大家都知道一说到Oracle就想到数据库,因为数据库里存的是所有的企业最最关键的数据。那么如何保证这些数据安全、没有问题?也是各企业的重中之重。
如下是Oracle大中华区技术产品部总监冯葵先生,在F5 Networks高峰论坛给大家介绍的相关内容。
我们为什么要去不断地优化、提升IT计算基础架构的效率?为什么不断地去完善和想要提升更强有力的运营支撑呢?其实这一切的目的都是为了什么?业务应用,而业务应用的又是为实现什么目标,呢?大家有没有想到今天其实没有传统意义上的银行了,银行完全是运营在数据之上,其实今天的运营最后落地是落地在数据上面。如果今天回首去看今天IT当中什么是最重要的时候,今天系统停到可以重启,都可以用各种各样的方式去恢复,如果数据出问题就会面临很大的问题。我们怎么保护我们最核心的IT系统的安全,当然这个安全叫做信息安全或者叫数据的安全。
今天很多人讲,我在过去的多少年当中做了很多次有关安全的建设,但是大家有没有想过,今天的安全其实有两个很大的安全意义,一个是违法违规的安全建设,第二个是合法违规和法律操作,也就是说过去的时候我们所有的安全建设都是怎么样去防范违法违规的用户,或者是怀有各种企图的那些人去侵害我们的系统。所以我们做了应用安全、用户身份管理安全、做了检测安全,这个有点像我们生活当中,大家有没有想过,在路网上面做各种各样的红绿灯、管制、光探头,这个有点像网络安全。接下来是系统安全,楼宇安全,还有应用安全,每个人有什么样的职责,做什么事情,甚至管理到个人。
但是我们其实真真正正面临的安全,如果你家里的钱和企业的财富被触动的时候,也就是说黑客从网络到系统、到应用,真正侵入进来,如果没有碰到你的数据我们没有根本的损失,但是一旦触动我们的数据,损失就是根本。今天还有一点尤其从合规的角度,我们大家知道任何一个企业界的应用,任何一个上市公司,都面临了几方面基本的要求,一个是软件的安全的等级保护。大家知道,所有提供公共服务的门户基本上是五级,一定要做wap层面的安全防护。比如说金融、电信、政府的时候做到三级,要做到数据安全保护。还有作为上市公司,我们知道,企业内部管理基本规范。所以今天不管是从内、从外,从企业的利益保护的角度,和从市场合规的角度都有一个需求说,我们要加强不是传统的技术层面的安全,而是说我们要加强信息安全的建设。信息安全为什么越来越多的引起关注呢?这就是随着IT的建设,我们的信息资产,也就是当你的应用运行时间长的时候,今天你对它的依赖程度高,所以这个时间就有不同的人抱有不同的目的。可能从商业、从社会、从政治、从个人的抱负心不同的角度都会对数据充满好奇。
今天一旦发生信息安全问题的时候,可能是多方面,也可能包括这上面讲的,可能是企业形象的问题,可能经济的损失。所以这个时候就面临一个挑战,我们用一个什么样的方法去迎接今天的,我们所面临的信息安全的问题。这就有点像我们从事的路网的建设、楼宇的建设,家里安装防盗门窗的时候,一不留神,还得按一个保险柜,家里有一个有效的防护机制。这时候大家可以看到这个图,这个图是最经典的一个图,大家可以看到,其实最左侧的是WAP用户,他们通过应用访问后台,这时候引到数据库的时候这个当中就有几个层面的挑战。一个是那些人是真的用户吗?
