隨著信息泄漏和信息篡改事件的愈發(fā)頻繁，用戶急需針對(duì)存儲(chǔ)核心數(shù)據(jù)的數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)行為審計(jì)，阻止非法入侵和違規(guī)操作，保障核心數(shù)據(jù)資產(chǎn)的安全。

隨著信息技術(shù)的不斷發(fā)展，數(shù)字信息逐漸成為一種重要資產(chǎn)，尤其是在過去的20多年里，作為信息的主要載體——數(shù)據(jù)庫(kù)，其相關(guān)應(yīng)用在數(shù)量和重要性方面都取得了巨大的增長(zhǎng)。包括政府機(jī)構(gòu)、企事業(yè)單位、制造業(yè)、商業(yè)等在內(nèi)的幾乎每一種組織都使用它來(lái)存儲(chǔ)、操縱和檢索數(shù)據(jù)。隨著人們對(duì)數(shù)據(jù)的依賴性越來(lái)越高，各種數(shù)據(jù)信息，尤其是一些財(cái)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)等成為了關(guān)系企業(yè)生存的重要資產(chǎn)。網(wǎng)絡(luò)化時(shí)代的到來(lái)、互聯(lián)網(wǎng)技術(shù)的普及更加深了數(shù)據(jù)保護(hù)的矛盾，網(wǎng)絡(luò)技術(shù)使得數(shù)字信息的泄漏和篡改變得更加容易，而防范則更加困難。

更為嚴(yán)重的是，所有信息泄漏事件中，源自內(nèi)部人員所為的占了絕大部分。根據(jù)FBI和CSI對(duì)484家公司進(jìn)行的網(wǎng)絡(luò)安全專項(xiàng)調(diào)查結(jié)果顯示：超過85%的安全威脅來(lái)自公司內(nèi)部，在損失金額上，由于內(nèi)部人員泄密導(dǎo)致了6056.5萬(wàn)美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。另?yè)?jù)中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心調(diào)查，信息安全的現(xiàn)實(shí)威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來(lái)黑客引起。

因此，近兩年來(lái)，大多數(shù)企事業(yè)單位和政府機(jī)關(guān)紛紛把關(guān)注的目光投向信息系統(tǒng)數(shù)據(jù)的安全問題，尤其是內(nèi)部網(wǎng)絡(luò)的管理和防護(hù)?，F(xiàn)在較為普遍的做法是在原有網(wǎng)絡(luò)安全防護(hù)（防火墻、IDS、UTM等傳統(tǒng)安全設(shè)備）的基礎(chǔ)上，采用上網(wǎng)行為管理類、終端管理類等具備較強(qiáng)防止內(nèi)部信息外泄功能的產(chǎn)品，筑起了一道由內(nèi)向外的安全防線。然而，這樣是否就徹底安全了呢？當(dāng)然不是！人類在進(jìn)步，科技在發(fā)展，計(jì)算機(jī)的威脅手法也在不斷更新，病毒、木馬、蠕蟲、DDos攻擊……所以我們決不能放松警惕，要將安全進(jìn)行到底！那么，接下來(lái)我們?cè)撟鍪裁茨?？從外部到?nèi)部的通信有防護(hù)了，從內(nèi)部PC到外部的通信有防護(hù)了，終端本身有防護(hù)了，還差哪里呢？答案在下圖：

圖：數(shù)據(jù)庫(kù)安全防線的缺失

從這幅典型的網(wǎng)絡(luò)拓?fù)鋱D中，我們不難看出，我們?nèi)钡恼菍?duì)服務(wù)器區(qū)的防護(hù)，對(duì)數(shù)據(jù)庫(kù)的防護(hù)，對(duì)內(nèi)部PC訪問業(yè)務(wù)系統(tǒng)的防護(hù)！

也許有的企業(yè)認(rèn)為，他們所使用的是Oracal、MS SQL是國(guó)際大品牌的產(chǎn)品，其本身有非常強(qiáng)的安全性，不會(huì)有問題的，不需要再另加防護(hù)。這種想法是不完全正確的：

1） 在很多企業(yè)中，對(duì)數(shù)據(jù)庫(kù)訪問的特權(quán)都有管理不當(dāng)?shù)膯栴}。開發(fā)者、移動(dòng)員工和外部顧問經(jīng)常能夠在沒有太多限制的情況下訪問敏感信息。另外，人員流動(dòng)和外包也可以讓數(shù)據(jù)庫(kù)活動(dòng)很難鎖定。

2） 對(duì)于擁有數(shù)據(jù)庫(kù)合法權(quán)限的內(nèi)部使用者，數(shù)據(jù)庫(kù)的安全機(jī)制對(duì)于他們形同虛設(shè)，一旦他們之中有人違背職業(yè)道德，那么后果不堪想象！

因此，數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品應(yīng)運(yùn)而生。以典型的網(wǎng)御神州SecFox-NBA（業(yè)務(wù)審計(jì)型）產(chǎn)品為例，該產(chǎn)品通過審計(jì)核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問行為，能夠加強(qiáng)對(duì)關(guān)鍵信息系統(tǒng)的訪問控制與審計(jì)，尤其是針對(duì)信息系統(tǒng)后臺(tái)的數(shù)據(jù)庫(kù)的內(nèi)控與審計(jì)，確保核心業(yè)務(wù)的正常運(yùn)行，防范內(nèi)部違規(guī)行為和誤操作。該產(chǎn)品還應(yīng)提供業(yè)務(wù)流量實(shí)時(shí)監(jiān)控與審計(jì)事件統(tǒng)計(jì)分析功能，能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況，特別是訪問量、業(yè)務(wù)流量、業(yè)務(wù)訪問分布、業(yè)務(wù)拓?fù)?、行為分析等重要信息，使得管理者可以直觀的實(shí)時(shí)了解業(yè)務(wù)系統(tǒng)安全狀況。

