随着網絡信息化的(de)發展，企業組織對網絡安全的(de)關注，由物理(lǐ)安全、邊界安全和(hé)系統安全，已逐漸轉移到業務安全和(hé)數據安全，業務數據的(de)安全防護成本已占到企業組織IT預算成本的(de)一(yī)半以上。特别在新時代新形勢新業态的(de)互聯網安全中，信息安全部門已逐步成為(wèi)企業組織的(de)一(yī)級部門，企業數據已經成為(wèi)組織核心資産，針對數據的(de)保護已寫入企業的(de)基本戰略。

       企業對數據資産的(de)安全防護存在多項工作:數據備份安全、數據存儲安全、數據脫敏及加密等。在以可(kě)用性為(wèi)主的(de)業務安全觀點人群中，大多數還沒有(yǒu)完全理(lǐ)解數據庫安全的(de)重要性，而據前瞻性統計發現，越來越多的(de)企業信息安全負責人開始将數據庫安全細分領域列入自(zì)己的(de)備忘清單。業務連續性為(wèi)企業組織的(de)根本核心，而業務安全和(hé)數據安全是企業長(cháng)久發展的(de)安全保障，在以企業數據資産為(wèi)核心競争力的(de)當下，數據庫作為(wèi)企業組織“核心競争力”--數據資産--的(de)容器，承載了企業核心數據，成為(wèi)業務運行(xíng)和(hé)數據保護的(de)基礎設施，解決數據庫的(de)安全防禦問題已躍至CTO/CIO的(de)工作內(nèi)容象限的(de)榜首。

一(yī)、數據庫面臨哪些安全威脅

       企業組織的(de)數據庫體系，不僅僅是數據庫軟件平台本身，不會流動的(de)數據沒有(yǒu)意義，當我們(men)考慮數據庫安全的(de)時候，顯然我們(men)需要合理(lǐ)評估數據庫的(de)受攻擊面大小；數據庫訪問涉及的(de)認證、授權和(hé)審計問題；由于開發人員疏忽帶來的(de)軟件漏洞和(hé)運維人員的(de)管理(lǐ)不善導緻的(de)潛在風險等，不難發現在實際運維中，各種各樣的(de)風險都可(kě)能産生并帶來可(kě)怕的(de)後果。筆(bǐ)者實驗室通過收集各漏洞平台及企業安全運營者的(de)反饋數據庫安全信息，參考OWASP TOP 10制定了數據庫應用防禦的(de)十大數據庫風險威脅列表。

二、數據庫安全風險是否會發生

       答案就是墨菲定律，它闡述了一(yī)個事實：如(rú)果事情有(yǒu)變糟糕（發生）的(de)可(kě)能，不管這種可(kě)能性有(yǒu)多小，它總會發生。

       墨菲（Edward A. Murphy）是美國(guó)愛德華茲空軍基地(dì)的(de)上尉工程師。1949年(nián)，他和(hé)他的(de)上司斯塔普少校，在一(yī)次火箭減速超重試驗中，因儀器失靈發生了事故。墨菲發現，測量儀表被一(yī)個技術人員裝反了。由此，他得出的(de)教訓是：如(rú)果做(zuò)某項工作有(yǒu)多種方法，而其中有(yǒu)一(yī)種方法将導緻事故，那麽一(yī)定有(yǒu)人會按這種方法去(qù)做(zuò)。

        在事後的(de)一(yī)次記者招待會上，斯塔普将其稱為(wèi)“墨菲法則”，并以極為(wèi)簡潔的(de)方式作了重新表述：凡事可(kě)能出岔子(zǐ)，就一(yī)定會出岔子(zǐ)。墨菲定律的(de)适用範圍非常廣泛，它揭示了一(yī)種獨特的(de)社會及自(zì)然現象。它的(de)極端表述是：如(rú)果壞事有(yǒu)可(kě)能發生，不管這種可(kě)能性有(yǒu)多小，它總會發生，并造成最大可(kě)能的(de)破壞。

       此定律在技術界同樣适用，并不是我要将其強加在數據庫安全領域，隻因為(wèi)它道(dào)出了一(yī)個法則，即安全風險必将由可(kě)能性變為(wèi)突發性。

三、以墨菲定律分析數據庫安全

        通過墨菲定律來觀察數據庫入侵防禦，我們(men)要持以積極的(de)态度，既然數據庫安全風險不可(kě)避免，那我們(men)一(yī)定要順應必然性，積極應對，做(zuò)好事件應急和(hé)處置。在數據庫安全防禦方面，要科(kē)學(xué)合理(lǐ)規劃全面積極的(de)應對方案，必須做(zuò)到事前主動防禦、事中及時阻斷、事後完整審計。

