数据库安全网关用户使用手册.docx

1、数据库安全网关用户使用手册数据库安全网关用户使用手册国家电网信息安全实验室2009 年 12月目 录1. 简介 11.1. 产品概述 11.2. 产品功能 12. 安装 22.1. 目标 22.1.1. 数据库安全加固系统配置 32.1.2. Oracle客户端配置 82.1.3. 使用数据库安全加固系统 83. 详细配置说明 113.1. ORACLE客户端配置 113.1.1. Oracle客户端通道的建立 113.2. 系统配置 123.2.1. 登录系统 123.2.2. 服务映射配置 123.2.3. 权限配置 133.2.4. 连接监控 153.2.5. 日志管理 153.3. 使

2、用数据库安全加固系统 163.3.1. 启动服务程序 163.3.2. 应用程序访问数据库 173.3.3. 连接监控 173.3.4. 日志管理 183.3.5. 密码管理 193.4. 管理员日志审计 194. 附录A Oracle网络连接设置 201. 简介1.1. 产品概述 由于Oracle数据库本身安全性的不足，攻击者可能通过非正常途径来访问数据库，甚至实施缓冲区溢出或SQL注入来攻击数据库，从而造成敏感信息的泄漏，危害数据安全以及信息系统的安全。为保障数据库以及信息系统的安全，在应用系统和数据库之间增加一个透明数据库安全加固系统，对数据库的所有操作必须通过该系统才能完成，达到对数据

3、库安全加固的目的。引入数据库安全加固系统后，数据库系统的体系结构如图1-1所示。图1-11.2. 产品功能1）数据库映射。通过映射，把真实数据库与应用程序隔离，用户只能访问映射的“映像数据库”；2）连接控制。可以限制访问数据库的连接数，连接数范围是（1-50），支持多用户并发连接；3）实体权限管理。通过配置各用户对数据库的访问权限（独立于数据库的权限控制，到表一级），严格限制“IP+用户名”对数据库的操作。避免攻击者以不同IP或不同用户名非法连接到数据库或者攻击者非法提升权限后进行“合法”的越权访问；4）连接监控。实时监控当前所有到数据库的连接，监控信息包括连接建立时间、来源IP、登录用户名、

4、上行流量、下行流量、非法操作（攻击）统计等。管理员可以随时中断指定的连接；5）攻击保护。分析连接的指令流，自动识别出缓冲区溢出攻击和SQL注入攻击，并自动阻止攻击；6）审计。对不同的数据库、用户、表，可配置不同的审计策略。审计事件包括建立连接、断开连接、非法操作、常规SQL操作、攻击等。可通过时间（精确到天）、IP、用户名、事件类型等条件进行审计结果查询，查询结果可以导出为XML、TXT等格式文件；7）支持ODBC、JDBC、OCI多种编程接口；2. 安装启动硬件，通过终端访问硬件数据库安全加固系统，修改IP为需要的IP即可完成部署。硬件默认第一网口开启，默认ip：192.168.0.10;系

5、统默认账户“admin”和密码“abcde12345”。 2.1. 目标假设现有一个数据库服务器，IP地址为192.168.0.1，运行Oracle数据库，端口为默认的1521。应用服务器IP地址为192.168.0.2，使用scott用户登录，业务处理中仅需要对模式scott下的dept表的访问操作。本例中应用程序为Oracle的客户端工具sql*plus， 数据库系统没有进行任何安全防护。在本例中，希望通过部署数据库安全加固系统，达到如下目的： 屏蔽数据库原端口，而使用6000端口对外提供数据服务，避免缺省扫描。 仅允许192.168.0.2上的scott用户登录，且只允许其对数据库sco

6、tt下的dept表执行操作。 对于来自于其它IP的用户拒绝连接到数据库，对于来自于192.168.0.2上的其它用户也拒绝连接到数据库 对于192.168.0.2上的scott用户，不允许访问scott.dept以外的表（视图） 防止任意用户进行缓冲区溢出攻击和SQL注入攻击2.1.1. 数据库安全加固系统配置启动设备，直接输入http:/IP/srs_ora （IP为该硬件设备的IP）即可。输入管理员账号：xx，输入默认密码：abcde12345。如下图：图2-1登录成功后，进入服务映射列表页面，如图2-2所示。系统将显示所有的服务映射信息。图2-2点击添加按钮，添加服务器映射。在如下输入框

