GARTNER認為,Oracle掩蓋安全性真正本質的做法正將您的系統置於風險之下。
從金融服務到電信,再到國防,Adaptive Server Enterprise(ASE)為敏感應用程序提供了在當今互聯網環境下安全運行所需的安全基礎。安全性是ASE體系架構的一個基本元素,Sybase會定期加強這個元素,以主動保護客戶免受層出不窮的安全風險的影響。Sybase主動添加到ASE中的增強安全性的功能包括:基於策略的訪問控制、數據和通信加密以及可插入的身份驗證模塊。相反,其他供應商則以基於補丁的被動方式解決安全問題,從而在安全業務運營中引入了額外的故障風險。例如,最近Gartner在對一個Oracle安全補丁的評估中指出:“這個更新版中修補的安全漏洞的范圍和嚴重程度引起了我們的極大關注。”
ASE的安全體系架構是圍繞以下重要任務設計的:
1.防止對數據庫服務器的未授權訪問。
2.保護從服務器到客戶端的數據傳輸,以確保數據准確、完整的到達收件人。
3.保護數據庫服務器中的數據,以確保不被未提供適當憑證的用戶查看、修改或訪問。
選擇能夠最佳地處理這些重要任務的數據庫對於提供一個安全的數據庫基礎結構至關重要。而且,用戶選擇的數據庫對應用的修改和影響還要盡量小,數據庫的安全功能必須易於使用和管理。在安全問題成為用戶重點考慮的問題時,Sybase Adaptive Server Enterprise一直是對安全性要求苛刻的用戶的首選數據庫。
提供最高級別的國際安全認證
Sybase參加了美國信息安全保證聯盟的通用標准評估,以驗證與通用標准評估和認證方案(CCEVS)的符合度–通用標准評估和認證方案是由美國國家標准與技術研究院(NIST)和國家安全局(NSA)共同管理的一項聯合行動。
因此,ASE 12.5.2在信息技術安全性國際通用標准評估中獲得了級別4安全認證(EAL4)。該認證級別是通用軟件的最高級認證,它有力地證明了Sybase ASE令人側目的安全功能,例如進行SSL保護的通信和基於行的訪問控制。通用標准認證還能向企業保證為其計算產品的安全設計提供一個標准度量。
該測試發現,Sybase ASE 12.5.2在缺陷糾正方面(政府和企業的一個重要考慮因素)提供了額外的保證,這超過了EAL4的要求。這意味著如果發現該產品中存在安全缺陷,可以采用明確定義的程序,有效、快速地發現問題、報告問題和采取糾正措施。Sybase ASE用戶可以放心,安全問題將會快速、專業地得到解決。
ASE的安全體系架構的基礎
防止對數據庫服務器的未授權訪問
提供對任何環境中的計算資源訪問的最常見方法是通過登錄ID和某種類型的密碼(通常采用單詞或短語的形式)。由於生產中的絕大多數系統都使用它作為主要的授權方法,因此保護這個令牌(或加強它)自然成為防止未授權用戶訪問數據庫的主要焦點。
在ASE中,有許多功能(現在已經可用於多個版本)可以幫助數據庫管理員和安全管理員加強用於訪問數據庫自身的令牌,包括:
1.以加密格式在客戶端和服務器之間發送密碼。
2.與第三方安全機制集成,例如LDAP和Kerberos,從而提供了單一登錄功能。其優點在於,ASE自身內部不存儲任何密碼,憑證通過中央LDAP服務器或KDC進行管理;黑客需要首先闖入這些系統才能獲取對任何ASE服務器的訪問。
3.可插入的身份驗證模塊(PAM),提供一種可擴展、開放且強大的身份驗證機制。使用該技術,可以輕易地將多種身份驗證技術(RSA、Kerberos、DCE…)插入ASE運行時間引擎。PAM設計允許以靈活、優雅的方式完成這些擴展,從而降低了管理ASE服務器的總體成本。
4.登錄觸發器。在這些觸發器中可以包括用戶為驗證ASE登錄者而定義的代碼。能夠在Transact-SQL中編寫的任何東西都可以融入到登錄觸發器中。因此,可以執行以下操作:
