墨菲定律视角下的数据库入侵防御

作者：汉领信息 两块

企业对数据资产的安全防护存在多项工作，数据备份安全、数据存储安全、数据脱敏及加密……以可用性为主的业务安全观点人群中，大多还没有完全理解数据库安全的重要性，而据前瞻性统计发现，越来越多的企业信息安全负责人开始将数据库安全细分领域列入自己的备忘清单。业务连续性为企业组织的根本核心，而业务安全和数据安全是企业长久发展的安全保障，在以企业数据资产为核心竞争力的现下，数据库作为企业组织“核心竞争力”–数据资产–的容器，承载了企业核心数据，成为业务运行和数据保护的基础设施，数据库的安全防御问题已跃至CTO/CIO的工作内容象限的榜首。

企业组织的数据库体系，不仅仅是数据库软件平台本身，不会流动的数据没有意义，当我们考虑数据库安全的时候，显然我们需要合理评估数据库的受攻击面大小，数据库访问涉及的认证、授权和审计问题，由于开发人员疏忽带来的软件漏洞和运维人员的管理不善等。各种各样的风险都可能产生并带来可怕的后果，笔者实验室通过收集各漏洞平台及企业安全运营者的反馈数据库安全信息，参考OWASP TOP 10制定了数据库应用防御的十大数据库风险威胁列表。

十大数据库安全威胁（DB Vuln Top 10）

1 权限滥用

2 特权提升

3 数据库软件漏洞

4 SQL注入

5 审计记录缺失

6 拒绝服务

7 通信协议漏洞

8 身份验证不足

9 敏感数据泄露

10 安全配置不规范

答案就是墨菲定律，它阐述了一个事实：如果事情有变糟糕（发生）的可能，不管这种可能性有多小，它总会发生。

此后在技术界也不胫而走，并不是我要将其强加在数据库安全领域，因为它道出了一个法则，即安全风险必将由可能性变为突发性的事实。

从墨菲定律来观察数据库入侵防御，我们要持以积极的态度，既然数据库安全风险一定会发生，那我们一定要顺应必然性，积极应对，做好事件应急和处置。在数据库安全防御方面来说，要科学合理规划全面积极的应对方案，必须做到事前主动防御、事中及时阻断、事后完整审计。

根据墨菲定律可总结对数据库入侵防御的启示：

1 不能忽视数据库风险小概率事件

虽然数据库安全事件不断发生，但仍有一定数量的安全负责人认为，企业安全防护已经从物理层、网络层、计算主机层、应用层等进行了多重防御，网络边界严格准入控制，外部威胁情报和内部态势感知系统能完美配合，业务数据早已经过层层保护，安全威胁不可能被利用发生数据库安全事件。

由于小概率事件在一次实验或活动中发生的可能性很小，因此，就给人一种错误的理解，即在一次活动中不会发生。与事实相反，正是由于这种错觉，加大了事件发生的可能性，其结果是事故可能频繁发生。虽然事件原因是复杂的，但这却说明小概率事件也会常发生的客观事实。

墨菲定律正是从强调小概率事件的重要性的角度启示我们，虽然数据库安全风险事件发生的概率很小，但在入侵防御体系活动中，仍可能发生且必将发生，因此不能忽视。

2 在数据库安全中积极应用墨菲定律

1）强化数据库入侵防御的安全认知

数据库已经成为企业安全防护的核心，预防数据库不安全状态的意外性事件发生，认识数据库安全威胁事件可能发生的必然性，必须要采取事前预防措施，从网络层、应用层和数据库层，涵盖业务系统（中间件）和运维DBA，全面管控，提前谋划。既然数据库入侵事件无可避免，那一定要保证完整原始的数据库访问记录，以供审计取证留存证据，做到有据可查。

2）规范安全管理，正确认识数据库安全控制

安全管理的目标是杜绝事故的发生，而事故是一种不经常发生的意外事件，这些意外事件发生的概率一般比较小，由于这些小概率事件在大多数情况下不发生，所以，往往管理疏忽恰恰是事故发生的主观原因。墨菲定律告诫我们，数据库及业务数据的安全控制不能疏忽。要想保证数据库安全，必须从基础做起，对数据库的基本安全配置，要形成统一的安全基线，对数据库的访问行为要做到 “白名单化”，采取积极的预防方法和措施，消除意外的事件发生。

3）转变观念，数据库入侵防御变被动为主动

传统安全管理是被动的安全管理，是在安全管理活动中采取安全措施或事故发生后，通过总结教训，进行“亡羊补牢”式的管理。随着IT网络技术迅速发展，安全攻击方式不断变化，新的安全威胁不断涌现，发生数据库安全事件的诱因增多，而传统的网络型入侵防御系统模式已难于应付当前对数据库安全防御的需求。为此，不仅要重视已有的安全威胁，还要主动地去识别新的风险，主动学习，模态分析，及时而准确的阻断风险活动，变被动为主动，牢牢掌握数据库入侵防御的主动权。

1 数据库入侵防御系统串联与并联之争

数据库入侵防御系统，可以通过串联或旁路部署的方式，对业务系统与数据库之间的访问行为进行精确识别、精准阻断。不仅如此，合理使用还能具有事前主动防御和事后审计追溯的能力。

