随着網絡信息化的發展，企業組織對網絡安全的關注，由物理安全、邊界安全和系統安全，已逐漸轉移到業務安全和數據安全，業務數據的安全防護成本已占到企業組織IT預算成本的一半以上。特别在新時代新形勢新業态的互聯網安全中，信息安全部門已逐步成爲企業組織的一級部門，企業數據已經成爲組織核心資産，針對數據的保護已寫入企業的基本戰略。

       企業對數據資産的安全防護存在多項工作:數據備份安全、數據存儲安全、數據脫敏及加密等。在以可(kě)用性爲主的業務安全觀點人群中，大多數還(hái)沒有完全理解數據庫安全的重要性，而據前瞻性統計發現，越來越多的企業信息安全負責人開始将數據庫安全細分領域列入自己的備忘清單。業務連續性爲企業組織的根本核心，而業務安全和數據安全是企業長久發展的安全保障，在以企業數據資産爲核心競争力的當下，數據庫作爲企業組織“核心競争力”--數據資産--的容器，承載了企業核心數據，成爲業務運行和數據保護的基礎設施，解決數據庫的安全防禦問題已躍至CTO/CIO的工作内容象限的榜首。

一、數據庫面臨哪些安全威脅

       企業組織的數據庫體系，不僅僅是數據庫軟件(jiàn)平台本身，不會流動的數據沒有意義，當我們考慮數據庫安全的時候，顯然我們需要合理評估數據庫的受攻擊面大小；數據庫訪問涉及的認證、授權和審計問題；由于開發人員疏忽帶來的軟件(jiàn)漏洞和運維人員的管理不善導緻的潛在風險等，不難發現在實際運維中，各種各樣的風險都可(kě)能産生(shēng)并帶來可(kě)怕的後果。筆者實驗室通過收集各漏洞平台及企業安全運營者的反饋數據庫安全信息，參考OWASP TOP 10制定了數據庫應用防禦的十大數據庫風險威脅列表。

二、數據庫安全風險是否會發生(shēng)

       答案就(jiù)是墨菲定律，它闡述了一個事實：如(rú)果事情有變糟糕（發生(shēng)）的可(kě)能，不管這種可(kě)能性有多小，它總會發生(shēng)。

       墨菲（Edward A. Murphy）是美國愛德華茲空軍基地的上尉工程師。1949年，他(tā)和他(tā)的上司斯塔普少校(xiào)，在一次火(huǒ)箭減速超重試驗中，因儀器失靈發生(shēng)了事故。墨菲發現，測量儀表被一個技術人員裝反了。由此，他(tā)得(de)出的教訓是：如(rú)果做某項工作有多種方法，而其中有一種方法将導緻事故，那麽一定有人會按這種方法去(qù)做。

        在事後的一次記者招待會上，斯塔普将其稱爲“墨菲法則”，并以極爲簡潔的方式作了重新表述：凡事可(kě)能出岔子，就(jiù)一定會出岔子。墨菲定律的适用範圍非常廣泛，它揭示了一種獨特的社會及自然現象。它的極端表述是：如(rú)果壞事有可(kě)能發生(shēng)，不管這種可(kě)能性有多小，它總會發生(shēng)，并造成最大可(kě)能的破壞。

       此定律在技術界同樣适用，并不是我要将其強加在數據庫安全領域，隻因爲它道出了一個法則，即安全風險必将由可(kě)能性變爲突發性。

三、以墨菲定律分析數據庫安全

        通過墨菲定律來觀察數據庫入侵防禦，我們要持以積極的态度，既然數據庫安全風險不可(kě)避免，那我們一定要順應必然性，積極應對，做好事件(jiàn)應急和處置。在數據庫安全防禦方面，要科(kē)學合理規劃全面積極的應對方案，必須做到事前主動防禦、事中及時阻斷、事後完整審計。

根據墨菲定律可(kě)總結對數據庫入侵防禦的啓示：

一、不能忽視數據庫風險小概率事件(jiàn)   

       雖然數據庫安全事件(jiàn)不斷發生(shēng)，但(dàn)仍有一定數量的安全負責人認爲，企業安全防護已經從物理層、網絡層、計算主機(jī)層、應用層等進行了多重防禦，網絡邊界嚴格準入控制，外部威脅情報和内部态勢感知系統能完美配合，業務數據早已經過層層保護，安全威脅不可(kě)能被利用發生(shēng)數據庫安全事件(jiàn)。

