《数据库安全综述论文》由会员分享,可在线阅读,更多相关《数据库安全综述论文(22页珍藏版)》请在金锄头文库上搜索。
1、数据库安全综述摘要:数据库技术是目前应用最广泛的一门计算机技术,其安全性越来越重 要。该文讲述了数据库安全含义,数据库存在的安全威胁,常用攻击方法,安全 控制策略以及分析了历年发生的几大典型数据泄密事件。关键字:数据库安全,数据库攻击,安全控制,数据库加密。随着信息化建设的发展,各种信息系统不断出现,其中数据库扮演者重要角 色,其担负着存储和管理数据信息的任务。这些数据一旦泄露或被破坏,将会对 国家或单位造成巨大损失。目前,很多的信息系统采用的都是Oracle或者SQL Server数据库系统, 为了保证数据的安全性、准确性以及一致性,这些数据库系统采用一些技术手段, 比如:访问控制、实体和引
2、用完整性控制、值域约束、并发控制和恢复等技术。 但是,对于Oracle或者SQL Server数据库系统来说,仍然存在很多安全隐患, 面临着许多攻击。因此,如何保证与加强数据库的安全性以及保密性,已成为当 前迫切需要解决的热门课题。于数据库安全的定义,国内外有不同的定义。国外以 C. P. Pfleeger“Security in Computing 一 Database Security.PTR, 1997” 中对数据库安全的定义最具有代表性,被国外许多教材、论文和培训所广泛应用。他从以下方 面对数据库安全进行了描述:物理数据库的完整性:数据库中的数据不被各种自然的或物理的问题而 破坏,如电
3、力问题或设备故障等。(2) 逻辑数据库的完整性:对数据库结构的保护,如对其中一个字段的修改 不应该破坏其他字段。(3) 元素安全性:存储在数据库中的每个元素都是正确的。(4) 可审计性:可以追踪存取和修改数据库元素的用户。(5) 访问控制:确保只有授权的用户才能访问数据库,这样不同的用户被限制在不同的访问方式。(6) 身份验证:不管是审计追踪或者是对某一数据库的访问都要经过严格的 身份验证。(7) 可用性:对授权的用户应该随时可进行应有的数据库访问。本文采用我国GB17859-1999计算机信息系统安全保护等级划分准则 中的中华人民共和国公共安全行业标准GA/T 389-2002“计算机信息系
4、统 安全等级保护数据库管理系统技术要求对数据库安全的定义:数据库安全就是 保证数据库信息的保密性、完整性、一致性和可用性。保密性指的是保护数据库 中的数据不被泄露和未授权的获取;完整性指的是保护数据库中的数据不被破坏 和删除;一致性指的是确保数据库中的数据满足实体完整性、参照完整性和用户 定义完整性要求;可用性指的是确保数据库中的数据不因人为的和自然的原因对 授权用户不可用。当数据库被使用时,应确保合法用户得到数据的正确性,同时要保护数据免 受威胁,确保数据的完整性。数据库不仅储存数据,还要为使用者提供信息。应 该确保合法用户应当在一定规则的控制和约束下使用数据库伺时应当防止入侵 者或非授权者
5、非法 访问数据库。数据库的安全主要应由数据库管理 系统(DataBase Management System , DBMS)来维护,但是操作系统、网络和应 用程序与数据库安全的关系也是十分紧密的,因为用户要通过它们来访问数据 库,况且和数据库安全密切相关的用户认证等其他技术也是通过它们来实现的。2.1滥用过高权限当用户(或应用程序)被授予超出了其工作职能所需的数据库访问权限时, 这些权限可能会被恶意滥用。例如,一个大学管理员在工作中只需要能够更改学 生的联系信息,不过他可能会利用过高的数据库更新权限来更改分数。2.2滥用合法权用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务
