/ 中存储网

加密与防火墙 保护数据库安全

2021-02-19 11:07:44 来源:中存储

数据库对于应用系统的运行至关重要,但是由于未进行加密,也没有防火墙的保护,使得未加密信息被泄露到网络上,数据库被攻击而造成数据丢失、系统瘫痪的事情时有发生,只有解决了这两个问题,才能够保护数据库的安全。

数据库“裸奔” 安全事件频出

数据库作为结构化数据保存的主要载体,其中的数据非常重要。但是好多的数据库没有进行加密,使得数据在互联网上“裸奔”,造成了众多的安全事件。

2020年1月,安全研究员Jeremiah Fowler在网上发现了一个数据库,其中包含“大量记录”。这个在网上公开的数据库没有密码保护,总共包含440,336,852条记录,连接到总部位于纽约的化妆品巨头雅诗兰黛。公开的数据库记录不包含付款数据或敏感的员工信息,数据库泄露的其他数据则包括:以纯文本格式存储的用户电子邮件,包括来自@ estee.com域的内部电子邮件地址;内部大量IT日志,包括生产、审核、错误、内容管理系统和中间件报告;参考报告和其他内部文件;对公司内部使用的IP地址,端口、路径和存储的引用等。之后该公司称这个系统不是面向客户的,也不包含客户数据,并立即关闭了对该数据库的访问通道,对数据进行保护。

2002年5月,江苏省南通市公安局公布,经过4个多月的缜密侦查,江苏南通、如东两级公安机关破获了一起特大“暗网”侵犯公民个人信息案,抓获犯罪嫌疑人27名,查获被售卖的公民个人信息数据5000多万条。这起案件也被公安部列为2019年以来全国公安机关侦破的10起侵犯公民个人信息违法犯罪典型案件之一。

2020年3月,有用户发现5.38亿条微博用户信息在暗网出售,其中1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。对此,微博安全总监罗诗尧回应表示:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”

2021年1月29日,银保监会开出2021年第一张罚单,中国农业银行因涉及发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题,被罚420万人民币。

重要信息系统突发事件

数据库受攻击 系统宕机损失严重

2020年刚开始,苹果CMS被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码,数据库中的VOD表里的d_name被全部修改,导致网站打开后直接跳转到S站或者弹窗广告。

系统宕机损失严重

同时,使用数据库开发的应用系统,就可能存在SQL注入攻击的可能。自1999年起,SQL注入漏洞就成了常见安全漏洞之一。至今SQL注入漏洞仍然在CVE列表中排前10。2008年见证了由于SQL注入引起的经济失调;在2010年秋季,联合国官方网站也遭受SQL注入攻击;2011年美国国土安全局,Mitre和SANA研究所将SQL注入作为第一危险的安全漏洞;至今,SQL注入仍然是首要的难以修复的安全威胁漏洞(数据库生产厂商难以通过维护数据库自身功能或提高数据库安全策略来防范SQL注入)。

类似事件众多,不胜枚举。

潮数数据库加密系统 解决数据安全问题

潮数数据库加密系统,基于加密算法和合理的密钥管理,有选择性地加密敏感字段内容,保护数据库内部敏感数据的安全。敏感数据以密文的形式存储,这样能保证即使在存储介质被窃取,或数据文件被非法复制的情况下,敏感数据仍是安全的。并通过密码技术实现“三权分离”,避免DBA密码泄漏带来的批量数据泄漏风险。

潮数加密根据业务需求支持数据库透明加密分级;一级透明加密了潮数 Self TDE支持成熟TDE架构,对数据库管理及应用完全透明;双层密钥机制,每个表或者数据库对应不同密钥,密钥使用主密钥进行紧密保护,主密钥存储与密码模块保证密钥安全性。二级透明加密了潮数 Struct TDE采用自研加密技术,实现数据库数据加密或明文完整性密码运算,支持国密算法及标准国际算法,提供增强的权限控制,必须同时具有DBA和DSA的授权才能进行访问。同时可附加选择符合国密密码模块二级标准的功能,数据库数据可数据透明加密加盐,相同数据密文不同,支持数据库明文或密文完整性校验,支持对透明加密数据进行审计。

数据库审计

潮数数据库防火墙系统 防范数据库被攻击和宕机危险

潮数数据库防火墙通过实时分析网络中的数据库访问活动,对访问数据库操作进行细粒度的规则匹配,对数据库遭受到的风险行为进行访问控制,特别对SQL攻击和违反企业规范的数据库访问行为进行及时阻断。

主要功能包括:

攻击检测和保护:实时检测用户对数据库进行SQL注入和缓冲区溢出的攻击,并报警或者阻止攻击行为,同时详细记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。

虚拟补丁:通过内置的多种漏洞特征库防止已知漏洞被利用,并有效降低数据库被0day(还没有补丁的漏洞)攻击的风险。

屏蔽直接访问数据库的通道:数据库防火墙部署于数据库服务器和应用服务器之间,屏蔽直接访问数据库的通道,防止数据库隐通道对数据库的攻击。

连接监控:实时监控数据库的连接信息、风险状态等。

多因子认证:基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证,弥补单一口令认证方式安全性的不足。应用程序对数据库的访问,必须经过数据库防火墙和数据库两层身份认证。

行为基线:系统将自动学习每一个应用的访问语句,进行模式提取和分类,自动生成行为特征模型。系统通过检查访问行为与基线的偏差来识别风险。

安全审计:系统能够记录对数据库服务器的访问情况,包括用户名、程序名、IP地址、请求的数据库、连接/断开的时间、风险等信息,并提供灵活的查询分析功能。

有了防火墙的保护,数据库因为上述问题而引起的被攻击的问题将会得到很好的解决,数据库也不会因为这些问题而宕机,从而造成业务中断。