7、中输入：自定义映射名：map3；IP地址：数据库服务器IP，输入192.168.0.1，选择本地监听IP，如果本机只有一个IP，将不能选择，如果有多个IP，请指定需要绑定的IP，数据库类型选择oracle。图2-3点击确定完成添加映射。最大连接数默认。点击服务映射节点，在右侧面板选中一个服务映射可以修改和删除服务映射。修改之后，需重启该映射生效（图2-4）。图2-4配置客户端：点击授权节点下的客户端，如下图：图2-5点击客户端白名单列表下的添加按钮，添加可以访问的客户端，客户端可以是单个IP，也可以是一个IP段，如下图：图2-6输入客户端名称，起始IP和终止IP，如果要设置单个IP，将起始IP

8、和终止IP设置为相同即可。这些IP将可以访问数据库映射；如果添加到黑名单里，则这些IP将无法访问数据库映射。客户端说明填写一些注记。添加成功后选中在客户端节点的右侧面板中选中一个客户端实例，可以通过修改按钮和删除按钮来编辑和删除客户端。完成之后在授权节点处点击立即应用按钮。配置用户：在客户端节点下选择客户端ClientA，右侧显示用户白名单列表和用户黑名列表，如图2-7：图2-7单击白名单列表上的添加按钮，出现添加用户面板，如图2-8：图2-8点击确定按钮，那么表明客户端ClientA可以通过用户scott登录到map1映射的数据库上，其他用户比如system登录时，系统将会根据默认审计策略做

9、出相应的动作。同样，如果在黑名单上添加，意味着除了scott剩下的用户都可以正常登录。点击ClientA节点，在右侧的面板上选中一个用户可以对其进行删除和修改，之后点击授权节点下的立即应用按钮。配置用户权限：可以通过两种方式来配置用户权限(1) 选中scott节点， 点击数据库白名单，在右侧点击添加按钮添加数据库，如图2-9：图2-9如果选择无子节点，表示数据库下所有的模式和表都采用越权审计策略。如果选择有节点，则点击数据库节点来添加模式，同样，点击模式节点可以添加字段。数据库黑名单的添加方法类似。 (2) 选中scott节点，右侧面板将显示当前可用已经加入的组和未加入的组。组是一个数据库权限

10、和越权审计策略配置的集合，添加方法和(1)中的一样。在当前用户未加入组列表中选中一个组，点击添加，添加到当前用户已加入组列表，如图2-10。然后scott就拥有了组group1里的所有配置。也可以在组的配置页面上将scott添加到组。图2-102.1.2. Oracle客户端配置要访问Oracle服务器，我们必须通过Oracle客户端或者JDBC来进行。具体配置步骤参见3.1的Oracle客户端配置。此处我们配置客户端网络服务名orcl2.2.1.3. 使用数据库安全加固系统数据库安全加固系统对应用程序来说是透明的。合法操作与没加入数据库安全加固系统时一致，非法操作则返回操作失败，并审计其操作

11、。点击配置系统右上角的保存按钮，保存配置；点击启动按钮，启动数据库安全加固系统。运行Oracle客户端SQLPLUS：图2-11在SQLPLUS中输入“conn system/123456orcl2；”，并执行。显示已连接。尝试使用select语句访问dept表格的数据。尝试使用其它用户登录，并访问其它表格或者视图的数据。操作结果验证上述合法操作均成功进行，与部署该数据库安全加固系统之前并没有区别，这也正是该系统完全透明所在，用户访问的并不是一个真实存在的数据库，而是一个虚拟的数据库系统，但是结果和数据库系统并无二致。尝试使用缓冲区溢出攻击和SQL注入攻击, 操作结果表明上述非法操作失败。上述

