1. 資料庫審計系統是什麼,有什麼作用
資料庫審計是對資料庫訪問行為進行監管的系統,一般採用旁路部署的方式,通過鏡像或探針的方式採集所有資料庫的訪問流量,並基於sql語法、語義的解析技術,記錄下資料庫的所有訪問和操作行為,例如訪問數據的用戶(IP、賬號、時間),操作(增、刪、改、查)、對象(表、欄位)等。資料庫審計系統的主要價值有兩點,一是:在發生資料庫安全事件(例如數據篡改、泄露)後為事件的追責定責提供依據;二是,針對資料庫操作的風險行為進行時時告警。
二、資料庫審計怎麼審?
1、資料庫訪問流量採集
流量採集是資料庫審計系統的基礎,只有做到資料庫訪問流量的全採集,才能保證資料庫審計的可用性和價值,目前主要的流量採集方式主要有兩種:
鏡像方式:採用旁路部署通過鏡像方式獲取資料庫的所有訪問流量。一般適用於傳統IT架構,通過鏡像方式將所有訪問資料庫的流量轉發到資料庫審計系統,來實現資料庫訪問流量的獲取。
探針方式:為了適應「雲環境」「虛擬化」及「一體機」資料庫審計需求,基於「探針」方式捕獲資料庫訪問流量。適用於復雜的網路環境,在應用端或資料庫伺服器部署Rmagent組件(產品提供),通過虛擬環境分配的審計管理網口進行數據傳輸,完成資料庫流量採集。
探針式數據採集,還可以進行資料庫本地行為審計,包括資料庫和應用系統同機審計和遠程登錄後的客戶端行為。
2、語法、語義解析
SQL語法、語義的解析技術,是實現資料庫審計系統可用、易用的必要條件。准確的資料庫協議解析,能夠保障資料庫審計的全面性與易用性。全面的審計結果應該包括:訪問資料庫的應用層信息、客戶端信息、資料庫信息、對象信息、響應信息、登錄時間、操作時間、SQL響應時長等;高易用性的資料庫審計產品的審計結果和報告,應該能夠使用業務化的語言呈現出對資料庫的訪問行為,例如將資料庫中的要素客戶端IP、資料庫用戶、SQL 操作類型、資料庫表名稱、列名稱、過濾條件變成業務人員熟悉的要素:辦公地點、工作人員名稱、業務操作、業務對象、業務元素、某種類別的業務信息。這樣的是審計結果呈現即便是非專業的DBA或運維人員的管理者或業務人員也能夠看懂。
三、資料庫審計的價值?
1、資料庫相關安全事件的追溯與定責
資料庫審計的核心價值是在發生資料庫安全事件後,為追責、定責提供依據,與此同時也可以對資料庫的攻擊和非法操作等行為起到震懾的作用。資料庫自身攜帶的審計功能,不僅會拖慢資料庫的性能,同時也有其自身的弊端,比如高許可權用戶可以刪除審計日誌,日誌查看需要專業知識,日誌分析復雜度高等。獨立的資料庫審計產品,可以有效避免以上弊端。三權分立原則可以避免針對審計日誌的刪除和篡改,SQL語句解析技術,可以將審計結果翻譯成通俗易懂的業務化語言,使得一般的業務人員和管理者也能看懂。
2、資料庫風險行為發現與告警
資料庫審計系統還可以對於針對資料庫的攻擊和風險操作等進行實時告警,以便管理人員及時作出應對措施,從而避免數據被破壞或者竊取。這一功能的實現主要基於sql的語句准確解析技術,利用對SQL語句的特徵分析,快速實現對語句的策略判定,從而發現資料庫入侵行為、資料庫異常行為、資料庫違規訪問行為,並通過簡訊、郵件、Syslog等多種方式實時告警。
3、滿足合規需求
滿足國家《網路安全法》、等保規定以及各行業規定中對於資料庫審計的合規性需求。並可根據需求形成不同的審計報表,例如:綜合報表、合規性報表、專項報表、自定義報表等。
2. 資料庫安全審計系統提供了一種什麼樣的的安全機制
資料庫審計技術是目前資料庫安全中應用最廣泛的資料庫安全技術,同時也是目前資料庫安全市場上品牌、種類最多的資料庫安全產品。
資料庫審計技術能夠實時記錄網路上的訪問資料庫行為,對資料庫操作進行細粒度審計。除此之外,資料庫審計還能對資料庫遭受到的風險行為進行告警,如:資料庫漏洞攻擊、SQL注入攻擊、高危風險操作等。
具體機制有很多,我列出一些:
資料庫訪問行為記錄,資料庫訪問行為全記錄是資料庫審計技術的基本功能,此技術應能捕獲資料庫所有訪問行為,包括通過資料庫伺服器訪問資料庫的本地訪問行為。
資料庫異常行為監測,資料庫審計技術應具有異常訪問行為監控、入侵行為監控、違規訪問監控能力。
資料庫異常行為告警,資料庫審計發現資料庫的異常訪問行為後,應具備告警功能,能夠在發覺異常行為的第一時間,通過企業微信、簡訊、郵件、SNMP、Syslog等多種方式進行告警。
資料庫審計產品除了具有上面提到的基本技術外,還具備一些擴展功能,例如:
資料庫發現,可基於流量識別技術,自動發現、添加資料庫並快速進行審計。
賬號許可權監控,賬號許可權監控技術,是指對監控資料庫所有賬號的許可權變化情況,包括賬號的增加、減少以及賬戶許可權的提升與降低。
資料庫性能監控,系統的審計內容全面,可以對資料庫的SQL吞吐量、會話並發量進行實時監控,從而評估資料庫運行狀態和資源使用情況。
