數(shù)據(jù)庫安全審計(jì)問題日漸成為人們不得不關(guān)注的問題，由于數(shù)據(jù)庫中數(shù)據(jù)的保密性，使安全審計(jì)工作相當(dāng)重要，而現(xiàn)在網(wǎng)絡(luò)監(jiān)聽成為了數(shù)據(jù)庫安全審計(jì)的最佳手段。長期以來，在保障業(yè)務(wù)連續(xù)性和性能的前提下，最大限度的保障數(shù)據(jù)庫安全一直是數(shù)據(jù)庫管理人員、安全管理人員孜孜不倦追求的安全目標(biāo)。本文將主要介紹4種數(shù)據(jù)庫安全審計(jì)技術(shù)，并建議優(yōu)選網(wǎng)絡(luò)監(jiān)聽方式。

　　(聯(lián)合電訊社/北京)--數(shù)據(jù)庫系統(tǒng)作為三大基礎(chǔ)軟件之一并不是在計(jì)算機(jī)誕生的時(shí)候就同時(shí)產(chǎn)生的，隨著信息技術(shù)的發(fā)展，傳統(tǒng)文件系統(tǒng)已經(jīng)不能滿足人們的需要，1961年，美國通用電氣公司成功開發(fā)了世界上第一個(gè)數(shù)據(jù)庫系統(tǒng)IDS(Integrated Data Store)，奠定了數(shù)據(jù)庫的基礎(chǔ)。經(jīng)過幾十年的發(fā)展和實(shí)際應(yīng)用，技術(shù)越來越成熟和完善，代表產(chǎn)品有甲骨文公司的Oracle、IBM公司的DB2、微軟公司的MS-SQL Server等等。

　　如今，數(shù)據(jù)庫系統(tǒng)在企業(yè)管理等領(lǐng)域已經(jīng)具有非常廣泛的應(yīng)用，如ERP系統(tǒng)、計(jì)費(fèi)系統(tǒng)、經(jīng)分系統(tǒng)等。數(shù)據(jù)庫系統(tǒng)作為應(yīng)用系統(tǒng)的核心，承載了企業(yè)運(yùn)營的關(guān)鍵數(shù)據(jù)，是企業(yè)核心IT資產(chǎn)之一。

　　因此，長期以來，在保障業(yè)務(wù)連續(xù)性和性能的前提下，最大限度的保障數(shù)據(jù)庫安全一直是數(shù)據(jù)庫管理人員、安全管理人員孜孜不倦追求的安全目標(biāo)。

　　數(shù)據(jù)庫安全風(fēng)險(xiǎn)更多是內(nèi)部違規(guī)行為

　　數(shù)據(jù)庫安全涉及入侵防御、賬號(hào)管理、訪問控制、安全審計(jì)、防病毒、評估加固等多個(gè)方面，常見的安全產(chǎn)品如UTM、入侵檢測、漏洞掃描等產(chǎn)品為保障數(shù)據(jù)庫系統(tǒng)的正常運(yùn)行起到了重要作用。但是，通過對諸多安全事件的處理、分析，調(diào)查人員發(fā)現(xiàn)企業(yè)內(nèi)部人員造成的違規(guī)事件占了較大比例。

　　究其原因，主要是因?yàn)檫@些違規(guī)行為與傳統(tǒng)的攻擊行為不同，對內(nèi)部的違規(guī)行為無法利用攻擊機(jī)理和漏洞機(jī)理進(jìn)行分析，這就導(dǎo)致了那些抵御外部入侵的產(chǎn)品無用武之地。因此，要防止內(nèi)部的違規(guī)行為，就需要在內(nèi)部建設(shè)審計(jì)系統(tǒng)，通過對操作行為的分析，實(shí)現(xiàn)對違規(guī)行為的及時(shí)響應(yīng)和追溯。

　　根據(jù)Verizon 2009調(diào)查報(bào)告(基于對2億8500萬次累計(jì)破壞行為數(shù)據(jù)進(jìn)行分析)，數(shù)據(jù)庫系統(tǒng)的嘗試破壞行為占比最高，在75%左右。這是為什么呢?

　　主要原因在于：一方面由于數(shù)據(jù)庫系統(tǒng)往往承載關(guān)鍵業(yè)務(wù)數(shù)據(jù)，而這些數(shù)據(jù)牽涉到企業(yè)各個(gè)方面的信息，從政治、經(jīng)濟(jì)而言都具備重要的價(jià)值;另一方面由于數(shù)據(jù)庫系統(tǒng)通常比較復(fù)雜，且其對連續(xù)性、穩(wěn)定性有高標(biāo)準(zhǔn)的要求，安全管理人員在缺乏相關(guān)知識(shí)的情況下，往往出現(xiàn)想不到、不敢想、不敢動(dòng)的情況，從而導(dǎo)致數(shù)據(jù)庫安全管理工作滯后于業(yè)務(wù)需求的滿足。

