引言
我们都很清楚的记得Enron(美国安然能源公司)和WorldCom(北美运营商)公司破产事件。为了避免类似的事件再次发生,政府在2002年颁布了新的法案,也就是我们都知道的萨班斯•奥克斯利法案(SOX Act)。该法案的目的就是保护投资者的利益,确保公司的财产状况不被泄露。像萨班斯•奥克斯利这类法案在世界范围内广泛执行,包括信息技术组织机构。这些法案围绕如何对信息保管工作设置内部控制,并且能核查这些控制是否得到执行。通常来说,数据库管理员有权限访问所有的公司数据,以便他们能够完成分配给自己的任务,如数据导入和导出、创建报表、维护数据库性能和稳定性,这些数据如此广泛和深入的暴露在数据库管理员面前,作为管理者如何处理这个问题呢?
这篇文章将会非常具体的讨论如何处理内部威胁,内部威胁如今已经比外部威胁更严重。本文将会给大家展示我们的研究成果和发现,以及叙述IT专业人士是如何通过执行一些必要的措施、规则、和手续来减少内部威胁,最后针对法案服从问题提供一些相关的报告。
我们身边存在的法案
在美国最为著名的法案有萨班斯•奥克斯利法案(SOX Act)、健康保险便利及责任法案(HIPAA),在世界上还有一些类似的其它法案。
在日本有金融工具与交易法(Financial Instruments and Exchange Law),这类似于美国的SOX法案,可称之为J-SOX。另外一个就是欧盟的巴塞尔协议:关于统一国际银行资本衡量和资本标准的协议,是由10个国家制定的一套规定。
由于你所处的行业不同,那么你所受的法案约束也就不同。如今无论是国企还是私企,这些法案已经在全球形成影响了,将会影响到你的工作,即便现在你没有直接受到这些法案的约束。表1-1展示了一些法案,以及这些法案所覆盖的威胁。
法案名称 针对的潜在安全威胁
萨班斯·奥克斯利法案302项 302未授权改变数据
萨班斯·奥克斯利法案404项 修改数据,为授权访问数据
萨班斯·奥克斯利法案409项 拒绝服务,为授权访问
格雷姆-里奇-比利雷法 未授权访问,修改,或者泄露
健康保险便利及责任性法案164.306 未授权访问数据
健康保险便利及责任性法案164.312 未授权访问数据
Basel II–内部风险管理 未授权访问数据
联邦规章汇编 第11部分 未授权访问数据
日本隐私法 未授权访问数据
来源:Oracle Vault 文档
有了这么多的法案,你也许就会觉得我们该怎么做就很清楚明白了,根据法案执行就是了,但是事实并非如此。许多的法案留下了许多的空间让你去解读。换言之,就是有许多的决定留给IT组织者去做,这些决定本身会有很大的分歧,做这些决定的人之间也存在很大的分歧。
我们做到了哪一步了
目前许多的数据库供应商都对自己的RDBMS(关系数据库管理系统)提供安全控制和审查。这些手段包括创建组、列级的存储控制、存储过程执行控制等等。审查控制有不同级别的控制。基本级别的审查控制包括用户是否成功登陆系统,而详细审查就会针对每一个SQL语句进行审查。
如果想依照SOX、J-SOX、Basel II、HIPPA这些法案,必须能够给审查者提供必要的记录。最为流行数据库提供商提供了审查工具,这些审查工具提供了必要记录,但是这是要花费成本的。你必须确保你有足够可用的CPU、硬盘、内存资源。就我们其中的一位接受采访的人来说,一个客户机程序每天的日志文件有30-50G。这种级别日志产生量明显要求你有足够的硬件资源,来保证你的数据库性能不受影响。
但是,目前缺乏提供趋势分析的工具,而趋势分析可能会给我们预测到重要的内部威胁。现在大多数数据库都有工具来搜索审查文件,查找是否有访问(存储)违例,有的话就给出警告。这种方式虽然不错,但是对于一些内部威胁来说还远远不够,这类威胁通常来自授权使用数据库的人士。比如说这种情况,一位技术支持人员因为工作的需要,授权查找客户的记录。正常的来说,他一天只需要查找40条记录。如果当他一天访问了100000条记录,这这说明这尅能是一种数据偷窃的行为,我们要给出预报。而这种情况只能经过趋势分析侦查到。
通常情况来说,DBA能够操作的权限大于安全级别控制。这让DBA处于风险中,因为他们有权使用所有的数据,包括日志文件,因此他们就能够破坏审查追踪。数据如此广泛和深度的暴露在DBA面前,使得他们在相关诉讼中往往成为重要证人。我们所需要的可行的方法就是让DBA在不能查看敏感的数据前提下还能完成他们的工作。
我们能有哪些作为?
