xx教委数据中心安全建设方案(数据库部分)

Ixx教委数据资源中心安全建设方案II一.概述..............................................................................................................................................3二.网络现状及风险分析.....................................................................................................................42.1数据库层风险分析................................................................................................................4三.安全需求分析................................................................................................................................53.1数据库层安全需求................................................................................................................5四.安全产品建设方案.........................................................................................................................74.1数据库层安全解决方案.........................................................................................................74.1.1数据库漏扫系统...........................................................................................................74.1.2数据库加密系统...........................................................................................................8五.安全服务建设方案.............................................................................................错误!未定义书签。3一.概述xx教委数据资源中心承担着教育网内多种应用的承载任务。随着教育网网络规模的不断增大，应用的不断增多，原有的服务器和存储已经不能满足需要，计划在“十二五”期间，xx教育数据资源中心将进行扩容项目建设，考虑在xx工业大学信息化中心建设新机房，机房总面积达到204平方米。新机房将通过工大新校区-中心、工大新校区-工大老校区-中心，两条链路与现有数据资源中心相连，实现从物理上光纤链路的冗余，保障新机房和原有机房之间链路的可靠性、稳定性和安全性。新机房将通过汇聚交换机，与现有数据资源中心机房（信管中心）的核心交换机相连，统一对外进行发布。新老机房物理位置相分离，逻辑上为一体，新机房是部署在老机房内，业务部署、管理维护的规则和流程与现有机房使用情况是一致的。随着网络规模的增大，应用的增多，各种安全管理、运维管理手段已不能满足管理需求，需要进行整体的安全规划和建设，以保障网络、应用和数据的安全。本方案着眼于xx教委数据资源中心实际，针对数据资源中心面临的风险，关注数据资源中心的安全，希望为教委数据资源中心安全建设提供具备实际意义的安全建议。编写教育网数据资源中心安全建设方案时，充分利用现有的国内和国际安全标准和成熟的安全体系，并结合教育网数据资源中心的实际需求，根据数据资源中心内部区域划分和区域功能，在充分利用原有安全设备的基础上，设计出一个有针对性的和完善的安全解决方案。4二.网络现状及风险分析2.1数据库层风险分析在当前的教委数据中心，主要存在如下数据库层面的安全风险：(1)招考系统等核心数据库存在诸多安全漏洞，威胁系统整体的安全运行数据库系统作为常用的大型基础软件，其自身往往也存在着大量的漏洞。根据cnnvd的最新统计分析结果表明，与主流数据库相关漏洞已达到4900多条，另据cnnvd统计，数据库Oracle累计报告的漏洞高达1214条，另一广泛应用的SQLServer数据库漏洞也多达272条，且处于中、高风险的漏洞比例较大并呈现逐年增加，日趋复杂化、多样化的发展态势。由于当前教委数据库没有进行过专门的安全加固，都是采用默认方式进行数据库的安装配置以及部署，存在大量的缺省账户、低安全策略、默认的权限配置和缺省的配置文件，这些都会导致数据库存在大量的安全隐患。因此，首先要检测数据库系统的安全漏洞和威胁并提供智能化的修复建议，将数据库安全建设工作由被动的事后追查转变为事前主动预防，将数据库安全检查工作由低效的人工方式提升到高效准确的自动检查方式，起到提升教委信息化中心数据库安全性的作用。(2)考生隐私信息、成绩等大量敏感数据存在泄密、非法篡改的风险在教委的数据中心中，集中存储着大量考试人员的隐私信息以及考试成绩、报考信息等。这是教育系统中最宝贵的数据资产，同时保证这些信息的安全也是教育主管部门的一项重要任务。