　　實(shí)際上，關(guān)于數(shù)據(jù)庫系統(tǒng)的安全事件層出不窮，而且有愈演愈烈之勢：遠(yuǎn)有某市雙色球開獎(jiǎng)數(shù)據(jù)庫被篡改，3305萬巨獎(jiǎng)險(xiǎn)被冒領(lǐng)的案件;近的更有，匯豐銀行2.4萬賬號(hào)數(shù)據(jù)被盜的例子……對此，國家相關(guān)部門非常重視，在《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》、《信息系統(tǒng)安全保護(hù)等級基本要求》等相關(guān)政策中，對于審計(jì)系統(tǒng)也有明確的要求：

　　--應(yīng)制定能夠確保系統(tǒng)安全審計(jì)策略正確實(shí)施的規(guī)章制度及措施

　　--應(yīng)對重要服務(wù)器的訪問行為進(jìn)行審計(jì)

　　--應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等

　　--應(yīng)定期對審計(jì)記錄進(jìn)行審查分析，對可疑行為及違規(guī)操作，采取相應(yīng)的措施，并及時(shí)報(bào)告

　　可見，保障數(shù)據(jù)庫安全和穩(wěn)定，已經(jīng)成為信息時(shí)代舉足輕重的一項(xiàng)工作。那么采取什么樣的技術(shù)方式對數(shù)據(jù)庫實(shí)現(xiàn)安全保護(hù)呢?

　　簡介4類數(shù)據(jù)庫安全審計(jì)技術(shù)

　　以下主要就數(shù)據(jù)庫安全審計(jì)技術(shù)進(jìn)行闡述。

　　常見的安全審計(jì)技術(shù)主要有四類，分別是：基于日志的審計(jì)技術(shù)、基于代理的審計(jì)技術(shù)、基于網(wǎng)絡(luò)監(jiān)聽的審計(jì)技術(shù)、基于網(wǎng)關(guān)的審計(jì)技術(shù)。

　　1. 基于日志的審計(jì)技術(shù)：該技術(shù)通常是通過數(shù)據(jù)庫自身功能實(shí)現(xiàn)，Oracle、DB2等主流數(shù)據(jù)庫，均具備自身審計(jì)功能，通過配置數(shù)據(jù)庫的自審計(jì)功能，即可實(shí)現(xiàn)對數(shù)據(jù)庫的審計(jì)，該技術(shù)能夠?qū)W(wǎng)絡(luò)操作及本地操作數(shù)據(jù)庫的行為進(jìn)行審計(jì)，由于依托于現(xiàn)有數(shù)據(jù)庫管系統(tǒng)，因此兼容性很好。

　　但這種審計(jì)技術(shù)的缺點(diǎn)也比較明顯。首先，在數(shù)據(jù)庫系統(tǒng)上開啟自身日志審計(jì)對數(shù)據(jù)庫系統(tǒng)的性能就有影響，特別是在大流量情況下，損耗較大;其次，日志審計(jì)記錄的細(xì)粒度上差，缺少一些關(guān)鍵信息，比如源IP、SQL語句等等，審計(jì)溯源效果不好，最后就是日志審計(jì)需要到每一臺(tái)被審計(jì)主機(jī)上進(jìn)行配置和查看，較難進(jìn)行統(tǒng)一的審計(jì)策略配置和日志分析。

　　2. 基于代理的審計(jì)技術(shù)：該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)上安裝相應(yīng)的審計(jì)Agent，在Agent上實(shí)現(xiàn)審計(jì)策略的配置和日志的采集，常見的產(chǎn)品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產(chǎn)品，該技術(shù)與日志審計(jì)技術(shù)比較類似，最大的不同是需要在被審計(jì)主機(jī)上安裝代理程序。代理審計(jì)技術(shù)從審計(jì)粒度上要優(yōu)于日志審計(jì)技術(shù)，但是性能上的損耗是要大于日志審計(jì)技術(shù)，因?yàn)閿?shù)據(jù)庫系統(tǒng)廠商未公開細(xì)節(jié)，由數(shù)據(jù)庫廠商提供的代理審計(jì)類產(chǎn)品對自有數(shù)據(jù)庫系統(tǒng)的兼容性較好，但是在跨數(shù)據(jù)庫系統(tǒng)的支持上，比如要同時(shí)審計(jì)Oracle和DB2時(shí)，存在一定的兼容性風(fēng)險(xiǎn)。同時(shí)由于在引入代理審計(jì)后，原數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性、可靠性、性能或多或少都會(huì)有一些影響，實(shí)際的應(yīng)用面較窄。

