頻道欄目
首頁 > 資訊 > 系統安全 > 正文

數據庫攻防實踐與SOX安全審計(楊寧)

12-04-18        來源:[db:作者]  
收藏   我要投稿
完美世界信息資深安全顧問楊寧在今天的數據庫大會上給大家分享了數據庫攻防實踐與SOX安全審計。在談論現在安全面臨的形勢時,楊寧給的定調是“嚴峻”。
1、形勢越來越嚴重:國家互聯網應急響應中心,一度引起中央電視臺等媒體重點關注,同時也引起國家司法機構大力整冶。
2、目的越來越趨向利益化:內部用戶被利益沖昏頭腦,從盜游戲幣到發職業資格證,網銀大盜與網馬頻發。
3、黑客隊伍越來越壯大:地下黑客擁有強大的利益鏈條,也導致了前不久的一連串的“密碼門”事件。
4、黑客入門門檻越來越低:入侵工具隨手可得,漏洞隨處可見,黑客培訓基地層出不窮。


  現在安全方面談及比較熱的話題是啥,大家搜索下就會發現,SOX, Basel II, HIPAA, J-SOX, GLB, Privacy laws這些對于涉及會計職業監管、公司治理、證券市場監管等方面改革的重要法律,逐漸成為各個公司、企業所要重點考慮的方面,而這些法規里面對數據安全管理提出了嚴格的要求。
 
  數據庫安全包含兩層含義:第一層是指系統運行安全,系統運行安全通常受到的威脅如下,一些網絡不法分子通過網絡,局域網等途徑通過入侵電腦使系統無法正常啟動,或超負荷讓機子運行大量算法,并關閉cpu風扇,使cpu過熱燒壞等破壞性活動; 第二層是指系統信息安全,系統安全通常受到的威脅如下,黑客對數據庫入侵,并盜取想要的資料。數據庫系統的安全特性主要是針對數據而言的,包括數據獨立性、數據安全性、數據完整性、并發控制、故障恢復等幾個方面。
  安全是一個整體
  安全保證是一個縱深防御體系。安全威脅的構成符合木桶原理,取決于水桶最短的那塊板子。這里面WEB安全,數據庫安全,系統安全,網絡安全都屬于木桶的板子。某一個方面出現問題都可以導致安全威脅的產生。
  WEB安全威脅
  一、OWASP TOP10
  1. sql注入。2. XSS跨站。3. 失效的身份驗證和會話管理。4. 不安全的直接對象引用。5. CSRF。6. 安全配置錯誤。7. 不安全的加密存儲。8. 沒有限制URL訪問。9. 傳輸層保護不足。10. 未驗證的重定向和轉發
  二、Demo Time
  某大型域名提供商SQL注入導致敏感信息泄露
  • 案例分析:
  1. sina某平臺注入,密碼為明文。2. 某第三方人力資源管理系統
  存在注入導致包括多家大型企業信息泄露,主要包括身份證、銀行卡號、家庭關系、電話號碼等等。
  數據庫安全
 


  其他高級數據庫攻擊技術:Mysql UDF存儲過程執行命令漏洞;Db2遠程溢出漏洞;Mysql 高級注入技術load_file(),into oufile等技術。
  數據庫安全解決方案之TDE
 
  •ORACLE 10之前的DBMS_CRYPT包需要改動應用程序。
  •ORACLE 10可以加密列,ORACLE 11可以加密整個表
  •數據存儲威脅:
  1.未加密的重要信息可以再dbf中明文查看到
  2.數據查詢為明文,如果存在安全性漏洞可以直接導致重要信息泄露
  •注意:
  一定要注意安全保存TDE的兩個密鑰和wallet密碼。
  •TDE功能開啟和關閉
  Security_manager@AOS> ALTER SYSTEM SET WALLET CLOSE;
  Security_manager@AOS> ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY “Wallet”
  •注意:
  1.一定要注意權限的分配,不要讓應用程序數據庫用戶具有ALTER SYSTEM的權限,否則他就可以繞過TDE的限制
  •Wallet manager隨著數據庫的重新啟動或者操作系統的重新啟動而自動啟動
  [oracle@aosdb /] $ owm
  •創建新的字段
  system@AOS> CREATE TABLE sh.customer_enc (
  cust_id NUMBER(6) PRIMARY KEY,
  cust_firstname VARCHAR2(20),
  cust_lastname VARCHAR2(20),
  cust_addresss VARCHAR2(40),
  cust_city VARCHAR2(20),
  cust_state VARCHAR2(20),
  cust_zip VARCHAR2(20),
  cust_credit_card_no VARCHAR2(19) encrypt using ‘AES192’,
  cust_credit_card_exp VARCHAR2(4)
  )
  TABLESPACE customer_info_protected
  /
  •數據庫備份和恢復
  導出時對數據進行加密
  [oracle@aosdb ~] expdp system/oracle11g DUMPFILE=exports:customer_enc_protended.dmp TABLES=sh.customer_enc ENCRYPTION_PASSWORD=‘wallet’。
  數據庫安全解決方案之Database vault
  •DVB四個關鍵要素
  1.因素
  在安全條件中,沒有基于某些人是否具有做某些事情的權限來制定的靜態規則,這樣的規則很容易被繞過。安全是更加動態的概念,可以在運行時對多個因素進行檢查,并具有很好的擴展性。
  a) 一天中的時間
  b) 一周中的某天
  c) 用戶身份如何驗證
  d) 是否請求某個特定事物的一部分
  2. 規則
  對于一個簡單的數據庫示例,考慮如下的簡單邏輯來判斷一個用戶是否能對一個表進行select操作:
  a) 用戶身份驗證是否使用安全套接字層
  b) 用戶的請求是否來自于一個應用服務器的已知IP地址
  c) 當前是否處于星期一到星期五之間
  d) 是否屬于某個用戶組的成員
  3. 領域
  領域就是要保護的對象的集合,而不需要考慮到底歸誰所有。這個概念與JAVA使用的sandbox類似,利用領域可以很好的限制哪些人可以訪問哪些內容。這就是傳說中的職責分離
  4. 命令規則
  命令規則提供了一個新的安全層,允許使用客戶定義的規則對數據庫命令進行授權。是否允許命令的執行,往往基于已有的權限和必須通過的規則。
相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

免费的黄色网站