CISP-2-数据库安全.ppt

信息安全技术数据库安全,中国信息安全产品测评认证中心（CNITSEC）CISP-2-数据库安全（培训样稿）,一、数据库安全标准,1985年，可信计算机系统评测标准（TCSEC）的颁布，为计算机安全产品的评测提供了测试和方法，指导信息安全产品的制造和应用。,1987年，美国国家计算机安全中心为TCSEC桔皮书提出可信网络解释（TNI），通常被称作红皮书。,1991年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖数据库管理系统解释（TDI）。,CC（Common Criteria）:通用标准，很多产品开始申请CC证书，比如ORACLE9i，已经通过EAL4级认证。,TCSEC-TDI基本内容（一）,R1 安全策略（Security Policy）R1.1 自主存取控制（Discretionary Access Control，简记为DAC）R1.2 客体重用（Object Reuse）R1.3 标记（Labels）R1.3.1 标记完整性（Label Integrity）R1.3.2 标记信息的扩散（Labeled Information Exploration）R1.3.3 主体敏感度标记（Subject Sensitivity Labels）R1.3.4 设备标记（Device Labels）R1.4 强制存取控制（Mandatory Access Control，简记为MAC）,TCSEC-TDI基本内容（二）,R2 责任（Accountability）R2.1 标识与鉴别（Identification&Authentication）R2.1.1 可信路径（Trusted Path）R2.2 审计（Audit）,TCSEC-TDI基本内容（三）,R3 保证（Assurance）R3.1 操作保证（Operational Assurance）R3.1.1 系统体系结构（System Architecture）R3.1.2 系统完整性（System Integrity）R3.1.3 隐蔽信道分析（Covert Channel Analysis）R3.1.4 可信设施管理（Trusted Facility Management）R3.1.5 可信恢复（Trusted Recovery）R3.2 生命周期保证（Life Cycle Assurance）R3.2.1 安全测试（Security Testing）R3.2.2 设计规范和验证（Design Specification&Verification）R3.2.3 配置管理（Configuration Management）R3.2.4 可信分配（Trusted Distribution）,TCSEC-TDI基本内容（四）,R4 文档（Documentation）R4.1 安全特性用户指南（Security Features Users Guide）R4.2 可信设施手册（Trusted Facility Manual）R4.3 测试文档（Test Documentation）R4.4 设计文档（Design Documentation）,数据库系统安全级别,根据计算机系统对上述各项指标的支持情况，TCSEC-TDI将数据库系统划分为四类七个等级，依次是D、C（C1，C2）、B（B1，B2，B3）、A（A1），按系统可信程度逐渐增高，如下表所示。,TCSEC-TDI安全级别划分,D级,D级是最低级别。保留D级的目的是为了将一切不符合更高标准的系统，统统归于D组，在安全性方面几乎没有什么专门的机制来提供保障。,C1级,只提供了非常初级的自主安全保护。能够实现对用户和数据的分离，进行自主存取控制（DAC），保护或限制用户权限的传播。现有的商业系统往往稍作改进即可满足要求。,C2级,实际是安全产品的最低档次，提供受控的存取保护，即将C1级的DAC进一步细化，以个人身份注册负责，并实施审计和资源隔离。很多商业产品已得到该级别的认证，如Oracle公司的Oracle 7，Sybase公司的 SQL Server 11.0.6 等。,B1级,标记安全保护。对系统的数据加以标记，并对标记的主体和客体实施强制存取控制（MAC）以及审计等安全机制。B1级能够较好地满足大型企业或一般政府部门对于数据的安全需求，这一级别的产品才认为是真正意义上的安全产品。满足此级别的产品前一般多冠以“安全”(Security)或“可信的”(Trusted)字样，作为区别于普通产品的安全产品出售，如Oracle公司的Trusted Oracle 7和ORACLE 9i，Sybase公司的Secure SQL Server version 11.0.6等。