别、访问控制、安全审计等方面进行了一系列的技术和测评要求，并占据了较高的比重。

电子政府内网中的诸多数据均属机密数据，需要严格的保护，防止信息的泄漏和篡改，同时对数据的访问踪迹实现完全可追踪化。

由于历史的原因，信息中心的诸多核心系统主要使用的是Oracle和SQLServer为代表的国外数据库产品，同时由于数据库技术的复杂性，短期内难以替代。斯诺登事件的发生，证明了我国的机密数据放在国外数据库中，若是不采用国产自主可控的数据库安全技术进行加固，数据库中的涉密信息将有很大的泄漏风险。

即使在实现了国产化数据库系统的涉密信息系统中，当前也存在数据库运维的三元分立、防止SQL注入、漏洞攻击和全部操作要审计等诸多数据库安全需求，因此，数据库安全加固方案具有普遍意义。

本方案对电子政务内网门户、内网办公和纵向内网业务三大类信息系统，后台的数据库系统面临的安全风险、核心安全需求进行认真分析，并提出了通过事前诊断、事中控制和事后审计实现全防护时机的数据库安全解决方案，以满足对国内外数据库的安全加固要求。

在数据库系统已有的基本安全机制基础上，引入一套可信的数据库访问控制机制，具备数据库的风险隐患早发现、危险操作可控制、管理员权限受限制、敏感数据难窃视、涉密数据加密存、访问行为可审计等安全保障能力，以保障数据库中数据的存储安全、使用安全和安全保密性，满足数据中心信息安全保护和分级保护要求。

通过对安全威胁的分析，进行整体设计与规划，系列安全产品相互之间分工协作，共同形成整体的防护体系，覆盖了数据库安全防护的事前诊断、事中控制和事后分析。事前诊断：通过数据库漏扫产品，有效检测数据库已知漏洞，并有效修复。定期进行数据库安全检查，防患于未然，对数据库安全风险进行综合评估，使用专门的数据库漏洞扫描系统，对生产域中数据库的安全现状进行全面检测。安全漏洞项包括：弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等，评估是否存在安全漏洞并提供修复建议，为系统的安全配置提升提供有效的参考。事中控制：通过数据库防火墙和数据库加密解决。数据库防火墙-从访问源头来保护数据，监测数据库的访问，防止未授权的访问、SQL Injection、权限或角色的非法提升以及对敏感数据的非法访问。高度精准的基于SQL语法的分析，避免误判；基于黑、白名单的灵活的SQL级策略设置；支持Bypass和Proxy及混合部署模式，支持高可用，最大限度的适应企业需求；虚拟补丁技术避免数据库因为不能进行补丁升级而造成的恶意访问。

在数据库中加密存储敏感信息防止被解析为明文，通过独立于数据库的权控体系和引入安全管理员、审计管理员实现三权分立的安全管理手段，防止DBA、第三方外包人员和程序开发人员越权访问敏感信息，结合动态口令卡和SQL级API与应用系统进行绑定解决绕过应用程序非法访问数据库的问题。事后分析：通过数据库审计技术解决。网络旁路审计通过在核心路由设备上设置端口镜像或采用分流监听，使安全审计能够监听到所有用户通过路由设备与数据库进行通讯的操作，并把数据库操作进行协议还原和分析，细致的数据库操作审计和用户审计，并有丰富的查询检索和报表功能，维护简单、具备专业审计功能，节约人力，减少维护费用。

本方案规划使用专门的数据库漏洞扫描系统，对当前系统中重要数据库进行全面的安全漏洞检测，有效暴露当前数据库系统的安全问题，同时提出漏洞修复的建议，进行整体安全加固。从而提升数据库系统整体的安全性。

三权分立、权责明晰，打破传统数据库运维，由DBA行使特权的独立控制体系。DBA（数据库管理员）：仍由个部门自行负责，维护数据库。DSA（安全管理员）：由信息中心负责。配置敏感数据的访问策略，包括对包含DBA在内的数据库用户、IP、MAC等。DAA（审计管理员）：由信息中心负责。负责对DBA在内的所有数据库用户的访问行为、DSA的配置行为进行审计。

三权分立后，DBA仍负责常规数据的运维，但对于最敏感的数据，能否访问受安全管理员控制，在制约DBA的同时，其也是对DBA们的主动免责，降低其被怀疑的风险。

通过虚拟补丁预防数据库被入侵或攻击，利用虚拟补丁技术，在数据库外创建了一个安全层，以防止通过已知漏洞对数据库的攻击，数据库漏洞恶意攻击特征库能及时更新，做到数据库不打补丁的情况下，在数据库之前形成虚拟的防护层。

实现对敏感数据的访问严格管，通过SQL白名单技术对应用的数据库访问行为进行精细控制，所有通过应用服务器的非应用访问行为均被告警和拦截，实现对应用端的严格防护。

通过数据库防火墙串接在运维侧，有效防止DBA等与业务无关的高权限用户访问敏感数据，对IP|MAC等要素进行策略配置，确保应用程序的身份安全可靠。

通过数据库加密解决明文存储泄漏问题，数据库存储文件是明文，需要对敏感字段进行加密存储，对敏感数据实现脱敏，确保数据库文件即使丢失了，也不会造成整库泄密。备份文件也要严格管理，对敏感列也采用加密方式存储。登陆数据库服务器本地维护和应急数据库操作，此时有明文数据泄漏风险，需要安全管理员同时在场，密级度高的数据要加密存储，通过三权分立的方式进行管理。

通过精确的应用关联审计有效定责到具体的工作人员，精确审计、有效定责,需要具备一些关键要素：需要最精确、详细的审计记录，才能为追责提供有效的取证：如浏览器IP来源、工作人员标识、访问时间、操作内容、使用的工具、访问的内容结果集。

数据库防火墙系统的审计能力，不仅能高效、准确地实现一般的数据库访问审计，而且通过部署在应用服务器上的AppSniffer，可以将SQL操作与通过浏览器访问业务系统的工作人员有效关联起来，实现真正定位到操作人，实现有效定责问责。

数据库漏洞扫描系统分析内部不安全配置，防止越权访问：通过只读账户，实现由内到外的检测；提供现有数据的漏洞透视图和数据库配置安全评估；避免内外部的非授权访问。发现外部黑客攻击漏洞，防止外部攻击：实现非授权的从外到内的检测；模拟黑客使用的漏洞发现技术，在没有授权的情况下，对目标数据库的安全性作深入的探测分析；收集外部人员可以利用的数据库漏洞的详细信息。监控数据库安全状况，防止数据库安全状况恶化：对于数据库建立安全基线，对数据库进行定期扫描，对所有安全状况发生的变化进行报告和分析。