數據庫服務器實際上是每一個電子交易、金融和企業資源規劃(ERP)系統的基礎,它還經常包括來自商業伙伴和客戶的敏感信息。盡管這些系統的數據完整性和安全性是相當重要的,但對數據庫采取的安全檢查措施的級別還比不上操作系統和網絡的安全檢查措施的級別。許多因素都可能破壞數據的完整性并導致非法訪問,這些因素包括復雜程度、密碼安全性較差、誤配置、未被察覺的系統后門以及自適應數據庫安全方法的強制性常規使用等。
數據庫安全問題為什么非常重要?
保護系統敏感信息和數字資產不受非法訪問。
任何公司的主要電子數字資產都存貯在現代的關系數據產品中。商業機構和政府組織都是利用這些數據庫服務器得到人事信息,如員工的工資表,醫療記錄等。因此他們有責任保護別人的隱私,并為他們保密。數據庫服務器還存有以前的和將來的敏感的金融數據,包括貿易記錄、商業合同及帳務數據等。象技術的所有權、工程數據,甚至市場企劃等決策性的機密信息,必須對竟爭者保密,并阻止非法訪問,數據庫服務器還包括詳細的顧客信息,如財務帳目,信用卡號及商業伙伴的信用信息等。
數據庫是個極為復雜的系統,因此很難進行正確的配置和安全維護
數據庫服務器的應用相當復雜,掌握起來非常困難-當然竟爭者使用的操作系統也是一樣的復雜。諸如Oracle、sybase、Microsoft SQL服務器都具有以下特征:用戶帳號及密碼、校驗系統、優先級模型和控制數據庫目標的特別許可、內置式命令(存儲的步驟或包)、唯一的腳本和編程語言(通常為SQL的特殊衍生語)、middleware、網絡協議、補丁和服務包⑶坑辛Φ氖?菘夤芾硎滌貿絳蠔涂?⒐ぞ摺P磯郉BA都忙于管理復雜的系統,所以很可能沒有檢查出嚴重的安全隱患和不當的配置,甚至根本沒有進行檢測。所以,正是由于傳統的安全體系在很大程度上忽略了數據庫安全這一主題,使數據庫專業人員也通常沒有把安全問題當作他們的首要任務。“自適應網絡安全”的理念-將安全問題看作持續不斷的“工作進程”,而不是一次性的檢查-并未被大多數數據庫管理者所接受。
保障數據庫服務器上的網絡和操作系統數據安全是至關重要的,但這些措施對于保護數據庫服務器的安全還很不夠。
在許多資深安全專家中普遍存在著一個錯誤概念,他們認為:一旦訪問并鎖定了關鍵的網絡服務和操作系統的漏洞,服務器上的所有應用程序就得到了安全保障。現代數據庫系統具有多種特征和性能配置方式,在使用時可能會誤用,或危及數據的保密性、有效性和完整性。首先,所有現代關系型數據庫系統都是“可從端口尋址的”,這意味著任何人只要有合適的查詢工具,就都可與數據庫直接相連,并能躲開操作系統的安全機制。例如:可以用TCP/IP協議從1521和1526端口訪問Oracle 7.3和8數據庫。多數數據庫系統還有眾所周知的默認帳號和密碼,可支持對數據庫資源的各級訪問。從這兩個簡單的數據相結合,很多重要的數據庫系統很可能受到威協。不幸的是,高水平的入侵者還沒有停止對數據庫的攻擊。
拙劣的數據庫安全保障設施不僅會危及數據庫的安全,還會影響到服務器的操作系統和其它信用系統。
還有一個不很明顯的原因說明了保證數據庫安全的重要性-數據庫系統自身可能會提供危及整個網絡體系的機制。例如,某個公司可能會用數據庫服務器保存所有的技術手冊、文檔和白皮書的庫存清單。數據庫里的這些信息并不是特別重要的,所以它的安全優先級別不高。即使運行在安全狀況良好的操作系統中,入侵者也可通過“擴展入駐程序”等強有力的內置數據庫特征,利用對數據庫的訪問,獲取對本地操作系統的訪問權限。這些程序可以發出管理員級的命令,訪問基本的操作系統及其全部的資源。如果這個特定的數據庫系統與其它服務器有信用關系,那么入侵者就會危及整個網絡域的安全。
數據庫是新型電子交易、企業資源規劃(ERP)和其它重要商業系統的基礎。
在電子商務、電子貿易的著眼點集中于WEB服務器、Java和其它新技術的同時,應該記住這些以用戶為導向和企業對企業的系統都是以Web服務器后的關系數據庫為基礎的。它們的安全直接關系到系統的有效性、數據和交易的完整性、保密性。系統拖延效率欠佳,不僅影響商業活動,還會影響公司的信譽。不可避免地,這些系統受到入侵的可能性更大,但是并未對商業伙伴和客戶敏感信息的保密性加以更有效的防范。此外,ERP和管理系統,如ASPR/3和PeopleSoft等,都是建立在相同標準的數據庫系統中。無人管理的安全漏洞與時間拖延、系統完整性問題和客戶信任等有直接的關系。
我需要尋找哪此類型的安全漏洞呢?
