选择数据库安全审计产品.doc

你该选择什么样的数据库安全审计产品2010-05-06 17:10:28来源: 驱动之家MyDrivers跟贴 0 条 手机看新闻 摘要：近年来，有关数据库的安全事故可谓层出不穷，诸如银行内部数据信息泄露造成的账户资金失密、信用卡信息被盗用导致的信用卡伪造、企业内部机密数据泄露引起的竞争力下降.，这些情况无不说明了实施数据库安全审计的必要。（联合电讯社/北京）-近年来，有关数据库的安全事故可谓层出不穷，诸如银行内部数据信息泄露造成的账户资金失密、信用卡信息被盗用导致的信用卡伪造、企业内部机密数据泄露引起的竞争力下降，这些情况无不说明了实施数据库安全审计的必要。那么，首先让我们来了解一下部署数据库安全审计产品能给用户带来的益处：1. 满足合规性要求，顺利通过IT审计目前，越来越多的单位面临一种或者几种合规性要求。比如，在美上市的中国移动集团公司及其下属分子公司就面临SOX法案的合规性要求；而商业银行则面临Basel协议的合规性要求；政府的行政事业单位或者国有企业则有遵循等级保护、分级保护的合规性要求。数据库审计系统为用户核心系统提供了独立的审计解决方案，有助于完善组织的IT内控体系，从而满足各种合规性要求，并且使组织能够顺利通过IT审计。2. 有效减少核心信息资产的破坏和泄漏对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等)，通过使用数据库安全审计产品，能够加强对这些关键系统的审计，从而有效地减少对核心信息资产的破坏和数据泄漏。3. 追踪溯源，便于事后追查原因与界定责任一个单位里负责运维的部门通常拥有数据库管理系统的最高权限(掌握DBA帐号的口令)，因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。审计系统能够帮助企业进行事后追查原因与界定责任。4. 直观掌握业务系统运行的安全状况业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说，网络环境的安全状况事关重大。审计系统提供业务流量监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况。5. 实现独立审计，完善IT内控机制从内控的角度来看，IT系统的使用权、管理权与监督权必须三权分立。审计系统实现独立审计，帮助监督人员获得有效的技术手段，从而完善企业IT内控机制。沿着安全审计的发展轨迹了解数据库安全审计的由来无庸质疑，数据库安全审计已经成为现如今很多企事业单位的必需技术及产品，那么，接下来就让我们从历史轨迹的角度，了解一下数据库安全审计技术的由来。安全审计技术源于1980年4月James P. Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告，他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视威胁活动的思想。1990年加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。由此，衍生出了网络监听审计技术，该技术通过将对数据库系统的访问流镜像到交换机某一个端口，然后通过专用硬件设备对该端口流量进行分析和还原，从而实现对数据库访问的审计。总的来讲，网络监听审计技术在数据库审计的应用发展上经历了三个主要阶段，分别如下：第一阶段：流量行为审计，该阶段实现了对OSI七层模型中的网络层到会话层的覆盖，主要对数据库访问行为进行分析和统计，如IP、端口、连接次数等，一些产品甚至还提供了原始IP报文分析的手段；用户可以利用该技术实现对数据库访问流量进行分析和统计，能够让用户及时了解各应用消耗的网络资源和TOP N流量来源，帮助用户在网络规划、监控、优化、故障诊断等方面做出决策。第二阶段：内容审计，该阶段实现了对OSI七层模型中的表示层到应用层的覆盖，利用关键字对SQL整个语句的进行模糊匹配，主要对数据库访问行为实现内容记录，如数据库登陆账号、SQL语句等；用户可以利用该技术实现对SQL操作进行记录、分析和统计，该阶段能够满足对数据库审计的基本需求，但是在响应和分析的精度上存在较大误差，难以满足大中型用户对数据库审计的需求；第三阶段：语法解析阶段，该阶段集中在应用层，实现对SQL语句的语义分析，尽可能的将操作数据库的SQL语句进行细粒度解析，比如账号名、数据库名、数据表名、字段名、字段值、返回码等，以满足针对各种违规行为的精确检测、响应和审计，如表1所示：表1 数据库审计记录需要特别指出的是，判断数据库审计是否达到语法解析阶段的主要指标有三个方面：首先是能够将SQL语句分解成多个字段进行响应和记录，任意一列都可以单独设定审计规则，单独查询，这样就可以满足用户精确响应和精确查询的要求。其次是能够实现对绑定变量传输情况下的字段与数值的自匹配解析，通过对字段值的解析、设定字段数值条件。在大多数情况下，数据表关键字段往往对应着现实世界中资金或物品的数量及额度，对关键字段改变操作的精确检测非常重要。最后是语法解析的完整性，SQL操作对象有多种类别，如Database、table、view、index、trigger、procedure、domain、schema、user、cursor、transaction等，在实际应用中，各数据库系统(比如Oracle、DB2、MSQL)在SQL-92标准的基础上具体实现也有所差异，满足不同种类数据库系统、满足不同版本的数据库系统、满足不同通讯协议下的数据库环境，满足对各操作对象及DML、DCL、DDL命令支持是审计完整性的重要指标之一。