一、背景
2014年5月4日廣東省國家安全機關獲悉,廣東近日破獲一起由境外間諜機關通過網路勾聯策反境內人員,竊取中國軍事祕密的案件,案犯李某因洩露機密級軍事祕密13份,祕密級軍事祕密10份,被判處有期徒刑10年。
2014年8月4日,一對加拿大籍夫婦因涉嫌竊取中國國家軍事和國防科研祕密而被丹東市國家安全域性審查。
2014年8月5,哈爾濱某高校在讀碩士因涉嫌洩密案而被捕。
近日,經中國國家領導人習近平批准中央軍委印發了《關於進一步加強軍隊資訊保安工作的意見》,其中提到軍隊要加強資訊保安的建設。今年以來,中國政府加緊對軍隊資訊保安的控制,加強網路資訊保安監控
計算機資訊網路、資訊系統在國防資訊化建設中的廣泛應用,給軍隊保密工作帶來了許多新情況、新問題,也使軍隊保密工作面臨著前所未有的機遇和挑戰。軍隊等涉密單位是國家祕密非常集中的領域,一直是竊密與反竊密,滲透於反滲透的主戰場。根據中央軍委頒發《關於加強新形勢下軍隊資訊保安保障工作的意見,》和國家保密局頒發《涉及國家祕密的資訊系統分級保護技術要求》等技術要求,大力發展系統保密技術,加強資訊系統安全,提高與資訊保安風險相抗衡的能力,堵塞洩密漏洞,已經成為國防資訊化建設中越來越重要的一個環節。
二、資料庫審計重要性
資料庫是任何商業和公共安全中最具有戰略性的資產,軍隊核心資料庫通常都儲存著軍事情報、武器研發、體系作戰等資訊,這些資訊一旦被洩露出去,對國家安全,社會穩定造成嚴重的危害,網際網路的急速發展使得資料庫資訊的價值及可訪問性得到了提升,也致使資料庫資訊資產面臨嚴峻的挑戰,目前行業內對資料庫保護最直接,最有效的產品就是資料庫審計系統。
1、核心資料庫風險分析
解放軍62159工程指揮部經過多年的資訊化建設,該部已經在作戰指揮和日常辦公上基本實現了資訊化,資訊網路已經成為我軍作戰指揮系統正常運轉的基礎設施。該部主要依靠內外網隔離、電磁防洩密、防火牆等技術手段、視訊監控系統、門禁系統、消防報警系統、查庫巡檢到位系統、鑰匙櫃管理系統、周界入侵報警系統相關制度條例以及安全意識來保障核心資料的安全。
通過對放軍62159工程指揮部資訊化系統的分析,資料庫資訊資產面臨嚴峻的挑戰,概括起來主要表現在以下三個層面:
管理層面:
主要表現為人員的職責、流程有待完善,內部員工的日常操作有待規範,第三方維護人員的操作監控失效等等,致使安全事件發生時,無法追溯並定位真實的操作者;
資料庫維護人員對業務系統的誤操作,惡意操作,許可權濫用等行為無法做到全面的審計。
非法對資料庫訪問許可權授權,對重要資料隨意獲取、更改,破壞。
技術層面:
現有的資料庫內部操作不明,無法通過外部的任何安全工具(比如:防火牆、IDS、IPS等)來阻止內部使用者的惡意操作、濫用資源和洩露機密資訊等行為。
黑客攻擊,網路中總是存在各種安全漏洞,因此黑客的攻擊行為是威脅資料安全的一大隱患。黑客攻擊網路的目的通常是擾亂系統正常執行或者竊取重要的軍事機密。
黑客慣常使用的攻擊手段為:
◆竊聽-即黑客通過截獲通訊通道上的重要資料並破譯來達到竊取使用者機密的目的;
◆重發攻擊-黑客為達到影響系統正常執行的目的,而將竊聽得到的資料經過篡改之後重新發回伺服器或者資料庫使用者;
◆迂迴攻擊-黑客掌握運營商資料庫系統的安全漏洞之後,繞過資料庫系統而直接訪問機密資料;
◆假冒攻擊-黑客先是採取傳送大量無意義的報文而堵塞伺服器和客戶終端的通訊埠以後,再通過假冒該客戶或者該伺服器的方法來非法操作資料庫系統;
