数据库安全之高校SQL注入根治方案
近来教育行业的信息安全问题真是一波未平一波又起:陆续发生多个高校网站网页被篡改,甚至发生在G20会议期间,影响恶劣;高校密集被爆SQL注入漏洞,涉及80%以上的高校;教育行业成为电信诈骗的重灾区,据统计,被骗学生占全部被骗人数的20%左右,甚至发生了大学生和马上要进入大学的高三毕业生被骗导致含恨离世的人间惨剧;考试成绩被改,涉事人员被判;学校内部一卡通系统账目被改动;以及诸多尚未公开的安全事件。
其中SQL注入漏洞问题,其实是与多个安全事件关联的。比如,黑客利用SQL注入漏洞拖库,造成数据泄漏,黑客由此掌握大量真实数据,倒卖给黑产,被用于实施电信诈骗。或者,SQL注入漏洞被利用,替换数据库内容,造成财物损失,破坏数据一致性和真实性,或者间接控制文件系统,篡改网站系统。
所以,防治SQL注入漏洞,是高校信息安全的重点工作,也是能够迅速提升信息安全水平,尤其是数据安全水平的举措。
高校成立了信息安全联盟,及时的通报包括SQL注入漏洞在内的各种安全漏洞,但是SQL注入漏洞还是层出不穷,据分析,困难在于如下方面:
(1)意识方面,对SQL注入漏洞威胁的后果严重程度认识不足;
(2)对SQL注入防治的手段了解不多,希望借助修改网站系统漏洞或者部署WAF来解决。但是网站系统的漏洞是不可能通过发现一个补一个的方式补全的,而且绕过WAF的方式也有很多种;
(3)学校内部网站众多,系统分散,数据分散,很多系统由校内师生开发,安全测试的强度和广度严重不够;
(4)安全运维人力普遍严重不足,WAF等安全产品的规则配置质量难以保证。
总体思路是:采用系统安全扫描+WAF+数据库防火墙的解决方案,根治SQL注入漏洞。
(1)采用Web漏洞扫描工具,检测网站系统是否存在SQL注入漏洞,在系统上线前尽量消除这些漏洞;
(2)部署WAF,设置网站访问规则,部分阻止SQL注入漏洞;
(3)部署数据库防火墙。由于SQL注入特征在数据库访问SQL语句上会被放大,从而,在数据库前端部署数据库防火墙,通过设置网站系统访问数据库的细粒度规则,理论上能够根治SQL注入漏洞。数据库防火墙防治SQL注入漏洞的原理如下图所示,在该图中,在一个具有SQL漏洞的网站系统上进行SQL注入攻击的输入,在访问数据库的语句模式上发生了很大的变化,数据库防火墙能够检测这些变化并进行阻止。
该方案成败的一个关键点在于数据库防火墙的规则配置。如果没有配置出合理有效的规则,数据库防火墙的防护能力将会大打折扣。针对教育行业,尤其是高校中信息系统运维人员较少的现实情况,又对规则配置的简单易用性提出了很高的要求。鉴于此,数据库防火墙应该应提供基于自动学习的规则配置方式,实现规则零配置。
该方案成败的另一关键点是部署方式。因为在教育行业,尤其是高校,还有一个实际问题就是系统众多且分散。根据教育行业等保定级指导意见,高校信息系统中涉及敏感信息的系统有几十个之多。如果完全采用硬件方式的数据库防火墙,将给实际的部署以及采购成本带来压力。所以数据库防火墙最好能够同时以硬件和软件的方式运行于学校现有服务器或虚拟环境(云环境)之上,从而极大减少方案的实施成本。
方式一:硬件方式。将数据库防火墙硬件产品部署于数据库之前,形成对数据库中核心数据的保护。如果有多个数据库,可以用一台数据库防火墙保护多台数据库系统,并且最好采用双机热备的方式。
方式二:软件方式。将数据库防火墙以软件或者虚拟机的方式部署于独立的硬件之上,部署在数据库前端,形成对数据库中核心数据的保护。这种方案既适用于传统环境,又适用于虚拟环境和云环境。
方式三:部署于数据库服务器。在数据库服务器上安装数据库防火墙软件或者虚拟机,直接保护数据库中的核心数据。这种方式适用于分散的网站系统。
中安威士数据库防火墙是先进的数据库防火墙产品,最早的版本发布于2007年,并获得保密局认证证书。产品具有规则的自动学习能力,能够自动识别合法的访问,并生成行为基线。得益于内部的大数据架构,产品的实时处理能力达到1万-5万SQL/秒,并具有同等速率的入库能力。产品的TCP新建能力超过>1.5W/s,TCP并发超过200W。产品支持标准硬件形态和虚拟机形态的部署方式。产品具有近千条SQL注入攻击特征以及数据库虚拟补丁特征。以上特性,使得中安威士数据库防火墙成为高校SQL注入防治的首选产品。