防止SQL注入的動機

近來教育行業的資訊保安問題真是一波未平一波又起：陸續發生多個高校網站網頁被篡改，甚至發生在G20會議期間，影響惡劣；高校密集被爆SQL注入漏洞，涉及80%以上的高校；教育行業成為電信詐騙的重災區，據統計，被騙學生佔全部被騙人數的20%左右，甚至發生了大學生和馬上要進入大學的高三畢業生被騙導致含恨離世的人間慘劇；考試成績被改，涉事人員被判；學校內部一卡通系統賬目被改動；以及諸多尚未公開的安全事件。 其中SQL注入漏洞問題，其實是與多個安全事件關聯的。比如，黑客利用SQL注入漏洞拖庫，造成資料洩漏，黑客由此掌握大量真實資料，倒賣給黑產，被用於實施電信詐騙。或者，SQL注入漏洞被利用，替換資料庫內容，造成財物損失，破壞資料一致性和真實性，或者間接控制檔案系統，篡改網站系統。

所以，防治SQL注入漏洞，是高校資訊保安的重點工作，也是能夠迅速提升資訊保安水平，尤其是資料安全水平的舉措。

高校SQL注入防治的困難

高校成立了資訊保安聯盟，及時的通報包括SQL注入漏洞在內的各種安全漏洞，但是SQL注入漏洞還是層出不窮，據分析，困難在於如下方面：

（1）意識方面，對SQL注入漏洞威脅的後果嚴重程度認識不足； （2）對SQL注入防治的手段瞭解不多，希望藉助修改網站系統漏洞或者部署WAF來解決。但是網站系統的漏洞是不可能通過發現一個補一個的方式補全的，而且繞過WAF的方式也有很多種；

（3）學校內部網站眾多，系統分散，資料分散，很多系統由校內師生開發，安全測試的強度和廣度嚴重不夠；

（4）安全運維人力普遍嚴重不足，WAF等安全產品的規則配置質量難以保證。

根治方案 (2)

總體思路是：採用系統安全掃描+WAF+資料庫防火牆的解決方案，根治SQL注入漏洞。

（1）採用Web漏洞掃描工具，檢測網站系統是否存在SQL注入漏洞，在系統上線前儘量消除這些漏洞；

（2）部署WAF，設定網站訪問規則，部分阻止SQL注入漏洞；

（3）部署資料庫防火牆。由於SQL注入特徵在資料庫訪問SQL語句上會被放大，從而，在資料庫前端部署資料庫防火牆，通過設定網站系統訪問資料庫的細粒度規則，理論上能夠根治SQL注入漏洞。資料庫防火牆防治SQL注入漏洞的原理如下圖所示，在該圖中，在一個具有SQL漏洞的網站系統上進行SQL注入攻擊的輸入，在訪問資料庫的語句模式上發生了很大的變化，資料庫防火牆能夠檢測這些變化並進行阻止。

4、方案分析

該方案成敗的一個關鍵點在於資料庫防火牆的規則配置。如果沒有配置出合理有效的規則，資料庫防火牆的防護能力將會大打折扣。針對教育行業，尤其是高校中資訊系統運維人員較少的現實情況，又對規則配置的簡單易用性提出了很高的要求。鑑於此，資料庫防火牆應該應提供基於自動學習的規則配置方式，實現規則零配置。 該方案成敗的另一關鍵點是部署方式。因為在教育行業，尤其是高校，還有一個實際問題就是系統眾多且分散。根據教育行業等保定級指導意見，高校資訊系統中涉及敏感資訊的系統有幾十個之多。如果完全採用硬體方式的資料庫防火牆，將給實際的部署以及採購成本帶來壓力。所以資料庫防火牆最好能夠同時以硬體和軟體的方式運行於學校現有伺服器或虛擬環境（雲環境）之上，從而極大減少方案的實施成本。

5、資料庫防火牆部署方式

方式一：硬體方式。將資料庫防火牆硬體產品部署於資料庫之前，形成對資料庫中核心資料的保護。如果有多個數據庫，可以用一臺資料庫防火牆保護多臺資料庫系統，並且最好採用雙機熱備的方式。

方式二：軟體方式。將資料庫防火牆以軟體或者虛擬機器的方式部署於獨立的硬體之上，部署在資料庫前端，形成對資料庫中核心資料的保護。這種方案既適用於傳統環境，又適用於虛擬環境和雲環境。

方式三：部署於資料庫伺服器。在資料庫伺服器上安裝資料庫防火牆軟體或者虛擬機器，直接保護資料庫中的核心資料。這種方式適用於分散的網站系統。

中安威士資料庫防火牆

中安威士資料庫防火牆是先進的資料庫防火牆產品，最早的版本釋出於2007年，並獲得保密局認證證書。產品具有規則的自動學習能力，能夠自動識別合法的訪問，並生成行為基線。得益於內部的大資料架構，產品的實時處理能力達到1萬-5萬SQL/秒，並具有同等速率的入庫能力。產品的TCP新建能力超過>1.5W/s，TCP併發超過200W。產品支援標準硬體形態和虛擬機器形態的部署方式。產品具有近千條SQL注入攻擊特徵以及資料庫虛擬補丁特徵。以上特性，使得中安威士資料庫防火牆成為高校SQL注入防治的首選產品。