,B2级,结构化保护。建立形式化的安全策略模型并对系统内的所有主体和客体实施DAC和MAC。现在还没有符合B2标准的数据库产品。,B3级,安全域。该级的TCB必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程。,A1级,验证设计，即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。,小结,B2以上的系统标准更多地还处于理论研究阶段，产品化以至商品化的程度都不高，其应用也多限于一些特殊的部门如军队等。但美国正在大力发展安全产品，试图将目前仅限于少数领域应用的B2安全级别或更高安全级别下放到商业应用中来，并逐步成为新的商业标准。支持自主存取控制的DBMS大致属于C级，而支持强制存取控制的DBMS则可以达到B1级。,二、数据库安全技术,访问控制加密、证书标识和鉴别购买：关键业务少使用MS的产品；安装：不要使用缺省配置部署：多层部署；开发：开发环境与业务环境隔离；不要硬编码口令应用具有IDS+IPS功能，恢复，日志，硬拷贝一定不要自己设计加密算法和公式！,三、数据库安全策略,安全性问题是数据库管理员应该重视的关键问题之一，数据的丢失以及数据库 被非法用户的入侵使管理员倍受煎熬，现在就这个题提出了 一些策略，希望 有所帮助。,3.1 数据的安全,确保当系统Down Time时，存储媒体被破坏时，当数据 库用户误操作时，数据库数据信息不至于丢失。可以采取的措施有：双机热备份功能、备份和恢复、应用系统备份、网络备份、建设容灾系统的异地备份中心等。,3.2 不被非法用户入侵,尽可能堵住潜在的各种漏洞，防止非法用户利用它们来入侵数据库系统。即使存在不能马上弥补的漏洞，也要有办法使整个业务系统正常运行。,3.2.1 组和安全性,在操作系统下建立用户组也是保证数据库安全性的一种有效方法。Oracle程序为了安 全性目的一般分为两类：一类所有的用户都可执行，另一类只DBA可执行。在Unix环境下组 设置的配置文件是/etc/group，以下是 保证安全性的几种方法：,(1)在安装Oracle Server前，创建数据库管理员组(DBA)而且分配root和Oracle软件 拥有者的用户ID给这个组。DBA能执行的程序只有710权限。在安装过程中SQL*DBA 系统权限命令被自动分配给DBA组。,(2)允许一部分Unix用户有限制地访问Oracle服务器系统，增加一个由授权用户组成 的Oracle组，确保给Oracle服务器实用例程Oracle组ID，公用的可执行程序，比 如SQL*Plus，SQL*Forms等，应该可被这组执行，然后该这个实用例程的权限为 710，它将允许同组的用户执行，而其他用户不能。,(3)改那些不会影响数据库安全性的程序的权限为711。,在系统中为了安装和调试的方便，Oracle数据库中的两个具有DBA权限的 用户Sys和System的缺省密码是manager,建议您改掉这两个用户的密码，具体操作如下：在SQL*DBA下键入：alter user sys identified by password;alter user system identified by password;其中password为您为用户设置的密码。,Oracle服务器例程的安全性,(1)确保$ORACLE_HOME/bin目录下的所有程序的拥有权归Oracle软件拥有者所有；(2)给所有用户实用程序(sql plus,sql forms,exp,imp等)711权限，使服务器上所有的 用户都可访问Oracle服务器；(3)给所有的DBA实用例程(比如SQL*DBA)700权限。,Oracle服务器和Unix组,当访问本地的服务器时，您可以通过在操作系统下把Oracle服务器的角色映射到Unix 的组的方式来使用Unix管理服务器的安全性，这种方法适应于本地访问。在Unix中指定Oracle服务器角色的格式如下：,ora_sid_role_dla 其中 sid 是您Oracle数据库的oracle_sid；role 是Oracle服务器中角色的名字；d(可选)表示这个角色是缺省值；a(可选)表示这个角色带有WITH ADMIN选项，您只可以把这个角色 授予其他角色，不能是其他用户。,SQL*DBA命令的安全性,如果您没有SQL*PLUS应用程序，您也可以使用SQL*DBA作SQL查权限相关的命令只能分 配给Oracle软件拥有者和DBA组的用户，因为这些命令被授予了特殊的系统权限。