數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品能夠及時(shí)發(fā)現(xiàn)一些內(nèi)部授權(quán)用戶由于對(duì)系統(tǒng)不熟悉而導(dǎo)致的誤操作，或內(nèi)部用戶、運(yùn)維人員、外包工程師有意進(jìn)行的數(shù)據(jù)篡改和竊取，有效保護(hù)主要數(shù)據(jù)的安全。而且通過各種訪問信息的記錄，能夠完整地回放事故當(dāng)時(shí)操作場(chǎng)景，定位事故真正責(zé)任人，便于事后追查原因與界定責(zé)任。

另一方面，用戶可利用數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，按照企事業(yè)單位的有關(guān)規(guī)章制度、國(guó)家行業(yè)要求，設(shè)定審計(jì)策略、告警規(guī)則，從而協(xié)助企事業(yè)單位更好完善IT內(nèi)控與審計(jì)體系，達(dá)到國(guó)家風(fēng)險(xiǎn)、內(nèi)控指引的IT審計(jì)要求和等級(jí)保護(hù)中對(duì)數(shù)據(jù)安全的相關(guān)要求。

總之，通過部署專用的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，用戶可以對(duì)重要的數(shù)據(jù)庫(kù)系統(tǒng)達(dá)到以下安全保護(hù)目標(biāo)：

1） 進(jìn)行數(shù)據(jù)操作實(shí)監(jiān)控：對(duì)所有外部或是內(nèi)部用戶訪問數(shù)據(jù)庫(kù)和主機(jī)的各種操作行為、內(nèi)容，進(jìn)行實(shí)時(shí)監(jiān)控；

2） 對(duì)高危操作實(shí)時(shí)地阻斷，干擾攻擊或違規(guī)行為的執(zhí)行；

3） 進(jìn)行安全預(yù)警：對(duì)入侵和違規(guī)行為進(jìn)行預(yù)警和告警，并能夠指導(dǎo)管理員進(jìn)行應(yīng)急響應(yīng)處理；

4） 進(jìn)行事后調(diào)查取證：對(duì)于所有行為能夠進(jìn)行事后查詢、取證、調(diào)查分析，出具各種審計(jì)報(bào)表報(bào)告。

5） 協(xié)助責(zé)任認(rèn)定、事態(tài)評(píng)估：我們的系統(tǒng)不光能夠記錄和定位誰(shuí)、在什么時(shí)候、通過什么方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行了什么操作，還能記錄操作的結(jié)果以及評(píng)估可能的危害程度。

因此，數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品著實(shí)是政府和企事業(yè)單位進(jìn)行下一步網(wǎng)絡(luò)安全建設(shè)的首選產(chǎn)品。需要指出的是，在選擇此類產(chǎn)品時(shí)，應(yīng)注意以下幾個(gè)方面：

1） 安裝部署的難以程度。推薦選擇偵聽、存儲(chǔ)一體化的硬件產(chǎn)品，B/S結(jié)構(gòu)，可直接通過瀏覽器進(jìn)行管理，不用裝任何插件。這樣就不用另配服務(wù)器或存儲(chǔ)設(shè)備，上架即可使用；

2） 旁路鏡像的方式，不會(huì)影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，或業(yè)務(wù)訪問模式。這點(diǎn)非常重要，使用此類產(chǎn)品的目的是保護(hù)數(shù)據(jù)庫(kù)，保護(hù)業(yè)務(wù)系統(tǒng)，千萬(wàn)不要因它而起反作用；

3） 根據(jù)自身所用的數(shù)據(jù)庫(kù)類型選擇產(chǎn)品。建議選擇能夠支持windows、linux、unix等各種操作系統(tǒng)下的各類主流數(shù)據(jù)庫(kù)（例如SQL Server、Oracle、DB2、Sybase等）全都可以支持的產(chǎn)品，這樣即使后期擴(kuò)展也不怕；

4） 審計(jì)的粒度要夠細(xì)致，否則只是雞肋。要能識(shí)別出增、刪、改、查等全部SQL操作，審計(jì)的內(nèi)容不光包括網(wǎng)絡(luò)中的原始數(shù)據(jù)，還要對(duì)這些原始數(shù)據(jù)進(jìn)行了細(xì)致化的字段的解析，包括時(shí)間、IP、MAC、庫(kù)、表、記錄、用戶、函數(shù)、參數(shù)等重要信息字段，同時(shí)要知道這些SQL操作執(zhí)行的結(jié)果是成功還是失敗；

5） 不要單純的只是數(shù)據(jù)庫(kù)審計(jì)。對(duì)于用戶而言，要保護(hù)核心數(shù)據(jù)，僅僅依靠對(duì)數(shù)據(jù)庫(kù)的審計(jì)是不夠的。內(nèi)部人員違規(guī)操作的途徑有很多，有的是直接違規(guī)訪問數(shù)據(jù)庫(kù)，有的是登錄到數(shù)據(jù)庫(kù)所在的主機(jī)服務(wù)器上，有的是透過FTP去下載數(shù)據(jù)庫(kù)所在主機(jī)的重要數(shù)據(jù)文件，還有的是透過其他程序或者中間件系統(tǒng)訪問數(shù)據(jù)庫(kù)。所以，必須對(duì)數(shù)據(jù)庫(kù)、主機(jī)、HTTP協(xié)議、TELNET、FTP協(xié)議，網(wǎng)絡(luò)流量、中間件系統(tǒng)都進(jìn)行審計(jì)，才能更加全面的發(fā)現(xiàn)違規(guī)、防止信息泄漏。  

【編輯推薦】

1. 信息安全時(shí)代呼喚數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制
2. 明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)介紹