以下的文章主要向大家講述的是正確選購(gòu)數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品的五大要素，近年來(lái)，有關(guān)數(shù)據(jù)庫(kù)安全事故可是屢見(jiàn)不鮮，如銀行內(nèi)部數(shù)據(jù)信息泄露造成的賬戶(hù)資金失密、企業(yè)內(nèi)部機(jī)密數(shù)據(jù)泄露引起的競(jìng)爭(zhēng)力下降等等，那么，我們?cè)谶x購(gòu)數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品時(shí)應(yīng)注意哪些呢？

 

近年來(lái)，有關(guān)數(shù)據(jù)庫(kù)的安全事故可謂層出不窮，諸如銀行內(nèi)部數(shù)據(jù)信息泄露造成的賬戶(hù)資金失密、信用卡信息被盜用導(dǎo)致的信用卡偽造、企業(yè)內(nèi)部機(jī)密數(shù)據(jù)泄露引起的競(jìng)爭(zhēng)力下降……，這些情況無(wú)不說(shuō)明了實(shí)施數(shù)據(jù)庫(kù)安全審計(jì)的必要。

 

那么，首先讓我們來(lái)了解一下部署數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品能給用戶(hù)帶來(lái)的益處：

1. 滿(mǎn)足合規(guī)性要求，順利通過(guò)IT審計(jì)

目前，越來(lái)越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美上市的中國(guó)移動(dòng)集團(tuán)公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國(guó)有企業(yè)則有遵循等級(jí)保護(hù)、分級(jí)保護(hù)的合規(guī)性要求。

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)為用戶(hù)核心系統(tǒng)提供了獨(dú)立的審計(jì)解決方案，有助于完善組織的IT內(nèi)控體系，從而滿(mǎn)足各種合規(guī)性要求，并且使組織能夠順利通過(guò)IT審計(jì)。

2.有效減少核心信息資產(chǎn)的破壞和泄漏

對(duì)單位的業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個(gè)關(guān)鍵系統(tǒng)上（如數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等），通過(guò)使用數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品，能夠加強(qiáng)對(duì)這些關(guān)鍵系統(tǒng)的審計(jì)，從而有效地減少對(duì)核心信息資產(chǎn)的破壞和數(shù)據(jù)泄漏。

3.追蹤溯源，便于事后追查原因與界定責(zé)任

一個(gè)單位里負(fù)責(zé)運(yùn)維的部門(mén)通常擁有數(shù)據(jù)庫(kù)管理系統(tǒng)的最高權(quán)限（掌握DBA帳號(hào)的口令），因而也承擔(dān)著很高的風(fēng)險(xiǎn)（誤操作或者是個(gè)別人員的惡意破壞）。審計(jì)系統(tǒng)能夠幫助企業(yè)進(jìn)行事后追查原因與界定責(zé)任。

4.直觀(guān)掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況

業(yè)務(wù)系統(tǒng)的正常運(yùn)行需要一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。對(duì)管理部門(mén)來(lái)說(shuō)，網(wǎng)絡(luò)環(huán)境的安全狀況事關(guān)重大。審計(jì)系統(tǒng)提供業(yè)務(wù)流量監(jiān)控與審計(jì)事件統(tǒng)計(jì)分析功能，能夠直觀(guān)地反映網(wǎng)絡(luò)環(huán)境的安全狀況。

5.實(shí)現(xiàn)獨(dú)立審計(jì)，完善IT內(nèi)控機(jī)制

從內(nèi)控的角度來(lái)看，IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。審計(jì)系統(tǒng)實(shí)現(xiàn)獨(dú)立審計(jì)，幫助監(jiān)督人員獲得有效的技術(shù)手段，從而完善企業(yè)IT內(nèi)控機(jī)制。

沿著安全審計(jì)的發(fā)展軌跡了解數(shù)據(jù)庫(kù)安全審計(jì)的由來(lái)

無(wú)庸質(zhì)疑，數(shù)據(jù)庫(kù)安全審計(jì)已經(jīng)成為現(xiàn)如今很多企事業(yè)單位的必需技術(shù)及產(chǎn)品，那么，接下來(lái)就讓我們從歷史軌跡的角度，了解一下數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)的由來(lái)。

安全審計(jì)技術(shù)源于1980年4月James P. Anderson為美國(guó)空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類(lèi)方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視威脅活動(dòng)的思想。

1990年加州大學(xué)戴維斯分校的L. T. Heberlein等人開(kāi)發(fā)出了NSM（Network Security Monitor）。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。由此，衍生出了網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)，該技術(shù)通過(guò)將對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪(fǎng)問(wèn)流鏡像到交換機(jī)某一個(gè)端口，然后通過(guò)專(zhuān)用硬件設(shè)備對(duì)該端口流量進(jìn)行分析和還原，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)的審計(jì)。

