數(shù)據(jù)庫(kù)審計(jì)是對(duì)數(shù)據(jù)庫(kù)訪問(wèn)行為進(jìn)行監(jiān)管的系統(tǒng)�����,一般采用旁路部署的方式����,通過(guò)鏡像或探針的方式采集所有數(shù)據(jù)庫(kù)的訪問(wèn)流量,并基于SQL語(yǔ)法��、語(yǔ)義的解析技術(shù)�,記錄下數(shù)據(jù)庫(kù)的所有訪問(wèn)和操作行為,例如訪問(wèn)數(shù)據(jù)的用戶(IP��、賬號(hào)���、時(shí)間)���,操作(增、刪��、改���、查)���、對(duì)象(表��、字段)等����。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的主要價(jià)值有兩點(diǎn)���,一是:在發(fā)生數(shù)據(jù)庫(kù)安全事件(例如數(shù)據(jù)篡改����、泄露)后為事件的追責(zé)定責(zé)提供依據(jù)��;二是,針對(duì)數(shù)據(jù)庫(kù)操作的風(fēng)險(xiǎn)行為進(jìn)行時(shí)時(shí)告警。
數(shù)據(jù)審計(jì)可以這么審:1�、數(shù)據(jù)庫(kù)訪問(wèn)流量采集流量采集是數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的基礎(chǔ)���,只有做到數(shù)據(jù)庫(kù)訪問(wèn)流量的全采集�����,才能保證數(shù)據(jù)庫(kù)審計(jì)的可用性和價(jià)值�����,目前主要的流量采集方式主要有兩種:鏡像方式:采用旁路部署通過(guò)鏡像方式獲取數(shù)據(jù)庫(kù)的所有訪問(wèn)流量���。一般適用于傳統(tǒng)IT架構(gòu),通過(guò)鏡像方式將所有訪問(wèn)數(shù)據(jù)庫(kù)的流量轉(zhuǎn)發(fā)到數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)����,來(lái)實(shí)現(xiàn)數(shù)據(jù)庫(kù)訪問(wèn)流量的獲取。探針?lè)绞剑簽榱诉m應(yīng)“云環(huán)境”“虛擬化”及“一體機(jī)”數(shù)據(jù)庫(kù)審計(jì)需求����,基于“探針”方式捕獲數(shù)據(jù)庫(kù)訪問(wèn)流量。適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境����,在應(yīng)用端或數(shù)據(jù)庫(kù)服務(wù)器部署Rmagent組件(產(chǎn)品提供),通過(guò)虛擬環(huán)境分配的審計(jì)管理網(wǎng)口進(jìn)行數(shù)據(jù)傳輸�,完成數(shù)據(jù)庫(kù)流量采集。探針式數(shù)據(jù)采集�,還可以進(jìn)行數(shù)據(jù)庫(kù)本地行為審計(jì),包括數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)同機(jī)審計(jì)和遠(yuǎn)程登錄后的客戶端行為�。
2、語(yǔ)法����、語(yǔ)義解析SQL語(yǔ)法�、語(yǔ)義的解析技術(shù)����,是實(shí)現(xiàn)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可用、易用的必要條件��。準(zhǔn)確的數(shù)據(jù)庫(kù)協(xié)議解析�����,能夠保障數(shù)據(jù)庫(kù)審計(jì)的全面性與易用性���。全面的審計(jì)結(jié)果應(yīng)該包括:訪問(wèn)數(shù)據(jù)庫(kù)的應(yīng)用層信息�、客戶端信息��、數(shù)據(jù)庫(kù)信息���、對(duì)象信息�、響應(yīng)信息�、登錄時(shí)間、操作時(shí)間、SQL響應(yīng)時(shí)長(zhǎng)等�����;高易用性的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的審計(jì)結(jié)果和報(bào)告�,應(yīng)該能夠使用業(yè)務(wù)化的語(yǔ)言呈現(xiàn)出對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)行為����,例如將數(shù)據(jù)庫(kù)中的要素客戶端IP、數(shù)據(jù)庫(kù)用戶��、SQL 操作類型���、數(shù)據(jù)庫(kù)表名稱���、列名稱、過(guò)濾條件變成業(yè)務(wù)人員熟悉的要素:辦公地點(diǎn)�、工作人員名稱、業(yè)務(wù)操作�、業(yè)務(wù)對(duì)象、業(yè)務(wù)元素�����、某種類別的業(yè)務(wù)信息。這樣的是審計(jì)結(jié)果呈現(xiàn)即便是非專業(yè)的DBA或運(yùn)維人員的管理者或業(yè)務(wù)人員也能夠看懂�����。
數(shù)據(jù)庫(kù)審計(jì)的價(jià)值的在于1�����、數(shù)據(jù)庫(kù)相關(guān)安全事件的追溯與定責(zé)數(shù)據(jù)庫(kù)審計(jì)的核心價(jià)值是在發(fā)生數(shù)據(jù)庫(kù)安全事件后��,為追責(zé)����、定責(zé)提供依據(jù),與此同時(shí)也可以對(duì)數(shù)據(jù)庫(kù)的攻擊和非法操作等行為起到震懾的作用�。數(shù)據(jù)庫(kù)自身攜帶的審計(jì)功能,不僅會(huì)拖慢數(shù)據(jù)庫(kù)的性能�,同時(shí)也有其自身的弊端,比如高權(quán)限用戶可以刪除審計(jì)日志�����,日志查看需要專業(yè)知識(shí)�,日志分析復(fù)雜度高等。獨(dú)立的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品��,可以有效避免以上弊端。三權(quán)分立原則可以避免針對(duì)審計(jì)日志的刪除和篡改���,SQL語(yǔ)句解析技術(shù)�����,可以將審計(jì)結(jié)果翻譯成通俗易懂的業(yè)務(wù)化語(yǔ)言�����,使得一般的業(yè)務(wù)人員和管理者也能看懂。
2�����、數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)行為發(fā)現(xiàn)與告警數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)還可以對(duì)于針對(duì)數(shù)據(jù)庫(kù)的攻擊和風(fēng)險(xiǎn)操作等進(jìn)行實(shí)時(shí)告警����,以便管理人員及時(shí)作出應(yīng)對(duì)措施,從而避免數(shù)據(jù)被破壞或者竊取�。這一功能的實(shí)現(xiàn)主要基于sql的語(yǔ)句準(zhǔn)確解析技術(shù),利用對(duì)SQL語(yǔ)句的特征分析�����,快速實(shí)現(xiàn)對(duì)語(yǔ)句的策略判定,從而發(fā)現(xiàn)數(shù)據(jù)庫(kù)入侵行為���、數(shù)據(jù)庫(kù)異常行為�����、數(shù)據(jù)庫(kù)違規(guī)訪問(wèn)行為����,并通過(guò)短信����、郵件、Syslog等多種方式實(shí)時(shí)告警��。
3�、滿足合規(guī)需求滿足國(guó)家《網(wǎng)絡(luò)安全法》、等保規(guī)定以及各行業(yè)規(guī)定中對(duì)于數(shù)據(jù)庫(kù)審計(jì)的合規(guī)性需求��。并可根據(jù)需求形成不同的審計(jì)報(bào)表���,例如:綜合報(bào)表�����、合規(guī)性報(bào)表����、專項(xiàng)報(bào)表、自定義報(bào)表等�����。
贊同0
評(píng)論0
加載中...
