数据库信息安全网关的设计与实现

数据库信息安全网关的与实现 顾剑峰 , 钱 俊,王新刚 , 柴正一 :中国移动通信集团江苏有限公司常州分公司,江苏 常州 213022: 摘 要:数据审计作为信息系统审计的重要组成部分,对信息安全具有十分重要的意义。该文通过比较不同的数据库审 计机制,并结合具体应用的需求,设计实现了基于 Oracle 数据库的信息安全网关,为实现数据库安全的实时监控和事后 监察提出了完整的解决,以此实施“既信任又验证”的信息化企业安全原则。 关键词:数据库审计 ;安全网关 ;信息安全 Design and Implementation of Database Security Gateway GU Jian -feng, QIAN Jun, WANG Xin -gang, CHAI Zheng -yi :China Mobile Group Jiangsu Co.,Ltd Changzhou Branch, 213022 Jiangsu : Changzhou, Abstract:As increasing cases of data exposure and database breach threaten more organizations, auditing is playing an increasingly important role in the areas of compliance, privacy, and security. Satisfying compliance regulations assuch Sarbanes -Oxley and mitigating the risks associated with the insider threat are among the top security challenges. This paper presents the design and implementation of database security gateway based on Oracle database for auditing. As a flexible and integrated solution, it provides supervisors the ability of monitoring, surveillance and information forensics. It also helps enterprises enforcing the Trust -But-Verify principle. Key words:Database Audit ; Security Gateway ; Information Security 1 引言2 现有解决方案 随着企业信息化建设的加快,对信息安全的需求日益 数据库安全审计是信息安全重要的一环,其目的是对 凸显。特别是对于存有大量用户私密信息的企业,数据库 合法用户的非法访问和操作进行监督。此前,我们试用的 安全的重要性越来越突出。通常情况下,信息安全侧重于 方案有以下 2 种: 防备外来未授权用户的非法访问,而对于内部合法用户的 ?.? 专用的数据库审计软件访问行为,则防范较弱。防火墙、入侵检测系统可以抵御 [1] Oracle 公司的审计阀门 :Audit Vault:是专业的各种外网活动所带来的威胁,但是不能有效防范内部威胁。 数据库审计软件,可以对数据库的访问操作进行审记,并 正常情况下,普通内网用户的活动不应对系统安全造成很 迅速生成报。通过使用发现该方案的局限性主要表现在: 大威胁,然而 , 由于他们在内网已经有了立足点,比那些 (1) 系统级和会话级的日志功能所提供的信息不够详 不得不通过网络远程渗透的攻击者来说,更容易达到目的; 细,不能提供每一个 SQL 语句的详细情况; 同时,即便是合法用户在自己的权限之内,仍有可能进行 (2) 基于会话内的日志功能所耗费的系统资源是难以 误操作或非法的操作。而这些都是现有系统访问控制机制 承受的,甚至会导致会话吊死或返回结果为空的情况; 不能防止的,诸如此类的内部信息安全问题一旦出现,所 (3) 软件包的价格较昂贵。 