資料庫審計報表,報表功能是將審計日誌進行數據化分析的具體表現形式。資料庫審計產品中應內置常用審計報表,例如等保報表等,並可根據用戶具體需求生成不同的審計報表。
資料庫審計技術採用旁路部署,通過鏡像流量或探針的方式採集流量,並基於語法語義的解析技術提取出SQL中相關的要素(用戶、SQL操作、表、欄位等)進而實時記錄來自各個層面的所有資料庫活動,包括:普通用戶和超級用戶的訪問行為請求,以及使用資料庫客戶端工具執行的操作。
安華金和資料庫審計,是基於豐富的資料庫研發能力,實現SQL語句全解析與准確解析,並將細粒度規則管控等能力融入審計產品中,在與用戶交互中不斷提高產品性能和易用性,實現了交付用戶可以免實施、免維護、免培訓的成熟資料庫審計產品,有不明白的可以繼續追問或者網路搜索。
3. 資料庫安全審計系統提供了一種什麼樣的的安全機制
資料庫安全審計系統會提供一個叫作事後檢查的安全機制。
資料庫審計技術是目前資料庫安全中應用最廣泛的資料庫安全技術
4. 資料庫安全審計系統的市場分析
1、以色列的Imperva,該系統功能還是滿強大的,通過IDP探針,串聯部署,阻斷資料庫數據安全威脅。但國內用戶使用由於全英文界面,加上配置資料庫安全策略很復雜,非專業資料庫DAB操作起來很困難。更重要的是國內使用該產品,其技術手段需要依靠合作的資料庫廠商來做支持。
2、IBM的Guardium:該系統強過國內的大部分產品,但由於其設計思路的原因,部署上需要在資料庫伺服器端安裝「S-TAP」 輕量級系統探針;分級部署時需在資料庫伺服器端安裝「S-GATE」,在總控伺服器安裝「Z-TAP」。該系統按照國外的審計需求,只針對滿足國外需求的審計數據進行審計。過濾了大部分可能對國內用戶有實用價值的審計信息。也是全英文界面,資料庫安全審計策略配置很復雜,非專業資料庫DAB操作起來很困難。
以上兩個產品是國外的主流產品,國內市場上基本數據高端專業客戶使用,價格很高。對國內絕大多數用戶來說,具有有用性,但缺乏實用性,操作維護困難。只記錄「關注」事件,逃避「IO」,失去「事後」追蹤有用性, 增加「事前」管理和使用難度。 國內資料庫產品主要廠商:
1、上訊信息——資料庫安全審計系統;
2、北京安信通——資料庫審計系統;
3、北京國都興業——慧眼資料庫審計系統;
4、深圳昂楷科技——資料庫多重審計系統AAS;
5、安華金和——資料庫監控與審計系統;
6、安恆信息——明御資料庫審計和風險控制系統;
7、北京天融信——網路衛士資料庫審計系統TopAudit-DB (簡稱 TA-DB)
8、北京啟明星辰——天玥網路安全審計系統
9、北京萊克斯科技——ClearNet DBA資料庫審計系統
10、杭州思福迪——LOGBASE業務資料庫審計系統
11、杭州帕拉迪——DBxpert資料庫審計系統
12、福建海峽信息——黑盾資料庫安全審計系統
主要分為:國內原先具有網路審計產品的廠商,在網路審計產品的基礎上經過簡單包裝,推出的資料庫審計產品;國內廠商專門針對資料庫通訊協議的特點,開發出專門的資料庫審計產品;國外的資料庫審計產品;OEM第三方的資料庫審計產品,OEM對象可能是國內的產品,也可能是國外的產品。
區分這些資料庫安全審計產品可以從幾個方面來測試:
1、雙向審計:只能實現單包返回狀態分析,不能實現對查詢結果進行分析。
2、長SQL語句漏審:超長SQL語句無法解析記錄,提供逃避審計通道;
3、完全協議解析:解析協議解碼不完全(無會話技術就不可能完全解碼);
4、參數值與SQL語句匹配:變數綁定不支持或不完整(審計素材有用性缺失);
5、海量數據分析:無法全部存儲分析審計數據,記錄之後,不能查詢;
6、海量存儲:無法記錄下原始數據包,缺乏最原始的審計依據;
7、及時警告:事後報警,做不到事前防範,事中報警;
8、多語句無法有效分割:長會話記錄分散記錄,審計困難;
9、客戶影響:部分產品需要改變網路拓撲,甚至需要在資料庫伺服器上安裝採集器,易造成安全漏洞。
10、應用用戶關聯:三層應用用戶關聯有20%以上會出現漏審和錯審,尤其在高並發下更是如此。
這里重點評價一下好的資料庫審計系統要求:能展現資料庫完整會話操作的系統。採用資料庫訪問協議完全解析技術,能實現對超過1460位元組長度的SQL語句完整解析。除了能解析資料庫綁定變數,還能解析該綁定變數的值。能完整記錄SQL語句的返回結果集。同時由於是國內廠家自主知識產權,技術支持也比國外產品更直接、更有效。
如果說好的資料庫審計系統的特徵如下:
1、能展現資料庫完整會話操作;
2、具備對超過1460位元組長度的SQL語句完整解析;
3、具備解析資料庫綁定變數和該綁定變數的值;
4、能完整記錄SELECT語句的返回結果集; 上市公司:薩班斯法案的要求
電信、軍工、煙草、電力等行業需求
等級保護、分級保護的要求
