數(shù)據(jù)庫安全審計問題日漸成為人們不得不關(guān)注的問題，由于數(shù)據(jù)庫中數(shù)據(jù)的保密性，使安全審計工作相當(dāng)重要，而現(xiàn)在網(wǎng)絡(luò)監(jiān)聽成為了數(shù)據(jù)庫安全審計的最佳手段。長期以來，在保障業(yè)務(wù)連續(xù)性和性能的前提下，最大限度的保障數(shù)據(jù)庫安全一直是數(shù)據(jù)庫管理人員、安全管理人員孜孜不倦追求的安全目標。本文將主要介紹4種數(shù)據(jù)庫安全審計技術(shù)，并建議優(yōu)選網(wǎng)絡(luò)監(jiān)聽方式。

　　(聯(lián)合電訊社/北京)--數(shù)據(jù)庫系統(tǒng)作為三大基礎(chǔ)軟件之一并不是在計算機誕生的時候就同時產(chǎn)生的，隨著信息技術(shù)的發(fā)展，傳統(tǒng)文件系統(tǒng)已經(jīng)不能滿足人們的需要，1961年，美國通用電氣公司成功開發(fā)了世界上第一個數(shù)據(jù)庫系統(tǒng)IDS(Integrated Data Store)，奠定了數(shù)據(jù)庫的基礎(chǔ)。經(jīng)過幾十年的發(fā)展和實際應(yīng)用，技術(shù)越來越成熟和完善，代表產(chǎn)品有甲骨文公司的Oracle、IBM公司的DB2、微軟公司的MS-SQL Server等等。

　　如今，數(shù)據(jù)庫系統(tǒng)在企業(yè)管理等領(lǐng)域已經(jīng)具有非常廣泛的應(yīng)用，如ERP系統(tǒng)、計費系統(tǒng)、經(jīng)分系統(tǒng)等。數(shù)據(jù)庫系統(tǒng)作為應(yīng)用系統(tǒng)的核心，承載了企業(yè)運營的關(guān)鍵數(shù)據(jù)，是企業(yè)核心IT資產(chǎn)之一。

　　因此，長期以來，在保障業(yè)務(wù)連續(xù)性和性能的前提下，最大限度的保障數(shù)據(jù)庫安全一直是數(shù)據(jù)庫管理人員、安全管理人員孜孜不倦追求的安全目標。

　　數(shù)據(jù)庫安全風(fēng)險更多是內(nèi)部違規(guī)行為

　　數(shù)據(jù)庫安全涉及入侵防御、賬號管理、訪問控制、安全審計、防病毒、評估加固等多個方面，常見的安全產(chǎn)品如UTM、入侵檢測、漏洞掃描等產(chǎn)品為保障數(shù)據(jù)庫系統(tǒng)的正常運行起到了重要作用。但是，通過對諸多安全事件的處理、分析，調(diào)查人員發(fā)現(xiàn)企業(yè)內(nèi)部人員造成的違規(guī)事件占了較大比例。

　　究其原因，主要是因為這些違規(guī)行為與傳統(tǒng)的攻擊行為不同，對內(nèi)部的違規(guī)行為無法利用攻擊機理和漏洞機理進行分析，這就導(dǎo)致了那些抵御外部入侵的產(chǎn)品無用武之地。因此，要防止內(nèi)部的違規(guī)行為，就需要在內(nèi)部建設(shè)審計系統(tǒng)，通過對操作行為的分析，實現(xiàn)對違規(guī)行為的及時響應(yīng)和追溯。

　　根據(jù)Verizon 2009調(diào)查報告(基于對2億8500萬次累計破壞行為數(shù)據(jù)進行分析)，數(shù)據(jù)庫系統(tǒng)的嘗試破壞行為占比最高，在75%左右。這是為什么呢?

