數據庫審計產品購買者指南

引言
 

隨着信息技術的不斷髮展，數字信息逐漸成爲一種重要資產，尤爲是在過去的20多年裏，做爲信息的主要載體——數據庫，其相關應用在數量和重要性方面都取得了巨大的增加。包括政府機構、企事業單位、製造業、商業等在內的幾乎每一種組織都使用它來存儲、操縱和檢索數據。隨着人們對數據的依賴性愈來愈高，各類數據信息，尤爲是一些財務數據、客戶數據等成爲了關係企業生存的重要資產。網絡化時代的到來、互聯網技術的普及更加深了數據保護的矛盾，網絡技術使得數字信息的泄漏和篡改變得更加容易，而防範則更加困難。

更爲嚴重的是，全部信息泄漏事件中，源自內部人員所爲的佔了絕大部分。根據FBI和CSI對484家公司進行的網絡安全專項調查結果顯示：超過 85%的安全威脅來自公司內部，在損失金額上，因爲內部人員泄密緻使了6056.5萬美圓的損失，是***形成損失的16倍，是病毒形成損失的12倍。另據中國國家信息安全測評認證中心調查，信息安全的現實威脅也主要爲內部信息泄露和內部人員犯罪，而非病毒和外來***引發。

在本文最後的附錄中，列舉了大量的信息泄漏和信息篡改的真實案例。
 

 

傳統安全保護手段的不足
 

針對上述挑戰，近兩年來，大多數企事業單位和政府機關紛紛把關注的目光投向信息系統數據的安全問題，尤爲是內部網絡的管理和防禦。

如今較爲廣泛的作法是在原有網絡安全防禦(防火牆、IDS、UTM等傳統安全設備)的基礎上，採用上網行爲管理類、終端管理類等具有較強防止內部信息外泄功能的產品，築起了一道由內向外的安全防線。然而，這樣是否就完全安全了呢?固然不是!人類在進步，科技在發展，計算機的威脅手法也在不斷更新，病毒、***、蠕蟲、DDos***……因此咱們決不能放鬆警戒，要將安全進行到底!那麼，接下來咱們該作什麼呢?從外部到內部的通訊有防禦了，從內部PC到外部的通訊有防禦了，終端自己有防禦了，還差哪裏呢？答案在下圖：

 

從這幅典型的網絡拓撲圖中，咱們不難看出，咱們缺的正是對服務器區的防禦，對數據庫的防禦,對內部PC訪問業務系統的防禦！

也許有的企業認爲，他們所使用的是Oracal、MS SQL是國際大品牌的產品，其自己有很是強的安全性，不會有問題的，不須要再另加防禦。這種想法是不徹底正確的：

1) 在不少企業中，對數據庫訪問的特權都有管理不當的問題。開發者、移動員工和外部顧問常常可以在沒有太多限制的狀況下訪問敏感信息。另外，人員流動和外包也可讓數據庫活動很難鎖定。

2) 對於擁有數據庫合法權限的內部使用者，數據庫的安全機制對於他們形同虛設，一旦他們之中有人違背職業道德，那麼後果不堪想象！

 

正如咱們以前所述，如今的數據泄漏和篡改事件都是」內部人員「做案爲主，他們有賬號口令，他們徹底能夠把本身」假裝「成一個合法的內部人員，冠冕堂皇的竊取數據庫信息，根本不用採起任何***手段，IPS/IDS/WAF之類的東西根本發現不了。由於我就沒有***，都是正常訪問！

 

數據庫審計產品的做用
 

這個時候，就須要DAM（Database Activity Monitoring）和NBA（Network Behavior. Analysis）系統，或者叫數據庫審計系統來發揮做用了。這類產品最大的功效就在於：
1）記錄全部針對數據庫的增刪改查操做，不管是否合規合法，以備後查；
2）可以對看似合法的數據庫操做進行行爲分析。注意，不是操做分析，而是行爲分析。例如一個 Seclect語句，可以分析他選擇的是哪一個表，選擇了哪一個字段，返回的記錄量多大，執行這個語句的數據庫賬號是什麼，來自哪一個IP，MAC，什麼時間發起的訪問，這個IP對應的是內部仍是外部地址，若是是內部地址，是從單位哪臺電腦上發出的，這個電腦的責任人是誰？等等。
所以，咱們建議在現有傳統的安全防禦措施（FW，IPS/IDS）之上，還應該部署數據庫審計系統。

 