根據墨菲定律可(kě)總結對數據庫入侵防禦的(de)啓示：

一(yī)、不能忽視(shì)數據庫風險小概率事件   

       雖然數據庫安全事件不斷發生，但仍有(yǒu)一(yī)定數量的(de)安全負責人認為(wèi)，企業安全防護已經從物理(lǐ)層、網絡層、計算主機(jī)層、應用層等進行(xíng)了多重防禦，網絡邊界嚴格準入控制，外部威脅情報和(hé)內(nèi)部态勢感知系統能完美配合，業務數據早已經過層層保護，安全威脅不可(kě)能被利用發生數據庫安全事件。

       而現實情況是：由于小概率事件在一(yī)次實驗或活動中發生的(de)可(kě)能性很小，因此，就給人一(yī)種錯誤的(de)理(lǐ)解，即在一(yī)次活動中不會發生。與事實相反，正是由于這種錯覺，加大了事件發生的(de)可(kě)能性，其結果是事故可(kě)能頻繁發生。雖然事件原因是複雜的(de)，但這卻說明小概率事件也會常發生的(de)客觀事實。

       墨菲定律正是從強調小概率事件的(de)重要性的(de)角度啓示我們(men)：雖然數據庫安全風險事件發生的(de)概率很小，但在入侵防禦體系活動中，仍可(kě)能發生且必将發生，因此不能忽視(shì)。

二、在數據庫安全中積極應用墨菲定律   

1、強化數據庫入侵防禦的(de)安全認知

       數據庫已經成為(wèi)企業安全防護的(de)核心，認識數據庫安全威脅事件可(kě)能發生的(de)必然性，預防數據庫不安全狀态的(de)意外性事件發生，必須要采取事前預防措施，從網絡層、應用層和(hé)數據庫層，涵蓋業務系統（中間件）和(hé)運維DBA，全面管控，提前謀劃。既然數據庫入侵事件無可(kě)避免，那一(yī)定要保證完整原始的(de)數據庫訪問記錄，以供審計取證留存證據，做(zuò)到有(yǒu)據可(kě)查。

2、規範安全管理(lǐ)，正确認識數據庫安全控制

       安全管理(lǐ)的(de)目标是杜絕事故的(de)發生，而事故是一(yī)種不經常發生的(de)意外事件，這些意外事件發生的(de)概率一(yī)般比較小，由于這些小概率事件在大多數情況下不發生，所以，往往管理(lǐ)疏忽恰恰是事故發生的(de)主觀原因。墨菲定律告誡我們(men)，數據庫及業務數據的(de)安全控制不能疏忽。要想保證數據庫安全，必須從基礎做(zuò)起，對數據庫的(de)基本安全配置，要形成統一(yī)的(de)安全基線，對數據庫的(de)訪問行(xíng)為(wèi)要做(zuò)到“白名單化”，采取積極的(de)預防方法和(hé)措施，避免意外的(de)事件發生。

3、轉變觀念，數據庫入侵防禦變被動為(wèi)主動

       傳統安全管理(lǐ)是被動的(de)安全管理(lǐ)，是在安全管理(lǐ)活動中采取安全措施或事故發生後，通過總結教訓，進行(xíng)“亡羊補牢”式的(de)管理(lǐ)。随着IT網絡技術迅速發展，安全攻擊方式不斷變化，新的(de)安全威脅不斷湧現，發生數據庫安全事件的(de)誘因增多，而傳統的(de)網絡型入侵防禦系統模式已難于應付當前對數據庫安全防禦的(de)需求。為(wèi)此，不僅要重視(shì)已有(yǒu)的(de)安全威脅，還要主動地(dì)去(qù)識别新的(de)風險，主動學(xué)習，模态分析，及時而準确的(de)阻斷風險活動，變被動為(wèi)主動，牢牢掌握數據庫入侵防禦的(de)主動權。

三、正确認識數據庫入侵防禦系統   

1、數據庫入侵防禦系統串聯與并聯之争

       數據庫入侵防禦系統，可(kě)以通過串聯或旁路部署的(de)方式，對業務系統與數據庫之間的(de)訪問行(xíng)為(wèi)進行(xíng)精确識别、精準阻斷。不僅如(rú)此，合理(lǐ)使用還能具有(yǒu)事前主動防禦和(hé)事後審計追溯的(de)能力。

