隨著信息泄漏和信息篡改事件的愈發(fā)頻繁，用戶急需針對存儲核心數(shù)據(jù)的數(shù)據(jù)庫系統(tǒng)進行全面的網(wǎng)絡(luò)行為審計，阻止非法入侵和違規(guī)操作，保障核心數(shù)據(jù)資產(chǎn)的安全。

隨著信息技術(shù)的不斷發(fā)展，數(shù)字信息逐漸成為一種重要資產(chǎn)，尤其是在過去的20多年里，作為信息的主要載體——數(shù)據(jù)庫，其相關(guān)應(yīng)用在數(shù)量和重要性方面都取得了巨大的增長。包括政府機構(gòu)、企事業(yè)單位、制造業(yè)、商業(yè)等在內(nèi)的幾乎每一種組織都使用它來存儲、操縱和檢索數(shù)據(jù)。隨著人們對數(shù)據(jù)的依賴性越來越高，各種數(shù)據(jù)信息，尤其是一些財務(wù)數(shù)據(jù)、客戶數(shù)據(jù)等成為了關(guān)系企業(yè)生存的重要資產(chǎn)。網(wǎng)絡(luò)化時代的到來、互聯(lián)網(wǎng)技術(shù)的普及更加深了數(shù)據(jù)保護的矛盾，網(wǎng)絡(luò)技術(shù)使得數(shù)字信息的泄漏和篡改變得更加容易，而防范則更加困難。

更為嚴重的是，所有信息泄漏事件中，源自內(nèi)部人員所為的占了絕大部分。根據(jù)FBI和CSI對484家公司進行的網(wǎng)絡(luò)安全專項調(diào)查結(jié)果顯示：超過85%的安全威脅來自公司內(nèi)部，在損失金額上，由于內(nèi)部人員泄密導(dǎo)致了6056.5萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。另據(jù)中國國家信息安全測評認證中心調(diào)查，信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

因此，近兩年來，大多數(shù)企事業(yè)單位和政府機關(guān)紛紛把關(guān)注的目光投向信息系統(tǒng)數(shù)據(jù)的安全問題，尤其是內(nèi)部網(wǎng)絡(luò)的管理和防護?，F(xiàn)在較為普遍的做法是在原有網(wǎng)絡(luò)安全防護（防火墻、IDS、UTM等傳統(tǒng)安全設(shè)備）的基礎(chǔ)上，采用上網(wǎng)行為管理類、終端管理類等具備較強防止內(nèi)部信息外泄功能的產(chǎn)品，筑起了一道由內(nèi)向外的安全防線。然而，這樣是否就徹底安全了呢？當(dāng)然不是！人類在進步，科技在發(fā)展，計算機的威脅手法也在不斷更新，病毒、木馬、蠕蟲、DDos攻擊……所以我們決不能放松警惕，要將安全進行到底！那么，接下來我們該做什么呢？從外部到內(nèi)部的通信有防護了，從內(nèi)部PC到外部的通信有防護了，終端本身有防護了，還差哪里呢？答案在下圖：

圖：數(shù)據(jù)庫安全防線的缺失

從這幅典型的網(wǎng)絡(luò)拓撲圖中，我們不難看出，我們?nèi)钡恼菍Ψ?wù)器區(qū)的防護，對數(shù)據(jù)庫的防護，對內(nèi)部PC訪問業(yè)務(wù)系統(tǒng)的防護！

也許有的企業(yè)認為，他們所使用的是Oracal、MS SQL是國際大品牌的產(chǎn)品，其本身有非常強的安全性，不會有問題的，不需要再另加防護。這種想法是不完全正確的：

1） 在很多企業(yè)中，對數(shù)據(jù)庫訪問的特權(quán)都有管理不當(dāng)?shù)膯栴}。開發(fā)者、移動員工和外部顧問經(jīng)常能夠在沒有太多限制的情況下訪問敏感信息。另外，人員流動和外包也可以讓數(shù)據(jù)庫活動很難鎖定。

2） 對于擁有數(shù)據(jù)庫合法權(quán)限的內(nèi)部使用者，數(shù)據(jù)庫的安全機制對于他們形同虛設(shè)，一旦他們之中有人違背職業(yè)道德，那么后果不堪想象！

因此，數(shù)據(jù)庫審計產(chǎn)品應(yīng)運而生。以典型的網(wǎng)御神州SecFox-NBA（業(yè)務(wù)審計型）產(chǎn)品為例，該產(chǎn)品通過審計核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問行為，能夠加強對關(guān)鍵信息系統(tǒng)的訪問控制與審計，尤其是針對信息系統(tǒng)后臺的數(shù)據(jù)庫的內(nèi)控與審計，確保核心業(yè)務(wù)的正常運行，防范內(nèi)部違規(guī)行為和誤操作。該產(chǎn)品還應(yīng)提供業(yè)務(wù)流量實時監(jiān)控與審計事件統(tǒng)計分析功能，能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況，特別是訪問量、業(yè)務(wù)流量、業(yè)務(wù)訪問分布、業(yè)務(wù)拓撲、行為分析等重要信息，使得管理者可以直觀的實時了解業(yè)務(wù)系統(tǒng)安全狀況。