12、操作结果表明数据库安全加固系统达到了对Oracle数据库安全防护的目的。在应用程序进行操作的时候，展开一个服务映射实例，点击连接节点，右侧显示连接监控面板，可以看到当前连接到数据库的所有连接。点击右侧断开按钮，可以断开选定的连接，如图2-12。点击连接按钮下的日志按钮，可查看该服务映射的审计记录。也可以通过关键字来进行查询。图2-12图2-13图2-14，为scott的审计日志。我们可以看到查询dept表显示越权。这正是我们期望的结果，在设置中我们设置了对dept表只允许insert，因此所有其他操作均记录为越权访问。图2-143. 详细配置说明3.1. ORACLE客户端配置数据库安全加固系

13、统安装完成后，需要对ORACLE客户端进行必要的配置，保证客户端能够正确连接我们的虚拟数据库服务器达到屏蔽真实数据库的目的。3.1.1. Oracle客户端通道的建立打开企业管理器控制，右键单击左侧树“数据库”，选择“将数据库添加到树”，弹出添加对话框：图3-1此处主机名为我们虚拟的数据库所在主机名或者IP，端口为虚拟的数据库端口，即映射端口，SID为数据库实例名，网络服务名则是客户端通道名称；确定之后将会在左侧出现我们刚刚添加的服务名。启动数据库安全加固系统，我们就可以利用刚刚配置的通道进行数据库操作。3.2. 系统配置3.2.1. 登录系统打开浏览器，输入http:/IP/srs_ora。

14、输入账号admin，默认密码：abcde12345。如下图：图3-23.2.2. 服务映射配置点击“服务映射”进入“服务映射”面板，在此面板配置服务器映射。通过映射，把原来的数据库端口对应用程序隐藏起来，应用程序访问的是映射后的“虚拟数数据库”。点击添加按钮，在如下输入框中输入：映射名称、服务器IP地址、服务器端口、本地监听IP地址、映射后监听端口（以map1、192.168.0.250、1521、本机所有IP，6688，oracle为例）。直通：表示是否需要让通过该端口的连接直接放行，不进行任何检测。作为数据库映射，此处我们不选择直通。当该台服务器需要作为其他应用时，我们为了隐藏应用服务本身

15、的端口，可以在此处设置映射端口，该服务的客户端可以通过配制成映射后的端口进行访问。注意：作为客户端和服务器的中间层，如果服务器中运行有除oralcle以外的其它应用，请在此处配置端口映射，保证其它服务的正常通信。图3-3点击确定完成添加映射。可以添加多个映射，对应多个数据库，表示多个数据库通过此数据库安全加固系统控制访问。点击修改按钮，可对当前服务器映射进行修改。点击删除按钮，删除当前映射，并会级联删除权限配置中该数据库的所有权限配置（详见3.2.3权限配置）。注意：映射名称不能为中文。使用技巧：也可以配置数据库安全加固系统，仍然对外提供1521端口，而隐藏实际的Oracle端口。此时需要修改

16、Oracle的服务器监听端口，并重启服务，而应用程序的不用进行任何修改。具体配置请参见Oracle监听端口配置3.2.3. 权限配置图3-3-1在图3-3-1中，体现了权限的分配。1) 配置允许连接到数据的客户端IP地址。如下图：图3-3-2我们可以设置单独一个IP，也可以指定IP段的范围，那么网段内的所有IP均采用该配置策略；对于多个网段，请添加多条2) 配置允许连接到数据库的用户。如下图：图3-3-3可以通过白名单和黑名单两种方式来配置用户，并可以选择审计策略。记录允许访问，但是会记录在日志里。阻断在会记录在日志里，同时阻止当前sql语句的执行。断开连接会记录在日志里，同时将当前的连接断开

17、。3) 此出用于配置到表一级的访问权限，也分为白名单和黑名单两种模式，同时对sql语句的类型，也可以设置权限。如下图：图3-3-44) 组是3)的一个集合，它的存在是为了方便权限的配置3.2.4. 连接监控连接监控用于监控当前所有连接，并能查看连接的日志，还可以断开可疑连接，保障数据库安全。点击“连接监控”标签，打开连接监控面板，可以看到当前连接到数据库的所有连接。监控信息包括连接建立时间、连接IP、登录用户名、上行流量统计、下行流量统计、以及相应动态流量图、非法操作次数（越权操作、攻击）等。上下行流量统计和非法操作统计实时刷新。可以点击最右边的日志按钮，查看所选连接的日志。当有非法操作时，连