        不過，部分用戶認為(wèi)旁路的(de)阻斷行(xíng)為(wèi)效果不佳，而串聯進網絡實現實時阻斷，又擔心影響業務訪問時。

        串聯模式部署在業務系統與數據庫中間，通過流量協議解碼對所有(yǒu)SQL語句進行(xíng)語法解析，審核基于TCP/IP五元組（來往地(dì)址、端口與協議）、準入控制因素和(hé)數據庫操作行(xíng)為(wèi)的(de)安全策略，結合自(zì)主動态建模學(xué)習的(de)白名單規則，能夠準确識别惡意數據庫指令，及時阻斷會話或準确攔截惡意操作語句。串聯模式部署最大風險在于不能出現誤判，否則影響正常語句通過，此必需要系統的(de)SQL語句解析能力足夠精确，并且能夠建立非常完善的(de)行(xíng)為(wèi)模型，在發現危險語句時，能夠在不中斷會話的(de)情況下，精準攔截風險語句，且不影響正常訪問請求。因此，若想數據庫入侵防禦系統發揮最佳效果，必須串聯在數據庫的(de)前端，可(kě)以物理(lǐ)串聯（透明橋接）或邏輯串聯（反向代理(lǐ)）。

        旁路部署模式，目前的(de)常用方式是通過發送RESET指令進行(xíng)強行(xíng)會話重置，此部署方式在較低(dī)流量情況下效果最佳。如(rú)在業務系統大并發情況下，每秒鍾SQL交易量萬條以上，這種旁路識别阻斷有(yǒu)可(kě)能出現無法阻斷情況，且會出現延遲。有(yǒu)可(kě)能因為(wèi)延遲，阻斷請求發送在SQL語句執行(xíng)之後，那麽反倒影響了正常業務請求。所以在高(gāo)并發大流量場景下，如(rú)果要實現實時精準阻斷攔截效果，就要求數據庫入侵防禦系統具有(yǒu)超高(gāo)端的(de)處理(lǐ)性能。

       至于串聯部署還是旁路部署更為(wèi)合适，需要匹配相應的(de)業務系統場景。數據庫入侵防禦系統最終奧義是它的(de)防禦效果，即對風險語句的(de)精準阻斷能力。通過墨菲定律對比分析，旁路部署有(yǒu)阻斷請求的(de)可(kě)能性則必然會發生。而串聯存在影響業務訪問的(de)擔憂，那它始終都會發生，而正視(shì)這種風險，讓我們(men)對數據庫入侵防禦系統的(de)精準阻斷能力有(yǒu)更高(gāo)要求，盡可(kě)能将這種風險降到最低(dī)。

2、數據庫入侵防禦系統串聯實時同步阻斷與異步阻斷之争

       相對數據庫入侵防禦系統的(de)串并聯之争來講，串聯實現同步阻斷與異步阻斷更為(wèi)細分，市(shì)面上存在兩類串聯的(de)數據庫入侵防禦系統；

        一(yī)類就是以IBM Guardium為(wèi)代表的(de)本地(dì)代理(lǐ)引擎在線監聽異步阻斷，當有(yǒu)危險語句通過代理(lǐ)到DBMS時，代理(lǐ)會将內(nèi)容信息副本發至分析中心，由中心判斷是否違法或觸犯入侵防禦規則，進而給代理(lǐ)程序發出阻斷指令，很顯然這種部署的(de)好處是不局限與數據庫的(de)網絡環境，IP可(kě)達即可(kě)，而壞處就更明顯了，那就是Agent與Center通信期間，SQL訪問是放行(xíng)的(de)，也就是如(rú)果在前面幾個包就出現了緻命攻擊語句，那麽這次攻擊就會被有(yǒu)效執行(xíng)，即防禦體系被有(yǒu)效繞過。

        另一(yī)類就是以國(guó)內(nèi)廠商(shāng)帕拉迪為(wèi)代表的(de)串聯實時同步阻斷，當有(yǒu)危險語句通過串聯數據庫入侵防禦系統時，入侵防禦系統若監測到風險語句，立馬阻斷；無風險的(de)語句放行(xíng)，這種模式及立馬分析立馬判斷。也很顯然，這種部署模式的(de)好處是小概率事件或預謀已久的(de)直接攻擊語句也會被實時阻斷；而壞處也非常明顯，那就是處理(lǐ)效率，如(rú)果數據庫入侵防禦系統處理(lǐ)效率不行(xíng)，就會出現排隊等待的(de)狀态，進而對業務的(de)連續性造成影響。關鍵就是要把握這個平衡點，至少要達到無感知，這個點的(de)取舍就取決于各個數據庫安全廠商(shāng)處理(lǐ)SQL語句的(de)算法能力了。

四、結束語   

       墨菲定律并不複雜，将它應用到數據庫入侵防禦領域，揭示了在數據庫安全中不能忽視(shì)的(de)小概率風險事件，要正視(shì)墨菲定律轉為(wèi)積極響應，應充分理(lǐ)解墨菲定律，抵制“數據庫層層保護不存在風險”、“别人都是這樣做(zuò)”、“數據庫入侵防禦系統并聯不會誤阻斷”等錯誤認識，牢記隻要存在風險隐患，就有(yǒu)事件可(kě)能，事件遲早會發生，我們(men)應當杜絕習慣性認知，積極主動應對數據庫安全風險。