很少有比保護(hù)數(shù)據(jù)庫及其存儲的數(shù)據(jù)更加嚴(yán)峻的IT安全挑戰(zhàn)了，尤其是針對最常用的數(shù)據(jù)庫和Web應(yīng)用程序的攻擊：SQL注入。盡管關(guān)系型數(shù)據(jù)庫管理系統(tǒng)（RDBMS）供應(yīng)商、IT安全專家和應(yīng)用程序開發(fā)人員都意識到了此類攻擊，但問題依然存在，因為在不影響商業(yè)運(yùn)作的前提下，這類攻擊難以檢測和阻止。

更嚴(yán)重的是，SQL注入是攻擊者能夠完全控制關(guān)系型數(shù)據(jù)庫的攻擊手段之一。關(guān)系型數(shù)據(jù)庫結(jié)構(gòu)復(fù)雜，允許多種應(yīng)用程序同時讀取或?qū)懭霐?shù)據(jù)——每一種應(yīng)用程序都支持多種業(yè)務(wù)功能——這使得我們難以比較關(guān)系型數(shù)據(jù)庫的優(yōu)劣。當(dāng)攻擊看起來就像是正常的數(shù)據(jù)庫命令時，你需要做的就不僅僅是隨意檢查一下數(shù)據(jù)庫操作事件了。

對于可能不熟悉這項技術(shù)的人來說，數(shù)據(jù)庫活動檢測（DAM）系統(tǒng)就是檢測關(guān)系型數(shù)據(jù)庫濫用的高級安全平臺。DAM系統(tǒng)技術(shù)獨特，能以近乎實時的速度分析數(shù)據(jù)庫查詢，區(qū)分正常的操作和攻擊。DAM系統(tǒng)收集不同來源的信息，提供多種形式的高級分析和警告，甚至能直接中斷惡意活動。沒有其它的安全產(chǎn)品能以這種方式監(jiān)測數(shù)據(jù)庫的活動，或者提供DAM式的細(xì)化檢查水平。

確定數(shù)據(jù)、事務(wù)的保護(hù)優(yōu)先級

部署DAM的第一步是決定你想保護(hù)的內(nèi)容。監(jiān)測數(shù)據(jù)庫有很多種方式，對每個事件都進(jìn)行檢測是不現(xiàn)實的，因為這樣一來監(jiān)測系統(tǒng)將比保護(hù)對象更加龐大。你需要了解什么樣的數(shù)據(jù)或事務(wù)是重要的。有三種方法可以助你了解：

1、訪問建立數(shù)據(jù)庫的數(shù)據(jù)庫管理員和應(yīng)用程序開發(fā)者，因為他們通常都知道敏感數(shù)據(jù)的保存位置，也知道哪一類數(shù)據(jù)庫支持關(guān)鍵業(yè)務(wù)功能。

2、使用數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)庫檢索器調(diào)查數(shù)據(jù)庫內(nèi)容。監(jiān)測器最起碼能夠監(jiān)測數(shù)據(jù)的寫入和讀取。作為附帶功能，一些供應(yīng)商還提供能夠搜尋數(shù)據(jù)庫內(nèi)容的檢索器。這些檢測工具能夠通過元數(shù)據(jù)和內(nèi)容分析技術(shù)定位敏感數(shù)據(jù)，確定需要保護(hù)的數(shù)據(jù)。

3、觀察SQL語句和數(shù)據(jù)庫事務(wù)。大多數(shù)DAM系統(tǒng)在最開始的幾周都是以“獨立監(jiān)測”（monitor-only）的模式運(yùn)行的，因此公司能夠逐漸了解數(shù)據(jù)庫的運(yùn)行狀況。從本質(zhì)上講，你要給出應(yīng)用程序使用數(shù)據(jù)庫和常見查詢樣式的大概輪廓。然后你可以定義策略和實現(xiàn)方式，檢測數(shù)據(jù)庫濫用。