18、接的行颜色变为红色，明显的标识出有非法操作的连接，便于在连接数较多时快速发现可疑连接。当发现可疑连接，如非法操作次数过多或者有非法操作时，管理员可以勾选上连接左边的复选框，然后点击断开按钮立即断开所选连接。3.2.5. 日志管理通过日志管理可以对日志进行有条件的查询操作。根据时间，用户，访问IP，以及事件类型进行有条件的日志查询，同时也可以将当前列出的日志导出为Excel表格进行后续处理。日志管理无须任何配置即可使用，查询日志时请保证服务为启动状态，否则无法查询。图3-43.3. 使用数据库安全加固系统3.3.1. 启动服务程序数据库安全加固系统对应用程序来说是透明的。合法操作与没安装数据库安

19、全加固系统时完全一致。并且服务程序随计算机启动，对应用程序的使用更没有影响。第一次使用或者修改配置时，在完成安全策略的配置之后，点击配置系统右上角的保存按钮，保存配置，然后点击“启动”按钮，启动数据库安全加固系统。当要修改配置时，需要先停止服务程序，然后才可以修改权限配置和相关设置。图3-5 注意：如果当前有客户端连接数据库安全加固系统，强制停止服务后，立即点击“启动”，服务器可能会提示“启动失败”，此时需等待约1分钟左右再重新启动服务。3.3.2. 应用程序访问数据库应用程序只需要修改连接数据库的连接字符串，就可以连接到数据库。接上述例子，把IP为192.168.0.2上的应用程序到数据库连

20、接修改为指向虚拟数据库：数据库IP 192.168.0.1 ，监听端口6000。修改数据库为映射的虚拟数据库后，客户端所有操作和部署数据库安全加固系统前一样。登录数据库，对scott中的dept表进行访问，除此之外的其它连接（不同客户端IP、不同用户名登录）、其它操作、漏洞攻击、SQL注入攻击都将根据策略配置执行响应的操作，并有详细的日志审计。3.3.3. 连接监控连接监控用于监控当前所有连接，并能查看连接的日志，还可以断开可疑连接，保障数据库安全。点击连接节点，打开连接监控面板，可以看到当前连接到数据库的所有连接。监控信息包括连接建立时间、连接IP、登录用户名、上行流量统计、下行流量统计、以

21、及相应动态流量、非法操作次数（越权操作、攻击）等。上下行流量统计和非法操作统计实时刷新。可以点击最右边的日志按钮，查看所选连接的日志。当有非法操作时，连接的行颜色变为红色，明显的标识出有非法操作的连接，便于在连接数较多时快速发现可疑连接。当发现可疑连接，如非法操作次数过多或者有非法操作时，管理员可以点击断开按钮立即断开所选连接。图3-63.3.4. 日志管理通过查询条件界面按照需要进行日志的查询，系统默认查询所有日志，并按照时间先后顺序进行显示。可以根据需要设置每页显示记录的条数。图3-7在页面的底部有导出Excel连接用于导出当前查询出的所有日志。图3-8图3-93.3.5. 密码管理初次登

22、录后，为确保安全，请修改密码。为了提高安全性，密码必须由字母和数字组成，并不少于十位（注：本系统不接受少于十位的密码）。图3-10 3.4. 管理员日志审计如图，在主页面里登录审计管理员查看日志。初始密码为abcde12345图3-11陆成功后，您将看到如下图所示的页面，该页面中的信息都是系统操作管理员更改系统配置文件时所保存的相关信息，您可以按照您的要求进行具体的查询查看。图3-12初次登录后，为确保安全，请点击页面上的“修改密码” 链接对初始密码进行修改。为了提高安全性，密码建议由字母、符号、数字组成(本系统在该部分没对密码做特别要求)。4. 附录A Oracle网络连接设置Oracle在windows版本中需要设置Socket连接方式为共享模式；设置方式如图，在注册表中找到Oracle安装目录，不同版本会和下图稍有不同：图5-1新建键值USE_SHARED_SOCKET=TRUE如下图所示：图5-2重启Oracle即可。注意：Oracle8.1.7需要8.1.7.1.2以上补丁才能有效设置。