这些核心信息集中存储在数据库中，尽管已经有很多主机、网络边界防范措施，但仍然存在外部黑客、内部工作人员、第三方维护人员这三类人员非法篡改和违规利用的漏洞，一旦这些漏洞被利用，将极可能发生泄露信息从而造成大面积隐私外泄、篡改信息。近年在国内，已经发生多起考生信息泄密、黑客入侵教育信息系统篡改数据后假证成“真证”的事件，考生隐私权益遭到严重损害，相关主管单位的声誉受到严重挑战。为了事先防范这些重大数据安全事故的发生，很多行业已经从技术和管理上采取了对应的措施，主要是在技术上对数据库本身进行加密和专门的权限控制，通过数据库加密系统，对数据库从根本上进行安全防护，能够从根源上彻底解决可能的数据泄密、篡改等问题。5三.安全需求分析3.1数据库层安全需求数据库层的安全需求主要包括两个层次：一个是数据库事前安全检查，找到数据库系统的安全漏洞和威胁并提供智能化的修复建议；另一个是对数据库进行事中控制，通过数据存储加密、独立的权限控制、三权分立、应用安全访问等核心能力，主动预防来自于内部维护人员、第三方合作人员、内部工作人员的各种数据窃取和篡改行为。数据库安全检查需求1）安全漏洞扫描需要对典型数据库漏洞进行高效、准确的扫描，包括：DBMS脆弱点：已知数据库系统自身存在的漏洞，这些漏洞会引发数据泄漏、权限提升或拒绝攻击问题。弱口令：口令的安全强度不符合安全性要求，比如使用了111111这样的口令，很容易被猜到。缺省口令：使用数据库系统安装的缺省口令，由于这样的口令是被公众掌握的，安全隐患很大。配置缺陷：由于数据库或系统的配置造成的安全缺陷或风险点。补丁：数据库的版本或相应功能版本已经不再被支持了，需要进行升级来实现更好的安全性。2）数据库安全加固建议需求针对系统检查出的数据库安全漏洞，系统在数据库漏洞详细报告中提供了详细的漏洞修复建议，保证每条建议有效可靠，不会造成用户修复后正常功能无法使用、数据库系统无法启动等故障，从而帮助用户更加快速、有效地进行漏洞修复。3）渗透模拟攻击需求通过渗透脚本的调用，模拟黑客使用的漏洞发现技术和攻击手段，在没有授权的情况下，对目标数据库的安全性进行探测分析和实施无害攻击，并记录扫描日志、系统日志、漏洞日志和审计日志。敏感数据安全防护需求当前，在教委数据中心至少存在以下重要数据库安全威胁，能够直接导致敏感数据的泄密，以及违规篡改行为的发生：A.招考数据泄密威胁6（1）数据库文件采用明文存储当前的主流数据库中，数据文件都是以明文形式进行存储的。内部人员或外部黑客入侵者很容易利用这一漏洞，拿到教育数据库的数据文件或备份文件，进行异地还原或使用专门的数据解析工具，获得全部招考信息。近年，有诸多典型的泄密事件，都是通过直接利用文件层的存储漏洞窃取数据；例如7天连锁酒店的600万会员信息泄密是由于黑客进行刷库拿到数据文件、CSDN1000多万客户信息是由于备份磁盘被人拿到后利用。。。（2）系统维护人员权限过高负责数据库的维护管理，直接掌握数据库DBA用户的口令。DBA既负责各项系统维护管理工作，又可以随时查询数据库中的一切敏感信息；这些人员被他人利用，完全可以随时登陆数据库，任意进行招考信息的访问。（3）外部黑客攻击者进行招考信息窃取黑客攻击者一般有两种手段进行数据的窃取：一是入侵到网络后，能够直接访问数据库服务器，进行刷库直接拷贝数据文件，再进行异地的数据还原。二是利用数据库的一系列缺省用户密码、权限提升等漏洞，获取DBA身份的高权限用户，直接导出数据。B.招考数据非法篡改威胁（1）非法高权限维护人员的违规篡改在教育数据中心数据库系统维护过程中，有大量的维护人员账户，以及第三方人员使用的账户。为了使用方便，DBA在给这些账户分配权限时，往往简化处理，直接给予DBA角色的权限，或者能随时访问招考信息的高权限角色。掌握这些账户口令的人员，一旦出于经济利益或其他原因被人利用，便随时可以进行考生的成绩等信息篡改。（2）缺乏有效的审计追踪现有机制无法准确审计到每次修改行为的详细过程，比如修改前的值，修改后的值等，一旦发生非法篡改操作可能无法还原及修正。7四.安全产品建设方案数据库防护区可以部署一套漏扫软件产品，定期对数据库安全漏洞进行扫描检测，通过手动或自动修复数据库漏洞，数据加密产品可以部署在数据库服务器区域，是一套独立的安全服务器，完成对数据库中敏感数据的加密。工大新校区也需要部署WEB应用防护墙和网络入侵检测系统、安全审计系统、数据库加密系统，部署方式和教委中心类似。下面对安全措施和部署的安全产品分层次进行详细的描述。4.1数据库层安全解决方案教委数据中心的核心信息集中存储在数据库中的，为了保障这些核心信息的安全，我们建议在教委中心和工大中心的核心数据库防护区，分别部署一套数据库漏扫系统和数据库加密系统。数据库防护区部署示意图4.1.1数据库漏扫系统数据库漏洞扫描系统能帮助用户对当前的数据库系统进行自动化安全评估，可以有效暴露当前数据库系统的安全问题，同时提出漏洞修复的建议。数据库漏扫系统的功能：数据库漏洞检查8缺省配置检查根据策略进行数据库默认口令的检查，检查出的结果可应用于sql注入等渗透攻击检查弱口令检查利用渗透技术和弱口令字典，发现易被攻破的用户口令无用对象检查无用的库、无用的用户名、危险存储过程扫描。弱安全策略检查在数据库中存在一些弱的安全配置，比如口令有效时间、错误尝试次数、口令强度等SQL注入检查检查系统表、字典表的宽泛权限设置，监控用户权限的变动，尤其是权限提升缓冲区溢出检查检查数据库对象，利用漏洞知识库判断是否存在缓冲区溢出漏洞拒绝服务攻击通过检查数据库的对象，发现拒绝服务攻击漏洞宽泛权限检查如Oracle、SQLServer中过于宽泛的public访问权限补丁检查根据补丁信息库及被扫描数据库的当前配置，完成补丁安装检查漏洞检查报告和修复建议自动生成分析报表对检查结果进行汇总，提供不同类别、不同风险等级等因素的对比分析、趋势分析漏洞报告详细漏洞报告包括漏洞名、cve/cnnvd编号、类型、风险级别、漏洞描述、产生原因、修复建议等描述项数据库无害模拟渗透攻击在数据库的