隨著IT時(shí)代的發(fā)展，我們的生活越來越便捷，高速信息時(shí)代讓我們能實(shí)現(xiàn)數(shù)據(jù)的互聯(lián)互通、信息資源的共享，這就是我們所說的信息技術(shù)時(shí)代;而隨著大數(shù)據(jù)、云計(jì)算等技術(shù)的不斷興起與成熟，在大數(shù)據(jù)時(shí)代下的我們體驗(yàn)的是消費(fèi)行為的智能化，商業(yè)價(jià)值的數(shù)字化，DT數(shù)據(jù)技術(shù)時(shí)代的到來讓我們數(shù)據(jù)產(chǎn)生巨大價(jià)值的同時(shí)，也帶來了許多高危風(fēng)險(xiǎn)。

　　引：Verizon 2018數(shù)據(jù)泄露調(diào)查報(bào)告

　　跟我們?nèi)粘Ｏ⑾⑾嚓P(guān)的一些新聞，比如說某電商因?yàn)橛脩粜畔⑿孤叮瑢?dǎo)致用戶流量大減，品牌造成很大的負(fù)面影響;某高校新生信息被泄密，不法分子通過精準(zhǔn)信息進(jìn)行詐騙，騙走新生全家多年積攢的學(xué)費(fèi)致使新生猝死等事件頻發(fā)。從事件的本質(zhì)來看，這些客戶的業(yè)務(wù)均遭受到了攻擊，發(fā)生了數(shù)據(jù)泄露。通過Verizon近幾年來企業(yè)安全威脅報(bào)告我們可以看出，作為數(shù)據(jù)庫的安全威脅越來越高。如何有效的提升數(shù)據(jù)庫的安全成為大家最為關(guān)注的重點(diǎn)，數(shù)據(jù)安全也因此排在了2018年信息安全十大熱詞之首。

　　一、數(shù)據(jù)庫安全威脅分析

　　疑問同時(shí)也出現(xiàn)了，各大電商企業(yè)、金融單位、政府信息中心通過多年的IT建設(shè)，各安全設(shè)備已經(jīng)部署很完善了。從邊界安全、過程控制、內(nèi)容審計(jì)等多方面進(jìn)行防護(hù)，安全服務(wù)團(tuán)隊(duì)定期進(jìn)行漏洞掃描、安全加固等動(dòng)作，為什么在立體式的防護(hù)過程中，數(shù)據(jù)庫還是被拖走了呢，而且在很多情況下是被長(zhǎng)時(shí)間的、悄無痕跡的竊取掉呢?

　　從兩個(gè)角度來分析：

　　第一，從IT建設(shè)發(fā)展的歷程分析。目前大部分客戶，在對(duì)安全體系的設(shè)計(jì)和治理方案中，主要依靠傳統(tǒng)邊界安全防護(hù)，如防火墻、下一代防火墻、IPS、IDS等安全控制類產(chǎn)品;隨著邊界安全防護(hù)的進(jìn)一步落地，逐步開始向內(nèi)容安全防護(hù)過度，如上網(wǎng)行為管理、堡壘機(jī)、數(shù)據(jù)庫審計(jì)等安全設(shè)備;而隨著數(shù)據(jù)大集中之后，數(shù)據(jù)庫里的數(shù)據(jù)越來越有價(jià)值，而目前的防護(hù)體系中針對(duì)數(shù)據(jù)庫的安全防護(hù)是空白的。很多客戶認(rèn)為自己有災(zāi)備軟件、有數(shù)據(jù)庫審計(jì)就能對(duì)數(shù)據(jù)庫進(jìn)行安全管理，但實(shí)際上災(zāi)備軟件只能恢復(fù)數(shù)據(jù)庫原有數(shù)據(jù)，數(shù)據(jù)庫審計(jì)只能事后對(duì)訪問情況進(jìn)行追溯，如果業(yè)務(wù)系統(tǒng)存在SQL注入漏洞，惡意攻擊者就可以通過繞過WAF等行為對(duì)數(shù)據(jù)庫造成攻擊，客戶無法實(shí)時(shí)保障數(shù)據(jù)不被竊取或篡改，無法做到針對(duì)數(shù)據(jù)庫的事前預(yù)防和事中阻斷。