基于你的發(fā)現(xiàn)，你可以定義相關(guān)規(guī)則，允許哪些活動，并對可疑活動產(chǎn)生警告。

如何捕獲數(shù)據(jù)庫事件

現(xiàn)在你知道了何種事務(wù)是重要的，接下來你需要決定如何收集數(shù)據(jù)庫事件。每一種數(shù)據(jù)庫檢測器都提供了多種收集數(shù)據(jù)的方法，每一種方法都各有優(yōu)劣。

在數(shù)據(jù)庫平臺上安裝代理很常見，因為代理能捕獲所有SQL活動，在不影響數(shù)據(jù)庫性能的前提下，有助于理解某次查詢是否是惡意的。

本地審計功能可收集事件，但卻不一定能收集到原始的SQL查詢，開銷也要大很多，影響數(shù)據(jù)庫性能。

網(wǎng)絡(luò)收集器則提供了一種更快更容易的收集SQL活動的方法，但會丟失管理員通過控制臺進(jìn)行的事務(wù)和活動。

代理是關(guān)鍵數(shù)據(jù)庫事實上的安全工具。本地審計和網(wǎng)絡(luò)監(jiān)控則在非關(guān)鍵數(shù)據(jù)庫上比較常見，但在特殊情況下使用得更多。

數(shù)據(jù)庫安全的基本定義

現(xiàn)在，你已經(jīng)在從關(guān)鍵數(shù)據(jù)庫系統(tǒng)中收集事件，下一步是實現(xiàn)你的安全策略。DAM的工作方式是分析數(shù)據(jù)庫查詢，你可以通過很多選項設(shè)置對哪些語句進(jìn)行檢查，以及如何檢查。數(shù)據(jù)庫活動檢測工具提供的基本功能有：

監(jiān)測和查找

警告和報告

工作次序驗證

捕獲數(shù)據(jù)庫濫用

SQL捕獲（用于審計）

大多數(shù)政策執(zhí)行的是數(shù)據(jù)庫查詢屬性檢查：用戶是誰、用戶正在瀏覽哪一列、用戶使用何種應(yīng)用程序、用戶接觸到的數(shù)據(jù)、操作時間等，這些通常都被用于定義安全策略。你為每一個屬性分配特定值，當(dāng)用戶超過這些預(yù)定義的閾值時，監(jiān)測系統(tǒng)就會產(chǎn)生警告。例如，你可能會想對這些情況產(chǎn)生警告：所有午夜之后的查詢、三次失敗的登錄嘗試、任何對信用卡資料的訪問。

高級監(jiān)控

數(shù)據(jù)庫活動監(jiān)測系統(tǒng)的能力在過去的幾年里得到了極大的提高。過去只是純粹的監(jiān)測和警示，現(xiàn)在已經(jīng)提供了一套可靠的阻止攻擊、主動抵制濫用的方法。大多數(shù)DAM產(chǎn)品具有的高級功能有：

SQL注入監(jiān)測

攻擊阻止和虛擬補(bǔ)丁

特定應(yīng)用程序用戶認(rèn)證

會話終止

行為監(jiān)控和內(nèi)部威脅檢測#p#

但是，先進(jìn)的分析手段就意味著先進(jìn)的政策，這些政策要針對你的環(huán)境，供應(yīng)商沒法為你事先設(shè)定。為了檢測和阻止SQL注入攻擊，你需要為你的應(yīng)用程序定義合法的SQL查詢語句。如果你不能及時地給數(shù)據(jù)庫打補(bǔ)丁，那么你就需要編寫一個政策，用于檢測攻擊，同時部署DAM阻止威脅。幸運(yùn)的是，即便你的數(shù)據(jù)庫供應(yīng)商沒有為你預(yù)設(shè)政策，你的DAM供應(yīng)商也會幫助你自定義。

