基于堡壘機(jī)的數(shù)據(jù)庫(kù)防御機(jī)制

尹勁梅

摘要：數(shù)據(jù)庫(kù)安全作為信息安全的重要組成部分，已經(jīng)越來(lái)越廣泛的引起重視。如何建立一個(gè)安全的數(shù)據(jù)保障體系以確保信息安全可控也是眾多專業(yè)人士研究的方向。通過(guò)堡壘機(jī)對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全防護(hù)是目前發(fā)展的一個(gè)主流方案。本文旨在探討，如果通過(guò)堡壘機(jī)的運(yùn)作從而建設(shè)一個(gè)相對(duì)安全穩(wěn)定的數(shù)據(jù)庫(kù)環(huán)境。

關(guān)鍵詞：堡壘機(jī)；數(shù)據(jù)庫(kù)；安全

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）22-0001-02

Abstract： Database security， as one of the most important component in information security， has caused a widely public attention.How to establish a safety data security system as to ensure the information security system is one of the direction of research by many professionals. The database security is maintained through bastion host，which is the mainstream solution nowadays. This paper mainly study how to creat a safety database security system by bastion host.

Key words： Access Gateway； Database； Safety

1什么是堡壘機(jī)

堡壘機(jī)，作為一種新型的網(wǎng)絡(luò)安全防御機(jī)制。主要是在網(wǎng)絡(luò)中通過(guò)以網(wǎng)絡(luò)環(huán)境監(jiān)控，數(shù)據(jù)流分析，入侵行為檢測(cè)等手段建立的一個(gè)安全可控的環(huán)境。從而達(dá)到保障網(wǎng)絡(luò)穩(wěn)定和數(shù)據(jù)安全的目的。相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)防火墻等設(shè)備，他具有更高級(jí)別的安全管控能力，對(duì)于未知的入侵攻擊具有較好的防御效果。

2堡壘機(jī)的原理和功能

堡壘機(jī)的工作原理主要是阻斷網(wǎng)絡(luò)和服務(wù)器設(shè)備對(duì)數(shù)據(jù)庫(kù)的直接訪問(wèn)。通過(guò)協(xié)議代理的方式，對(duì)所有的方案和操作行為進(jìn)行分析和過(guò)濾，從而保證了可信的數(shù)據(jù)訪問(wèn)和操作被放行，不可信或被懷疑的攻擊行為將被過(guò)濾和攔截。

堡壘機(jī)的主要功能包括兩個(gè)大的方面，即：核心系統(tǒng)運(yùn)維和安全審計(jì)管控。

核心系統(tǒng)運(yùn)維即類似于防火墻的角色，所有的操作和訪問(wèn)將被堡壘機(jī)所監(jiān)控和過(guò)濾，對(duì)不合法的命令進(jìn)行阻斷，對(duì)目標(biāo)設(shè)備的非法訪問(wèn)將被過(guò)濾，同時(shí)對(duì)所有的操作和訪問(wèn)行為進(jìn)行記錄，以備故障發(fā)生后的行為追責(zé)。其主要功能包括：?jiǎn)吸c(diǎn)登錄、賬號(hào)管理、身份認(rèn)證。

單點(diǎn)登錄：當(dāng)用戶需要登錄到一個(gè)大型的業(yè)務(wù)系統(tǒng)時(shí)，只要在一個(gè)門戶系統(tǒng)中輸入用戶名和密碼，即可無(wú)需驗(yàn)證的登錄到別的與此系統(tǒng)相互信任的業(yè)務(wù)系統(tǒng)。而此功能在堡壘機(jī)中的體現(xiàn)即對(duì)于堡壘機(jī)的各個(gè)業(yè)務(wù)系統(tǒng)以及所有堡壘機(jī)管控的數(shù)據(jù)庫(kù)系統(tǒng)，用戶只要在單點(diǎn)登錄系統(tǒng)中登錄一次，就可以等同于登錄全部系統(tǒng)的工作，而無(wú)需記錄眾多系統(tǒng)的登錄密碼，大大減輕了使用者的工作壓力。