傳統的數據庫安全系統只側重于以下幾項:用戶帳戶、作用和對特定數據庫目標的操作許可。例如,對表單和存儲步驟的訪問。必須對數據庫系統做范圍更廣的徹底安全分析,找出所有可能領域內的潛在漏洞,包括以下提到的各項內容。
與銷售商提供的軟件相關的風險-軟件的BUG、缺少操作系統補丁、脆弱的服務和選擇不安全的默認配置。
與管理有關的風險 -可用的但并未正確使用的安全選項、危險的默認設置、給用戶更多的不適當的權限,對系統配置的未經授權的改動。
與用戶活動有關的風險-密碼長度不夠、對重要數據的非法訪問以及竊取數據庫內容等惡意行動。
以上各類危險都可能發生在網絡設備、操作系統或數據庫自身當中。對數據庫服務器進行安全保護時,都應將這些因素考慮在內。
數據庫安全-漏洞區域及示例
在重要數據庫服務器中,還存在著多種數據庫服務器的漏洞和錯誤配置。下面列出了幾個實例。
安全特征不夠成熟-絕大多數常用的關系數據庫系統已經存在了十多年之久,并且具有強大的特性,產品非常成熟。但不幸的是,IT及安全專業人士認為理所當然應該具有的許多特征,在操作系統和現在普遍使用的數據庫系統中,并沒有提供。
非內建式數據庫標準安全性能
MS SQL Server Sybase Oracle 7 Oracle 8
帳戶鎖定設備 no no no yes
重命名管理帳戶 no no no no
要求嚴密的口令 no no no yes
陳舊的帳戶 no no no no
密碼失效 no yes no yes
登錄時間限制 no no no no
例如,上表列出了大多數IT專業人士期望或要求操作系統所應具備的特性,但在數據庫服務器的標準安全設施中并未出現。由于這些數據庫都可進行端口尋址的,操作系統的核心安全機制并未應用到與網絡直接聯接的數據庫中。一些產品,例如Microsoft SQL Server, 都可利用功能更加強大的Windows NT安全機制去發現上面提到的安全漏洞。但是,考慮到兼容性問題(運行環境并不全是Windows NT),所以大多數依然執行MS SQL Server的安全標準。而實施則是另外一回事了。如果公司實用的是Oracle 8,管理員如何能知道是否真地實施了安全特性?是否一直在全公司中得到實施?
這幾項特性相結合,使得與之相關的問題更加嚴峻。由于系統管理員的帳號是不能重命名的(SQL和Sybase是“sa”,對于Oracle是“System”和“sys”),如果沒有密碼封鎖可用或已配置完畢,入侵者就可以對數據庫服務器發動強大字典式登錄進攻,最終能破解密碼,有什么能夠擋住他們對服務器耐心,持久的高水平攻擊呢?
數據庫密碼的管理-在多數數據庫系統提供的安全標準中,沒有任何機制能夠保證某個用戶正在選擇有力的-或任意的-密碼。這一基本的安全問題需要細心的監督。此外還需要對全部密碼列表進行管理和安全檢查。例如,Oracle數據庫系統具有十個以上地特定地默認用戶帳號和密碼,此外還有用于管理重要數據庫操作的唯一密碼,如對Oracle數據庫開機程序的管理、訪問網絡的聽眾過程以及遠程訪問數據庫的權限等。如果安全出現了問題,這些系統的許多密碼都可讓入侵者對數據庫進行完全訪問,這些密碼甚至還被存儲在操作系統的普通文本文件里。下面有幾個示例:
Oracle Internal 密碼-Oracle內部密碼存放在文件名為“strXXX.cmd”的文本文件中,XXX是Oracle系統的ID或SID,默認值為“ORCL”。用在Oracle數據庫的啟動過程中,要用到Oracle Internet密碼,具有隨意訪問數據庫資源的權力。這個文件應妥善保管,以用于基于Windows NT的ORACLE程序。
Oracle監聽程序過程密碼-用于起動并停止Oracle監聽程序過程的密碼,該過程可將所有的新業務路由到系統上合適的Oracle例子中,需選擇一個保密性強的密碼替換系統的默認值,使用許可必須在“listener.ora”文件中得到保護,該文件存貯了Oracle所有的使用密碼。對密碼的不當訪問可能會使入侵者對基于Oracle的電子交易站點進行拒絕服務攻擊。