(1)確定用戶來自“已知的”主機。
(2)確定用戶正在運行已授權的應用程序(防止惡意腳本或黑客從命令行執行代碼)。
(3)編寫有關核查數據庫登錄記錄的任何信息,然後這些信息可以用於確定訪問權和訪問人。
(4)應用環境工具(Application Context Facility)。在ASE中,可以根據工作職能設置對數據的訪問,而不管應用程序是如何編寫的(或者正在使用什麼應用程序訪問數據庫)。這可以確保用戶無法使用特別的查詢工具繞過應用層安全性檢查來訪問授權之外的數據。
(5)對所用密碼類型的限制。在Sybase ASE中,安全官員可以更改密碼到期、密碼長度的規則以及要求所用的令牌必須包含字母等的規則。
(6)如果不使用LDAP,密碼本身將以加密格式存儲在syslogins表中。這是過去15年來的標准做法,因此不可能在syslogins表上運行SELECT運算和查看明文密碼信息。
在從數據庫服務器傳遞到客戶端過程中的數據保護。
一旦登錄ID和密碼進行了安全保護,這種更高級別的安全性就可以確保數據在從數據庫服務器傳遞到客戶端應用程序過程中得到保護。Sybase ASE六年前就采用了基於Secure-Socket的加密,以確保敏感數據與線路一起進行了加密,並且無法被未授權的用戶攔截和讀取。此外,Sybase Replication Server還能利用基於SSL的通信安全地傳遞數據。
此外,早在6年前,Sybase ASE就支持與第三方安全產品(DCE和Kerberos)實現集成,這些產品能夠加密客戶端和數據庫服務器之間的數據。沒有任何其他一家DBMS能夠宣稱,在不需要困難的版本升級的情況下支持如此廣泛的安全協議。
保護數據庫引擎中的數據,確保只能被具有適當憑證的用戶查看。
在向數據庫自身提供了適當的登錄ID和密碼令牌之後,任何安全機制中的最後步驟都應當是鎖定數據,以確保數據只能被適當的用戶查看和修改。ASE提供了幾種不同的安全機制,可有效地“鎖定”數據:
1.加密。ASE的加密無疑是業界最好的。它不要求修改應用程序,每個表支持多個密鑰,並且提供細粒度的加密,也就是說,ASE只加密需要加密的數據,而非表中的所有列或數據庫中的所有表。這可以提供比我們的競爭對手更好的性能。此外,SybaseReplication Server還支持ASE之間的數據復制,而不用事先解密數據。這是Sybase獨一無二的功能,為數據庫操作的安全性帶來了獨特的價值。加密也可以保護數據,防止有人盜取數據庫備份並把它們加載到單獨的ASE服務器上。有了Sybase數據加密,入侵者仍然不能訪問任何數據,因為根據我們的最佳做法指南,加密密鑰存儲在單獨的數據庫中,並且需要首先提供適當的加密密碼才能查看數據。
2.進行密碼保護的備份。Sybase ASE支持數據庫備份的密碼。如果某個入侵者試圖加載ASE數據庫的備份,他們需要為要加載的數據庫備份提供適當的密碼。
3.基於策略的訪問控制。Sybase ASE能夠對返回到最終用戶的結果施加細化的訪問控制限制,因此不管使用什麼應用程序訪問數據庫,最終用戶都絕不會看到超過其訪問權限的數據。當開發人員在應用程序層而非數據庫中編碼實現安全性的時候,這一點特別重要;如果沒有這種級別的安全性,一旦最終用戶使用特別的查詢工具破解了應用程序,已部署的所有安全措施將不再有用。
應對Oracle安全性提出的問題
1.為什麼我必須升級到最新和最高的版本來保護我的數據庫基礎結構?Oracle只在其最新版本的數據庫服務器中支持加密,因此,希望在其環境中提供這種功能的任何客戶都必須升級到該版本。而Sybase在數據庫服務器的多個版本中提供加密,從而使客戶能夠根據其業務規則和環境選擇要升級到的版本。
