如今,數(shù)據(jù)庫審計(jì)正處于第三代階段;歷經(jīng)多年演進(jìn),一款“稱職”的系統(tǒng)所需具備的能力也“水漲船高”,主要體現(xiàn)在以下幾點(diǎn): 一是全。 1. 審計(jì)的內(nèi)容全:能夠完整記錄會話和語句信息等; 2. 兼容的數(shù)據(jù)庫類型全:能夠兼容各種主流的關(guān)系型、非關(guān)系型數(shù)據(jù)庫(NoSQL),以及大數(shù)據(jù)平臺組件等。 二是準(zhǔn)。 1. 審計(jì)內(nèi)容準(zhǔn)確:由于應(yīng)用系統(tǒng)和中間件的復(fù)雜性,使得對數(shù)據(jù)庫操作所采用的技術(shù)也呈現(xiàn)出多樣性和復(fù)雜性,這就要求審計(jì)系統(tǒng)具備針對復(fù)雜操作和協(xié)議的精確還原與審計(jì)能力,從而確保不丟失審計(jì)內(nèi)容; 2. 規(guī)則命中準(zhǔn)確:為了能夠及時發(fā)現(xiàn)風(fēng)險和異常,要求審計(jì)系統(tǒng)具備完整、靈活的策略規(guī)則能力,以及準(zhǔn)確的規(guī)則觸發(fā)機(jī)制。數(shù)...
對于數(shù)據(jù)庫審計(jì)的理解,其實(shí)有一個發(fā)展過程。 從幾年前開始, 開始在原來日志審計(jì)的基礎(chǔ)上發(fā)展包裝了一個數(shù)據(jù)庫審計(jì),這類系統(tǒng)能記錄并顯示基本的往數(shù)據(jù)庫發(fā)的sql, 并且有一定的查詢和報(bào)表功能。客觀地說, 這種系統(tǒng)一開始出現(xiàn)時滿足了一定的需求。 但是隨著新信息安全時代的到來,原來的基本功能越來越體現(xiàn)起不足,比如越來越多的控制是關(guān)注返回而不是請求, 弱口令等管理風(fēng)險如何控制, 還有如何進(jìn)行用戶訪問控制細(xì)粒度策略的定制和實(shí)施, 和萬一數(shù)據(jù)被篡改或刪除后(不管是有意還是無意)能否盡快實(shí)施定位式恢復(fù)。 伴隨著數(shù)據(jù)庫信息價值以及可訪問性提升,使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風(fēng)險較大增加,如違規(guī)越權(quán)操作、惡意...
數(shù)據(jù)庫審計(jì)的技術(shù)支持: 一.精細(xì)化報(bào)表 1.會話行為 提供登錄失敗報(bào)表、會話分析報(bào)表。 2.SQL行為 提供新型SQL報(bào)表、SQL語句執(zhí)行歷史報(bào)表、失敗SQL報(bào)表。 3.風(fēng)險行為 提供告警報(bào)表、通知報(bào)表、SQL注入報(bào)表、批量數(shù)據(jù)訪問行為報(bào)表。 4.政策性報(bào)表 提供SOX報(bào)告。 二.合規(guī)達(dá)成 滿足外部審計(jì)對審計(jì)數(shù)據(jù)內(nèi)容增量備份和存儲時長的要求,滿足網(wǎng)絡(luò)安全法對日志數(shù)據(jù)存儲的要求。 三.全量審計(jì) 支持對RDS云數(shù)據(jù)庫、ECS自建數(shù)據(jù)庫的審計(jì),較大程度的滿足云上用戶數(shù)據(jù)庫審計(jì)需求。 四.快速識別 可實(shí)現(xiàn)99%+的應(yīng)用關(guān)聯(lián)審計(jì)、完整的SQL解析、精確的協(xié)議分析。釆用將審計(jì)信息寫入CSV文件的方式提高記...
數(shù)據(jù)庫的技術(shù)風(fēng)險:數(shù)據(jù)庫是一個龐大而復(fù)雜的系統(tǒng),安全漏洞比如:溢出、 注入等層出不窮,每一次的CPU(Critical Patch Update)都疲于奔命, 而企業(yè)和國家處于穩(wěn)定性考慮,往往對補(bǔ)丁的跟進(jìn)非常延后,更何況通過應(yīng)用層的注入攻擊使得數(shù)據(jù)庫處于一個無辜受害的狀態(tài)。 數(shù)據(jù)庫的審計(jì)層面:現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計(jì)方法,存在諸多的弊端,比如:數(shù)據(jù)庫審計(jì)功能的開啟會影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險,難于體現(xiàn)審計(jì)信息的有效性和公正性。此外,對于審計(jì)數(shù)據(jù)的挖掘和迅速定位也是任何審計(jì)系統(tǒng)必須面對和解決的一個關(guān)鍵問題。旁路鏡像流量的方式對應(yīng)用到數(shù)據(jù)庫的訪問完全透明。數(shù)據(jù)...