Oracle內部密碼 -“orapw”文件許可控制-Oracle內部密碼和由SYSDBA授權的帳號密碼存貯在“Orapw”文本文件中。盡管文件已被加密,但在ORACLE的UNIX和Windows NT的程序中,還是要限制該文件的使用權限。如果該文件被訪問,那么遭解密的文件很容易遭到強有力的攻擊。
這些例子說明了管理員、系統密碼和帳號是何等的重要,它們都可能會遭到意想不到的攻擊方法的攻擊。注意密碼管理問題決不僅限于Oracle數據庫,幾乎所有主要數據庫提供商的產品都有這種問題。
操作系統的后門-許多數據庫系統的特征參數盡管方便了DBA,但也為數據庫服務器主機操作系統留下了后門。
如上所述,對Sybase或SQL服務器的“sa”密碼造成危害的入侵者有可能利用“擴展入駐程序”,得到基本操作系統的使用權限。以“sa”的身份登錄,入侵者使用擴展入駐程序xp–cmdshell,該程序允許Sybase或SQL服務器的用戶運行系統指令,就象該用戶在服務器控制臺上運行指令一樣。例如,可實用下列SQL指令添加一個Windows NT帳號,帳號名為“hacker1”,密碼為“nopassoword”,并把“hacker1”添加到“Administrators”組:
xp-cmdshell ‘net user hacker1 nopassword/ADD’
go
xp-comdshell ’net localgroup/ADD Administrators hacker1’
go
現在這個非法入侵者就成了Windows NT的管理員了(我們只能祈禱這個SQL服務器不是域控制器)。這個簡單的攻擊之所以成功,是因為命令被提交給實用Windows NT帳號的操作系統,而MSSQLServer的服務就運行在這個帳號下。在默認情況下,這個帳號就是“LocalSystem”帳號---本地Windows NT系統中最有效力的帳號。另一個途徑是黑客可能使用SQL服務器,利用入駐程序xp-regread從注冊表中讀出加密的Windows NT SAM密碼,對操作系統的安全造成威脅。由于有幾種免費的Windows NT密碼攻擊器軟件,因此保管好加密的Windows NT密碼的安全變得格外重要。以下例子說明了入侵者是怎樣得到信息的:
xp-regread’HKEY–LOCAL–MACHINE’,’SECURITYSAMDomainsAccount’,’F’
注意,從注冊表中讀出加密密碼是一件本地Windows NT管理員帳號都無法做到的事。SQL服務器之所以能夠做到,是因為默認方式運行的SQL服務使用的恰恰就是“LocalSystem”帳號。
Oracle數據庫系統還具有很多有用的特征,可用于對操作系統自帶文件系統的直接訪問。例如在合法訪問時,UTL_FILE軟件包允許用戶向主機操作系統進行讀寫文件的操作。UTL_FILE_DIR簡檔變量很容易配置錯誤,或被故意設置為允許Oracle用戶用UTL_FILE軟件包在文件系統的任何地方進行寫入操作,這樣也對主機操作系統構成了潛在的威脅。
校驗-關系數據庫系統的校驗系統可以記錄下信息和事件,從基本情況到任一細節,無一遺漏。但是校驗系統只在合理使用和配置的前提下,才能提供有用的安全防范和警告信息。當入侵者正在試圖侵入特定的數據庫服務器時,這些特征可及早給出警告信息,為檢測和彌補損失提供了寶貴的線索。
特洛伊木馬程序-盡管人們知道操作系統中的特洛伊木馬程序已經有好幾年了,但是數據庫管理員還需注意到木馬程序帶給系統入駐程序的威脅。一個著名的特洛伊木馬程序修改了入駐程序的密碼,并且當更新密碼時,入侵者能得到新的密碼。例如,某個個人可以在sp–password系統入駐程序中添加幾行命令,就可在表單中增加新的密碼,用e-mail傳遞密碼或將密碼寫入外部文件以備日后使用。這一辦法可連續獲取密碼,直到入侵者得到的“sa”密碼被更換-使得更深層的入侵未被察覺。一個入侵者或心懷不滿的雇員只需進入系統一次,放置好特洛伊木馬后就可得到以后的一系列密碼。
總結
安全專業人士、校驗員、DBA和電子商務的規劃人員在部署重要商業系統時,都需注意到數據庫的安全問題。要想了解的系統的安全狀態和發展方向,您就得部署系統,以對數據庫服務器做出最徹底的評估,并進行常規的安全評估。所有系統都應該采用信息風險管理原則,以進行監督、檢測,對安全漏洞做出響應。