　　主要原因在于：一方面由于數(shù)據(jù)庫系統(tǒng)往往承載關(guān)鍵業(yè)務(wù)數(shù)據(jù)，而這些數(shù)據(jù)牽涉到企業(yè)各個方面的信息，從政治、經(jīng)濟而言都具備重要的價值;另一方面由于數(shù)據(jù)庫系統(tǒng)通常比較復(fù)雜，且其對連續(xù)性、穩(wěn)定性有高標準的要求，安全管理人員在缺乏相關(guān)知識的情況下，往往出現(xiàn)想不到、不敢想、不敢動的情況，從而導(dǎo)致數(shù)據(jù)庫安全管理工作滯后于業(yè)務(wù)需求的滿足。

　　實際上，關(guān)于數(shù)據(jù)庫系統(tǒng)的安全事件層出不窮，而且有愈演愈烈之勢：遠有某市雙色球開獎數(shù)據(jù)庫被篡改，3305萬巨獎險被冒領(lǐng)的案件;近的更有，匯豐銀行2.4萬賬號數(shù)據(jù)被盜的例子……對此，國家相關(guān)部門非常重視，在《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》、《信息系統(tǒng)安全保護等級基本要求》等相關(guān)政策中，對于審計系統(tǒng)也有明確的要求：

　　--應(yīng)制定能夠確保系統(tǒng)安全審計策略正確實施的規(guī)章制度及措施

　　--應(yīng)對重要服務(wù)器的訪問行為進行審計

　　--應(yīng)包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等

　　--應(yīng)定期對審計記錄進行審查分析，對可疑行為及違規(guī)操作，采取相應(yīng)的措施，并及時報告

　　可見，保障數(shù)據(jù)庫安全和穩(wěn)定，已經(jīng)成為信息時代舉足輕重的一項工作。那么采取什么樣的技術(shù)方式對數(shù)據(jù)庫實現(xiàn)安全保護呢?

　　簡介4類數(shù)據(jù)庫安全審計技術(shù)

　　以下主要就數(shù)據(jù)庫安全審計技術(shù)進行闡述。

　　常見的安全審計技術(shù)主要有四類，分別是：基于日志的審計技術(shù)、基于代理的審計技術(shù)、基于網(wǎng)絡(luò)監(jiān)聽的審計技術(shù)、基于網(wǎng)關(guān)的審計技術(shù)。

　　1. 基于日志的審計技術(shù)：該技術(shù)通常是通過數(shù)據(jù)庫自身功能實現(xiàn)，Oracle、DB2等主流數(shù)據(jù)庫，均具備自身審計功能，通過配置數(shù)據(jù)庫的自審計功能，即可實現(xiàn)對數(shù)據(jù)庫的審計，該技術(shù)能夠?qū)W(wǎng)絡(luò)操作及本地操作數(shù)據(jù)庫的行為進行審計，由于依托于現(xiàn)有數(shù)據(jù)庫管系統(tǒng)，因此兼容性很好。

　　但這種審計技術(shù)的缺點也比較明顯。首先，在數(shù)據(jù)庫系統(tǒng)上開啟自身日志審計對數(shù)據(jù)庫系統(tǒng)的性能就有影響，特別是在大流量情況下，損耗較大;其次，日志審計記錄的細粒度上差，缺少一些關(guān)鍵信息，比如源IP、SQL語句等等，審計溯源效果不好，最后就是日志審計需要到每一臺被審計主機上進行配置和查看，較難進行統(tǒng)一的審計策略配置和日志分析。

　　2. 基于代理的審計技術(shù)：該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)上安裝相應(yīng)的審計Agent，在Agent上實現(xiàn)審計策略的配置和日志的采集，常見的產(chǎn)品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產(chǎn)品，該技術(shù)與日志審計技術(shù)比較類似，最大的不同是需要在被審計主機上安裝代理程序。代理審計技術(shù)從審計粒度上要優(yōu)于日志審計技術(shù)，但是性能上的損耗是要大于日志審計技術(shù)，因為數(shù)據(jù)庫系統(tǒng)廠商未公開細節(jié)，由數(shù)據(jù)庫廠商提供的代理審計類產(chǎn)品對自有數(shù)據(jù)庫系統(tǒng)的兼容性較好，但是在跨數(shù)據(jù)庫系統(tǒng)的支持上，比如要同時審計Oracle和DB2時，存在一定的兼容性風(fēng)險。同時由于在引入代理審計后，原數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性、可靠性、性能或多或少都會有一些影響，實際的應(yīng)用面較窄。