假设你能够使用大多数数据库开发商所提供的工具,而去不用那些专门的为解决上述问题的产品,你能做些什么呢?
大多数管理者都担心以下问题:
内部控制如何有效
未授权使用如何检测
存储访问如何控制和验证
系统维护如何执行
信息如何提供给独立审查部门
要想让内部控制发挥作用,这就意味你要查看操作记录,要有一个指定的磁盘空间,并且还要有一些规则和手续,来减少存在的风险。审查者将会根据这些记录、规则、手续这些有效的措施来决定是否有违规操作。这些有效的措施包括以下几条,但是并不局限于此:
开展审查工作,确保审查日志文件安全,检查审查记录
能够追踪用户帐号,确保帐号密码时效性没有过期
经认可在适当的时候改变管理系统
追踪时间,因为在故障时间,会有未授权而试图操纵系统
对需要保护的数据需要有备份和灾难恢复
进行系统维护包括确保安装了所有的修补程序。通常来说,关于安全的修补程序必须尽快安装,对于那些需要重启的修补程序需要有计划的安装。其他的修补程序应该进行检查和评估, 决定什么时候应该安装。
为独立的审查部门做准备工作,就意味必须有方法可循,审查者能够遵循什么程序来执行。举个例子,贵公司规定员工在离开公司之时访问记录必须被删除。那么审查者浏览查找人力资系统,选择一个员工,在与员工离开相匹配的时间删除该员工的数据库访问记录。
至于DBA为了自保,有几件事情可以做。举个例子,你可以尽可能的细分应用程序,每个子应用程序有各自的登录名,删除具有访问整个系统的帐号。这样一来,即使有问题,也只是局部受到影响。另外,确保你的操作能够追溯的到,这些操作是经过认可的,或者是系统需要的操作。
来自一家美国西南地区医疗公司的受采访者说:
“很幸运的是,我们公司主要的OE、工资系统、SAP和VIRSA工具运行良好。IT部门有一套手续来处理新员工和终端访问权限问题。DBA小组为密码截止时间和复杂度开发了自动计算过程。没有人能够直接连接数据库和数据访问工具。在涉及财务往来的系统我们安排了专门负责安全的角色,另外有LDAP集成,各种应用程序安全进行组合。”
他推荐的建议如下:
• 在购买之前挑选一个好的产品,满足SOX认证
• 确保他们提供强大的数据管理工具
• 确保产品有很高的安全级别和审查功能
• 授权前确保你执行的是一个安全,大家都认可的手续。
• 确定企业主才是安全角色,授权需要有企业主的签名
• 不要将Oracle DBMS安全作为唯一的防线
如何确保你的系统安全
一些公司将会安排一个小组来负责安全问题,如果贵公司没有这么做的话,那得你就得好好思量以下几件事情。
创建帐号和密码的问题前面已经提到过了。下一步就是讨论用户如何访问系统。确保身份验证有安全协议完成。另外,还要考虑对数据流加密。
另外你可以使用的技术还有应用程序安全网关和数据库防火墙。这些措施能够很好的监视你的应用程序,追踪用户的访问记录。实现此功能的方法之一就是通过深度包检测(Deep Packet Inspection),这些深度包在网络和数据库服务器之间传递,找出什么类型的访问在企图登录,以及判断出是那个用户在企图登录。应用程序网关还能提供其它的功能,如病毒扫描、异常行为检测、检查多级攻击。不幸的是,如果你对直接进入数据库的通信量采用使用某种加密方式的话,使用深度包检测(Deep Packet Inspection)防火墙将会被阻止访问包的内部,因而不能进行分析了。
如果你使用iSCSI协议,即将你的虚拟硬盘放在Ethernet上,就有另外的方法来偷窥你的数据。你应该想到有人会使用网络“sniffer”或其它为授权的数据访问。如果是这样的话,就应该考虑使用IPSec对你的数据加密。
对我们有所帮助的产品
根据Forrester Research公司研究表明,数据库提供商和ISV将会展出更多的工具来帮助DBA解决访问控制。目前现存的工具是Oracle Database Vault。
Oracle Database Vault 可帮助用户解决现有的极为棘手的安全问题,防止内部的威胁并满足合规性要求。Oracle Database Vault 能防止 DBA 查看应用程序数据,解决了必须保护涉及合作伙伴、员工和顾客的敏感业务信息或隐私数据的客户最为担心的问题。Oracle Database Vault 可防止高权限的应用程序 DBA 访问其他的应用程序、执行其权限之外的任务。Oracle Database Vault 可在不影响应用程序功能的前提下快速而高效地保护现有程序。
今天市场上另外的产品来自IPLocks公司 (http://www.iplocks.com)。根据他们的描述,IPLocks解决方案能评估数据库的脆弱程度,监视数据的使用者、会话、对象、和提供用于审查的日志。IPLocks Database Security和Compliance Solution利用专门的技术减少重要商业数据被盗用的风险。IPLocks能够保证敏感数据的安全,同时还创建还为企业用户创建唯一的信息风险管理解决方案。