◆越權攻擊-黑客屬於一個合法使用者,但是其通過某種手段使自己去訪問沒有得到授權的資料。
審計層面:現有的依賴於資料庫日誌檔案的審計方法,存在諸多的弊端,比如:資料庫審計功能的開啟會影響資料庫本身的效能、資料庫日誌檔案本身存在被篡改的風險,難於體現審計資訊的真實性。
伴隨著資料庫資訊價值以及可訪問性提升,使得資料庫面對來自內部和外部的安全風險大大增加,如違規越權操作、惡意入侵導致機密資訊竊取洩漏,但事後卻無法有效追溯和審計。
軍隊洩密事件的集中爆發也印證傳統的防護手段漏洞,根據解放軍62159工程指揮部實際情況,一個完整的資料安全防護體系應該是:
資料庫審計系統是最貼近資料,也是資料安全防護體系最後,且必不可少的一環。
通過資料庫審計系統,一、讓管理者實時全面瞭解資料庫實際發生的操作情況;二、在可疑行為發生時可以自動啟動預先設定的告警流程,儘可能防範資料庫風險的發生;三、一旦發生非法操作,觸發事先設定好的防禦策略,實現主動防禦,因此,如何採取一種可信賴的綜合途徑,確保資料庫活動記錄的100%捕獲是極為重要的,任何一種遺漏關鍵活動的行為,都會導致資料庫安全上的錯誤判斷,同時便於事後追查原因與界定責任。
三、資料庫審計方案介紹
1、概述
目前行業內資料庫種類繁多,資料庫審計系統支援對Oracle、MS-SQL 、DB2、MYSQL、Sybase、CACHE等常見資料庫的審計。軍隊資訊化系統的核心資料庫不管採用什麼型別的資料庫,資料庫審計系統都可對其全面監控,將核心資料保護起來。
資料庫審計系統是基於DPI+DFI技術的資料庫審計系統,對來自應用系統客戶端和DBA對資料庫的訪問行為進行全面審計,不僅針對SQL語句,還可以對FTP、TELETN等遠端訪問進行審計。審計系統能詳細記錄查詢、刪除、增加、修改等行為及操作結果,對危險操作還可以實時預警,從而達到保護資料庫的良好效果。
2、系統架構
資料庫審計系統包括兩大平臺:基礎平臺和業務平臺。
基礎平臺是從系統底層來劃分,分別為:系統硬體平臺;安全的作業系統;深度報文檢測機制等業務平臺是從使用者操作來劃分,分別為:系統配置;規則策略配置;審計管理等。
3、部署方式
資料庫審計系統旁路部署在指揮部資訊中心,不需要再資料庫伺服器上安裝外掛,不影響現有網路和業務系統的結構。
4、資料庫審計系統帶來的價值
(1)響應中央軍委和保密局的要求
響應中央軍委頒發《關於加強新形勢下軍隊資訊保安保障工作的意見》和保密局《涉及國家祕密的資訊系統分級保護技術要求》,完善組織的IT內控體系,從而滿足各種合規性要求,並且使組織能夠順利通過IT審計。
(2)有效減少核心資訊資產的破壞和洩露
通過使用資料庫安全審計系統,能夠加強對資料庫的審計,快速發現風險並防範,從而有效地減少對核心資訊資產的破壞和資料洩露。
(3)追蹤溯源
便於事後追查原因與界定責任 負責運維的部門通常擁有資料庫管理系統的最高許可權(掌握DBA賬號的口令),因而也承擔著很高的風險(誤操作或者是個別人員的惡意破壞)。審計系統能夠幫助進行事後追查原因與界定責任。
(4)直觀掌握業務系統執行的安全狀況
軍隊資訊化系統的正常執行需要一個安全、穩定的網路環境。對管理部門來說,網路環境的安全狀況事關重大。資料庫審計系統提供業務流量監控與審計事件統計分析功能,能夠直觀地反映網路環境的安全狀況。
(5)實現獨立審計
完善IT內控機制從內控的角度來看,系統的使用權、管理權與監督權必須三權分立。審計系統實現獨立審計,幫助監督人員獲得有效的技術手段,從而完善軍隊IT內控機制。
原作者: 昂楷科技