賬號(hào)管理：基于單點(diǎn)登錄功能，對(duì)所有使用者的賬號(hào)在生命周期內(nèi)進(jìn)行統(tǒng)一監(jiān)控?？梢曰诮巧脑O(shè)定每個(gè)使用者賬號(hào)的功能和權(quán)限。

身份認(rèn)證：基于單點(diǎn)登錄功能，提供統(tǒng)一的身份認(rèn)證功能接口。支持多重模式（動(dòng)態(tài)口令，靜態(tài)密鑰，硬件密鑰，生物特征識(shí)別等）的驗(yàn)證方式。并且可以通過(guò)接口與第三方認(rèn)證設(shè)備進(jìn)行對(duì)接，具有很高的安全性和可靠性。

安全審計(jì)管控主要是指所有對(duì)于數(shù)據(jù)庫(kù)的操作需要登錄堡壘機(jī)來(lái)進(jìn)行。通過(guò)用戶名密碼等手段提升安全等級(jí)。通過(guò)后臺(tái)對(duì)登錄用戶的行為記錄從而保證風(fēng)險(xiǎn)可控以及事后溯源。其主要功能包括：資源授權(quán)、訪問(wèn)控制、操作審計(jì)等。

資源授權(quán)：是指對(duì)堡壘機(jī)所管轄的資源按照用戶、目標(biāo)設(shè)備、時(shí)間、協(xié)議類型、IP行為等要素實(shí)現(xiàn)精細(xì)化的操作授權(quán)，從而達(dá)到最大限度保護(hù)用戶資源安全的目的。

訪問(wèn)控制：作為堡壘機(jī)的核心功能，能夠按照資源授權(quán)的定義，對(duì)所有登錄用戶的操作進(jìn)行控制。不同的用戶按照設(shè)定只可以對(duì)獲得授權(quán)的資源進(jìn)行訪問(wèn)和操控。能夠有效的杜絕非法訪問(wèn)，越權(quán)訪問(wèn)等事件的發(fā)生，從而最大限度的保護(hù)用戶資源的安全性。

操作審計(jì)：即對(duì)堡壘機(jī)所管控設(shè)備的操作進(jìn)行審計(jì)。通過(guò)對(duì)設(shè)備錄像的方式將實(shí)施人員對(duì)操作系統(tǒng)，安全設(shè)備，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫(kù)等所做的操作進(jìn)行記錄，從而進(jìn)行風(fēng)險(xiǎn)控制。并可通過(guò)對(duì)具體操作指令的搜索，完成記錄的精準(zhǔn)定位。

3為什么要部署堡壘機(jī)

隨著信息化的不斷發(fā)展，信息安全的威脅也在持續(xù)增長(zhǎng)。根據(jù)統(tǒng)計(jì)：目前100%的企業(yè)存在數(shù)據(jù)安全的威脅。82%的企業(yè)存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。75%企業(yè)存在系統(tǒng)和應(yīng)用程序的漏洞。眾多的企業(yè)還未對(duì)數(shù)據(jù)訪問(wèn)行為進(jìn)行審計(jì)監(jiān)控，并且無(wú)法及時(shí)對(duì)于黑客的入侵行為做出應(yīng)對(duì)措施。同時(shí)，系統(tǒng)的安全問(wèn)題也越發(fā)的日益突出。而我們已有的安全防護(hù)體系包括（防火墻、IPS、IDS、WAF、防病毒、漏洞掃描等）都只能對(duì)已知的漏洞和一直存在的木馬來(lái)進(jìn)行防護(hù)。而攻擊者仍然可以利用未知的或未廣泛擴(kuò)散的漏洞、Oday漏洞控制肉雞進(jìn)而竊取機(jī)密數(shù)據(jù)。

