数据库已经成为黑客攻击目标而让问题更复杂是黑客还通过访问记录清除工具设法清除入侵痕迹大玩隐身术幸运是DAM(数据库活动监控Database Activity Monitoring)工具可以帮助数据库管理员及时发现玩隐身术这些黑客

　　■ 乐天 编译

　　数据库是存储数据工具

　　如今已经成为黑客们最感兴趣地方巨大利益诱惑使得越来越多黑客把目标转向数据库而另方面由于些非常专业用于清除访问痕迹黑客工具出现使得数据库管理员和系统管理员越来越难以发现黑客行踪这切都使得人们开始担心起数据库安全来

　　通常数据库或多或少会保存有些企业敏感信息而企业由于资金不足或者对安全性认识不够常常没有对这些数据采取定保护手段根据有关机构调查在过去年里60%企业发生过数据泄露80%企业认为针对数据库攻击在增加40%企业没有进行过安全审计

　　有鉴于此作为数据库管理者和信息系统维护者不仅要了解数据库中有哪些办法可以对数据访问行为进行记录和审计更需要了解黑客如何隐藏自己行踪以及如何清除其访问记录这对于保护企业数据安全是非常必要

　　而实际上市场上已有很多工具可以防止黑客入侵数据库如对漏洞进行评估和对用户行为进行监控漏洞管理工具但是大部分工具只有部分安全功能无法全面预防黑客攻击行为也无法让我们清楚地了解黑客是如何清除他们访问痕迹

　　常用

　　访问记录清除思路方法

　　般情况下数据库管理系统对所有数据库操作都会有记录比如数据库日志会把数据库备份、数据查找和数据处理等操作记录下来如果预先进行过设置操作系统日志也能记录所有对数据库操作有些高级黑客能通过获得数据库管理员权限或者操作系统根用户权限来修改日志从而隐藏自己入侵行为

　　黑客获得管理员权限最常用办法有:

　　●利用数据库系统漏洞;

　　●设法取得个有效账户和密码(如通过计算机帮助猜测或者通过木马窃取);

　　●利用访问控制上漏洞或者弱点;

　　●利用应用系统或者操作系统漏洞

　　旦黑客成功地进入了系统他就可以设法修改日志常用修改日志思路方法有:

　　1.暂停日志记录功能只需要管理员在数据库服务器上输入条命令有些日志功能就可以被停用这是黑客隐身最简单思路方法

　　2.截取并修改日志大多数数据库都支持对库进行扩展这些库中常常有代码可以在数据库服务器进程中执行数据库对这些代码访问权限没有限制它们可以访问数据库进程中任何内存和组件这就给黑客们提供了可乘的机他们可以根据自己需要对日志进行修改比如他们可以修改数据库服务器内存来干扰和避免些操作被日志记录下来或者开启后门、截获用户和数据库服务器会话等

　　3.假冒其他数据库用户些数据库允许部分特权用户使用其他用户账号执行某些操作因此黑客可以利用这功能假冒其他用户身份访问数据库以后如果出现问题管理员审查日志时他看到也只是个被他人假冒用户执行了这些操作如果诉诸法律部门也只能是冤枉了这些无辜用户白白浪费时间和精力

　　4.滥用日志删除和覆盖机制大多数数据库提供对日志删除和覆盖功能比如出于节省存储空间目有些数据库日志允许在定条件下重复利用日志空间包括删除日志或者直接对日志进行覆盖还可以通过命令缩减日志空间、强制删除些旧日志或者覆盖它们对这些数据库非常熟悉黑客可以利用这点人为地创造出这些条件把他们不想让别人看到日志条目删除或者覆盖

　　把漏洞管理

　　集成到数据库中

　　随着黑客对数据库攻击日渐频繁对数据库管理员提出了更高要求幸运是现在已经有很多解决方案可以帮助他们对付黑客攻击不过这些解决方案大都很复杂特别是综合性漏洞管理解决方案更是如此因此在选择的前有必要对这种解决方案进行全面了解看它是否能满足自己所需而更重要要正确地进行部署

　　由于攻击者目主要是牟利他们更关注那些机密、有价值信息因此管理员工作重点自然首先是这部分数据为此管理员必须对数据库中数据资产进行次评估实际上制定个数据库级别、综合性安全和法规遵从战略第步就是对数据库中资产进行次全面评估找出其中有价值数据除此的外还需要知道你有多少个数据库例子它们都部署在哪里？旦真发生了数据库被攻击事件如果你对这点都不清楚话就很难做出有针对性补救措施

　　另外找出全部数据库资产不仅能帮助数据库管理员了解有多少数据需要保护、它们都在哪里还有助于数据库管理员对这些有价值数据进行保护级别排序明确哪些是最需要保护、哪些次的值得注意是有些攻击者会利用低保护级别系统保护措施比较弱因而容易进入特点先入侵这些系统然后以此为跳板进入更高保护级别系统因此有必要对进入数据库所有网络链接进行保护

