Winnie - 資料庫安全防護的規劃案例

1. 資料庫安全防護的規劃案例
集英信誠 資料庫執行顧問
鍾凱心
7/19/2013

2. 情況描述
 發現 OO 伺服器遭駭客入侵，經追蹤後得知為XX
系統的資料叢集伺服器，於SQL Server.exe目錄
植入異常程式
 查到曾有資料透過80埠丟到韓國IP位置，爾後駭
客曾經刻意造成網路癱瘓，目前還無法得知攻擊
目的。現已透過防火牆與網路設備鎖定IP與伺服
器的MAC Address，並將部分伺服器的80 port關
閉，以防止進一步的攻擊事件
 因伺服器受駭故無法信任伺服器之安全，故希望
檢測了解目前資料庫，確保內部資料是否安全無
疑
7/19/2013 | T-SQL Enhancements in SQL Server 20122 |

3. SQL Injection
 以T-SQL語法檢視User DB中是否有字元字串
型欄位被竄改內容
 靜態程式碼分析與Code review
 弱點偵測
7/19/2013 | T-SQL Enhancements in SQL Server 20123 |
全資料庫搜尋特定值

4. 是否有異物
 SQL Server Agent Job 排程
 登入、使用者、角色
 角色內成員
 master、msdb 等系統資料庫是否有新增異常
物件
 是否有在 SQL Server 啟動時，自動執行的預存程
序
 駭客可能以通用有意義的物件命名。DBA 要
有個伺服器與 DB 內物件的資料字典
7/19/2013 | T-SQL Enhancements in SQL Server 20124 |

5. 最小防護面
 介面組態設定
 常遇到的：
 xp_cmdshell
 AcHocRemoteQueries
 僅給予 Service Account 所需的權限
 停用不必要的服務，刪掉不必要的物件
7/19/2013 | T-SQL Enhancements in SQL Server 20125 |

6. 認證與授權
 帳戶申請與最小權限
 高權限語法需特定帳號、特定設備、IP 與時段
執行、全程錄影
 不可否認、抵賴其所作行為
7/19/2013 | T-SQL Enhancements in SQL Server 20126 |

7. 稽核與監控
 SQL Server：啟用SQL Server 安全性稽核
 監控近期是否有嘗試登入 SQL Server 但失敗的情
況
 進行高權限的命令執行動作，例如在Server或DB
上進行CREATE、ALTER或DROP物件，及
GRANT、REVOKE或DENY登入者權限等
 檢查 SQL Server Log、Windows Event Log
是否有異常
 購置第三方工具
7/19/2013 | T-SQL Enhancements in SQL Server 20127 |