       而現實情況是：由于小概率事件(jiàn)在一次實驗或活動中發生(shēng)的可(kě)能性很小，因此，就(jiù)給人一種錯誤的理解，即在一次活動中不會發生(shēng)。與事實相(xiàng)反，正是由于這種錯覺，加大了事件(jiàn)發生(shēng)的可(kě)能性，其結果是事故可(kě)能頻繁發生(shēng)。雖然事件(jiàn)原因是複雜的，但(dàn)這卻說(shuō)明小概率事件(jiàn)也會常發生(shēng)的客觀事實。

       墨菲定律正是從強調小概率事件(jiàn)的重要性的角度啓示我們：雖然數據庫安全風險事件(jiàn)發生(shēng)的概率很小，但(dàn)在入侵防禦體系活動中，仍可(kě)能發生(shēng)且必将發生(shēng)，因此不能忽視。

二、在數據庫安全中積極應用墨菲定律   

1、強化數據庫入侵防禦的安全認知

       數據庫已經成爲企業安全防護的核心，認識數據庫安全威脅事件(jiàn)可(kě)能發生(shēng)的必然性，預防數據庫不安全狀态的意外性事件(jiàn)發生(shēng)，必須要采取事前預防措施，從網絡層、應用層和數據庫層，涵蓋業務系統（中間件(jiàn)）和運維DBA，全面管控，提前謀劃。既然數據庫入侵事件(jiàn)無可(kě)避免，那一定要保證完整原始的數據庫訪問記錄，以供審計取證留存證據，做到有據可(kě)查。

2、規範安全管理，正确認識數據庫安全控制

       安全管理的目标是杜絕事故的發生(shēng)，而事故是一種不經常發生(shēng)的意外事件(jiàn)，這些意外事件(jiàn)發生(shēng)的概率一般比較小，由于這些小概率事件(jiàn)在大多數情況下不發生(shēng)，所以，往往管理疏忽恰恰是事故發生(shēng)的主觀原因。墨菲定律告誡我們，數據庫及業務數據的安全控制不能疏忽。要想保證數據庫安全，必須從基礎做起，對數據庫的基本安全配置，要形成統一的安全基線，對數據庫的訪問行爲要做到“白(bái)名單化”，采取積極的預防方法和措施，避免意外的事件(jiàn)發生(shēng)。

3、轉變觀念，數據庫入侵防禦變被動爲主動

       傳統安全管理是被動的安全管理，是在安全管理活動中采取安全措施或事故發生(shēng)後，通過總結教訓，進行“亡羊補牢”式的管理。随着IT網絡技術迅速發展，安全攻擊方式不斷變化，新的安全威脅不斷湧現，發生(shēng)數據庫安全事件(jiàn)的誘因增多，而傳統的網絡型入侵防禦系統模式已難于應付當前對數據庫安全防禦的需求。爲此，不僅要重視已有的安全威脅，還(hái)要主動地去(qù)識别新的風險，主動學習，模态分析，及時而準确的阻斷風險活動，變被動爲主動，牢牢掌握數據庫入侵防禦的主動權。

三、正确認識數據庫入侵防禦系統   

1、數據庫入侵防禦系統串聯與并聯之争

       數據庫入侵防禦系統，可(kě)以通過串聯或旁路(lù)部署的方式，對業務系統與數據庫之間的訪問行爲進行精确識别、精準阻斷。不僅如(rú)此，合理使用還(hái)能具有事前主動防禦和事後審計追溯的能力。

        不過，部分用戶認爲旁路(lù)的阻斷行爲效果不佳，而串聯進網絡實現實時阻斷，又擔心影(yǐng)響業務訪問時。

        串聯模式部署在業務系統與數據庫中間，通過流量協議(yì)解碼對所有SQL語句進行語法解析，審核基于TCP/IP五元組（來往地址、端口與協議(yì)）、準入控制因素和數據庫操作行爲的安全策略，結合自主動态建模學習的白(bái)名單規則，能夠準确識别惡意數據庫指令，及時阻斷會話(huà)或準确攔截惡意操作語句。串聯模式部署最大風險在于不能出現誤判，否則影(yǐng)響正常語句通過，此必需要系統的SQL語句解析能力足夠精确，并且能夠建立非常完善的行爲模型，在發現危險語句時，能夠在不中斷會話(huà)的情況下，精準攔截風險語句，且不影(yǐng)響正常訪問請(qǐng)求。因此，若想數據庫入侵防禦系統發揮最佳效果，必須串聯在數據庫的前端，可(kě)以物理串聯（透明橋接）或邏輯串聯（反向代理）。