造成的经济损失和社会影响将是无法估量的。面对可能的 安全威胁,建立一套有效的信息安全审计体系,加强对数 据库信息的监管力度,有效管理并尽量降低信息安全风险, 综合上述因素,尤其是第 2 个因素,这一方案并不实用。 是非常重要而且必要的。本文从为内部合法用户提供信息 ?.? IDS和防火墙控制 访问的角度,提出事前预警、事中干预和事后监察的数据 现在市场上出现了种类繁多的防火墙和入侵检测系库信息安全概念,并简要介绍了系统的架构和实现。 统,虽然它们可以针对从应用层到物理层的各种不同的 网络攻击进行识别和保护,但是在保护数据库引擎及底层 代码免受外部攻击和内部误操作方面的能力有限。以防火 学术.技术 墙为例,当我们一旦确定了合法的服务而打开相应的端口 些服务的高峰限制,同时,达到负载均衡的目的。进程控 时,很难对通过这些合法端口的数据进行识别。比如 , 针 制器作为服务管理器的补充,负责进程级的管理工作。服 对像 Q L 注入这类的攻击法,防火墙和 D S 无法识别有 SI务代理池是数据库转接服务代理的容器,由所有在线的服 没有攻击发生,因为对它们来说,一个来自同一个程序 务转接代理组成;各服务转接代理由两个 S O C K E T 通道 的 update 命令和 drop table 命令都是完全合法的。因此, 这一方案也并不实用。 组成,以阻塞方式进行单向 SOCKET 服务,进行报文转发, 并在转发报文的过程中有限解析 O a c l e 通信协议,据此 r 进行数据访问行为的审计。 3 数据库信息安全网关技术架构 在分析了以上方案的基础上,我们自行设计并实现了 数据库信息安全网关,对信息访问请求进行集中管理,限 定了信息访问路径,以便于数据库操作的跟踪和监察。 按 数据库信息访问的模式,数据访问一般是通过各种 客户端应用程序:如:PB、PLSQL、SQLPLUS 或其他 / 专用应用软件等:直接与 Oracle 数据库服务器建立连接, 客户端应用程序的访问请求发送到 O a c l e 服务器端进行 r 各种数据访问操作,最后 O a c l e 服务器直接将结果返回 r 给客户端。采用数据库信息安全网关后,网络部署的拓扑 图如图 1 所示。 图 2 信息安全网关的技术架构 3.? 数据操作审计 数据审计的目标在于记录用户的每一次数据操作行 为,分析归纳后,可以将审计数据分为以下几个要素,详 细描述如表 1 所示。 表 1 数据操作审计的要素信息 图 1 网络部署拓扑图 信息安全网关部署在客户端与 O r a c l e 服务器之间, 客户端的访问请求均由信息安全网关转发给 O r a c l e 服务 器。同时,Oracle 服务器返回的结果也由信息安全网关转 3.3 敏感操作告警 发给客户端。在此过程中,信息安全网关通过截留客户端 在审计信息的基础上,对特定的数据操作制定安全规的 T C P / I P 报文并加以解析,记录数据操作请求的详细 则和策略,违背规则和策略的任何行为都会产生一个告警。 信息,为事中干预和事后审核提供了详实的依据。 比如,采取 I P 地址与 M A C 地址绑定的策略,如果审计 3.? 信息安全网关技术架构信息中对应关系不符,则产生告警事件。 对于敏感操作告 信 息 安 全 网 关 采 用 M a n a g e A g e n 模 型, 使 用r-t 警和非法预警信息,也根据威胁程度 UNIXC 开发,基于 IPC 与 SOCKET 技术。技术架构图 / 的不同提供多种前转方式,包括 A L 前转、短信前转、 EMI如图 2 所示。 应用程序前转等。EMAIL 前转将按照预先设定的 EMAIL 图 2 中,服务管理器是整个系统的核心,作为系统守 地址,以 M A L 的方式进行通知;短信前转将按照预先 EI护进程的存在,负责侦听客户端应用的访问请求,生产并 设定的手机号码,以短信的方式下发,这种方式较 EMAIL 管理数据库转接服务代理;同时服务管理器会根据实际在 前转更加具有实时性。