總的來(lái)講，網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)在數(shù)據(jù)庫(kù)審計(jì)的應(yīng)用發(fā)展上經(jīng)歷了三個(gè)主要階段，分別如下：

第一階段：流量行為審計(jì)，該階段實(shí)現(xiàn)了對(duì)OSI七層模型中的網(wǎng)絡(luò)層到會(huì)話(huà)層的覆蓋，主要對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)行為進(jìn)行分析和統(tǒng)計(jì)，如IP、端口、連接次數(shù)等，一些產(chǎn)品甚至還提供了原始IP報(bào)文分析的手段；用戶(hù)可以利用該技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)流量進(jìn)行分析和統(tǒng)計(jì)，能夠讓用戶(hù)及時(shí)了解各應(yīng)用消耗的網(wǎng)絡(luò)資源和TOP N流量來(lái)源，幫助用戶(hù)在網(wǎng)絡(luò)規(guī)劃、監(jiān)控、優(yōu)化、故障診斷等方面做出決策。

第二階段：內(nèi)容審計(jì)，該階段實(shí)現(xiàn)了對(duì)OSI七層模型中的表示層到應(yīng)用層的覆蓋，利用關(guān)鍵字對(duì)SQL整個(gè)語(yǔ)句的進(jìn)行模糊匹配，主要對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)行為實(shí)現(xiàn)內(nèi)容記錄，如數(shù)據(jù)庫(kù)登陸賬號(hào)、SQL語(yǔ)句等；用戶(hù)可以利用該技術(shù)實(shí)現(xiàn)對(duì)SQL操作進(jìn)行記錄、分析和統(tǒng)計(jì)，該階段能夠滿(mǎn)足對(duì)數(shù)據(jù)庫(kù)審計(jì)的基本需求，但是在響應(yīng)和分析的精度上存在較大誤差，難以滿(mǎn)足大中型用戶(hù)對(duì)數(shù)據(jù)庫(kù)審計(jì)的需求；

第三階段：語(yǔ)法解析階段，該階段集中在應(yīng)用層，實(shí)現(xiàn)對(duì)SQL語(yǔ)句的語(yǔ)義分析，盡可能的將操作數(shù)據(jù)庫(kù)的SQL語(yǔ)句進(jìn)行細(xì)粒度解析，比如賬號(hào)名、數(shù)據(jù)庫(kù)名、數(shù)據(jù)表名、字段名、字段值、返回碼等，以滿(mǎn)足針對(duì)各種違規(guī)行為的精確檢測(cè)、響應(yīng)和審計(jì)，如表1所示：

表1 數(shù)據(jù)庫(kù)審計(jì)記錄

需要特別指出的是，判斷數(shù)據(jù)庫(kù)審計(jì)是否達(dá)到語(yǔ)法解析階段的主要指標(biāo)有三個(gè)方面：

首先是能夠?qū)QL語(yǔ)句分解成多個(gè)字段進(jìn)行響應(yīng)和記錄，任意一列都可以單獨(dú)設(shè)定審計(jì)規(guī)則，單獨(dú)查詢(xún)，這樣就可以滿(mǎn)足用戶(hù)精確響應(yīng)和精確查詢(xún)的要求。

其次是能夠?qū)崿F(xiàn)對(duì)綁定變量傳輸情況下的字段與數(shù)值的自匹配解析，通過(guò)對(duì)字段值的解析、設(shè)定字段數(shù)值條件。在大多數(shù)情況下，數(shù)據(jù)表關(guān)鍵字段往往對(duì)應(yīng)著現(xiàn)實(shí)世界中資金或物品的數(shù)量及額度，對(duì)關(guān)鍵字段改變操作的精確檢測(cè)非常重要。

最后是語(yǔ)法解析的完整性，SQL操作對(duì)象有多種類(lèi)別，如Database、table、view、index、trigger、procedure、domain、schema、user、cursor、transaction等，在實(shí)際應(yīng)用中，各數(shù)據(jù)庫(kù)系統(tǒng)（比如Oracle、DB2、MSQL）在SQL-92標(biāo)準(zhǔn)的基礎(chǔ)上具體實(shí)現(xiàn)也有所差異，滿(mǎn)足不同種類(lèi)數(shù)據(jù)庫(kù)系統(tǒng)、滿(mǎn)足不同版本的數(shù)據(jù)庫(kù)系統(tǒng)、滿(mǎn)足不同通訊協(xié)議下的數(shù)據(jù)庫(kù)環(huán)境，滿(mǎn)足對(duì)各操作對(duì)象及DML、DCL、DDL命令支持是審計(jì)完整性的重要指標(biāo)之一。