        旁路(lù)部署模式，目前的常用方式是通過發送RESET指令進行強行會話(huà)重置，此部署方式在較低流量情況下效果最佳。如(rú)在業務系統大并發情況下，每秒鍾SQL交易量萬條以上，這種旁路(lù)識别阻斷有可(kě)能出現無法阻斷情況，且會出現延遲。有可(kě)能因爲延遲，阻斷請(qǐng)求發送在SQL語句執行之後，那麽反倒影(yǐng)響了正常業務請(qǐng)求。所以在高并發大流量場景下，如(rú)果要實現實時精準阻斷攔截效果，就(jiù)要求數據庫入侵防禦系統具有超高端的處理性能。

       至于串聯部署還(hái)是旁路(lù)部署更爲合适，需要匹配相(xiàng)應的業務系統場景。數據庫入侵防禦系統最終奧義是它的防禦效果，即對風險語句的精準阻斷能力。通過墨菲定律對比分析，旁路(lù)部署有阻斷請(qǐng)求的可(kě)能性則必然會發生(shēng)。而串聯存在影(yǐng)響業務訪問的擔憂，那它始終都會發生(shēng)，而正視這種風險，讓我們對數據庫入侵防禦系統的精準阻斷能力有更高要求，盡可(kě)能将這種風險降到最低。

2、數據庫入侵防禦系統串聯實時同步阻斷與異步阻斷之争

       相(xiàng)對數據庫入侵防禦系統的串并聯之争來講，串聯實現同步阻斷與異步阻斷更爲細分，市面上存在兩類串聯的數據庫入侵防禦系統；

        一類就(jiù)是以IBM Guardium爲代表的本地代理引擎在線監聽異步阻斷，當有危險語句通過代理到DBMS時，代理會将内容信息副本發至分析中心，由中心判斷是否違法或觸犯入侵防禦規則，進而給代理程序發出阻斷指令，很顯然這種部署的好處是不局限與數據庫的網絡環境，IP可(kě)達即可(kě)，而壞處就(jiù)更明顯了，那就(jiù)是Agent與Center通信期間，SQL訪問是放(fàng)行的，也就(jiù)是如(rú)果在前面幾個包就(jiù)出現了緻命攻擊語句，那麽這次攻擊就(jiù)會被有效執行，即防禦體系被有效繞過。

        另一類就(jiù)是以國内廠(chǎng)商帕拉迪爲代表的串聯實時同步阻斷，當有危險語句通過串聯數據庫入侵防禦系統時，入侵防禦系統若監測到風險語句，立馬阻斷；無風險的語句放(fàng)行，這種模式及立馬分析立馬判斷。也很顯然，這種部署模式的好處是小概率事件(jiàn)或預謀已久的直接攻擊語句也會被實時阻斷；而壞處也非常明顯，那就(jiù)是處理效率，如(rú)果數據庫入侵防禦系統處理效率不行，就(jiù)會出現排隊等待的狀态，進而對業務的連續性造成影(yǐng)響。關鍵就(jiù)是要把握這個平衡點，至少要達到無感知，這個點的取舍就(jiù)取決于各個數據庫安全廠(chǎng)商處理SQL語句的算法能力了。

四、結束語   

       墨菲定律并不複雜，将它應用到數據庫入侵防禦領域，揭示了在數據庫安全中不能忽視的小概率風險事件(jiàn)，要正視墨菲定律轉爲積極響應，應充分理解墨菲定律，抵制“數據庫層層保護不存在風險”、“别人都是這樣做”、“數據庫入侵防禦系統并聯不會誤阻斷”等錯誤認識，牢記隻要存在風險隐患，就(jiù)有事件(jiàn)可(kě)能，事件(jiàn)遲早會發生(shēng)，我們應當杜絕習慣性認知，積極主動應對數據庫安全風險。