數據庫審計產品經過審計核心業務系統的網絡訪問行爲，可以增強對關鍵信息系統的訪問控制與審計，尤爲是針對信息系統後臺的數據庫的內控與審計，確保核心業務的正常運行，防範內部違規行爲和誤操做。該產品還應提供業務流量實時監控與審計事件統計分析功能，可以直觀地反映網絡環境的安全情況，特別是訪問量、業務流量、業務訪問分佈、業務拓撲、行爲分析等重要信息，使得管理者能夠直觀的實時瞭解業務系統安全情況。

數據庫審計產品可以及時發現一些內部受權用戶因爲對系統不熟悉而致使的誤操做，或內部用戶、運維人員、外包工程師有意進行的數據篡改和竊取，有效保護主要數據的安全。並且經過各類訪問信息的記錄，可以完整地回放事故當時操做場景，定位事故真正責任人，便於過後追查緣由與界定責任。

另外一方面，用戶可利用數據庫審計產品，按照企事業單位的有關規章制度、國家行業要求，設定審計策略、告警規則，從而協助企事業單位更好完善IT內控與審計體系，達到國家風險、內控指引的IT審計要求和等級保護中對數據安全的相關要求。

總之，經過部署專用的數據庫審計產品，用戶能夠對重要的數據庫系統達到如下安全保護目標：

1) 進行數據操做實監控：對全部外部或是內部用戶訪問數據庫和主機的各類操做行爲、內容，進行實時監控；

2) 對高危操做實時地阻斷，干擾***或違規行爲的執行；

3) 進行安全預警：對***和違規行爲進行預警和告警，並可以指導管理員進行應急響應處理；

4) 進行過後調查取證：對於全部行爲可以進行過後查詢、取證、調查分析，出具各類審計報表報告。

5) 協助責任認定、事態評估：咱們的系統不光可以記錄和定位誰、在何時、經過什麼方式對數據庫進行了什麼操做，還能記錄操做的結果以及評估可能的危害程度。

 

數據庫審計產品購買者指南
 

數據庫審計產品是政府和企事業單位進行進一步網絡安全建設的首選產品。須要指出的是，在選擇此類產品時，最起碼應注意如下幾個方面：

1) 安裝部署的難以程度。推薦選擇偵聽、存儲一體化的硬件產品，B/S結構，可直接經過瀏覽器進行管理，不用裝任何插件。這樣就不用另配服務器或存儲設備，上架便可使用；

2) 旁路鏡像的方式，不會影響原有的網絡結構，或業務訪問模式。這點很是重要，使用此類產品的目的是保護數據庫，保護業務系統，千萬不要因它而起副作用；

3) 根據自身所用的數據庫類型選擇產品。建議選擇可以支持windows、linux、unix等各類操做系統下的各種主流數據庫（例如SQL Server、Oracle、DB二、Sybase等）全均可以支持的產品，這樣即便後期擴展也不怕；

4) 審計的粒度要夠細緻，不然只是雞肋。要能識別出增、刪、改、查等所有SQL操做，審計的內容不光包括網絡中的原始數據，還要對這些原始數據進行了細緻化的字段的解析，包括時間、IP、MAC、庫、表、記錄、用戶、函數、參數等重要信息字段，同時要知道這些SQL操做執行的結果是成功仍是失敗；

5) 不要單純的只是數據庫審計。對於用戶而言，要保護核心數據，僅僅依靠對數據庫的審計是不夠的。內部人員違規操做的途徑有不少，有的是直接違規訪問數據庫，有的是登陸到數據庫所在的主機服務器上，有的是透過FTP去下載數據庫所在主機的重要數據文件，還有的是透過其餘程序或者中間件系統訪問數據庫。因此，必須對數據庫、主機、HTTP協議、TELNET、FTP協議，網絡流量、中間件系統都進行審計，才能更加全面的發現違規、防止信息泄漏。

 

若是用戶對數據審計有更高的要求，則還須要考慮旁路部署模式以外的數據庫審計產品進行必要的補充。這裏，咱們推薦用戶選購日誌審計產品做爲旁路模式的數據庫審計產品的補充。

由於旁路部署的數據庫審計產品沒法審計加密的數據庫訪問協議，亦沒法審計用戶在數據庫本機上進行的操做（此時沒有網絡通信！）。而經過日誌審計則能夠彌補旁路模式的數據庫審計產品在這些方面的不足，使得用戶對數據庫的安全保護更加完備。

有關數據庫審計、日誌審計，以及他們之間的區別、聯繫，如何創建統一的安全審計解決方案等信息，能夠參考這篇文章——《安全審計趨勢分析：將安全審計與安全管理平臺融合》。