　　3. 基于網(wǎng)絡(luò)監(jiān)聽的審計技術(shù)：該技術(shù)是通過將對數(shù)據(jù)庫系統(tǒng)的訪問流鏡像到交換機某一個端口，然后通過專用硬件設(shè)備對該端口流量進行分析和還原，從而實現(xiàn)對數(shù)據(jù)庫訪問的審計。該技術(shù)最大的優(yōu)點就是與現(xiàn)有數(shù)據(jù)庫系統(tǒng)無關(guān)，部署過程不會給數(shù)據(jù)庫系統(tǒng)帶來性能上的負擔(dān)，即使是出現(xiàn)故障也不會影響數(shù)據(jù)庫系統(tǒng)的正常運行，具備易部署、無風(fēng)險的特點;但是，其部署的實現(xiàn)原理決定了網(wǎng)絡(luò)監(jiān)聽技術(shù)在針對加密協(xié)議時，只能實現(xiàn)到會話級別審計(即可以審計到時間、源IP、源端口、目的IP、目的端口等信息)，而沒法對內(nèi)容進行審計。不過在絕大多數(shù)業(yè)務(wù)環(huán)境下，因為數(shù)據(jù)庫系統(tǒng)對業(yè)務(wù)性能的要求是遠高于對數(shù)據(jù)傳輸加密的要求，很少有采用加密通訊方式訪問數(shù)據(jù)庫服務(wù)端口的情況，故網(wǎng)絡(luò)監(jiān)聽審計技術(shù)在實際的數(shù)據(jù)庫審計項目中應(yīng)用非常廣泛。

　　4. 基于網(wǎng)關(guān)的審計技術(shù)：該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)前部署網(wǎng)關(guān)設(shè)備，通過在線截獲并轉(zhuǎn)發(fā)到數(shù)據(jù)庫的流量而實現(xiàn)審計，該技術(shù)是起源于安全審計在互聯(lián)網(wǎng)審計中的應(yīng)用，在互聯(lián)網(wǎng)環(huán)境中，審計過程除了記錄以外，還需要關(guān)注控制，而網(wǎng)絡(luò)監(jiān)聽方式無法實現(xiàn)很好的控制效果，故多數(shù)互聯(lián)網(wǎng)審計廠商選擇通過串行的方式來實現(xiàn)控制。在應(yīng)用過程中，這種技術(shù)實現(xiàn)方式開始在數(shù)據(jù)庫環(huán)境中使用，不過由于數(shù)據(jù)庫環(huán)境存在流量大、業(yè)務(wù)連續(xù)性要求高、可靠性要求高的特點，與互聯(lián)網(wǎng)環(huán)境大相徑庭，故這種網(wǎng)關(guān)審計技術(shù)往往主要運用在對數(shù)據(jù)庫運維審計的情況下，不能完全覆蓋所有對數(shù)據(jù)庫訪問行為的審計。

　　通過對以上四種技術(shù)的分析，在進行數(shù)據(jù)庫審計技術(shù)方案的選擇時，我們遵循的根本原則建議是：

　　1.業(yè)務(wù)保障原則：安全建設(shè)的根本目標是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時，必須保障業(yè)務(wù)的正常運行和運行效率。

　　2.結(jié)構(gòu)簡化原則：安全建設(shè)的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加安全，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個安全防護體系的管理、執(zhí)行和維護。

　　3.生命周期原則：安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計，還要考慮不斷的變化;系統(tǒng)應(yīng)具備適度的靈活性和擴展性。

　　根據(jù)通常情況下用戶業(yè)務(wù)系統(tǒng)7*24小時不間斷運行的特點，從穩(wěn)定性、可靠性、可用性等多方面進行考慮，特別是技術(shù)方案的選擇不應(yīng)對現(xiàn)有系統(tǒng)造成影響，建議用戶朋友優(yōu)選采用網(wǎng)絡(luò)監(jiān)聽審計技術(shù)來實現(xiàn)對數(shù)據(jù)庫的審計。
 

網(wǎng)絡(luò)監(jiān)聽是兩面的，既有積極向上的一面，也會讓動機不良的人鉆了空子，所以大家請利用網(wǎng)絡(luò)監(jiān)聽解決網(wǎng)絡(luò)中存在的問題，不要作為竊取他人機密的工具。讓網(wǎng)絡(luò)監(jiān)聽幫助你做好安全審計工作。

【編輯推薦】

1. 網(wǎng)絡(luò)監(jiān)聽技術(shù)概覽
2. 如何防止網(wǎng)絡(luò)監(jiān)聽與端口掃描
3. 網(wǎng)絡(luò)監(jiān)聽法捕獲到更多的數(shù)據(jù)信息
4. 數(shù)據(jù)庫安全審計
5. 選購數(shù)據(jù)庫安全審計產(chǎn)品的5大要素