為實現(xiàn)行為監(jiān)測，即發(fā)現(xiàn)異常的行為，你需要定義什么樣的行為才是正常的。要識別特定應(yīng)用程序用戶——并不是通常地應(yīng)用程序連接數(shù)據(jù)庫的賬戶——你需要提供查詢IP地址或者傳遞用戶憑證的手段。如果檢測到嚴(yán)重的威脅，你需要決定是否斷開該用戶，或者鎖定賬戶禁止其訪問系統(tǒng)。所有這些高級的功能都要求你進(jìn)行自定義操作。DAM供應(yīng)商只是提供模板和工具，幫助你針對自己的應(yīng)用環(huán)境建立政策、監(jiān)測和執(zhí)行手段，但政策必須由你自己定制。

部署DAM

長期來看，如果要從一開始就節(jié)省時間、避免麻煩，管理DAM平臺有幾個方面需要注意。包括：

分離職責(zé)：基于安全和法規(guī)兩方面的原因，撰寫政策和審核報告的人不應(yīng)該是監(jiān)控數(shù)據(jù)庫的管理員。同樣地，一組數(shù)據(jù)庫的DBA不應(yīng)使用DAM工具窺探其他組的數(shù)據(jù)庫。想法就是要檢測舞弊、相互制約，所以應(yīng)在DAM產(chǎn)品內(nèi)區(qū)分角色和責(zé)任。

長期存儲：數(shù)據(jù)庫活動檢測平臺通常沒有儲存安全信息、事件管理（SIEM）信息和日志管理信息的能力，但一般會提供一些相關(guān)的能力。這些產(chǎn)品注重語句級別的分析，而不是長期的存儲和管理。事件很少能在DAM產(chǎn)品中保存超過30天。如果你想執(zhí)行90天或者180天長的窗口期的分析，那就需要為DAM服務(wù)器或者日志管理系統(tǒng)提供額外的存儲器。

可擴(kuò)展性：DAM的可擴(kuò)展性有三個關(guān)鍵問題：事務(wù)量、網(wǎng)絡(luò)拓?fù)湟约皩Ｓ糜诒O(jiān)控的系統(tǒng)資源。DAM系統(tǒng)的架構(gòu)要與本地的數(shù)據(jù)收集器、事件分析和警告產(chǎn)生設(shè)備、中央政策管理和報告設(shè)備相適應(yīng)。你需要確保上述每一部分都能與其他部分進(jìn)行可靠的溝通，并且你能從部署在虛擬環(huán)境中的數(shù)據(jù)庫中收集事件信息。要最大程度地利用你在DAM上的投資，最好是要理解你需要分析的事件的類型，并過濾掉所有你擔(dān)心的東西。更少的事件信息意味著更少的存儲和處理開銷。當(dāng)需要監(jiān)控每小時執(zhí)行上百萬條查詢的數(shù)據(jù)庫時，過濾能極大地降低設(shè)備或服務(wù)器投資。

數(shù)據(jù)庫活動監(jiān)測是一項成熟的技術(shù)，專注于數(shù)據(jù)庫事務(wù)，提供了保護(hù)數(shù)據(jù)、阻止惡意操作的有效手段。但是，要體現(xiàn)監(jiān)測平臺的價值，你需要投資建立規(guī)則、警示和報告機(jī)制，從而解決你所面臨的安全問題。

此外，為避免造成管理或性能問題，部署系統(tǒng)時需仔細(xì)斟酌安裝選項。DAM的用途有很多，所以你需要清楚地知道你的優(yōu)先工作是什么。在運(yùn)用更高級的安全功能之前，你應(yīng)首先讓基本的系統(tǒng)工作起來。

【編輯推薦】

1. 內(nèi)網(wǎng)安全管理系統(tǒng)DeskView實現(xiàn)雙向監(jiān)控
2. 初試IE9第一個配置工具TweakIE9
3. 支付寶產(chǎn)品經(jīng)理談iPad上的設(shè)計工具
4. 漏洞掃描工具選擇技巧大揭秘