不过，部分用户认为旁路的阻断行为效果不佳，而串联进网络实现实时阻断，又担心影响业务访问时。

串联模式部署在业务系统与数据库中间，通过流量协议解码对所有SQL语句进行语法解析，审核基于TCP/IP五元组（来往地址、端口与协议）、准入控制因素和数据库 *** 作行为的安全策略，结合自主动态建模学习的白名单规则，能够准确识别恶意数据库指令，及时阻断会话或准确拦截恶意 *** 作语句。串联模式部署最大风险在于不能出现误判，否则影响正常语句通过，此必需要系统的SQL语句解析能力足够精确，并且能够建立非常完善的行为模型，在发现危险语句时，能够在不中断会话的情况下，精准拦截风险语句，且不影响正常访问请求。因此，若想数据库入侵防御系统发挥最佳效果，必须串联在数据库的前端，可以物理串联（透明桥接）或逻辑串联（反向代理）。

旁路部署模式，目前常用方式是通过发送RESET指令进行强行会话重置，此部署方式在较低流量情况下效果最佳。如在业务系统大并发情况下，每秒钟SQL交易量万条以上，这种旁路识别阻断有可能出现无法阻断情况，且会出现延迟。有可能因为延迟，阻断请求发送在SQL语句执行之后，那么反倒影响了正常业务请求。所以在高并发大流量场景下，如果要实现实时精准阻断拦截效果，就要求数据库入侵防御系统具有超高端的处理性能。

至于串联部署还是旁路部署更为合适，需要匹配相应的业务系统场景。数据库入侵防御系统最终奥义是它的防御效果，即对风险语句的精准阻断能力，从墨菲定律对比分析，旁路部署有阻断请求的可能性则必然会发生。而串联存在影响业务访问的担忧，那它始终都会发生，而正视这种风险，让我们对数据库入侵防御系统的精准阻断能力有更高要求，尽可能将这种风险降到最低。

2 数据库入侵防御系统串联实时同步阻断与异步阻断之争

相对数据库入侵防御系统的串并联之争来讲，串联实现同步阻断与异步阻断更为细分了，市面上存在两类串联的数据库入侵防御系统；

一类就是以IBM Guardium为代表的本地代理引擎在线监听异步阻断，当有危险语句通过代理到DBMS时，代理会将内容信息副本发至分析中心，由中心判断是否违法或触犯入侵防御规则，进而给代理程序发出阻断指令，很显然这种部署的好处是不局限与数据库的网络环境，ip可达即可，而坏处就更明显了，那就是agent与Center通信期间，sql访问是放行的，也就是如果在前面几个包就出现了致命攻击语句，那么这次攻击就会被有效执行，即防御体系被有效绕过。

另一类就是以国内厂商汉领信息为代表的串联实时同步阻断，当有危险语句通过串联数据库入侵防御系统时，入侵防御系统若监测到风险语句，立马阻断；无风险的语句放行，这种模式及立马分析立马判断。也很显然，这种部署模式的好处是小概率事件或预谋已久的直接攻击语句也会被实时阻断；而坏处也非常明显，那就是处理效率，如果数据库入侵防御系统处理效率不行，那就会出现排队等待的状态，业务的连续性就造成了影响。关键就是要把握这个平衡点，至少要达到无感知，这个点的取舍就取决于各个数据库安全厂商处理sql语句的算法能力了。

墨菲定律并不复杂，将它应用到数据库入侵防御领域，揭示了在数据库安全中不能忽视的小概率风险事件，要正视墨菲定律转为积极响应，应充分理解墨菲定律，抵制 “数据库层层保护不存在风险”、“别人都是这样做”、“数据库入侵防御系统并联不会误阻断” 等错误认识，牢记只要存在风险隐患，就有事件可能，事件迟早会发生，我们应当杜绝习惯性认知，积极主动应对数据库安全风险。

安华金和数据库审计在业界做的很好，支持30多种数据库类型的审计，基于协议分析、完全SQL解析、参数化匹配、长语句解析、多语句解析和应用关联技术，创造了业界准确的数据库审计产品，为审计记录、风险追踪提供了坚实的基础。而且产品基于数据库协议解析能力，大型审计记录分析运算入库时间小于30s，基于全文检索能力，亿级别数据规模单条记录查询响应时间小于10s，多途径的实时进行风险告警，保障风险发生时及时有效的通知，将风险控制在最小范围内；多维度的风险关联分析，审计的元素全面，强大的检索能力，使风险发生后能快速、准确定位，你也可以百度下。

2015容灾备份产品十大品牌

排名仅供参考（不分先后），实际选择要考虑您的服务器环境（ *** 作系统、数据库种类与数量）、数据量大小、实际需求等、安全级别、预算等，希望有助于您选择适合的产品与服务。