(1)startup(2)shutdown(3)connect internal,数据库文件的安全性,Oracle软件的拥有者应该这些数据库文件($ORACLE_HOME/dbs/*.dbf)设置这些文件的使用权限为0600：文件的拥有者可读可写，同组的和其他组的用户没 有写的权限。Oracle软件的拥有者应该拥有包含数据库文件的目录，为了增加安全性，建议收回同 组和其他组用户对这些文件的可读权限。,网络安全性,(1)在网络上使用密码。在网上的远端用户可以通过加密或不加密方式键入密码，当您用不加密方式键入密码 时，您的密码很有可能被非法用户截获，导致破坏了系统的安全性。(2)网络上的DBA权限控制 您可以通过下列两种方式对网络上的DBA权限进行控制：A.设置成拒绝远程DBA访问；B.通过orapwd给DBA设置特殊的密码。,建立安全性策略,系统安全性策略 数据的安全性策略 用户安全性策略 数据库管理者安全性策略 应用程序开发者的安全性策略,系统安全性策略,(1)管理数据库用户 数据库用户是访问Oracle数据库信息的途径，因此，应该很好地维护管理数据库用户 的安全性。按照数据库系统的大小和管理数据库用户所需的工作量，数据库安全性管 理者可能只是拥有create，alter，或drop数据库用户的一个特殊用户，或者是拥有 这些权限的一组用户，应注意的是，只有那些值得信任的个人才应该有管理数据库用 户的权限。,(2)用户身份确认 数据库用户可以通过操作系统，网络服务，或数据库进行身份确认，通过主机操作系 统进行用户身份认证的优点有：A 用户能更快，更方便地联入数据库；B 通过操作系统对用户身份进行集中控制：如果操作系统与数据库用户信息一致，那么Oracle无须存储和管理用户名以及密码；C 用户进入数据库和操作系统审计信息一致。,(3)操作系统安全性。A.数据库管理员必须有create和delete文件的操作系统权限；B.一般数据库用户不应该有create或delete与数据库相关文件的操作系统权限；C.如果操作系统能为数据库用户分配角色，那么安全性管理者必须有修改操作系统帐 户安全性区域的操作系统权限。,数据的安全性策略,数据安全性策略应基于数据的重要性。如果数据不是很重要，那么数据安全性策略可 以稍松一些。如果很重要，则应该有一谨慎的安全性策略，用它来 维护对数据对象访问的有效控制。,用户安全性策略,1)一般用户的安全性 A.密码的安全性。如果用户是通过数据库进行用户身份的确认，那么建议使用密码加密的方式 与数据库进行连接。这种方式的设置方法如下：在客户端的oracle.ini文件中设置ora_encrypt_login数为true；在服务器端的initORACLE_SID.ora文件中设置dbling_encypt_login参数为true。B.权限管理。对于那些用户很多，应用程序和数据对象很丰富的数据库，应充分利用“角色”这个 机制所带的方便性对权限进行有效管理。,2)终端用户的安全性。必须针对终端用户制定安全性策略。例如，对于一个有很多用户的大规模数据库，安全性管理者可以决定用户组分类，为这些用户组创建角色，把所需的权限和应 用程序角色授予每一个用户角色，以及为用户分配相应的用户角色。当处理特殊的应 用要求时，安全性管理者也必须明确地把一些特定的权限要求授予用户。您可以使用“角色”对终端用户进行权限管理。,数据库管理者安全性策略,(1)保护作为sys和system用户的连接。当数据库创建好以后，立即更改有管理权限的sys和system用户的密码，防止非法用户 访问数据库。当作为sys和system用户连入数据库后，用户有强大的权限用各种方式对 数据库进行改动。(2)保护管理者与数据库的连接。应该只有数据库管理者才能用管理权限连入数据库。(3)使用角色对管理者权限进行管理。,应用开发者安全性策略,(1)应用程序开发者和他们的权限(2)应用程序开发者的环境(3)free和controlled应用程序开发(4)应用程序开发者的角色和权限(5)加强应用程序开发者的空间限制,(1)应用开发者和权限,数据库应用程序开发者是唯一一类需要特殊权限组完成自己工作的数据库用户。开发 者需要诸如create table,create procedure等系统权限，然而，为了限制开发者对 数据库的操作，只应该把一些特定的系统权限授予开发者。,(2)应用开发者的环境,A 程序开发者不应与终端用户竞争数据库资源；B 用程序开发者不能损害数据库其他应用产品。,(3)free和controlled应用开发,应用程序开发者有一下两种权限：A.free development。应用程序开发者允许创建新的模式对象，包括table,index,procedure,package等，允许应用程序开发者开发独立于其他对象的应用程序。B.controlled development。应用程序开发者不允许创建新的模式对象。