5大因素幫你選出好的數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品

結(jié)合以上對(duì)數(shù)據(jù)庫(kù)審計(jì)技術(shù)的闡述，在數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的選擇上，主要從以下5個(gè)方面進(jìn)行考慮：

部署安全：系統(tǒng)應(yīng)采用網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)，部署過(guò)程中不對(duì)原有系統(tǒng)進(jìn)行干擾，即無(wú)需在客戶(hù)端或服務(wù)器端安裝代理、也無(wú)需在整個(gè)通訊鏈路中串聯(lián)設(shè)備，改變?cè)型ㄓ嵎绞?，?shù)據(jù)庫(kù)審計(jì)產(chǎn)品的故障不會(huì)造成原有系統(tǒng)出現(xiàn)問(wèn)題；

策略靈活：業(yè)務(wù)系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫(kù)中進(jìn)行集中存儲(chǔ)，故對(duì)于數(shù)據(jù)庫(kù)的操作審計(jì)需要細(xì)化到數(shù)據(jù)庫(kù)指令、表名、視圖、字段等，同時(shí)能夠?qū)徲?jì)數(shù)據(jù)庫(kù)返回的錯(cuò)誤代碼、響應(yīng)時(shí)間等，這樣一方面能夠?qū)﹃P(guān)鍵業(yè)務(wù)數(shù)值進(jìn)行重點(diǎn)審計(jì)，另一方面能夠在數(shù)據(jù)庫(kù)出現(xiàn)關(guān)鍵錯(cuò)誤時(shí)及時(shí)響應(yīng)，避免由于數(shù)據(jù)庫(kù)故障帶來(lái)的業(yè)務(wù)損失；數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品需要提供缺省的審計(jì)策略，具備良好的開(kāi)放性，能夠根據(jù)用戶(hù)的業(yè)務(wù)特點(diǎn)進(jìn)行審計(jì)策略的定義和修改；

事件完整：數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品應(yīng)能支持主流數(shù)據(jù)庫(kù)的審計(jì)，符合SQL-92標(biāo)準(zhǔn)，滿(mǎn)足對(duì)常見(jiàn)數(shù)據(jù)庫(kù)系統(tǒng)如Oracle、DB2、Microsoft SQL-Server、Sybase、Informix、Teradata、Mysql的審計(jì)；同時(shí)由于業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的業(yè)務(wù)操作是大量而頻繁的，這就要求安全審計(jì)產(chǎn)品具備較高的性能，避免由于審計(jì)事件無(wú)法入庫(kù)而導(dǎo)致數(shù)據(jù)完整性缺失帶來(lái)的無(wú)法取證問(wèn)題，大多數(shù)安全審計(jì)產(chǎn)品應(yīng)達(dá)到每秒5000條左右的平均入庫(kù)速度，每秒10000條左右的峰值入庫(kù)速度，日處理審計(jì)事件性能不低于1000萬(wàn)條；

自身安全：通過(guò)三權(quán)分立機(jī)制，實(shí)現(xiàn)對(duì)管理員、審計(jì)員、操作員進(jìn)行權(quán)限劃分，規(guī)定各角色用戶(hù)只能在其權(quán)限范圍內(nèi)對(duì)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品進(jìn)行操作，同時(shí)對(duì)整個(gè)操作進(jìn)行自身審計(jì)；產(chǎn)品自身應(yīng)保證其安全性，需要結(jié)合安全加固、硬件令牌、訪(fǎng)問(wèn)控制等多種安全手段提高自身的安全性；

獨(dú)立可靠：審計(jì)事件的存儲(chǔ)不依賴(lài)被審計(jì)對(duì)象，同時(shí)為了保證審計(jì)溯源的準(zhǔn)確性，應(yīng)提供時(shí)間同步功能，避免各審計(jì)組件時(shí)間不一致帶來(lái)的誤差。

【編輯推薦】

1. 解析數(shù)據(jù)庫(kù)安全審計(jì)
2. 利益驅(qū)使 企業(yè)數(shù)據(jù)庫(kù)安全不容樂(lè)觀(guān)
3. IBM重金收購(gòu)數(shù)據(jù)庫(kù)安全公司 圍剿Oracle之心不死
4. 數(shù)據(jù)庫(kù)安全管理的三個(gè)經(jīng)驗(yàn)分享
5. 范淵：Web應(yīng)用與數(shù)據(jù)庫(kù)安全剖析