　　限制角色和权限

　　对企业敏感信息进行保护个关键手段是对数据库数据进行分区和隔离只让那些拥有该数据访问权限人访问该数据实际上大多织并没有对什么人可以访问什么数据做出明确规定而这恰恰就给了内部些怀有恶意人以可乘的机同时这也意味着本来应该对他们这些行为进行审计由于职权不清晰实际上处于失去监控状态

　　因此有必要对企业内部所有用户、角色和权限进行次全面评估让内部审计人员和IT组织联合来定义每个具体角色应该具有什么权限同时明确由于设立了这个角色可能带来什么样安全隐患

　　例如虽然人力资源部门某位员工已经离职但为这名员工创建具有访问某个数据库权限角色可能没有删除因此有必要检查这个角色访问级别、他所访问信息机密程度以及研究如何确保这个员工离职后他访问权限被取消等

　　另外权限管理不仅在对信息全生命周期进行漏洞管理时非常重要而且也是很多法规要求包括萨班斯-奥克斯利法(SOX)和HIPAA等

　　实际上为了防止黑客假冒他人对用户权限进行全面评估非常必要这种用户权限评估可以确保访问控制到位、各种安全防范措施都在发挥作用、各种安全补丁也都没有遗漏同时密码设置都足够复杂更重要是通过这种全面评估保证你数据库“门锁”都已经“锁”上从而能在定程度上阻止黑客入侵你数据库或者企业内部拥有合法访问权限人滥用它权限做出些不恰当操作来

　　知道黑客

　　在做什么

　　制定个综合漏洞管理战略还有个不可缺乏组成部分是部署数据库活动监控工具对用户数据库操作进行监控特别是对各种可能危及敏感信息安全可疑访问操作这个工具个重要作用是在黑客进入系统的前保留黑客对受保护数据库进行攻击证据这点非常重要这有助于及时预警也有助于及时对黑客行为进行阻止防止黑客入侵系统后通过各种痕迹清除工具进行“毁尸灭迹”

　　享有超级权限数据库用户可以通过DAM(数据库活动监控Database Activity Monitoring)监控数据库性能以及数据库是否运行正常还可以根据需要暂停监控行为这些指定拥有超级权限用户还可以访问数据库最核心区域鉴于DAM强大功能以及在法律举证方面需求现在在很多需要保证高度安全场合也得到了应用

　　有些第 3方工具提供DAM功能它们根据预先定义策略对所有数据库操作进行跟踪旦这些工具侦测到可疑行为如操作记录被清除它们可以及时发出警报、阻止当前行为执行并记录下当前所有会话过程等如果这些工具不是数据库系统自带它们还可以对数据库管理员操作行为进行监控从而进步提高整个数据库系统安全性

　　基于网络监控能同时监控大量数据库但是它们对加密数据流无能为力也不能监控本地会话(如数据库管理员通过SSH协议远程登录数据库服务器从而在本地和数据库服务器进行连接和访问)另外目前市场上也有些托管DAM工具它们可以对本地会话和远程会话进行监控但是它们只能监控运行在同个服务器上数据库

　　随着数据库被“黑”事件频繁发生特别是越来越多数据访问痕迹清除工具应用越来越普及数据库管理员和系统管理员黑客防范工具也需要升级需要同样专业甚至更专业工具同时管理员还需要了解记录数据访问行为、保留证据些基本知识以及黑客通常采用防止自己行为被记录下来思路方法

　　只有这些专业人员充分了解这些知识才有可能在企业内部组建个能确保企业信息安全团队(Team)然后在这个团队(Team)带领下在整个企业(不仅仅是数据库级别)实施数据隔离、数据访问控制以及权限划分同时部署合适覆盖数据库安全、网络安全、风险和法规遵从等多个方面综合性信息安全解决方案最终保证企业数据全面安全

　　小知识

　　计算机取证(Computer Forensics)是计算机领域和法学领域门交叉科学其目是要将犯罪者留在计算机中“痕迹”作为有效诉讼证据提供给法庭以便将犯罪嫌疑人绳的以法计算机取证信息源主要是各种日志包括操作系统日志、数据库访问日志、防火墙和入侵检测系统工作记录、反病毒软件Software日志、系统审计记录、网络监控流量、电子邮件、Web浏览器数据缓冲、历史记录或会话日志、实时聊天记录等

　　计算机反取证(Computer Anti-Forensic)是和计算机取证相对应个概念指攻击者采用用来防止取证些思路方法和窍门技巧也就是信息系统中删除或者隐藏入侵证据使取证工作无效反取证技术主要有数据擦除、数据隐藏等其中数据擦除是最有效反取证思路方法