数据库审计中几个大问题

1、1 编码问题描述：由于现在大部分的审计系统都是基于旁路的方式（对网络数据包的采集分析），另外，不同的数据库系统、不同的操作系统平台都存在不同的编码或字符集问题，要找到一种统一的编码方式进行完全解决是比较困难的，因此对于编码这种问题，包括其他软件的做法，要么只支持几种编码，要么把网络传输的原始信息展示出来然后让用户自己去选择适合的编码。这好比我们的浏览器、邮件接收客户端程序中都有一个编码选择的功能。如下图1、图2所示：图1 浏览器中的编码选择图2 Foxmail中的编码选择功能现状：因此，该问题应该是每个数据库审计厂商都会碰到的问题，只是处理方式不一样而已。为什么这么说呢？我们先来看下其他一些产

2、商的一些描述或功能（1）杭州安恒明御：图3 通过对特定包进行采集，然后进行二次分析，以解决协议解析问题及编码问题（2）Guardium图4 Guardium中出现的协议解析或乱码问题2 中间件问题描述：关于中间件，在维基百科中是如下定义的：/zh-cn/%E4%B8%AD%E9%97%B4%E4%BB%B6中间件，是提供系统软件和应用软件之间连接的软件，以便于软件各部件之间的沟通，特别是应用软件对于系统软件的集中的逻辑，在现代信息技术应用框架如Web服务、面向服务的体系结构等中应用比较广泛。如数据库、Apache的Tomcat，IBM公司的WebSp

3、here,BEA公司的WebLogic应用服务器以及Kingdee公司的Apusic等都属于中间件。严格来讲，中间件技术已经不局限于应用服务器、数据库服务器。围绕中间件，Apache组织、IBM、Oracle（BEA）、微软各自发展出了较为完整的软件产品体系。下图是目前典型的WEB服务器架构，其中中间件部署在WEB服务器上。对于有中间件应用的用户，都是希望能够将WEB服务器与数据库服务器之间的数据库操作与前端浏览器的IP地址等信息进行关联，以追溯到真正的操作源信息。现状：目前的旁路监听的数据库审计系统一般只能够审计到WEB服务器与数据库服务器之间的数据库操作，由于在WEB服务器和数据库服务器之

4、间的通讯没有包含浏览器与WEB服务器之间通讯的相关信息或唯一标识信息，因此要把WEB服务器与数据库服务器的操作与前端浏览器的信息（IP、URL等）进行准确关联是比较困难的。也许，你会问，既然是这样的话，那么数据库服务器怎么知道要把返回的信息给那个浏览器呢？其实，这个工作是由WEB服务器来完成的，在WEB服务器中有对应于每个客户端的线程或标记来区别来自于不同浏览器或不用会话的请求。如下图所示：由于，前后唯一性关联是有WEB服务器或中间件来完成，那么在网络传输过程中就很难找到这种关联关系，因为在网络上可能并没有包含这些关联信息。那么，目前的旁路数据库审计产商是如何来处理这个问题呢？由于中间件应用没

5、有一个统一的标准，因此要自动识别各种中间件的应用时比较难的，目前的做法大部分是通过对前端浏览器与WEB服务器之间的HTTP通讯协议进行分析，根据对URL、时间片及一些关键信息进行分析，然后再与后端的数据库操作进行关联来实现的。这样的做法，只能是缩小操作源的范围，并不能非常准确地定位到前端的实际操作源，这时由于在高峰情况下，每秒可能有上千个浏览器对WEB服务器进行访问，这时候如何区分那个浏览器访问与后端的数据库操作一一对应是比较难的，因此可能会存在关联出错的现象。另外，前端多个浏览器并发访问WEB服务器，而后端WEB服务器可能只通过一个会话去访问数据库服务器，也就是说，前后通讯并不是一一对应的，

6、这种情况也给前后关联增加了难度。3 阻断问题描述：阻断是对一些已知异常或认为是异常的操作行为进行阻止，以事前避免不必要的损失，这应该是大多数用户希望最终能达到的效果。现状：然而，目前从技术上来说，主要是如下四种实现方式：（1）将审计设备内联到系统的业务环境中，这有点类似于数据库防火墙，即在用户的生产数据库前面假设个“关卡”，所有要访问数据库的操作都需先经过审计设备，只有审计设备允许了才能够对生产数据库进行访问。对于这种方式的阻断，对审计设备的数据包的转发处理处理能力及审计规则的准确性要求很高，并且也会由于“单点故障”导致整个业务不能正常运行。目前，尚未接触过用户使用过此方式进行审计。（IMPE

7、RVA支持该方式）（2）发送TCP RESET包实现阻断，这种方式的实现方法如下，当审计设备发现一条非法的数据库操作连接时，审计设备将会向通信的两端发送一个TCP RESET包，从而实现主动切断连接的目的，此时通信双方的会把这个RESET包解释为另一端的回应，然后停止整个通信过程。对于RESET包来说，审计设备发出的RESET包的前提是要知道整个会话的当前的序列号和确认号，否则这个RESET包将会被忽略。然而，由于审计设备在响应攻击时都有延时时间，因为审计设备从数据包采集、数据包分析直到产生RESET包，对最后发出RESET整个过程都要消耗时间。另一方面，TCP RESET包对于网络的应用来说

8、也有很大的局限性，还有网络上的一些网络应用软件在会话连接保持上具有很强的能力，TCP RESET包对于它们的效果基本可以忽略。因此，这种阻断方式在实际应用中效果并不是很明显。（IMPERVA支持该方式）（3）通过与其他网络产品进行联动的方式进行阻断，这种方式主要是向防火墙发送临时规则，以及路由器或交换机发送临时ACL（访问控制列表）列表，阻断当前这个会话。这种方式存在这么几个问题，首先是联动协议问题。现在联动的实现是以现有某个厂家为核心，其他厂家的产品在一些半公开的SDK的支持下实现与核心厂家的某个产品实现互联。这样导致现有和多产品有联动功能，但是没有联动的实际效果。其次是联动信息的滞后。也就

9、是所整个联动阻断还没完成之前，数据库的访问或攻击操作已经成功完成了；另外，当遇到大规模的非法连接的时候，由于临时规则增大，降低了防火墙的效率，引起防火墙包转发延时，严重造成防火墙瘫痪，网络中断。目前国内很多审计厂商都是以这种方式来实现阻断，实际上是把责任推向其他的网络设备。图5 杭州安恒的阻断方式/newsec.php?up=3&cid=121图6 网御神州的阻断方式（4）基于ARP的阻断，ARP用于将IP地址匹配到货解析至恰当的MAC地址，所有的网络设备都有一张ARP表，里面临时记忆着该设备已经匹配起来的所有的IP地址和MAC地址。ARP表能够确保该设备不需要向已经与自己进行过通信的计算机重复ARP询问。当有人在未获得授权时就企图更改MAC和IP地址的APR表中的信息时，就发生了ARP攻击。通过这种方式我们可以伪造ARP应答包，使得非法连