數據庫安全加固

應用背景及存在問題

我國已有的安全建設重要圍繞着網絡防護、主機訪問和應用層安全防護以及服務器層安全防護進行，但對真正核心的數據存儲管理的核心數據庫並沒有採取有效的防護措施。網絡層安全防護的主要產品有：防火牆、網路隔離設備、入侵檢測、防病毒等；應用層安全防護的主要產品有：安全認證、統一授權等；服務器層安全防護的主要產品有：服務器防護、防病毒、入侵檢測、主機審計等；數據層安全防護的主要產品有：數據庫安全增強、數據庫審計、文檔防護等，數據層安全防護是存放於服務器內的數據本身的最後一道安全防護屏障，如果網絡層、應用層和服務器層的安全防護被攻破，只要數據層安全防護有效，就不致予泄露敏感數據。可見數據層安全防護的重要性。

世界最大職業中介網站Monster遭到黑客大規模攻擊，黑客竊取在網站註冊的數百萬求職者個人信息，並進行勒索；程序員程稚瀚四次侵入北京移動充值中心數據庫，盜取充值卡密碼，獲利300 多萬元。2003 年廣東聯通7 名人員，利用內部工號和密碼，對欠費停機手機進行充值，使聯通損失260 萬元。2005 年12 月25 日,美國銀行披露,2004 年12 月下旬,丟失了包括1200 萬信用卡信息的磁帶備份. ---Gartner Research；CSI/FBI 2005 年計算機犯罪和和安全會的相關報告中提到70%的信息系統數據丟失和遭受攻擊，都來自於內部。

當前主流Oracle安全增強方案包括前置代理、應用加密和Oracle自帶加密選件DTE等。前置代理需要應用大幅改造、大量Oracle核心特性無法使用；應用加密必須由應用實現數據加密，加密數據無法檢索，已有系統無法透明移植；DTE不能集成國產加密算法，不符合國家密碼政策。因此這幾種方案一直未能得到有效推廣。

國外的Oracle數據庫加密產品相對較多，產品相對成熟。但面臨着不能集成國產的加密算法、不符合國家安全政策，不能利用密文索引進行範圍查詢，造成性能嚴重下降等問題，因此以上產品在我國尚未得到有效應用。

國內的數據庫安全增強產品往往採用應用層加密存儲或者前置代理的技術實現方式。應用層加密方式的缺點是應用必須對數據進行加解密，增加編程複雜度；加密後的數據不能作為條件進行檢索；同時對於已有的系統無法透明實現應用改造。前置代理的重要缺陷是應用必須進行現有程序的改造，使用加密前置代理提供的API；另外大量的Oracle重要特性將無法使用，如存儲過程、函數等。

安華金和數據庫保險箱系統(簡稱DBCoffer) 是一款Oracle數據庫安全加固系統，該產品能夠實現對Oracle數據的加密存儲、增強權限控制、敏感數據訪問的審計。DBCoffer可以防止繞過防火牆的外部數據攻擊、來自於內部的高權限用户的數據竊取、以及由於磁盤、磁帶失竊等引起的數據泄密。

數據庫保險箱DBCoffer的核心價值是：

1、防止硬件存儲設備引起的泄密，當數據以明文形式存儲在硬件設備上時，無論是數據庫運行的存儲設備，還是用於數據備份的磁帶，若發生丟失或者維修，都會存在相應的數據丟失風險。一旦使用了數據庫保險箱，無論是運行環境的硬件存儲設備，還是數據備份的磁帶，敏感數據都是以加密的形態存儲的，從而有效地防止了由於硬件丟失或硬件維修等無意識的泄密。

2、防止操作系統文件引起的數據泄密，通常Oracle 的數據是以明文的形式存儲在操作系統的文件中；通過對文件系統的訪問，就會訪問到敏感數據。這樣，該主機的操作系統管理員和高權限用户都可以接觸到這些敏感數據。另外通過網絡訪問到這些文件的用户，也可以接觸到這些敏感數據。一旦使用了數據庫保險箱，敏感數據都是以密文的形式存儲在操作系統上，從而有效防止了由操作系統文件引起的數據泄密。

3、防止數據庫超級用户進行的數據竊取，在Oracle 中，以sys 和system 為代表的數據庫管理員用户，具有至高無上的權利，可以訪問到任何數據；在大型企業和政府機構中，除了系統管理員，以用户數據分析人員、程序員、開發方維護人員為代表的特權用户，也可以訪問到敏感數據。這些都為數據的泄密，留下了極大的隱患。

數據庫保險箱通過獨立於Oracle 權限控制之外的安全權限體系，對數據的加解密進行了獨立的控制。 由安全管理員負責決定哪些數據庫用户有權訪問敏感數據的明文信息；防止DBA 成為不受控制的超級用户的同時，又可以使DBA 和開發人員正常地工作。

4、防止外部入侵進行的數據破解，隨着Internet、無線網絡的普及，黑客有了更多辦法繞過防火牆和入侵檢測系統，到用户的業務系統中進行窺視；當數據以明文的形式暴露在文件系統和數據庫中時，黑客很容易獲得敏感數據。當我們對數據進行了有效加密保護，再厲害的黑客，在不掌握密鑰的情況下，都無法獲得敏感數據的明文信息。

競爭優勢

DBCoffer產品，相對於市場上的其它產品在政策符合性、性能和應用透明性上具有明顯優勢，下面重點就國外產品和國內產品進行對比分析。

與普通的數據庫安全加固產品的競爭分析：

1、數據庫漏洞掃描產品

這種產品針對數據庫管理系統的漏洞及潛在的風險進行檢測。它可以對數據庫系統的各項設置、數據庫系統軟件本身已知漏洞、數據庫系統完整性進行檢查和對數據庫系統的整體安全性做出評估，並給出提高數據庫安全性的修復建議。這種產品重要的是對現有的數據庫系統在認證、授權上配置漏洞、數據局庫補丁漏洞進行掃描，並不能對現有的數據庫進行安全增強，與DBCoffer不是一類產品。

2、數據庫安全審計產品

數據庫審計作為信息安全審計的重要組成部分，同時也是數據庫管理系統安全性重要的一部分。安全審計類產品的優勢在於時候的追終與分析。DBCoffer除了具有對敏感數據的訪問審計能力，同時也具備了數據庫的加密功能、獨立於Oracle的授權控制體系，這是DBCoffer的最大競爭優勢。DBCoffer比起數據庫審計產品能多提供以下幾個方面的數據庫安全防範能力：防止DBA等高權限用户訪問敏感數據、防止來自於文件層的數據竊取、防止硬件丟失的安全風險。

3、綜合性的數據庫安全增強產品

這一類的產品從數據庫的認證、授權和審計均進行了有效增強，但是必須有幾個限制：

（1）應用系統要經過改造，要使用該產品提供的應用接口

（2）DBA進行數據維護必須使用該產品提供的管理終端

總體上，DBCoffer不存在以上限制，與相關其他產品相比具有幾大優勢：更符合國家安全政策、性能更好、服務更好、性能更好、更為透明、Oracle功能更為無損。