数据安全防“脱库”解决方案——如何建防信息泄露的城墙

　　1.2.2数据库检测机制

　　企业通过建立数据库安全检测系统，发现业务系统所依靠的核心数据库是否存在安全漏洞，如默认密码、弱口令、不安全的配置等。数据库安全检测系统是专门针对于数据库管理系统的脆弱性检测而开发的一种安全工具，主要包含前端程序和扫描引擎两部分。引擎的功能是访问要扫描的数据库，执行前端提交的扫描请求，并将扫描结果返回前端。前端功能是与用户交互，主要功能模块包含：项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行，它们之间一般采用自定义的网络协议通信。功能如下图所示：

　　1.3建立事中防护体系

　　安全的信息系统需要涉及物理层、网络层、应用层、主机层方方面面的安全防御措施，目前企业的尚缺少有力的应用层安全防御措施，应切实建设相应的安全防御措施，提高系统的抗风险能力。当前最为高效的解决方法是在WEB应用前端部署WEB应用防火墙，实现对WEB应用安全防御。本项目中主要的应用系统为WEB应用尚未部署WEB应用防火墙。

　　安恒信息Web应用防火墙(Web Application Firewall，简称： WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。主要功能是：检测、防御并记录的WEB攻击、应用加速、抗应用层DDOS、防篡改等。它是攻击发生时，提升系统防御能力的主要手段，能够阻挡攻击者对WEB应用程序漏洞的利用，为修复程序漏洞争取时间。在WAF的保护下，也能够提升新业务系统上线的速度。甚至于，保护哪些历史上遗留下来，已经找不到开发者修复漏洞的历史遗留WEB应用系统。它的一个常见部署方式如下：

　　透明直连模式不需要给WAF配置IP地址，只要将WAF接入业务链路，配置好保护的WEB应用服务器的IP地址及端口，就可以实现对WEB应用业务的安全检测。而部署WAF，不但不会影响业务系统的性能，同时还能够提升应用交付。

　　1.4建立事后追溯手段

　　企业核心数据库存贮有大量的用户信息，以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机，对企业造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性，针对违规操作、异常访问等及时发出告警，同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性，争取将安全风险控制在最小的范围之内。

　　安恒信息数据库审计系统是一种检测、响应、记录并分析对数据库操作的安全管理设备。通过部署数据库审计能够实现：

　　ü 对数据库的对象(包括用户(数据库)、表、字段、视图、索引、存储过程、包等)进行审计规则定制，

　　ü 制定细粒度的审计规则，如精细到表、字段、具体报文内容的细粒度审计规则，实现对敏感信息的精细监控;

　　ü 基于IP地址、MAC地址和端口号审计;

　　ü 根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则等。

　　数据库审计系统不仅能够检测、记录与回放攻击者的在任何时间的操作行为，也应当能够展现其已经获取到的信息，让运维和安全人员了解到当前造成的损失。如图所示：

　　对于B/S架构的应用系统而言，用户通过WEB应用服务器实现对数据库的访问，传统的数据库审计系统只能审计到WEB 应用服务器的相关信息，无法识别是哪个原始访问者发出的请求。而通过关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息(如：操作发生的URL、客户端的IP等信息)，产品主要根据时间片、关键字等要素进行信息筛选，以确定符合数据库操作请求的WEB访问，通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。如图所示：

　　1.5提升信息安全管理水平

　　企业的信息安全管理体系不仅仅做了风险评估、部署了安全产品，就认为信息系统安全了，管理与技术任何一方面存在隐患或漏洞，都可能对企业的业务系统及信息数据造成影响，甚至破坏。我们在防信息泄密的过程中不仅需要加强企业的信息系统安全技术水平，还应在信息安全管理上面进行提升。我们辅以应急响应机制、安全培训体系以及管理制度的建设，以帮助企业在信息系统安全管理方面达到一定的高度，尽可能地避免安全事件的发生，减少对企业形象的影响。