数据库系统在企业管理等领域具有广泛的应用,如ERP系统、计费系统、经分系统等等,数据库系统作为应用系统的核心,承载了企业运营的关键数据,是企业核心IT资产之一。长期以来,在保障业务连续性和性能的前提下,最大限度的保障数据库安全一直是数据库管理人员、安全管理人员孜孜不倦追求的安全目标。
数据库安全涉及入侵防御、账号管理、访问控制、安全审计、防病毒、评估加固等多个方面,常见的安全产品如UTM、入侵检测、漏洞扫描等产品得到了广泛的应用,为保障数据库系统的正常运行起到了重要作用。但是,通过对安全事件的处理分析,调查人员发现企业内部人员造成的违规事件占了较大比例,究其原因,主要是这些违规行为与传统的攻击行为不同,无法利用攻击机理和漏洞机理进行分析,这导致了这些抵御外部入侵的产品无用武之地,要防止内部的违规行为,就需要在内部建设审计系统,通过对操作行为的分析,实现对违规行为的及时响应和追溯。
根据Verizon 2009调查报告(基于对2亿8500万次累计破坏行为数据进行分析),数据破坏情况如图一所示:
▲Verizon数据破坏调查表
从上图可以看到对数据库系统的尝试破坏行为占比在75%左右,为什么针对数据库系统的破坏行为占比最高,主要原因在于:一方面由于数据库系统往往承载关键业务数据,而这些数据牵涉到企业各个方面的信息,从政治、经济而言都具备重要的价值;另一方面由于数据库系统通常比较复杂以及其对连续性、稳定性的高标准要求,安全管理人员在缺乏相关知识的情况下,往往出现想不到、不敢想、不敢动的状况,导致数据库安全管理工作滞后于业务需求的满足。
实际上,关于数据库系统的安全事件层出不穷,而且有愈演愈烈之势,远有某市双色球开奖数据库被篡改,3305万巨奖险被冒领的案件,近的更有,汇丰银行2.4万账号数据被盗的例子。这些情况,国家相关部门也非常重视,在《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全保护等级基本要求》等相关政策中,对于审计系统也有明确的要求:
· 应制定能够确保系统安全审计策略正确实施的规章制度及措施
· 应对重要服务器的访问行为进行审计
· 应包括事件的日期、时间、类型、主体标识、客体标识和结果等
· 应定期对审计记录进行审查分析,对可疑行为及违规操作,采取相应的措施,并及时报告