數(shù)據(jù)庫審計(jì)的主要功能之一——細(xì)粒度數(shù)據(jù)庫審計(jì): 通過對不同數(shù)據(jù)庫的SQL語義分析,提取出SQL中相關(guān)的要素(用戶、SQL操作、表、字段、視圖、索引、過程、函數(shù)、包…) 實(shí)時監(jiān)控來自各個層面的所有數(shù)據(jù)庫活動,包括來自應(yīng)用系統(tǒng)發(fā)起的數(shù)據(jù)庫操作請求、來自數(shù)據(jù)庫客戶端工具的操作請求以及通過遠(yuǎn)程登錄服務(wù)器后的操作請求等 通過遠(yuǎn)程命令行執(zhí)行的SQL命令也能夠被審計(jì)與分析,并對違規(guī)的操作進(jìn)行阻斷 系統(tǒng)不只對數(shù)據(jù)庫操作請求進(jìn)行實(shí)時審計(jì),而且還可對數(shù)據(jù)庫返回結(jié)果進(jìn)行完整的還原和審計(jì),同時可以根據(jù)返回結(jié)果設(shè)置審計(jì)規(guī)則。對數(shù)據(jù)庫遭受到的風(fēng)險行為進(jìn)行告警。徐州數(shù)據(jù)庫審計(jì)軟件對于數(shù)據(jù)庫審計(jì)產(chǎn)品而言,正確的選型將直接決定...
由于數(shù)據(jù)庫審計(jì)產(chǎn)品采用旁路部署的方式,所以會在審計(jì)流量超限時,保護(hù)性地丟棄無法處理的流量;但是,如果產(chǎn)品本身不具備較為準(zhǔn)確的超限告警能力,用戶方面就無法及時知曉是否發(fā)生了流量超限的情況,也無從判斷是否出現(xiàn)了大規(guī)模審計(jì)數(shù)據(jù)丟失的問題,更不可能依據(jù)流量超限的真實(shí)情況進(jìn)行準(zhǔn)確應(yīng)對。所以說,是否具備準(zhǔn)確的“超限告警”能力,對判斷數(shù)據(jù)庫審計(jì)產(chǎn)品真實(shí)性能的具有重要意義。 隨著云和虛擬化環(huán)境的較廣應(yīng)用,需要通過部署審計(jì)探針來應(yīng)對上述無法進(jìn)行流量鏡像的場景;正因如此,探針的流量采集性能,以及部署探針對用戶主機(jī)資源、網(wǎng)絡(luò)資源的影響等,成為了數(shù)據(jù)庫審計(jì)產(chǎn)品選型的重要技術(shù)指標(biāo)之一。互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫信息...
數(shù)據(jù)庫審計(jì)的預(yù)警信息難運(yùn)維。 數(shù)據(jù)預(yù)警結(jié)果輸出主要依靠圖表統(tǒng)計(jì)、信息告警、詳情列舉等形式進(jìn)行展現(xiàn),但信息建立的基礎(chǔ)全部來自于抽象單獨(dú)的SQL語句。從產(chǎn)品特性和審計(jì)對象角度,這種審計(jì)結(jié)果符合預(yù)期。但就預(yù)警結(jié)果而言,預(yù)警結(jié)果不顯性,閱讀門檻高的問題也暴露無遺。尤其當(dāng)審計(jì)人員缺乏相關(guān)專業(yè)知識,面對大量SQL語句無法快速定位風(fēng)險,還需投入大量時間進(jìn)行進(jìn)一步排查和定位。而被審計(jì)數(shù)據(jù)來源單一是主要原因之一,傳統(tǒng)的數(shù)據(jù)供給方式主要依靠網(wǎng)絡(luò)鏡像或Agent提取,數(shù)據(jù)庫審計(jì)系統(tǒng)只能單方面接收和分析。哪些庫、表、字段需要重點(diǎn)監(jiān)控,什么數(shù)據(jù),是否敏感、有無外泄可能一概不知。數(shù)據(jù)庫審計(jì)系統(tǒng)還可以對于針對數(shù)據(jù)庫的攻擊和...