2.為什麼補丁和安全缺陷沒有完全披露?在決定是否升級您的數據庫引擎時,有多種因素需要考慮。升級需要停機和測試,在停機過程中會給公司造成大量損失。難道您不應當了解補丁所解決的安全問題的本質然後就它是否會影響您做出業務決策嗎?Sybase在每個補丁、EBF和bugfix中都附帶提供了所有錯誤和補丁的列表,因此客戶可以決定補丁是否真正必要。
3.如果某個補丁表現很次,將會如何?您將如何取消它?當補丁表現不佳時,您是否有能夠可靠保護您的數據的程序?而且這種程序經過驗正了嗎?借助Sybase,這將變得十分簡單。使用Sybase Replication Server可使不同版本的引擎中的數據保持同步。因此,如果某個升級或更改需要取消時,只需把您的應用程序指向ASE的“較老”版本即可,而且不會丟失任何數據,因此Replication Server將讓一切保持同步。
通用標准與安全評估的概要
Adaptive Server Enterprise是一個被設計成在商業操作系統環境下作為一組應用程序執行的DBMS。ASE支持7項安全功能:
安全審計:ASE具有一個審計機制,可以用於諸如執行訪問檢查、身份驗證嘗試和管理員功能等操作時調用。在調用它時,事件的日期、時間、負責人以及描述事件的其它細節將被記錄到核查日志。
審計日志作為表存儲在ASE自身內部,因此可以保護審計記錄,防止未授權的訪問或修改。此外,授權管理員可以使用ASE提供的SQL命令有效地檢查核查日志,還可根據用戶身份和其它核查記錄屬性進行搜索和排序。
用戶數據保護:ASE可以針對數據庫對象(包括數據庫、表、視圖和存儲的程序)執行自由選擇的訪問控制策略。還有一些數據庫對象,要麼始終保密、要麼始終公開或作為前述對象中的一部分。在每種情況下,每個對象都有一個所有者,即該對象的最初創建者。對象所有者具有特殊權限,而其他用戶可以根據用戶身份、組成員資格和活動角色授予特定的訪問權限,以便允許在對象上執行適當的操作。
ASE還針對數據庫表的內容執行基於策略的訪問控制。該策略根據當前主題的應用環境以及與數據庫表中的列相關聯的訪問規則來控制訪問。該策略允許有效地控制對有關用戶的十分具體且千差萬別的信息的訪問。
識別和身份驗證:除了基本操作系統之外,ASE還提供其自己的識別和身份驗證機制。用戶必須提供有效的用戶名和密碼才能訪問與安全有關的任何功能。一旦進行了識別和身份驗證,所有後續操作都將與該用戶相關聯,而且會根據用戶身份、組成員資格和活動角色選擇策略。
安全管理:ASE為管理用戶和相關特權、訪問權限以及其它安全功能(例如審計)提供了必要的功能。這些功能根據自由選擇的訪問控制策略規則(包括角色限制)進行限制。雖然所有管理功能都可以通過TDS ASE Server界面調用並在該界面進行限制,但我們提供了一個支持ASE管理員的應用程序(isql)。ASE定義了眾多的角色,但是出於安全的考慮,能夠管理適用安全功能行為的每個角色都被視作授權的管理員(或可信用戶),而其它用戶都被視為普通用戶(或不可信用戶)。
TSF的保護:ASE能夠保護自身,並確保其策略以眾多方法執行。ASE一方面要依賴基本操作系統來分離其進程構造、執行文件和內存訪問限制以及提供通信服務;另一方面,ASE通過使自身環境與用戶的環境分離,和有效利用操作系統機制,確保了內存和文件具有適當的訪問設置,從而達到保護自身的目的。此外,ASE還通過定義良好的界面與用戶進行交互,這些界面旨在確保ASE安全策略在任何時候都能執行。
資源使用:ASE提供資源限制來幫助授權管理員防止查詢和事務處理獨占服務器資源。特別是,授權管理員可以配置ASE來防止查詢和事務處理出現以下情況:超過估計或實際的I/O成本;返回過多行;超過所分配的臨時數據庫空間;超過指定的處理時間。
TOE訪問:ASE允許授權管理員開發登錄觸發器,這些觸發器可以限制登錄會話的數量或根據時間限制訪問。ASE還允許授權管理員根據用戶身份限制訪問。