6、人员拥有可以通过自定义Web应用程序查看单个患者病历的权限。通常情况下, 该Web应用程序的结构限制用户只能查看单个患者的病史,即无法同时查看多 个患者的病历并且不允许复制电子副本。但是,恶意的医务人员可以通过使用其 他客户端(如MS:Excel)连接到数据库,来规避这些限制。通过使用MS:Excel 以及合法的登录凭据,该医务人员就可以检索和保存所有患者的病历。这种私自复制患者病历数据库的副本的做法不可能符合任何医疗组织的患 者数据保护策略。要考虑两点风险。第一点是恶意的医务人员会将患者病历用于 金钱交易。第二点可能更为常见,即员工由于疏忽将检索到的大量信息存储在自 己的客户端计算机上,用于
7、合法工作目的。一旦数据存在于终端计算机上,就可 能成为特洛伊木马程序以及笔记本电脑盗窃等的攻击目标。2.3权限提升攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权 限。漏洞可以在存储过程、内置函数、协议实现甚至是SQL语句中找到。例如, 一个金融机构的软件开发人员可以利用有漏洞的函数来获得数据库管理权限。使 用管理权限,恶意的开发人员可以禁用审计机制、开设伪造的帐户以及转帐等。2.4平台漏洞底层操作系统(Windows2000、UNIX等)中的漏洞和安装在数据库服务 器上的其他服务中的漏洞可能导致未经授权的访问、数据破坏或拒绝服务。例如, “冲击波病毒”就是利用了 Window
8、s2000的漏洞为拒绝服务攻击创造条件。2.5 SQL注入在SQL注入攻击中,入侵者通常将未经授权的数据库语句插入(或注入”) 到有漏洞的 SQL 数据信道中。通常情况下,攻击所针对的数据信道包括存储过 程和Web应用程序输入参数。然后,这些注入的语句被传递到数据库中并在数 据库中执行。使用SQL注入,攻击者可以不受限制地访问整个数据库。防止SQL 注入将以下三个技术结合使用可以有效地抵御SQL注入:入侵防御系统(IPS)、 查询级别访问控制(请参阅“滥用过高权限”)和事件相关。IPS可以识别有漏 洞的存储过程或SQL注入字符串。但是,单独使用IPS并不可靠,因为SQL注 入字符串很容易发生误
9、报。如果只依赖IPS,安全管理人员会发现大量可能的” SQL注入警报,被搞得焦头烂额。2.6审计记录不足自动记录所有敏感的和/或异常的数据库事务应该是所有数据库部署基础的 一部分。如果数据库审计策略不足,则组织将在很多级别上面临严重风险。2.7拒绝服务拒绝服务(DOS )是一个宽泛的攻击类别,在此攻击中正常用户对网络应用程 序或数据的访问被拒绝。可以通过多种技巧为拒绝服务(DOS)攻击创造条件,其 中很多都与上文提到的漏洞有关。例如,可以利用数据库平台漏洞来制造拒绝服 务攻击,从而使服务器崩溃。其他常见的拒绝服务攻击技巧包括数据破坏、网络 泛洪和服务器资源过载(内存、CPU等)。资源过载在数据
10、库环境中尤为普遍。2.8 数据库通信协议漏洞在所有数据库供应商的数据库通信协议中,发现了越来越多的安全漏洞。在 两个最新的IBMDB2FixPack中七个安全修复程序中有四个是针对协议漏洞1。 同样地,最新的Oracle季度补丁程序所修复的23个数据库漏洞中有11个与协 议有关。针对这些漏洞的欺骗性活动包括未经授权的数据访问、数据破坏以及拒 绝服务。例如,SQLSlammer2蠕虫就是利用了 MicrosoftSQLServer协议中的 漏洞实施拒绝服务攻击。更糟糕的是,由于自身数据库审计机制不审计协议操作, 所以在自身审计记录中不存在这些欺骗性活动的记录。2.9 身份验证不足薄弱的身份验证方
11、案可以使攻击者窃取或以其他方法获得登录凭据,从而获 取合法的数据库用户的身份。攻击者可以采取很多策略来获取凭据。1 )暴力:攻击者不断地输入用户名/密码组合,直到找到可以登录的一组。 暴力过程可能是靠猜测,也可能是系统地枚举可能的用户名 /密码组合。通常, 攻击者会使用自动化程序来加快暴力过程的速度。2)人际关系:攻击者利用人天生容易相信别人的倾向来获取他人的信任, 从而获得其登录凭据。例如,攻击者可能在电话中伪装成一名IT经理,以“系 统维护”为由要求提供登录凭据。3)直接窃取凭据:攻击者可能通过抄写即时贴上的内容或复制密码文件来 窃取登录凭据。2.10 备份数据暴露经常情况下,备份数据库存
