應(yīng)制定能夠確保系統(tǒng)安全審計策略正確實施的規(guī)章制度及措施
應(yīng)對重要服務(wù)器的訪問行為進(jìn)行審計
應(yīng)包括事件的日期�����、時間��、類型�����、主體標(biāo)識�、客體標(biāo)識和結(jié)果等
應(yīng)定期對審計記錄進(jìn)行審查分析�����,對可疑行為及違規(guī)操作�����,采取相應(yīng)的措施��,并及時報告
可見�����,保障數(shù)據(jù)庫安全和穩(wěn)定���,已經(jīng)成為信息時代舉足輕重的一項工作�。那么采取什么樣的技術(shù)方式對數(shù)據(jù)庫實現(xiàn)安全保護(hù)呢?簡介4類數(shù)據(jù)庫安全審計技術(shù)
常見的安全審計技術(shù)主要有四類�����,分別是:基于日志的審計技術(shù)��、基于代理的審計技術(shù)���、基于網(wǎng)絡(luò)監(jiān)聽的審計技術(shù)�、基于網(wǎng)關(guān)的審計技術(shù)����。
1.基于日志的審計技術(shù):
該技術(shù)通常是通過數(shù)據(jù)庫自身功能實現(xiàn),Oracle��、DB2等主流數(shù)據(jù)庫,均具備自身審計功能����,通過配置數(shù)據(jù)庫的自審計功能,即可實現(xiàn)對數(shù)據(jù)庫的審計
該技術(shù)能夠?qū)W(wǎng)絡(luò)操作及本地操作數(shù)據(jù)庫的行為進(jìn)行審計�,由于依托于現(xiàn)有數(shù)據(jù)庫管理系統(tǒng),因此兼容性很好�。
但這種審計技術(shù)的缺點也比較明顯。首先��,在數(shù)據(jù)庫系統(tǒng)上開啟自身日志審計對數(shù)據(jù)庫系統(tǒng)的性能就有影響��,特別是在大流量情況下���,損耗較大;其次�����,日志審計記錄的細(xì)粒度上差�,缺少一些關(guān)鍵信息��,比如源IP��、SQL語句等等����,審計溯源效果不好���,最后就是日志審計需要到每一臺被審計主機上進(jìn)行配置和查看��,較難進(jìn)行統(tǒng)一的審計策略配置和日志分析���。
2.基于代理的審計技術(shù):
該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)上安裝相應(yīng)的審計Agent�����,在Agent上實現(xiàn)審計策略的配置和日志的采集�����,常見的產(chǎn)品如 Oracle公司的Oracle Audit Vault����、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產(chǎn)品�,
該技術(shù)與日志審計技術(shù)比較類似,最大的不同是需要在被審計主機上安裝代理程序����。代理審計技術(shù)從審計粒度上要優(yōu)于日志審計技術(shù)�,但是性能上的損耗是要大于日志審計技術(shù)�����,因為數(shù)據(jù)庫系統(tǒng)廠商未公開細(xì)節(jié)�,由數(shù)據(jù)庫廠商提供的代理審計類產(chǎn)品對自有數(shù)據(jù)庫系統(tǒng)的兼容性較好,但是在跨數(shù)據(jù)庫系統(tǒng)的支持上�����,比如要同時審計Oracle和DB2時���,存在一定的兼容性風(fēng)險�。同時由于在引入代理審計后��,原數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性�、可靠性、性能或多或少都會有一些影響�,實際的應(yīng)用面較窄。
3.基于網(wǎng)絡(luò)監(jiān)聽的審計技術(shù):
該技術(shù)是通過將對數(shù)據(jù)庫系統(tǒng)的訪問流鏡像到交換機某一個端口�,然后通過專用硬件設(shè)備對該端口流量進(jìn)行分析和還原,從而實現(xiàn)對數(shù)據(jù)庫訪問的審計���。
該技術(shù)最大的優(yōu)點就是與現(xiàn)有數(shù)據(jù)庫系統(tǒng)無關(guān)�,部署過程不會給數(shù)據(jù)庫系統(tǒng)帶來性能上的負(fù)擔(dān),即使是出現(xiàn)故障也不會影響數(shù)據(jù)庫系統(tǒng)的正常運行�,具備易部署、無風(fēng)險的特點;但是����,其部署的實現(xiàn)原理決定了網(wǎng)絡(luò)監(jiān)聽技術(shù)在針對加密協(xié)議時,只能實現(xiàn)到會話級別審計(即可以審計到時間����、源IP����、源端口、目的IP���、目的端口等信息)�����,而沒法對內(nèi)容進(jìn)行審計��。不過在絕大多數(shù)業(yè)務(wù)環(huán)境下���,因為數(shù)據(jù)庫系統(tǒng)對業(yè)務(wù)性能的要求是遠(yuǎn)高于對數(shù)據(jù)傳輸加密的要求��,很少有采用加密通訊方式訪問數(shù)據(jù)庫服務(wù)端口的情況���,故網(wǎng)絡(luò)監(jiān)聽審計技術(shù)在實際的數(shù)據(jù)庫審計項目中應(yīng)用非常廣泛。
4.基于網(wǎng)關(guān)的審計技術(shù):
該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)前部署網(wǎng)關(guān)設(shè)備���,通過在線截獲并轉(zhuǎn)發(fā)到數(shù)據(jù)庫的流量而實現(xiàn)審計
該技術(shù)是起源于安全審計在互聯(lián)網(wǎng)審計中的應(yīng)用����,在互聯(lián)網(wǎng)環(huán)境中�,審計過程除了記錄以外,還需要關(guān)注控制�����,而網(wǎng)絡(luò)監(jiān)聽方式無法實現(xiàn)很好的控制效果�����,故多數(shù)互聯(lián)網(wǎng)審計廠商選擇通過串行的方式來實現(xiàn)控制����。在應(yīng)用過程中���,這種技術(shù)實現(xiàn)方式開始在數(shù)據(jù)庫環(huán)境中使用,不過由于數(shù)據(jù)庫環(huán)境存在流量大�、業(yè)務(wù)連續(xù)性要求高、可靠性要求高的特點��,與互聯(lián)網(wǎng)環(huán)境大相徑庭�����,故這種網(wǎng)關(guān)審計技術(shù)往往主要運用在對數(shù)據(jù)庫運維審計的情況下�,不能完全覆蓋所有對數(shù)據(jù)庫訪問行為的審計。
通過對以上四種技術(shù)的分析�����,在進(jìn)行數(shù)據(jù)庫審計技術(shù)方案的選擇時��,我們遵循的根本原則建議是:
1.業(yè)務(wù)保障原則:安全建設(shè)的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)�����。在保證安全的同時���,必須保障業(yè)務(wù)的正常運行和運行效率�。
2.結(jié)構(gòu)簡化原則:安全建設(shè)的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加安全���,簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個安全防護(hù)體系的管理�、執(zhí)行和維護(hù)����。
3.生命周期原則:安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計,還要考慮不斷的變化;系統(tǒng)應(yīng)具備適度的靈活性和擴(kuò)展性�。
根據(jù)通常情況下用戶業(yè)務(wù)系統(tǒng)7*24小時不間斷運行的特點,從穩(wěn)定性���、可靠性����、可用性等多方面進(jìn)行考慮��,特別是技術(shù)方案的選擇不應(yīng)對現(xiàn)有系統(tǒng)造成影響��,建議用戶朋友優(yōu)選采用網(wǎng)絡(luò)監(jiān)聽審計技術(shù)來實現(xiàn)對數(shù)據(jù)庫的審計�。
