四、 传统网络安全解决方案存在致命缺陷
我国经过十多年的信息安全建设,已经建立起相对完善的网络信息安全体系,包括网络安全设备、终端安全、认证安全、主机安全、防病毒等系列化的安全产品和整体的安全解决方案;特别是以防火墙、IPS/IDS、UTM等产品为代表的网络安全产品,更是成为了当前安全建设的标配。但这些产品都无法防止数据库服务的安全缺陷。传统的网络安全解决方案中存在如下致命缺陷:
4.1网络防火墙不对数据库通讯协议进行控制
传统的网络防火墙产品主要是基于:源IP + 源端口 + 目的IP + 目的端口 + 协议类型进行访问控制,传统的防火墙不对协议的内容进行解析和控制。由于应用要访问数据库,因此数据库的通讯端口总是开放的,本质来说传统防火墙对于数据库网络通讯无任何的安全防护能力。
4.2 IPS/IDS对数据库通讯协议的控制很弱
IPS/IDS(入侵防护系统/入侵侦测系统)产品比起传统防火墙更进了一步,开始尝试对应用层的通讯协议进行解析,但这些协议都限于标准通讯协议,如FTP、邮件、LDAP、Telnet等,对一些针对标准协议的攻击行为进行防范;但对于数据库这样的非标准化通讯协议,协议的复杂度很高,当前市场上的主流IPS/IDS产品均未实现对数据库通讯协议的解析和防护。
4.3 绕过WAF系统的刷库行为屡见不鲜
WAF(Web Application Firewall 网站应用防火墙)产品主要是对Http协议的解析,通过对Http协议中的内容进行分析,实现攻击防御;通过WAF可以实现对部分SQL注入行为的阻止,但WAF对于复杂的SQL注入和攻击行为无能为力;2012年的黑客大会宣布有150多种方法可以绕开WAF实现对Web应用服务器的攻击。在Web应用服务器上利用应用的数据库账户攻击数据库服务器是当前刷库的主要手段。
4.4 NGFW无法解决来自于业务系统本身的安全威胁
NGFW(Next generation firewall下一代防火墙)比传统防火墙更近了一步,更偏重于应用层,号称是UTM(Unified Threat Management统一威胁管理)有更多技术革新性的产品,集成了传统防火墙、IPS、防病毒、防垃圾邮件等诸多功能的综合安全产品。NGFW将视角更多地转向了应用层,在控制规则上增加了用户、应用类型和内容,一些NGFW产品也号称能够识别几百种应用;但NGFW中所兼容的应用层协议,特别是对应用层的协议内容进行控制,仅限于标准化的应用服务,如FTP协议、Telnet协议、Mail协议、LDAP协议;但对于数据库这种没有通讯协议标准、通讯又极其复杂、各个厂商各自为政的应用层协议,当前没有任何一家NGFW产品能够实现对数据库通讯协议的安全控制;因此即使有了NGFW,依然无法阻止黑客通过数据库的通讯进行的攻击。
4.5 内网管控的堡垒机解决方案存在重大缺陷
针对来自于内部的数据安全问题,当前比较流行的是以堡垒机为核心的集中运维管控解决方案,通过这种方案可以将运维人员对主机设备和数据库的维护集中到堡垒机上完成,在堡垒机上完成统一的认证、授权和审计。
但堡垒机的解决方案存在以下安全缺陷:
A、堡垒机无法对图形化工具的操作进行控制,只能通过录屏的方式进行录像记录;
B、备份的磁带不受堡垒机控制,DBA可以通过磁带获取明文数据;
C、网络管理员可以通过解析数据文件,获取数据库中明文数据;
D、程序开发人员通过在生产系统的服务器上驻留后门程序访问数据库;
E、测试和开发人员访问测试系统的数据库获得真实数据。
以上安全问题决定市场上还是需要更为专业的数据库安全产品。