12、储介质对于攻击者是毫无防护措施的。因此,在 若干起著名的安全破坏活动中,都是数据库备份磁带和硬盘被盗。防止备份数据 暴露所有数据库备份都应加密。实际上,某些供应商已经建议在未来的 DBMS 产品中不应支持创建未加密的备份。建议经常对联机的生产数据库信息进行加 密, 但是由于性能问题和密钥管理不善问题,这一加密方法通常是不现实的,并且一 般被公认为是上文介绍的细化的权限控制的不理想的替代方法。 三、常用攻击方法3.1 宿主网络攻击方法对宿主网络进行攻击, 主要威胁数据的保密性和可用性,主要攻击方法:1)网络嗅探。对于一些网络数据库来说,其在网络上进行数据传输都采用明文方式,而 TCP/IP 协议
13、自身又没有加密机制,因此很容易被攻击者对网络上传输的信息进 行嗅探,以获得有价值 的信息。2)拒绝服务攻击。由于 TCP/IP 协议的脆弱性,攻击者很容易对数据库服务 器进行 DoS 攻 击,吏其系统瘫痪或者无法响应正常的服务请求。常见的DoS攻击包括:SYN Flood攻击、Ping攻击、Smurf攻击、分布式拒绝服务攻击、地址欺骗攻击等3.2 宿主操作系统攻击方法一些攻击者在入侵数据库系统之前,首先控制其宿主操作系统,进而实现对数据库系统操作或者获取数据库文件。1)口令破解。攻击者可以采用弱口令扫描或者蛮力破解的方法,获取系统口令,进而取得 系统访问权,以实现对数据库系统的访问,或者获取数
14、据库文件。2)漏洞攻击。由于目前所使用的操作系统存在很多漏 洞,这些漏洞很 有可能被攻击者利 用,对操作系统进行攻击,进而对数据库系统进行攻击。3)木马。木马的功能各种各样,植入方式令人防不胜防。而攻击者可以通过木马植入 以实现对操作系统和数据库系统的控制,获取数据文件,达到对数据库攻击的目 的。3.3 数据库系统攻击方法 由于数据库系统自身存在一定的安全隐患,因此存在一些可直接对其进行攻 击的技术与方法。1)口令入侵。早期的 Oracle ,SQL Server 数据库都有默认的用户名和密码,如 Oracle 有一个默认的用户名Scott,以及默认的口令tiger;微软的SQL Server
15、 sa账 户。这些默认的登录对于黑客来说尤其方便,借此他们可以轻松地进入数据库。 现在, 主要的数据库厂商在其新版本的产品中对其进行了弥补,它 们不再让用 户保持默认的和空的用户名及口令。但即使是唯一的、非默认的数据库口令也是 不安全的,通过暴力破解就可以轻易地找到弱口令。2)特权提升。特权提升通常与管理员错误的配置有关 如一个用户被误授予超过其实际需 要的访问权限。另外,拥有一定访问权 限的用户可以轻松地从一个应用程序跳 转到数据库,即使他 并没有这个数据库的相关访问权限。黑客只需要得到少量 特 权的用户口令,就可以进入了数据库系统,然后访问读取数 据库内的任何表, 包括信用卡信息、个人信息
16、。3) 缓冲区溢出攻击。数据库系统同样会存在一些缓冲区溢出漏 洞,比如 Microsoft SQL Server 2000 Resolution 服务存在堆缓冲溢出攻击、Microsoft SQL Server 2000 Bulk插入过程缓冲区溢出漏洞、Microsoft SQL Server存在远程缓冲溢出、 Oracle Net Services Link 查询请求缓冲区溢出漏洞等。这些缓冲区溢出漏洞会 被攻击者利用,通过构造恶意参数,以执行恶意代码。 比如,2002 Internet 上出现的 SQL Slammer 蠕虫就是利用 Microsoft SQL Server 2000 Resolution 服务存在堆缓冲溢出漏洞进行传播的。4) SQL注入攻击SQL注入攻击是黑客对数据库进行攻击的常用手段之