　　3. 基于網(wǎng)絡(luò)監(jiān)聽的審計(jì)技術(shù)：該技術(shù)是通過將對數(shù)據(jù)庫系統(tǒng)的訪問流鏡像到交換機(jī)某一個(gè)端口，然后通過專用硬件設(shè)備對該端口流量進(jìn)行分析和還原，從而實(shí)現(xiàn)對數(shù)據(jù)庫訪問的審計(jì)。該技術(shù)最大的優(yōu)點(diǎn)就是與現(xiàn)有數(shù)據(jù)庫系統(tǒng)無關(guān)，部署過程不會(huì)給數(shù)據(jù)庫系統(tǒng)帶來性能上的負(fù)擔(dān)，即使是出現(xiàn)故障也不會(huì)影響數(shù)據(jù)庫系統(tǒng)的正常運(yùn)行，具備易部署、無風(fēng)險(xiǎn)的特點(diǎn);但是，其部署的實(shí)現(xiàn)原理決定了網(wǎng)絡(luò)監(jiān)聽技術(shù)在針對加密協(xié)議時(shí)，只能實(shí)現(xiàn)到會(huì)話級別審計(jì)(即可以審計(jì)到時(shí)間、源IP、源端口、目的IP、目的端口等信息)，而沒法對內(nèi)容進(jìn)行審計(jì)。不過在絕大多數(shù)業(yè)務(wù)環(huán)境下，因?yàn)閿?shù)據(jù)庫系統(tǒng)對業(yè)務(wù)性能的要求是遠(yuǎn)高于對數(shù)據(jù)傳輸加密的要求，很少有采用加密通訊方式訪問數(shù)據(jù)庫服務(wù)端口的情況，故網(wǎng)絡(luò)監(jiān)聽審計(jì)技術(shù)在實(shí)際的數(shù)據(jù)庫審計(jì)項(xiàng)目中應(yīng)用非常廣泛。

　　4. 基于網(wǎng)關(guān)的審計(jì)技術(shù)：該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)前部署網(wǎng)關(guān)設(shè)備，通過在線截獲并轉(zhuǎn)發(fā)到數(shù)據(jù)庫的流量而實(shí)現(xiàn)審計(jì)，該技術(shù)是起源于安全審計(jì)在互聯(lián)網(wǎng)審計(jì)中的應(yīng)用，在互聯(lián)網(wǎng)環(huán)境中，審計(jì)過程除了記錄以外，還需要關(guān)注控制，而網(wǎng)絡(luò)監(jiān)聽方式無法實(shí)現(xiàn)很好的控制效果，故多數(shù)互聯(lián)網(wǎng)審計(jì)廠商選擇通過串行的方式來實(shí)現(xiàn)控制。在應(yīng)用過程中，這種技術(shù)實(shí)現(xiàn)方式開始在數(shù)據(jù)庫環(huán)境中使用，不過由于數(shù)據(jù)庫環(huán)境存在流量大、業(yè)務(wù)連續(xù)性要求高、可靠性要求高的特點(diǎn)，與互聯(lián)網(wǎng)環(huán)境大相徑庭，故這種網(wǎng)關(guān)審計(jì)技術(shù)往往主要運(yùn)用在對數(shù)據(jù)庫運(yùn)維審計(jì)的情況下，不能完全覆蓋所有對數(shù)據(jù)庫訪問行為的審計(jì)。

　　通過對以上四種技術(shù)的分析，在進(jìn)行數(shù)據(jù)庫審計(jì)技術(shù)方案的選擇時(shí)，我們遵循的根本原則建議是：

　　1.業(yè)務(wù)保障原則：安全建設(shè)的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，必須保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。

　　2.結(jié)構(gòu)簡化原則：安全建設(shè)的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加安全，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個(gè)安全防護(hù)體系的管理、執(zhí)行和維護(hù)。

　　3.生命周期原則：安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化;系統(tǒng)應(yīng)具備適度的靈活性和擴(kuò)展性。

　　根據(jù)通常情況下用戶業(yè)務(wù)系統(tǒng)7*24小時(shí)不間斷運(yùn)行的特點(diǎn)，從穩(wěn)定性、可靠性、可用性等多方面進(jìn)行考慮，特別是技術(shù)方案的選擇不應(yīng)對現(xiàn)有系統(tǒng)造成影響，建議用戶朋友優(yōu)選采用網(wǎng)絡(luò)監(jiān)聽審計(jì)技術(shù)來實(shí)現(xiàn)對數(shù)據(jù)庫的審計(jì)。
 

網(wǎng)絡(luò)監(jiān)聽是兩面的，既有積極向上的一面，也會(huì)讓動(dòng)機(jī)不良的人鉆了空子，所以大家請利用網(wǎng)絡(luò)監(jiān)聽解決網(wǎng)絡(luò)中存在的問題，不要作為竊取他人機(jī)密的工具。讓網(wǎng)絡(luò)監(jiān)聽幫助你做好安全審計(jì)工作。

【編輯推薦】

1. 網(wǎng)絡(luò)監(jiān)聽技術(shù)概覽
2. 如何防止網(wǎng)絡(luò)監(jiān)聽與端口掃描
3. 網(wǎng)絡(luò)監(jiān)聽法捕獲到更多的數(shù)據(jù)信息
4. 數(shù)據(jù)庫安全審計(jì)
5. 選購數(shù)據(jù)庫安全審計(jì)產(chǎn)品的5大要素