5大因素帮你选出好的数据库安全审计产品结合以上对数据库审计技术的阐述，在数据库审计产品的选择上，主要从以下5个方面进行考虑：部署安全：系统应采用网络监听审计技术，部署过程中不对原有系统进行干扰，即无需在客户端或服务器端安装代理、也无需在整个通讯链路中串联设备，改变原有通讯方式，数据库审计产品的故障不会造成原有系统出现问题；策略灵活：业务系统数据在数据库中进行集中存储，故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等，同时能够审计数据库返回的错误代码、响应时间等，这样一方面能够对关键业务数值进行重点审计，另一方面能够在数据库出现关键错误时及时响应，避免由于数据库故障带来的业务损失；数据库审计产品需要提供缺省的审计策略，具备良好的开放性，能够根据用户的业务特点进行审计策略的定义和修改；事件完整：数据库审计产品应能支持主流数据库的审计，符合SQL-92标准，满足对常见数据库系统如Oracle、DB2、Microsoft SQL-Server、Sybase、Informix、Teradata、Mysql的审计；同时由于业务系统对数据库的业务操作是大量而频繁的，这就要求安全审计产品具备较高的性能，避免由于审计事件无法入库而导致数据完整性缺失带来的无法取证问题，大多数安全审计产品应达到每秒5000条左右的平均入库速度，每秒10000条左右的峰值入库速度，日处理审计事件性能不低于1000万条；自身安全：通过三权分立机制，实现对管理员、审计员、操作员进行权限划分，规定各角色用户只能在其权限范围内对数据库审计产品进行操作，同时对整个操作进行自身审计；产品自身应保证其安全性，需要结合安全加固、硬件令牌、访问控制等多种安全手段提高自身的安全性；独立可靠：审计事件的存储不依赖被审计对象，同时为了保证审计溯源的准确性，应提供时间同步功能，避免各审计组件时间不一致带来的误差。什么是网络安全信息审计?数据技术 2007-04-05 22:59:07 阅读204 评论0 字号：大中小订阅 今天的信息安全技术，已经由单纯地预防外部的安全威胁扩展到预防内部的安全隐患，内部人员使用网络出现的各种违规行为，造成网络拥堵、信息泄露、数据被窃取和篡改、不良信息传播等等问题，网络的应用行为和信息内容的安全审计管理已是我们面临要解决的问题，需要行之有效的网络应用行为和信息内容的安全监控审计技术手段，防范内部安全隐患和风险，辅助完整的安全责任查证和认定体系。网络行为审计：指对网络中的各种不同类型应用行为进行监测审计。应用行为：指访问网站和浏览网页、收发邮件、上传和下载、即时通信、聊天、论坛和远程终端访问Telnet等类型的文字内容。关于IP语音和图象的监测。数据库网络访问审计：指对网络数据库系统的登录及各种操作，对库数据的读写、修改、删除等操作行为的审计。网络会话：指网络中一个完整地请求、回应和传输的过程。诸如访问网站会话是：点击网址、确认解析有效、传送主页。会话流：指当前网络中按先后顺序传送会话的集合。网络信号旁路接入器：指在网络的电信号和光信号传输介质上采用电信号复制或光信号分光的方法获取网络信号的设备，该设备也称为TAP（Test Access Point），它通常用在电信网络的测试和维护的一种技术以及设备。网络旁路侦听：指将专用设备并联于网络出口处或关键网络路径上，采用非截获网络数据包后再转发的一种电或光信号级的获取数据包的方法。网络分流器：指可以将接入的网络数据流按某种分流策略（诸如，IP、应用协议）分成不同类型的数据流从不同的输出端口输出的一种设备。它有别于负载均衡设备。实时监测审计：指在采集和处理网络会话的同时可以对行为和内容按设定的条件（诸如关键字、IP、地址）进行监测并审计，具有实时性。有别于记录后经过一段时间再进行搜索和审计。对于网络管理和信息安全管理者，网络应用的安全管理涉及了两个方面，一是希望了解网络中的应用情况，诸如访问网站、收发邮件、上传和下载、即时通信、聊天、论坛、网络游戏、流媒体视频和远程终端访问，这些应用占用带宽的情况，这些应用具体到每个用户的使用情况（4W：何时When、何地Where、何人Who以及何种行为What）；二是从管理角度上希望在必要时能对网上“信息活动”的内容做到掌控。从信息安全管理角度上，我们的信息安全管理者可能已经在做网络安全管理体系规划时已经实施了安装防火墙并配置入侵检测和漏洞扫描系统，在网络与系统层构筑防护、检测与监测设施，可以过滤、检测、监测和阻止来自外部网络对内部网络系统和主机系统的攻击。信息安全的核心是信息（或数据）本身的安全，单位或企业内部的重要文件、数据可能会通过电子邮件、FTP|数据库网络访问等被泄漏、窃取，从而造成政治和经济上的影响和损失。那么对应用层上的信息（或数据）安全如何保证呢？应用册的安全问题多来自内部网络，据权威机构的统计数据表明，约70%的信息安全事件起因于单位、企业内部。应对内部网络安全问题，可以采用鉴别、认证和加密的安全技术措施来解决，这些似乎是解决了内部网络的安全问题，但是作为管理者怎样才能够清楚知道，他们实施了上述安全措施就安全了，这就需要一个安全监测审计，才能让管理者清晰地了解应用和数据的安全状况，及早发现问题和隐患，假如发生了也可以迅速取证和追根溯源。网络