他们的访问是真正合法吗?在这个过程中我们可以采用不同的解决方案,比如说今天下午F5的同事就是应用的安全解决方案。所以大家可以看到,在那边会从应用层面进行过滤,去避免一些违法违规的安全隐患。但是还有一点的话,一定会有一些人,或者有一些不良之图,还是出于他的特别的目的特别手段访问到数据库,这个时候是什么方法?这个我们马上谈到了,怎么构筑IT系统最核心的安全屏障,最后的屏障。这个时候就构成一个完整的解决方案,也就是站在这里跟大家交流。当我们从应用层到数据层建立一个立体的安全防护体系的话,我们就可以做到安全合规最大化。
之所以这么讲,就是因为当采用的WAP安全解决方案的时候,它的恢复把前端的日志、事件的情况会整合到Oracle的数据库防火墙。这时候就从前端到后端管理的层面上有一个视图,哪些应用的用户通过什么访问到后台的数据库,这时候在问题的追查上就有突破的优势,使得判断所有的安全隐患。任何事件的任何地点的情况都可以追溯,今天我听说过数据库、听说过防火墙,防火墙是在网络层面做到内外隔绝的数据的机制,数据库防火墙是到今天的一个软件,依靠软件的运行在PC的服务器上面,在这个当中实现了安全的隔绝,加强对数据库访问的审计或者是安全的管理。需要防火墙的时候它主要解决几个关键的问题,第一个,是当我发现一些刚才讲的恶意的、违规的、攻击性的行为,或者是一些误操作的行为的时候它能够有效地报警和时时阻断,能够追踪到任何人、任何事件,和他访问到数据库的什么样的信息。当做到这一点的时候,给我们带来最大的好处就是我不管原来你的安全体系建设多么完善,但是在最后一刻和最后,我们经常讲最后一公里,但是对系统的安全的侵害……所以大家看到,如果今天看架构的时候,所有应用的用户或者系统的用户,访问到后台的时候,我们可以做到,第一个什么样的场景是允许的?第一个,大家知道有的时候我对安全没有概念,我也不太懂什么是安全策略。
Oracle的数据库防火墙提供一个白名单,你只告诉我什么样的访问是允许的,比如说我的政府的客户,就觉得我今天是希望我的运维人员在上班八小时做一些基本的操作。比如说空间、备份等等这些事件,这时候如果有人到晚上还要到大机房做大规模的维护,做数据的导出的时候就不太靠谱,你晚上为什么会机房做这样的事情呢?这时候就定一个多因子的安全策略,从哪个IT,在什么时间允许做这些事件,之外的话我们就认为是违规的。所以你可以很方便地很轻松地制定,也就是什么是允许的。第二个什么行为都是记录,我们通过痕迹去做审计。还有一个就是即便是一个允许的动作,背后也可能对你系统造成侵害,我就做到时时的报警。
还有一个很有意思的技术特点,Oracle防火墙当中,大家知道,现在我们面临的网站的攻击也好,应用攻击也好,数据库的攻击都是存在一个情况,我封掉就行了。但是大家有没有知道,包括一些搜索引擎,他马上换另外一个IT,因为这是一到自动化的机制,他本身的目的就是对你的数据库应用进行扫描,去拿到他想拿到的东西。这个时候最聪明的做法不是阻断他,最聪明的办法是放在一个蜜罐里面去,所以我们事先可以制定一些策略,如果发现有人想拿我那些数据而通过违法违规的手段的时候,我给他什么样的回应,这时候他的小程序认为他就得手了,所以他就不会换另外一种方法来攻击你。另外一个我们可以做一个阻止。从实施来讲,很重要的是今天在市场上的所有数据产品,要么是做审计的,要么做监管,但是Oracle防火墙可以实现安全审计,又可以实安全监管,就是说你可以把它部署为叫审计模式,就是不作为全部的管理,但是把所有的访问行为记录下来,到时候你可以根据审计去看违法违规的采取什么样的行动。
还有一种是管理,也就是说当他发现危险的时候第一个去报警,第二个阻止这种行为的发生。所以白名单的好处可以让你快速地去部署说哪些访问是OK的,还有一些黑名单哪次什么样的访问是有危害的,你只要定义出来,这个安全策略马上部署出来。当白名单和黑名单联合在一起就可以实现安全策略的部署。所以大家可以看到,所有里面的所谓的管理的细节都会通过一个管理策略来。重要的是说,所有的管理的策略不依赖与你对安全的理解,而是在防火墙当中有一些,我们叫全世界最佳实践。其他客户在产品的实践当中累计的经验,这个就是属于一种我们叫做最佳实践,同时它是支持比如像我们现在讲的CTI也好,在数据库防火墙当中都是支撑的。
这边我举个图,跟大家分享一下,数据库防火墙怎么工作,可以有哪些好处?大家会看到有很多红色的,比如说现在有720次严重的报警。右侧是一个小时就产生了5130次的访问,接下来在这边左上角你会看到有很多在,这个很严重,你再一个生产环境要删掉的时候,这种操作无疑是高危的。其实我们看到一个小时,有5000多次访问,这个系统产生了11.9万的访问,但是你如果要是对每个11万条都去看的话有一个很庞大的工作量,这个时候就依赖于你的数据库的安全管理体系是不是有效识别,什么样的语句具有什么样的特点?所以我们的防火墙自动归类,这473个类里面有什么安全的特征。接下来还有右下角当中,有1261个出现语法错误,这个我现在给大家分享的都是一些实际的我们的客户场景,而且这些场景基本上在我们今天的市场当中我们所有的客户当中都存在,如果说到我不能叫严重,现实一点说,我所见到的所有银行的、保险的、政府的,包括公安系统的,包括交通运输和电信、电力,BOSS大学,基本上这些场景都是存在的,生产系统。
比如说出现语法错误的时候,生产环境不应该出现错误,这都是有人直接在访问数据库系统,在扫描,他就会产生这一类的错误。接下来这个5曲线,你只要装上,安装也非常简单,只要插上光盘两个小时,它自动就开始去学习,你现在系统的基本特点,有哪些语句,都来自哪些IT,都做什么样的访问,什么人在做什么样的访问,他有什么样的一些动作是危险的,哪些是合规合法的,接下来你可以去看有哪些用户,那些用户都来自哪些,去到那里,接下来对所有的用户的行为进行跟踪,通过什么样的方法,比如说通过GBC做一个什么样的语句呀?