　　第二，從目前信息安全等級(jí)保護(hù)整改遺留的難點(diǎn)分析。等級(jí)保護(hù)整改中涉及物理安全、網(wǎng)絡(luò)安全、服務(wù)器安全、制度安全等各部分的整改，相對(duì)來說通過技術(shù)、制度、傳統(tǒng)安全設(shè)備的配置可以較快速和穩(wěn)妥的進(jìn)行加固。但是在數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全上的安全加固以及整改卻成棘手之事。不同的數(shù)據(jù)庫以及各版本都有漏洞，但由于業(yè)務(wù)系統(tǒng)的長(zhǎng)時(shí)間不間斷運(yùn)行，擔(dān)心由于補(bǔ)丁及版本升級(jí)造成業(yè)務(wù)癱瘓，故把這部分的安全問題暫時(shí)擱置;另外，由于應(yīng)用系統(tǒng)開發(fā)商已經(jīng)把業(yè)務(wù)系統(tǒng)交付多年，雖然代碼層面可能留有一些漏洞，但是讓項(xiàng)目組重新對(duì)代碼進(jìn)行加固，阻力和壓力都是很大的。由于這些問題的存在，數(shù)據(jù)庫的大門一直向黑客敞開著。不是目前的防護(hù)體系已經(jīng)把核心資產(chǎn)保護(hù)的水泄不通，而是黑客目前還沒盯上你。

　　二、傳統(tǒng)安全防護(hù)弊端

　　防火墻等設(shè)備主要是基于網(wǎng)絡(luò)層的訪問控制，很難對(duì)數(shù)據(jù)庫協(xié)議以及應(yīng)用層協(xié)議作出分析與控制;就算近幾年發(fā)展的如火如荼的下一代防火墻，也很難對(duì)數(shù)據(jù)庫協(xié)議進(jìn)行精準(zhǔn)解碼并且作出實(shí)時(shí)阻斷;IPS、IDS主要也是對(duì)邊界攻擊進(jìn)行掃描分析，數(shù)據(jù)庫層面的分析也很難進(jìn)行控制;再分析一下web應(yīng)用防火墻，其主要是通過規(guī)則庫的方式來進(jìn)行攻擊攔截，而目前很多Oday攻擊、SQL注入攻擊等方式，都可以繞開WAF直接對(duì)數(shù)據(jù)庫進(jìn)行拖庫。傳統(tǒng)的安全防護(hù)手段是無法解決數(shù)據(jù)庫安全的問題。

　　三、精準(zhǔn)攔截SQL注入攻擊，提升數(shù)據(jù)庫安全

　　在數(shù)據(jù)庫的眾多威脅中，業(yè)務(wù)系統(tǒng)遭到SQL注入攻擊，導(dǎo)致數(shù)據(jù)庫拖庫應(yīng)該是最大的威脅，沒有之一。而SQL注入攻擊是廣泛存在的，其攻擊手段隱蔽、特征不可窮舉、攻擊手段平民化，這些特點(diǎn)也讓其安全防護(hù)者頭痛。可以說，只要人類還在編寫數(shù)據(jù)庫應(yīng)用，就存在SQL注入漏洞的威脅。

　　正常的業(yè)務(wù)訪問是使用者按照正常的訪問方式進(jìn)行，應(yīng)用服務(wù)器把前端的請(qǐng)求轉(zhuǎn)換成SQL語句與數(shù)據(jù)庫進(jìn)行交互。而惡意的業(yè)務(wù)訪問是惡意攻擊者構(gòu)建非正常的SQL語句，把非業(yè)務(wù)正常訪問的SQL語句想法設(shè)法的傳遞到數(shù)據(jù)庫，并執(zhí)行。

