背景
最近《经济参考报》报道我国高校成为信息泄漏的重灾区,自2014年至2015年3月,漏洞分析平台补天显示的有效高校网站漏洞多达3495个。这些漏洞有的已造成教职员工或学生个人信息泄漏。西安交通大学信息安全法律研究中心主任马民虎表示,一方面高校涉及人数众多,并且包括大量学生和教授的隐私信息;另一方面很多重要院校还承担着国家众多科研和军工项目,这些都可能成为不法分子的目标。
随着校园信息化的快速建设,教育云犹如雨后春笋涌现,虚拟化也带来了安全问题:业务网络边界消失、传统安全措施无法部署、数据集中存储导致泄漏风险加倍。
数据库安全现状分析
大学校园网系统大多采用虚拟化方式的B/S架构,同时采用内外相互协同办公的方式,很大一部分学生和教职员工基础数据直接放在外网,应用系统很容易被人做为跳板,利用数据库的漏洞,直接进入数据库访问数据。
内网中,随着应用系统的扩展,越来越多信息系统分属于多个开发商,第三方维护人员、测试人员、数据管理员等都有机会轻松接触到业务,财务等核心数据库。
数据库在使用过程中,会出现弱口令、运维账户未清除、低安全配置、权限分配过高、危险代码等安全隐患,同时虚拟化环境下,新增加业务信息系统也可能出现数据库自身漏洞或补丁未升级的情况。
因此,在校园网信息系统中,形成了多条数据泄漏和篡改途径:
风险①:互联网外部黑客SQL注入和数据库漏洞攻击风险;
风险②:程序开发和第三方运维对外网数据库中数据批量导出风险;
风险③:内网开发、运维、DBA利用数据库恶意和误操作风险;
风险④:生产区数据库漏洞和批量数据导出风险;
风险⑤:教职人员应用程序操作的和财务、一卡通结算操作记录不全。
解决方案
策略1:防止外部黑客的SQL注入攻击
串入数据库防火墙后,会有效的保护后台数据库不暴露在复杂的网络环境中,构建类似内网的安全防护状态。对于攻击者通过WEB应用,用“SQL注入”攻击的方法从后台数据库服务器尝试进行“刷库”,数据库防火墙有多道防线帮助您防止sql注入的发生。
第一道防线开启应用身份识别,只有合法应用的SQL语句可以通过防火墙到达数据库,其他登陆工具和应用都无法通过防火墙登陆后台数据库,确保数据来自指定应用。
第二道防线为全自动防守模式。系统提供缺省的SQL注入特征库,通过对SQL语句进行注入特征描述,完成对“SQL注入”行为的检测和阻断。提供了虚拟补丁功能,在数据库外的网络层创建了一个安全层,在用户在无需补丁情况下,完成数据库漏洞防护,对于有“扩展脚本”和“缓冲区溢出”攻击的特征的SQL语句,直接进行拦截。
第三道防线为手动防守模式。可以通过数据库防火墙手动配置许可禁止模型,按照SQL自身语法结构划分SQL类别,通过自定义模型手动添加新的SQL注入特征,进行有效拦截。
数据库漏洞攻击防控:开启虚拟补丁配置策略,即可防范数据库漏洞的攻击。
策略2:构建可信的数据库安全访问环境
1)网络上可信:串联数据库防火墙后,黑客无法绕过数据库防火墙直接访问数据库。
2)应用服务器可信:通过IP/MAC绑定,确保只有授权服务器、设备访问数据库。
策略3:实现数据库运维操作有效安全监管
对于通过应用程序后门批量导出敏感数据的“刷库”行为,首先要构建核心应用的行为模型,通过数据库防火墙的学习期将合法应用的SQL语句全部捕获,统一放到“白名单”里,防止合法语句被误报,通过学期完善期,然后切换到保护期,此时如果出现了通过Web访问应用程序后门批量导出敏感数据的操作,数据库防火墙会报“新型语句”,这类语句属于“灰名单”语句,安全管理员要根据具体情况判断语句风险,防止通过后门程序批量导出敏感信息的行为。
校园网教务人员的数据库操作基本是合法的,但是也不能排除被利用或被攻击的情况,通过数据库审计精确记录关键业务操作和关联具体业务操作人员,为事后追溯定责提供准确依据,同时对数据库运维操作和非法批量导出行为进行告警。
建议采用Jtap关联审计实现对业务用户的100%准确关联,在出现问题的时候能够实现准确的追责和定责。
策略4:适应虚拟化方式部署,教育云环境下也可以有数据库安全
以数据库审计系统为例,采用虚拟化设备管理技术,将数据库审计服务器在虚拟环境下进行部署。数据库审计服务器的内部数据流截获,其核心就是通过虚拟交换机所提供的端口进行网络流量镜像功能。原理是将访问数据库所在虚拟主机的数据实时镜像至虚拟审计服务器的监听端口以实现对数据的采集,这种采集方式能够保证网络层所有访问数据库的数据流都被准确及时的捕获,并交由数据库审计产品进行分析处理。
这种部署方式不仅可以保证数据库审计产品的功能一切正常,还可以保证对原有虚拟应用平台透明,无影响。
将数据库审计产品结合到虚拟环境中的部署图如图所示,ESXi为使用虚拟技术组合起来的物理节点,在虚拟环境下面,运行着三套应用系统APP1、APP2、APP3,以及其对应的后台数据库DB1、DB2、DB3。DBAudit为部署了数据库审计产品的虚拟机,所有设备通过vSphere Switch虚拟交换机进行网络通讯。
在vSphere Switch虚交换机上面可以通过配置端口镜像的方式,使得所有访问数据库的网络流量,镜像到DBAudit审计服务器的数据采集端口。在下图描述的环境中,只要配置将PORT2,PORT5和PORT7的数据镜像至PORT8,那么DBAudit审计服务器即可获取到访问三台数据库虚拟机的流量。
DBAudit审计服务器通过镜像端口Port 8 ,进行数据采集的工作。同时,该虚拟设备通过Port 9,提供对外的访问,用户可以对其进行配置和管理。使用Vmware vSphere 5及以上版本,可以实现虚拟交换机的端口镜像技术。其端口镜像配置可以在分布式交换机层面完成,在这里确定需要监控的流量源以及流量被镜像到的流量目的地,以创建端口镜像会话。