近年来，针对企业和组织机构的撞库、拖库攻击事件频发，黑客常通过社会工程学或暴力破解等手段获取数据库账号信息，并借此盗取数据库内存储的组织及个人隐私信息，继而达到破坏或牟利等非法企图。某上市集团公司（以下简称“A集团”）因组织架构与业务需求，其重要业务应用服务器及业务后台数据库服务器被分别部署在总部大楼和分支机构机房，且两个机房间的物理距离较远，应用系统服务器与后台数据库只能通过互联网进行通讯，导致数据库服务器暴露于公网之上。

图1：网络架构示意图

如图可知，A集团原有业务系统网络架构虽然能够保证业务系统和后台数据库的正常通讯，但也令其业务系统后台数据库直接面临来自互联网的攻击威胁；其中，针对数据库账号的暴力破解是最具威胁的攻击方式之一。

所谓“暴力破解”，是对用“穷举法”破解密码方法的形象称呼——那是一种针对密码的破译方法，即对数据库密码进行逐个推算直到找出真正的密码为止。黑客等外部渗透攻击者可通过外网扫描或指定目标数据库IP地址、账户名和密码字典以实施密码爆破，一旦数据库密码被此种尝试登录的方式破解，随之而来的将是针对企业重要敏感数据的窃取或破坏行为，后果难以估量。因此，A集团必须尽早采取有效的数据安全防护措施，以避免重大经济损失和企业声誉损害的发生。

威胁分析

A集团通过应用安华金和数据库安全审计产品，发现了大量的登录异常告警。在对失败登录日志进行分析后发现，确认是来自互联网的大量未知IP在持续实施对该业务系统后台数据库的海量主动会话发起，以及对数据库账号的尝试登录行为。

图2：失败登录行为

经过对业务系统IP源及数据库运维IP的统计分析，并结合安全审计系统日志与网络日志进行比对，确认了部分持续性的数据库尝试登录行为正是来自互联网的暴力破解攻击。

解决方案

由于A集团的整体网络架构设计原因，无法调整服务器的物理部署位置。为此，安华金和专门针对A集团的客观环境设计并实施了如下数据安全加固方案：

1、数据库安全审计系统开启“短时间内多次失败登录告警”规则。当已知或未知的数据库用户在5分钟内连续登录失败5次及以上时，系统将马上记录风险，并通过邮件实时推送告警信息至数据库管理员邮箱；数据库管理员在收到邮件告警通知后，即可于第一时间验证账号访问合法性，并针对风险访问的出处进行准确溯源、追责；

2、开启数据库防暴力破解策略，当检测到超过10次错误尝试后，对该用户执行锁定；

3、于数据库服务器所在网络出口的防火墙上开启访问控制规则。通过白名单机制，禁止业务系统服务器以外的IP访问数据库服务器；同时，修改数据库服务器缺省端口，并对外禁用除数据库协议以外的、所有端口的访问；

4、数据库管理员如需对数据库服务器进行运维操作，需要通过VPN通道实现访问。

防护建议

1、梳理数据库账号及权限分布情况，加强数据库密码长度、复杂度，并定期修改运维账户登录密码；

2、对数据库账号的“错误认证”行为进行计数并给予限制，如：用户密码超过5次错误尝试后，该用户被执行锁定；

3、加强对临时数据库账号的管理，同时停用、注销过期临时账号；

4、如条件允许，可通过修改数据库缺省访问端口，实现隐藏数据库的目的；

5、通过网络防火墙、交换机配置URL访问控制策略，限制除业务系统主机、数据库运维主机以外的IP地址访问数据库服务器，避免暴露数据库服务器IP地址；

6、严格限制数据库服务器21、22、3389等端口的使用，禁止数据库运维跳板机以外的IP使用远程连接的方式登录、管理数据库；

7、加强对数据库操作行为的审计，非特殊情况下禁止数据库服务器本地的SQL操作；

8、及时修复数据库漏洞，防范攻击者通过数据库认证协议漏洞实现对数据库的暴力破解。