　　通過對(duì)業(yè)務(wù)中間件和數(shù)據(jù)庫的交互分析會(huì)發(fā)現(xiàn)，當(dāng)一個(gè)應(yīng)用系統(tǒng)開發(fā)完交付的那一刻起，其正常的業(yè)務(wù)交互邏輯或語法就已經(jīng)固化下來。既然能分析，那是否可以把這些SQL固化掉，建立一套防護(hù)規(guī)則呢?答案是肯定的。任何語句的交互，均有固定的語法規(guī)則。根據(jù)對(duì)語法規(guī)則的分析、歸納、整理、輸出，完全可以對(duì)固有的業(yè)務(wù)訪問進(jìn)行固化處理。然而業(yè)務(wù)的訪問量、訪問路徑、訪問時(shí)間等均無法控制，必須引入機(jī)器學(xué)習(xí)，讓系統(tǒng)具備自動(dòng)學(xué)習(xí)的功能，并加以人工輔助。使之學(xué)習(xí)、分析并收斂成為固定的固執(zhí)。暫且稱之為自動(dòng)化建模吧。當(dāng)建模完成后，進(jìn)入防護(hù)狀態(tài)，惡意攻擊的方法或手段的結(jié)果就是破壞了正常的業(yè)務(wù)交互行為，不在已完成的模態(tài)化的規(guī)則內(nèi)，就可以做到及時(shí)的發(fā)現(xiàn)與阻斷。在解決其方法的技術(shù)上，通過對(duì)業(yè)務(wù)SQL語句的關(guān)鍵字、邏輯關(guān)系等特征自動(dòng)采樣學(xué)習(xí)，并結(jié)合高性能的SQL語義分析計(jì)算，構(gòu)建對(duì)應(yīng)的SQL語法樹，完成模態(tài)數(shù)據(jù)建模。在實(shí)際應(yīng)用環(huán)境中，海量的數(shù)據(jù)主要包括以下三種數(shù)據(jù)：業(yè)務(wù)數(shù)據(jù)、運(yùn)維數(shù)據(jù)、非法數(shù)據(jù);而數(shù)據(jù)量占比最大的就是正常的業(yè)務(wù)數(shù)據(jù)。通過自動(dòng)化學(xué)習(xí)，可以把正常的業(yè)務(wù)模態(tài)化數(shù)據(jù)流分離出來，把存在惡意攻擊的語句識(shí)別出來。

　　圖：建模及SQL注入防護(hù)

　　要做到這點(diǎn)就需要有大量的技術(shù)基礎(chǔ)的，比如：數(shù)據(jù)庫是在IT系統(tǒng)的最后端，前端所有的數(shù)據(jù)都要匯總過來，實(shí)際情況下就存在著大數(shù)據(jù)的并發(fā)。網(wǎng)絡(luò)中數(shù)據(jù)包是雜亂無序進(jìn)行傳播的，需要通過流會(huì)話技術(shù)把數(shù)據(jù)包進(jìn)行重組，使其成為有序傳播的會(huì)話。若重組技術(shù)不成熟，將出現(xiàn)各種丟包、錯(cuò)組的情況，給數(shù)據(jù)庫防護(hù)帶來災(zāi)難。

　　做這些的前提就是對(duì)各數(shù)據(jù)庫的傳輸協(xié)議能夠完整的解析。相比IP協(xié)議不同，各個(gè)數(shù)據(jù)庫廠商都有自己的私有協(xié)議，且各家數(shù)據(jù)庫廠商未公開，更不要說向國內(nèi)安全廠商公開。解碼工作就是翻譯，如果協(xié)議解碼不全，就像打戰(zhàn)一樣根本無法獲取清楚的情報(bào)，基于解碼不全的任何防護(hù)和方案都是空談。協(xié)議解碼，只能靠笨辦法，靠工程的積累，靠人力的分析和逆向，沒有捷徑好走。