數(shù)據(jù)庫審計產(chǎn)品能夠及時發(fā)現(xiàn)一些內(nèi)部授權(quán)用戶由于對系統(tǒng)不熟悉而導(dǎo)致的誤操作，或內(nèi)部用戶、運維人員、外包工程師有意進行的數(shù)據(jù)篡改和竊取，有效保護主要數(shù)據(jù)的安全。而且通過各種訪問信息的記錄，能夠完整地回放事故當(dāng)時操作場景，定位事故真正責(zé)任人，便于事后追查原因與界定責(zé)任。

另一方面，用戶可利用數(shù)據(jù)庫審計產(chǎn)品，按照企事業(yè)單位的有關(guān)規(guī)章制度、國家行業(yè)要求，設(shè)定審計策略、告警規(guī)則，從而協(xié)助企事業(yè)單位更好完善IT內(nèi)控與審計體系，達到國家風(fēng)險、內(nèi)控指引的IT審計要求和等級保護中對數(shù)據(jù)安全的相關(guān)要求。

總之，通過部署專用的數(shù)據(jù)庫審計產(chǎn)品，用戶可以對重要的數(shù)據(jù)庫系統(tǒng)達到以下安全保護目標(biāo)：

1） 進行數(shù)據(jù)操作實監(jiān)控：對所有外部或是內(nèi)部用戶訪問數(shù)據(jù)庫和主機的各種操作行為、內(nèi)容，進行實時監(jiān)控；

2） 對高危操作實時地阻斷，干擾攻擊或違規(guī)行為的執(zhí)行；

3） 進行安全預(yù)警：對入侵和違規(guī)行為進行預(yù)警和告警，并能夠指導(dǎo)管理員進行應(yīng)急響應(yīng)處理；

4） 進行事后調(diào)查取證：對于所有行為能夠進行事后查詢、取證、調(diào)查分析，出具各種審計報表報告。

5） 協(xié)助責(zé)任認定、事態(tài)評估：我們的系統(tǒng)不光能夠記錄和定位誰、在什么時候、通過什么方式對數(shù)據(jù)庫進行了什么操作，還能記錄操作的結(jié)果以及評估可能的危害程度。

因此，數(shù)據(jù)庫審計產(chǎn)品著實是政府和企事業(yè)單位進行下一步網(wǎng)絡(luò)安全建設(shè)的首選產(chǎn)品。需要指出的是，在選擇此類產(chǎn)品時，應(yīng)注意以下幾個方面：

1） 安裝部署的難以程度。推薦選擇偵聽、存儲一體化的硬件產(chǎn)品，B/S結(jié)構(gòu)，可直接通過瀏覽器進行管理，不用裝任何插件。這樣就不用另配服務(wù)器或存儲設(shè)備，上架即可使用；

2） 旁路鏡像的方式，不會影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，或業(yè)務(wù)訪問模式。這點非常重要，使用此類產(chǎn)品的目的是保護數(shù)據(jù)庫，保護業(yè)務(wù)系統(tǒng)，千萬不要因它而起反作用；

3） 根據(jù)自身所用的數(shù)據(jù)庫類型選擇產(chǎn)品。建議選擇能夠支持windows、linux、unix等各種操作系統(tǒng)下的各類主流數(shù)據(jù)庫（例如SQL Server、Oracle、DB2、Sybase等）全都可以支持的產(chǎn)品，這樣即使后期擴展也不怕；

4） 審計的粒度要夠細致，否則只是雞肋。要能識別出增、刪、改、查等全部SQL操作，審計的內(nèi)容不光包括網(wǎng)絡(luò)中的原始數(shù)據(jù)，還要對這些原始數(shù)據(jù)進行了細致化的字段的解析，包括時間、IP、MAC、庫、表、記錄、用戶、函數(shù)、參數(shù)等重要信息字段，同時要知道這些SQL操作執(zhí)行的結(jié)果是成功還是失??；

5） 不要單純的只是數(shù)據(jù)庫審計。對于用戶而言，要保護核心數(shù)據(jù)，僅僅依靠對數(shù)據(jù)庫的審計是不夠的。內(nèi)部人員違規(guī)操作的途徑有很多，有的是直接違規(guī)訪問數(shù)據(jù)庫，有的是登錄到數(shù)據(jù)庫所在的主機服務(wù)器上，有的是透過FTP去下載數(shù)據(jù)庫所在主機的重要數(shù)據(jù)文件，還有的是透過其他程序或者中間件系統(tǒng)訪問數(shù)據(jù)庫。所以，必須對數(shù)據(jù)庫、主機、HTTP協(xié)議、TELNET、FTP協(xié)議，網(wǎng)絡(luò)流量、中間件系統(tǒng)都進行審計，才能更加全面的發(fā)現(xiàn)違規(guī)、防止信息泄漏。  

【編輯推薦】

1. 信息安全時代呼喚數(shù)據(jù)庫審計和風(fēng)險控制
2. 明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)介紹