其中主要威脅和攻擊方式包括：

“零日攻擊”：又叫零時(shí)差攻擊，即指在安全漏洞被發(fā)現(xiàn)后，立刻被用于攻擊。因?yàn)榘踩┒丛诒还嫉耐瑫r(shí)，攻擊程序就同時(shí)出現(xiàn)。大多數(shù)的安全系統(tǒng)還未完成系統(tǒng)補(bǔ)丁或者升級(jí)，故而完全無(wú)法抵御此類的攻擊，往往引起大規(guī)模的故障。

“APT攻擊”：高級(jí)持續(xù)性威脅，即以竊取核心資料為目的，針對(duì)目標(biāo)所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為。這種攻擊具有極高的針對(duì)性。通過(guò)長(zhǎng)期而穩(wěn)定的監(jiān)控，分析被攻擊網(wǎng)絡(luò)的結(jié)構(gòu)，尋找系統(tǒng)可能存在的漏洞。以竊取特定資料為目的的持續(xù)性的侵襲行為。此類攻擊具有很高的隱蔽性，且會(huì)給被攻擊者造成極為巨大的損失。

“SQL注入攻擊”：一種常用的網(wǎng)絡(luò)攻擊方式，基于web層面沒(méi)有對(duì)于用戶輸入數(shù)據(jù)的合法性做出判斷，從而導(dǎo)致黑客可以通過(guò)漏洞直接入侵后臺(tái)的數(shù)據(jù)庫(kù)。此類攻擊種類繁多，難以禁絕。

基于以上種類繁多且防不勝防的不安全因素，如何解決傳統(tǒng)設(shè)備只能應(yīng)對(duì)已知威脅的缺陷是我們急需解決的問(wèn)題。通過(guò)堡壘機(jī)的部署我們可以做到對(duì)已知和未知危險(xiǎn)準(zhǔn)確、高效、及時(shí)的判斷和阻斷，以此解決數(shù)據(jù)庫(kù)不同層面的網(wǎng)絡(luò)安全問(wèn)題，主要包括：

1）基于網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)防護(hù)：通過(guò)對(duì)網(wǎng)絡(luò)IP地址及協(xié)議端口的分析來(lái)控制阻斷遠(yuǎn)程數(shù)據(jù)庫(kù)所在的操作等行為，防止未授權(quán)的系統(tǒng)層面的直接入侵行為，解決了操作系統(tǒng)層面的數(shù)據(jù)泄露威脅。

2）基于行為的數(shù)據(jù)庫(kù)防護(hù)：采用流會(huì)話技術(shù)對(duì)數(shù)據(jù)庫(kù)協(xié)議進(jìn)行協(xié)議全解析，能夠高效、精準(zhǔn)、及時(shí)的預(yù)警并阻斷內(nèi)部違規(guī)數(shù)據(jù)庫(kù)操作行為。

3）基于準(zhǔn)入的數(shù)據(jù)庫(kù)防護(hù)：通白名單自動(dòng)學(xué)習(xí)并進(jìn)行訪問(wèn)準(zhǔn)入規(guī)則的固化（通過(guò)自動(dòng)學(xué)習(xí)到數(shù)據(jù)庫(kù)訪問(wèn)行為的五個(gè)元素，管理者人為固化安全規(guī)則），未被固化的數(shù)據(jù)庫(kù)接入行為都會(huì)被實(shí)時(shí)的預(yù)警和阻斷會(huì)話（訪問(wèn)源地址異常，訪問(wèn)源主機(jī)名稱異常，訪問(wèn)源用戶名稱異常，訪問(wèn)工具名稱異常，登錄賬號(hào)名稱異常），從根本上解決數(shù)據(jù)庫(kù)惡意訪問(wèn)的 威脅。