　　以O(shè)racle數(shù)據(jù)庫為例分析，Oracle數(shù)據(jù)庫通信采用TNS協(xié)議，其協(xié)議傳輸可以采用多種協(xié)議進(jìn)行傳輸。應(yīng)用程序與數(shù)據(jù)庫進(jìn)行連接的時(shí)候，首先會(huì)發(fā)送一個(gè)連接結(jié)構(gòu)，之后數(shù)據(jù)庫會(huì)返回一個(gè)重定向包，隨后應(yīng)用程序會(huì)從重定向的端口向服務(wù)器發(fā)送連接，服務(wù)器連接成功則返回接收包，新建立會(huì)話。隨后，應(yīng)用程序便可向數(shù)據(jù)庫發(fā)送數(shù)據(jù)包進(jìn)行相關(guān)SQL操作。當(dāng)

　　接收到應(yīng)用程序傳來的數(shù)據(jù)后，先對(duì)其進(jìn)行TNS解碼，然后解碼出各個(gè)字段。(具體過程和協(xié)議分析，詳見oracle官網(wǎng)，此處不在贅述)

　　另外，就是有效的部署和阻斷。根據(jù)業(yè)務(wù)環(huán)境的不同必需要支持串聯(lián)和并聯(lián)接入到數(shù)據(jù)庫的網(wǎng)絡(luò)環(huán)境中去，才能做到很好的防范。當(dāng)業(yè)務(wù)流量經(jīng)歷時(shí)，要及時(shí)準(zhǔn)確的分析并識(shí)別數(shù)據(jù)庫通訊協(xié)議以及SQL操作語句，進(jìn)行應(yīng)用層的協(xié)議解碼，通過流會(huì)話解碼技術(shù)，對(duì)數(shù)據(jù)庫通訊協(xié)議進(jìn)行流重組，所有解析語句都會(huì)標(biāo)記唯一的會(huì)話標(biāo)識(shí)，然后提取出數(shù)據(jù)庫交互的SQL語句與已建立的業(yè)務(wù)模型進(jìn)行匹配，進(jìn)行規(guī)則策略的處理。若檢查到SQL語句不符合模態(tài)化規(guī)則策略，都會(huì)觸發(fā)后續(xù)的動(dòng)作處理。根據(jù)部署及配置的處理動(dòng)作不同采用不同處理辦法，串聯(lián)時(shí)規(guī)則處理動(dòng)作采用“丟棄+RST阻斷”實(shí)現(xiàn)方式，并聯(lián)采用“RST阻斷”實(shí)現(xiàn)方式。并且需要每次規(guī)則處理均采用流標(biāo)標(biāo)記跟蹤每一個(gè)數(shù)據(jù)包，流一旦標(biāo)記為阻斷，對(duì)于與此流相關(guān)聯(lián)的后續(xù)每一個(gè)網(wǎng)絡(luò)包，都將觸發(fā)阻斷操作，以便徹底阻斷業(yè)務(wù)連接數(shù)據(jù)庫服務(wù)，避免無法阻斷網(wǎng)絡(luò)聯(lián)接導(dǎo)致策略無效事件發(fā)生。

　　舉個(gè)例子：惡意攻擊者通過非法途徑獲得中間件Webshell，通過其發(fā)起的對(duì)數(shù)據(jù)庫的交互，無論是賬號(hào)、密碼、IP來源都是相同的，不同的地方可能是使用后臺(tái)木馬作為連接工具或直接SQL語句來進(jìn)行數(shù)據(jù)庫攻擊。通過已經(jīng)自動(dòng)的SQL語法建模以及來自多維度的準(zhǔn)入因子識(shí)別技術(shù)，就可以把惡意攻擊擋在數(shù)據(jù)庫安全防護(hù)大門之外。

　　簡(jiǎn)單的說，就如我們小時(shí)候在村口池塘抓魚，先放水，再抓魚。只有通過識(shí)別海量正常的業(yè)務(wù)流使其放行，抓取所關(guān)注的惡意攻擊語句，才能一勞永逸的解決數(shù)據(jù)庫的威脅。

　　業(yè)務(wù)訪問因素較多、難控制。過了中間件后，數(shù)據(jù)庫的訪問相對(duì)可控，相對(duì)可量化。換個(gè)思路，也許就有新的防護(hù)方案與效果。

　　變是常態(tài)，不變才是非常態(tài)。

鄭州婦科醫(yī)院哪家好

鄭州哪家男科醫(yī)院好