所有需要table,index,procedure等都 由数据库管理者创建，它保证了数据库管理者能完全控制数据空间的使用以及访问 数据库信息的途径。C.以上两种权限的混和。,(4)应用开发者角色和权限,数据库安全性管理者能创建角色来管理典型的应用程序开发者的权限要求。A.create系统权限常常授予给应用程序开发者，以便能创建自己 的数据对象。B.数据对象角色几乎不会授予应用程序开发者使用的角色。,(5)加强开发者空间限制,数据库安全管理者应该为每个应用开发者设置以下的一些限制：A.开发者可以创建table或index的表空间；B.在每一个表空间中，开发者所拥有的空间份额。应用程序管理者的安全性 在有许多数据库应用程序的数据库系统中，您可能需要一应用程序管理者，应用程序 管理者应负责以下的任务：1.为每一个应用程序创建角色以及管理每一个应用程序的角色；2.创建和管理数据库应用程序使用的数据对象；3.需要的话，维护和更新应用程序代码和Oracle的存储过程和程序包。,四、了解入侵，保卫数据库,许多人十分关注向因特网开放业务。由于存在很多可能的入侵点，而且几乎每天都有被黑客攻击的消息，因此了解黑客并采取适当安全措施来保卫数据库的安全就十分必要了。,威胁分析,所有基于Web的应用程序都有的可用的端口，你必须进行检查。当黑客尝试入侵一个Web应用程序时，他们常在以下的范围内进行搜索：Internet访问端口访问服务器访问网络访问现在的多层Web结构,Internet访问,如果黑客能够得到一个服务器的IP地址，他们会远程登录到服务器，见到登录的提示。这个时候，他们想获得服务器访问权所需要的只是一个ID和密码。,端口访问,所有的Web应用程序都被配置成在预设的端口侦听来访的连接，它们一般使用一个后台的侦听进程来轮询这些连接。,服务器访问,一个四层的Web应用程序包含了一系列的Web服务器、应用程序服务器以及数据库服务器。其中的每个服务器都存在潜在的入口点，如果远程命令解释程序（rsh）的访问被允许，那么一旦黑客取得了单个的数据库服务器的访问权，它就可能取得许多服务器的访问权。,网络访问,例如，Oracle Net允许来访的连接串访问Oracle的侦听进程。如果黑客知道端口、IP地址、Oracle ID和密码，他们就可以取得直接进入数据库的权力。,Web多层构架的脆弱性,现在的Web构架包括四层服务器：Web侦听程序、Web服务器、应用程序服务器和数据库服务器。这些层对于黑客来说不是坚不可摧的。,反黑措施,在确定了可能的攻击点之后，必须严格限制对这些点的访问，有好几种方法可以禁止外部访问，下面是为每个可能的入口点给出的反黑建议：A.限制对服务器的访问 B.可信的IP地址 C.服务器帐号锁定 D.特殊工具,限制对服务器的访问,在网络和系统管理员执行外部访问策略之前，不应该把服务器放在Internet上。有些公司使用域名服务器来限制服务器的访问只对指定用户开放，但是黑客还是能够破解用户ID和密码。为防止被破解，可以使用安全命令解释程序来对外部的Internet通讯进行保护。但这些效果极佳的加密工具有时会麻痹IT人员，让他们认为自己受到了保护而不会遭受外来的攻击。,可信的IP地址,UNIX服务器被配置成只对列入“可信”主机表的Ping进行应答。在UNIX中，只要配置rhosts文件就行了，这个文件会只允许列在表上的指定用户对服务器进行访问。,服务器帐号锁定,如果你在三次输入密码尝试失败后锁定服务器ID，攻击者就被拦住了。如果不采取ID锁定的策略，攻击者可以运行能够产生上百万密码的程序，直到猜出用户ID和密码组合。,特殊工具（IDS/IPS）,有些产品会在外部服务器尝试突破你的防火墙时发出警报并予以制止。,限制对数据库的访问,上面已经讨论了对服务器的访问控制，现在说说端口访问。所有的Web应用程序都有一个侦听程序，在指定的端口检查所有要访问数据库的请求。,标识和鉴别,在数据库内部，公司要承担允许Web用户未经授权访问信息的风险。在内部环境中，每个用户是肯定可以被确认的。在Web上，任何人都可以尝试访问应用程序。这就要求数据库管理员要求每个访问应用程序的人都要是可以鉴别的。,Oracle的鉴别方法,Kerberos安全认证。虚拟私有数据库VPD。基于任务的安全认证。目标特权可以被聚集到任务中，这些任务可以被分派给指定的用户。准许执行的安全认证。程序执行的特权可以被紧密地捆绑到用户上。当用户执行这些程序时，他们获得了对数据库的访问权。验证服务器。端口访问安全认证。所有的Oracle应用程序都被要求在服务器的特定端口上侦听。,中国信息安全产品测评认证中心对外办公地点：北京西三环北路27号互联网址：电话：68428899传真：68462942,问题？,