4）基于業(yè)務(wù)的數(shù)據(jù)庫(kù)防護(hù)：采用流會(huì)話技術(shù)對(duì)業(yè)務(wù)SQL設(shè)計(jì)的關(guān)鍵字、邏輯關(guān)系等特征自動(dòng)采樣學(xué)習(xí)，并結(jié)合高性能的SQL語(yǔ)義分析計(jì)算，構(gòu)建對(duì)應(yīng)的SQL語(yǔ)法樹，完成模態(tài)數(shù)據(jù)建模。從而對(duì)未知威脅進(jìn)行分析和處理，并追蹤到攻擊源，從根本上解決三層業(yè)務(wù)系統(tǒng)訪問(wèn)的安全威脅。

4如何部署堡壘機(jī)

堡壘機(jī)作為一種網(wǎng)絡(luò)安全防護(hù)設(shè)備，必須直接串聯(lián)部署在被防護(hù)設(shè)備的物理鏈路上，從而保證可以高效的對(duì)網(wǎng)絡(luò)攻擊進(jìn)行阻斷。但是，串聯(lián)設(shè)備的物理特性決定了為了避免單點(diǎn)鏈路故障，堡壘機(jī)必須具備完整的無(wú)感知的ByPass功能（bypass，是指通過(guò)設(shè)定觸發(fā)狀態(tài)，讓兩個(gè)網(wǎng)絡(luò)不通過(guò)故障設(shè)備而直接實(shí)現(xiàn)物理上的聯(lián)通，當(dāng)功能啟動(dòng)后，設(shè)備也就不會(huì)再對(duì)通過(guò)的數(shù)據(jù)包做處理）。從而保證在設(shè)備故障或負(fù)載超負(fù)荷時(shí)能夠啟動(dòng)旁路，保證正常業(yè)務(wù)的運(yùn)行。如圖所示：

5綜述

數(shù)據(jù)庫(kù)作為現(xiàn)今信息社會(huì)的核心，正所謂“設(shè)備有價(jià)，數(shù)據(jù)無(wú)價(jià)”。如何在網(wǎng)絡(luò)時(shí)代確保數(shù)據(jù)的安全性已經(jīng)越發(fā)的引起專業(yè)人士的關(guān)注。堡壘機(jī)作為一種新型的網(wǎng)絡(luò)安全防御機(jī)制，極大的解決了數(shù)據(jù)庫(kù)應(yīng)用層防護(hù)所面臨的問(wèn)題。通過(guò)對(duì)數(shù)據(jù)庫(kù)操作持續(xù)性的跟蹤和智能識(shí)別分析未授權(quán)的或者可疑的活動(dòng)，并及時(shí)處理。從而避免數(shù)據(jù)庫(kù)遭到攻擊所可能帶來(lái)的損失。同時(shí)，堡壘機(jī)可以被視作為一個(gè)數(shù)據(jù)庫(kù)管家的存在。通過(guò)堡壘機(jī)將所有需要管理的數(shù)據(jù)庫(kù)納入統(tǒng)一的保護(hù)。按照不同用戶管理權(quán)的區(qū)分，分別對(duì)不同的數(shù)據(jù)庫(kù)以及每個(gè)數(shù)據(jù)庫(kù)用戶的權(quán)限的劃分來(lái)進(jìn)行操作授權(quán)。管理員只需要登錄堡壘機(jī)就可以完成所管理的數(shù)據(jù)庫(kù)群的安全配置工作，極大的減輕了管理員的工作量，提升了工作效率。堡壘機(jī)的部署增進(jìn)了用戶對(duì)數(shù)據(jù)庫(kù)安全管理的便捷性，還能提升用戶的風(fēng)險(xiǎn)管控和法規(guī)遵從能力，成為數(shù)據(jù)庫(kù)的“保護(hù)傘”。

參考文獻(xiàn)：

[1]楊祥.組合電磁攻擊干擾下的入侵檢測(cè)模型仿真分析[J].計(jì)算機(jī)仿真，2014（11）：310-314.

[2] 王彥文.數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是客戶信息保護(hù)的利器[J].無(wú)線互聯(lián)科技，2014（6）.

[3] 馮劍蕾，蔡立晶，周期律.商業(yè)銀行客戶信息保護(hù)策略研究[J].金融科技時(shí)代，2014（6）.