1、备特佳容灾备份系统

国产软件，北京和力记易科技有限公司的CDP容灾备份软件产品，适用于服务器端的容灾备份，还可以和适用于电脑端的PDM网络版备份产品集成到灾备一体机中，满足数据实时备份和业务连续性的应用级灾备需求。基于在容灾备份领域10多年的经验积累和对容灾备份技术与产品的专注研究，2016年该公司将推出灾备服务的业务模式，在提供全需求全平台容灾备份产品的基础上，提供专业优质的O2O服务。

2、Data Protector

进口软件，作为存储提供商的几大厂商之一的HP公司出品的一款NEAR CDP的产品，充分考虑了对磁带库的支持，不能实现实时备份以及任意回退，但是为了迎合客户需求，他们增加了业务的连续性保护，当数据备份到磁盘上时，可以快速的回复业务。HP在和存储设备整合上，无疑具有很大的优势。

3、SIMPANA

进口软件，专业的存储软件公司CommVault的旗舰产品，SIMPANA，里面包含了Galaxy和Quick Recovery两款产品。Galaxy是定位在数据保护上的产品，QuickRecovery加入了高可用的概念。它的产品概念依然延续了国外的标准，分为管理服务器、介质服务器和客户端代理。并且还提供对了NBU和TSM的兼容。

4、DG

Data Guard作为Oracle出品的针对Oracle数据库自身的备份工具，更注重的是数据库的高可用。它有2种standby模式，物理standby和逻辑standby。物理standby，库表结构一致，基于recover的恢复应用。逻辑standby数据一致（在支持的字段情况下，有些字段不支持，如NCLOB,LONG，LONGRAW，BFILE ，ROWID,UROW等），库表结构不一定一致，机遇与sql的应用（DDL、DML语句）。

5、DSG

国产软件，用个很流行的话来讲，DSG就是DG的山寨。DSG的开发人员具有DG的技术背景，但是目前的DSG仅做了逻辑Standby中的最大性能模式。DSG采用的是逻辑备份的处理模式，处理速度相对较低，且适应于Oracle数据库，回退功能也是依靠Oracle的归档日志。

6、CDP

飞康公司出品的NEAR CDP的产品，可以实现实时备份和业务接管回退等功能，还不能实现任意时间点的回退，只有255个快照恢复点，最新版本支持1024个点。严格意义上而言，虽然产品名称叫CDP但不是真正的CDP容灾备份产品。

7、浪擎

国产软件，浪擎主要有2个系列，一个是A系列，一个是D系列。A系列是具有备份和接管功能，但是实时性较差，延迟较长。D系列是备份恢复类软件，不能接管，不能任意时间点回退。浪擎的镜像产品已经可以做到实时备份，但是目前仅支持Microsoft SQL Server、Oracle、Sybase，且还未实现任意时间点回退。

8、爱数

作为目前国内发展最快的数据存储备份企业，爱数主要有四大产品：纯软传统备份产品、 PX系列一体机、VX一体机、容灾网管（不带存储的VX一体机）。爱数纯软传统备份产品还是定时备份策略，VX系列可以实时备份，但是无法任意时间回退，并且采用的是卷复制的技术，无法保证备份数据的完整性。

9、RecoverPoint

进口产品，EMC的备份产品主要有两个系列其一是Network系列；其二是RecoverPoint系列。Network系列和NBU的概念是一样的，也是策略性的数据保护方案。而RecoverPoint确是连续数据保护软件，只是采用了FPIT的回退。

10、NetVault

进口产品，Bakbone的NetVault定位和VERITAS的NBU是一样的，都是着眼于整个网络数据的保护和恢复。Bakbone在2009年5月6日收购了厂商Asempra。其工作模式也与NBU非常类似，一台装有LINUX *** 作系统的服务器作为控制服务器进行管理分配，将各个装有代理端的目标数据实时备份到在线设备。

现在数据库审计每个安全厂商都有了，我知道安华金和家的产品就很好，审计的全面、准确，部署灵活，能够能够应对复杂的IT环境，包括云、虚拟化及传统数据中心；审计策略规则灵活：允许用户根据自身需求，方便灵活的设置审计规则，例如自行定义哪些行为、对象的 *** 作需要审计，而哪些不需要审计等等，从而减少因大量无用审计记录带来的干扰，有效降低审计压力。与他家交流下细节吧。

还是不错的，发展比较快。

PingCAP 成立于 2015 年，是一家企业级开源分布式数据库厂商，提供包括开源分布式数据库产品、解决方案与咨询、技术支持与培训认证服务，致力于为全球行业用户提供稳定高效、安全可靠、开放兼容的新型数据服务平台，解放企业生产力，加速企业数字化转型升级。在帮助企业释放增长空间的同时，也提供了一份具有高度可参考性的开源建设实践样本。

相信开放的力量

从公司成立之初就将“开源”作为核心战略来推进，坚信开源是当今基础软件领域取得世界范围内成功的最佳路径。开源项目包括 TiDB、TiKV等，截至 2020 年底，公司在 CNCF 全球贡献榜中连续两年保持第六位，在中国企业中贡献排名高居第一。

以上就是关于墨菲定律视角下的数据库入侵防御全部的内容，包括:墨菲定律视角下的数据库入侵防御、国内比较好的数据库审计厂家有哪、国内国外分别有哪些容灾备份的软件厂商等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！