Imperva 公司(http://www.imperva.com)有符合应用程序安全网关和数据库防火墙功能的产品。SecureSphere通过评估、监视、审查所有对公司数据库的访问,完成监视保护数据库中敏感信息的任务,它能够追踪和控制特许用户的行为。它通过深度包检测,在数据库级别重新构造整个请求响应机制。SecureSphere在网络上加密了通信量,提供符合新法案的报表。
Guardium公司(http://www.guardium.com))有他们自己的SQL Guard生产线,提供数据库保护,为Sarbanes-Oxley, GLBA, HIPAA, and Basel II提供报告。SQL Guard是通过设备中途截取进入、流出数据库的网络信息流通量,达到监视的目的。它提供许多的工具,供审查员来查看所需要的信息,包括控制修改等。
另外,使用和审查员相同的工具。如你所料,他们也将会检查你,他们通常会有自己的审查工具帮助他们发现可疑行为。使用你很审查员使用一样的工具,能够减少你接受审查的次数,这也有助于他们使用这些现存的工具完成审查任务。
性能问题
如果忽略数据库审查和启动安全这些措施所带来的额外开销,系统性能或许会受到影响。如果系统没有适当的配置,或者缺乏容量,那么像SQL语句级别的审查就会导致严重的性能退化。其中接受我们采访的一位提供商说,如果系统的容量很大的话,启动审查功能应该只会影响系统性能的3%。在前面所提到的例子里,当一个客户端程序每天产生30-50G的日志文件的话,CPU的占有率将会达到10%。有的人反应,当Oracle审查启动后,系统就会增加30%的开销。这也太大了点,导致这种情况的原因要么就是数据库参数设置不当,要么就是CPU、硬盘、内存容量出现瓶颈。
需要记住另外一个影响数据库性能是启动数据库安全。如果仅仅是使用身份验证安全,性能影响应该可以忽略不计。但是,加密每个网络数据包或许会花销一些CPU时间。如果这已经造成了问题,那么应该考虑升级到GB或者更高的网络速度,允许流通更大尺寸的数据包,使用高端的以太网适配器。
另外,对于新技术如iSCSI协议,应该在投入使用前,好好的分析。如果磁盘阵列不是直接通过SCSI电缆连接到数据库服务器,那么使用SAN就非常方便了。但是,以下这些事项就需要考虑了。带宽—你的硬件在现在或者将来有足够的能力安装OLTP或DSS系统吗?在高峰时刻网络负荷量会是什么样的?加密开销—使用IPSec或类似的协议加密数据库服务器之间的网络信息流量会严重影响系统性能,比只加密服务器到客户端信息流量影响大,这是由于所有的额外数据操作发生在服务器端,如事项记录,临时存储等等。
总之底线就是确保你的系统合适的配置,并且有足够的系统资源处理审查和安全所带来的开销。
结论
每个公司都会逐渐受到那些规则的影响,只是一个时间问题。应该提前考虑,开始着手这些问题了。要记住的是作为一个DBA,你有一些合法的权利查看一些数据。首先,明确哪些数据是必须查看的,接着确立哪些数据对你的工作是有助的。你有选择,权衡不同的产品来满足你的需要。这是一个非常热门的领域,我相信会出现很多的工具。所以,你应该像那些接受我们采访的人那样,努力创建属于你自己的一套工具或者需求。做这件事的好处就是避免重复购买和操作,既节约了时间,有节约了成本。另外,在实施任何解决方案前,一定靠考虑系统的性能,进行测试,再测试。
作为一名DBA,你可以实施像Oracle Database Vault这样的工具,有助于你和数据分离,减少你查看数据的风险。另外,这是一个非常专业的领域,不要忘了考虑让请外面的专家参与。这也能节约你的时间和金钱。
关于作者
Alex Polishchuk是Advanced Computer Consulting (www.advcomputerconsulting.com)的创始人和总经理。Alex有15年的设计、开发经验,在不用行业公司实施数据库应用程序,这些公司规模不等,小的只有几人,大的进入财富50强。Alex的涉猎的主要领域就是数据库安全、性能优化、性能协调。以下是他的联系方式[email protected].
Michael Procopio是HP的高级产品经理。他在计算机系统和网络领域有超过25年的经验。他担任过顾问、产品管理、产品市场、培训和IT管理职位。Michael也是许多IT大会上的发言人,同时还是IEEE会员。以下是Michael的联系方式:[email protected].
最新评论