【IT168 专稿】我国著名的信息安全专家屈延文老师认为,结构性安全问题已经取代脆弱性安全问题成为当前形势下信息安全的最主要威胁。他认为“信息安全问题其实可以分两类,一类是因为产品或方案不完善而使信息系统存在脆弱性,常见的病毒、木马、后门问题几乎都是系统的脆弱性引起的,另一类是正常功能被错误应用引起的,也就是人们常说的没管好、用好信息系统。病毒、木马威胁或者黑客攻击其实都属于第一类信息安全问题,是最基本层次的信息安全威胁,事实上,大多数信息威胁都来自于后面这种结构性安全问题。”
以数据库为例,数据库系统在企业管理等领域具有广泛的应用,如ERP系统、计费系统、经分系统等等,是应用系统的基础,承载了企业运营的关键数据,是企业核心IT资产,防范严密,很少被木马、入侵等攻击行为侵袭。但是在实际运行中,却经常出现由于数据库管理不善导致各种安全事故的情况,对于数据库系统这类结构性安全问题,主要有安全配置管理、安全审计等技术手段。
在《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中对数据库审计做出了明确的要求:
• 审计范围应覆盖到服务器的每个数据库用户;
• 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全相关事件;
• 审计记录应包括事件的日期、时间、类型、主体标识(账号)、客体标识(数据库表级、数据库字段级)和结果等;
• 应能根据记录数据进行分析,并生成审计报表;
• 应保护审计进程,避免受到未预期的中断;
• 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
相对应的在《GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求》中对数据库安全审计进一步做了阐述:
• 建立独立的安全审计系统;
• 定义与数据库安全相关的审计事件;
• 设置专门的安全审计员;
• 设置专门用于存储数据库系统审计数据的安全审计库;
• 提供适用于数据库系统的安全审计设置、分析和查阅的工具。
由此可见,国家主管机构对于数据库系统的安全审计要求是有着深刻的认识的,这和信息安全的发展趋势是相契合的。那么,国外的相关机构又是怎么认识这个问题的呢?在这里就不得不提美国国会出台的《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯法案,SOX法案),按照萨班斯法案生效时的约定,在美上市公司必须遵守SOX法案404条款,依据COBIT(Control Objectives for Information and related Technology是目前国际上通用的信息技术控制目标)建立企业信息技术内部控制,其中对数据库安全审计的细化要求如下:
• 对企业内部敏感数据的存取行为审计
• 对数据的DML操作行为审计
• 对数据表的DDL操作行为审计
• 出现的账号登录失败、SQL访问关键错误等异常情况审计
• 对账号和角色的操作行为,例如Grant、Revoke等命令的审计
值得重视的是,2008年5月22日,有中国SOX法案之称的《企业内部控制基本规范》由财政部、证监会、审计署、银监会、保监会联合制定并发布,2010年4月26日,在基本规范的基础上发布了《企业内部控制配套指引》,其中对安全审计的要求为:
• 企业应当对必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。
• 企业应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
那么部署数据库安全审计系统,能够帮助用户解决什么问题呢?对于一个数据库系统来说,面临的风险是与用户身份和操作行为密切相关的,主要有如下几种情况:
• 特权用户的访问风险
特权用户对业务数据的访问和修改;
特权用户对数据库结构的修改;
特权用户账号的恶意使用。
• 业务用户的访问风险
超出正常业务需求的使用;
非正常时间的访问;
使用业务系统账号直接访问数据库的行为。
• 开发者的访问风险
对正在运行的业务系统的访问。
• IT运维人员的访问风险
未经批准的改变数据库配置的行为;
未经批准的补丁行为。
下面我们可以通过几个实际案例的分析,来帮助我们理解数据库系统所面临的风险。
