DB-SES数据库安全访问中间件.pdfVIP

DB-SES 数据库安全访问中间件 技术白皮书 目 录 1. 产品简介 1 2. 产品安全特性 2 3. 性能与易用性 6 4. 产品体系结构 7 5. 部署方案 9 6. 支持平台 12 7. 性能测试数据 13 数据库安全访问中间件 1. 产品简介 随着计算机技术的飞速发展，数据库的应用十分广泛，深入 到各个领域。但随之而来产生了数据的安全问题。数据库系统作 为信息的聚集体，是计算机信息系统的核心部件，其安全性至关 重要。小则关系到企业兴衰、大则关系到国家安全。 在涉密单位或者大型企业中，广泛的实施了安全防护措施， 包括机房安全、物理隔离、防火墙、入侵检测、加密传输身份认 证系统等等。但是数据库的安全问题却一直得不到应有的重视。 同时，之前的市场上也缺乏有效的数据库安全增强产品。这就致 使数据库及其应用系统在安全方面普遍存在一些安全隐患。其中 比较严峻的几个方面表现在： 由于国内只能购买到C2 安全级别的数据库安全系统，该类系 统采用自主访问控制（DAC ）模式，DBA 角色能拥有至高 的权限，权限可以不受限制的传播。这就使得获取 DBA 角色的权限成为攻击者的目标。一旦攻击者获得 DBA 角 色的权限，数据库将对其彻底暴露，毫无任何安全性可言 数据库系统是一个复杂的系统，根据已经公布的资料，数 据库存在许多漏洞，其中不少是致命的缺陷和漏洞。号称 拥有全球最安全的数据库产品的Oracle 公司在2006 年1 月发布了其季度安全补丁包，该补丁包修补了多个产品中 1 数据库安全访问中间件 的 80 多个漏洞。其中不少漏洞可以非常容易地被黑客利 用，一旦遭到攻击将给用户造成严重影响 数据库及其应用系统每天都可能受到包括 SQL 注入攻击 在内的广泛的攻击。攻击者利用应用程序设计中的漏洞， 对数据库系统发起攻击，获得不应该具有的权限，甚至下 载整个数据库文件，给数据库的安全造成严重威胁 C2 级数据库采用基于口令的认证方式。本身缺乏有效的 登录口令管理机制，口令更换周期长，使用复杂口令很困 难，口令泄露的风险大 由于C2 级商业数据库管理系统在上述各个安全方面的不可 信，攻击者可能通过非正常途径来访问数据库，破坏系统的安全 性。 为增强数据库系统的安全，本产品在应用系统和数据库之间 增加一个透明中间件，来屏蔽数据库系统的访问入口。所有用户， 包括 DBA ，必须通过中间件才能对数据库进行访问或管理。中 间件提供透明代理、多重安全认证、完全独立的授权管理、动态 密码（辅助登录）等功能，达到牢牢控制数据库入口的目的。 2. 产品安全特性 1、屏蔽用户和应用程序直接访问数据库所有通道和隐通道 部署中间件之前，应用服务器和用户直接连接到数据库服务 器，如下图所示： 2 数据库安全访问中间件 由于数据库服务器直接与用户和应用服务器连接并提供服 务，极易受到形形色色的攻击。并且数据库系统存在的未知的隐 通道，也很容易被攻击者利用。 数据库服务器通常采用默认的端口，比如Oracle 的1521 端 口，SQL SERVER 的1433 端口。攻击者可以轻易的扫描这些端 口，得知数据库的类型，进而进行攻击。 部署中间件之后，中间件介于数据库服务器和应用服务器之 间，如下图所示： 3 数据库安全访问中间件 数据库服务器与应用程序之间通过中间件进行隔离。