应用程序前转将告警信息通过特定 线的服务,评估对 O r a c l e 服务群的负载量,来决定对某 的接口:S O C K E T、消息队列、数据库、文件等:传送给 ( 下转 41 页 ) 2007.11 计算机安全 34 加密过程:(1) 使用接收方 B 的公钥对 A E S 密钥 K 5 结论 加 密, 得 到 K B;(2) 使 用 发 送 方 A 的 私 钥 对 K B 签 名 , 一次一密的方式有效地提高了密钥的安全性,每次会 得到 K B A;(3) 同时通过杂凑函数对 K B 进行变换得到 话结束后密钥失效变可以销毁,这样就保证了系统的前向 K B 的杂凑值 K ';(4) 合并 K B A 和 K ';(5) 对明文 C 用 保密性。对 AES 密钥使用 RSA 加密和数字签名确保消息 A E S 加密 , 得密文 M;(6) 将 ( M,K B A | | K ) 发送给接 ' 来源的可靠性。两种体制的结合使用很好地实现了快速、 收方 B。如图 1 所示。 解密过程:(1) 将接收到的 (M,KBA||K') 分离为 M、 安全的数据加密传输。但由于 R S A 算法是基于大整数素 KBA 和 K';(2) 使用 A 的公钥对 KBA 解密 , 得到 KB;(3) 因子分解难题,随着数学领域的不断发展和计算机性能的 通过杂凑函数 K B 得到 K B 杂凑值并与 K ' 比较 , 如果相 提高,其安全性也受到了挑战,这一点是值得关注的。 同则执行 (4);(4) 使用 B 的私钥对 K B 解密得出 A E S 密 钥 K;(5) 对 密 文 M 解 密, 得 到 明 文 C;(6) 双 方 会 活 结 参考文献: 束后销毁密钥,并适当处理明文消息。如图 2 所示。 [1] 密 码 编 码 学 与 网 络 安 全: 原 理 与 实 践: 第 三 版 :,[ 美 ]William Stllings 著,刘玉珍 王丽娜 傅建明等译,2004. [2] 计算机密码学——计算机网络中的数据保密与安全:第 3 版:,卢开澄编著,清华大学出版社 ,2003. [3] 现代密码学理论与实践,[ 英 ]Wenbo Ma著,王继o 林 伍 前红等译,电子工业出版社,2004. 收稿日期 :2007-06-10 图 2 解密过程 :上接 34 页: 特定的应用程序,以及时阻止有重大威胁的操作行为。 信息安全网关对现有网络与应用系统、以及用户来说 都是透明的,对原有的其他系统不会造成任何影响,用户 3.4 报表功能 也完全感觉不到信息安全网关部署前后的差别,确保了企 虽然信息安全网关记录了大量可用数据,审计的结果业实施“既信任又验证”的信息化企业安全原则。 也具有绝对的权威性,而要能有效使用这些审计信息,也 是值得研究的课题。和任何审计软件一样,缺乏友好的管 理界面和良好的报表支持功能,会使实用性大打折扣,这 参考文献: 也是我们进一步努力的方向和目标。 [1] Oracle Audit Directions for Privacy and C ompliance. Oracle Whie Paper. 2005.9. t [2] 滕永昌 编著,《O r a c l e9i 数据库管理员使用大全》,清华 4 总结 大学出版社,2004.3. 安全始于清晰而全面的安全策略,控制内部用户滥用 [3] Kenneth Rosen, Douglas James, Richard 著,《UNIX 参考大全》, 数据的方法和防止外部黑客破坏数据的方法是截然不同 北京希望电子出版社,2000.4. 的。本文的着眼点在于加强内部控制和审计,而不是外部 防御。信息安全网关可以使管理员对自身网络系统有着更 全面的掌握和控制,使管理部门对自身网络信息系统拥有 作者简介:顾剑峰:1972-:, 男,本科,主要研究方向为商 审计与监管能力,保证有足够的追踪和取证能力,而且能 业智能和系统集成;钱 俊:1979-:, 男,博士,主要研究 够实时监控网络上正在发生的网络连接情况,对正在发生 方向为网络安全;王新刚:1977-:, 男,本科,主要研究方 的网络入侵和主机入侵事件能够做出阻断与告警,这对内 柴正一向为数据挖掘在企业中的具体运用;:1975-:, 男, 部职能滥用也是一种有效的威慑。 工程硕士,主要研究方向为电信运营支撑系统。 收稿日期:2007-08-29