还有做安全策略的部署,大家会看到,我们叫做红绿灯,你觉得哪一类人访问的话,你个人觉得想加强,你想完善的时候,你可以做设置。大家知道,TOPSQL这个就变成在系统当中最慢的语句,开销多少,被访问了多少次,你可以对你的数据库做调整。像这样的情况,你会看到有很多人、很多场景,那些人不管是因为敲错了还是什么原因,当超过三次的时候就会出现报警,还有如果很多人在批量地去抓你的敏感数据,比如你说有一些客户的数据产生了消存,对很多人来讲不管是从企业和个人的角度都有数据,所以当他去抓这些数据的时候不带条件的,这种访问方式其实对你的系统,尤其是对那些敏感的在后台可以捕捉到,把它作为一条审计系统记录下来。还有像这种删除都是很关键的,比如说像常数表不可能删掉的时候,这种删的操作其实也是被记录,还有失败的访问,同时SQL数据库的扫描,哪里有漏洞,这个时候就会产生一些错误。我们传统的方法是没有办法去识别的,我们只有像数据库防火墙那种方式去抓到访问。还有的时候有的后台,当出现违规违法,有权限的人做的小动作,他应用不能去改,所以调动看似正常,结果对他所做的动作是有利的。
另外一点,再一个生产环境当中,如果不是基于互联网的时候,你会发现你所有的IP运行了一段时间都固定下来了。你搞,比如说你说的网点来自固定的访问的时候,你都大概有哪些IP曾经访问,有哪些是合法的,这个在现实生活中是非常严重的情况。我们曾经在一个甚至一个公安的系统,有日本人在搞,你开放云应用给他的时候,我不想通过应用,我想拿到跟多的数据。
所以他就用各种各样的手段,或者是黑客的攻击行为。还有大家知道,我们永远生活再一个安全又不是完全安全的环境当中,说安全,我们今天的IT系统是够高性能、高可用性、可靠,但是随着你的应用,你的整个部署的架构,你还是会带来一些危险,就跟楼很坚固,但是它有门和窗,这时候就带来一些隐患,你还要去看,这个当中你的应用显得不好,应该不用就给别人带来门和窗,我们的防火墙就发现你的应用开发或者你的开发团队应用没有写好,他把这个都挑出来说,你在未来的维护当中应该去有所改善。SQL错误语句是非常严重的问题,不但撞墙,在墙上不断血液,如果说我来简单总结一下,今天如果我们过去是希望通过架构网络的安全、架构系统安全体系,建立个人用户访问安全体系,做单点登录,桌面安全等等等等的时候,大家千万不要忽略。今天其实所有的安全建设都是服务于什么?
都是服务于最后的信息安全。也就是今天所有的信息安全建设都是服务于家庭安全,有钱人家里都有保险柜,我的家里没有,在座的很多人家里就有保险柜,因为什么?就是因为你最后不担心别人进到你的楼里,也不担心别人进到你的家里,所以IT系统的根本损失就是来自你的数据的损失。
接下来我做一个总结,今天当你去看待我的整个信息安全体系的时候,一定是从应用到数据,应用安全,下午F5的同事会跟大家介绍,其实很多可以启动、可以激活,你在F5的安全模块,或者用其他的方式取得数据的安全。当然数据库的方式也可以用SQL的方式,其实我也在看好像界面上也有数据库防火墙,开玩笑讲,我们叫的那些商品化的工具通常不是非常有效的。为什么在安全的产品选择方面也要有特别明显的标准呢?这个就是说你做一般的建设的时候,但是安全的建设,这个就跟你的目的背离。
所以今天的安全,你要用企业级的方案,SQL今天做的话找数据库,确切来讲,对语句分析的能力是没有超越的。如果大家可以想,如果说今天在一个关键业务系统当中,百万分之一的时间误差,如果今天通常一个一天都是在几千万到上亿次的SQL访问的时候,一天当中你其实接收到误报和漏报的概率非常高。像在市场上买的东西要拿走,那是因为他不能有效识别对的和错的,这个工作量基本上是没有办法接受的,或者是不吭声。所以如果今天我们看到安全解决方案的时候,大家可以从硬件到软件,或者从应用一直到数据。
总结,大家一定要关注信息安全或者数据安全,而且高风险、高技术行业。如果大家看今年的SQL,也就是说我的IT建设建设到今天的时候,安全其实已经变成一个关键的因素。另外一点,我们的数据库防火墙可以支撑今天在市场当中所有的数据库,包括开元的SQL,其他的厂家在不同的数据库当中都是支持,还有一个好处,传统都是装在什么?探底,要装探针。今天只要一根网线,就可以有效地做到数据的跟帖、去解析当中有没有危险。它的好处能使你一夜之间,在很短的时间最大强度加强你的系统安全建设。
