很少有比保護(hù)數(shù)據(jù)庫(kù)及其存儲(chǔ)的數(shù)據(jù)更加嚴(yán)峻的IT安全挑戰(zhàn)了，尤其是針對(duì)最常用的數(shù)據(jù)庫(kù)和Web應(yīng)用程序的攻擊：SQL注入。盡管關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)（RDBMS）供應(yīng)商、IT安全專家和應(yīng)用程序開(kāi)發(fā)人員都意識(shí)到了此類攻擊，但問(wèn)題依然存在，因?yàn)樵诓挥绊懮虡I(yè)運(yùn)作的前提下，這類攻擊難以檢測(cè)和阻止。

更嚴(yán)重的是，SQL注入是攻擊者能夠完全控制關(guān)系型數(shù)據(jù)庫(kù)的攻擊手段之一。關(guān)系型數(shù)據(jù)庫(kù)結(jié)構(gòu)復(fù)雜，允許多種應(yīng)用程序同時(shí)讀取或?qū)懭霐?shù)據(jù)——每一種應(yīng)用程序都支持多種業(yè)務(wù)功能——這使得我們難以比較關(guān)系型數(shù)據(jù)庫(kù)的優(yōu)劣。當(dāng)攻擊看起來(lái)就像是正常的數(shù)據(jù)庫(kù)命令時(shí)，你需要做的就不僅僅是隨意檢查一下數(shù)據(jù)庫(kù)操作事件了。

對(duì)于可能不熟悉這項(xiàng)技術(shù)的人來(lái)說(shuō)，數(shù)據(jù)庫(kù)活動(dòng)檢測(cè)（DAM）系統(tǒng)就是檢測(cè)關(guān)系型數(shù)據(jù)庫(kù)濫用的高級(jí)安全平臺(tái)。DAM系統(tǒng)技術(shù)獨(dú)特，能以近乎實(shí)時(shí)的速度分析數(shù)據(jù)庫(kù)查詢，區(qū)分正常的操作和攻擊。DAM系統(tǒng)收集不同來(lái)源的信息，提供多種形式的高級(jí)分析和警告，甚至能直接中斷惡意活動(dòng)。沒(méi)有其它的安全產(chǎn)品能以這種方式監(jiān)測(cè)數(shù)據(jù)庫(kù)的活動(dòng)，或者提供DAM式的細(xì)化檢查水平。

確定數(shù)據(jù)、事務(wù)的保護(hù)優(yōu)先級(jí)

部署DAM的第一步是決定你想保護(hù)的內(nèi)容。監(jiān)測(cè)數(shù)據(jù)庫(kù)有很多種方式，對(duì)每個(gè)事件都進(jìn)行檢測(cè)是不現(xiàn)實(shí)的，因?yàn)檫@樣一來(lái)監(jiān)測(cè)系統(tǒng)將比保護(hù)對(duì)象更加龐大。你需要了解什么樣的數(shù)據(jù)或事務(wù)是重要的。有三種方法可以助你了解：

1、訪問(wèn)建立數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)管理員和應(yīng)用程序開(kāi)發(fā)者，因?yàn)樗麄兺ǔ６贾烂舾袛?shù)據(jù)的保存位置，也知道哪一類數(shù)據(jù)庫(kù)支持關(guān)鍵業(yè)務(wù)功能。

2、使用數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)庫(kù)檢索器調(diào)查數(shù)據(jù)庫(kù)內(nèi)容。監(jiān)測(cè)器最起碼能夠監(jiān)測(cè)數(shù)據(jù)的寫入和讀取。作為附帶功能，一些供應(yīng)商還提供能夠搜尋數(shù)據(jù)庫(kù)內(nèi)容的檢索器。這些檢測(cè)工具能夠通過(guò)元數(shù)據(jù)和內(nèi)容分析技術(shù)定位敏感數(shù)據(jù)，確定需要保護(hù)的數(shù)據(jù)。

3、觀察SQL語(yǔ)句和數(shù)據(jù)庫(kù)事務(wù)。大多數(shù)DAM系統(tǒng)在最開(kāi)始的幾周都是以“獨(dú)立監(jiān)測(cè)”（monitor-only）的模式運(yùn)行的，因此公司能夠逐漸了解數(shù)據(jù)庫(kù)的運(yùn)行狀況。從本質(zhì)上講，你要給出應(yīng)用程序使用數(shù)據(jù)庫(kù)和常見(jiàn)查詢樣式的大概輪廓。然后你可以定義策略和實(shí)現(xiàn)方式，檢測(cè)數(shù)據(jù)庫(kù)濫用。

基于你的發(fā)現(xiàn)，你可以定義相關(guān)規(guī)則，允許哪些活動(dòng)，并對(duì)可疑活動(dòng)產(chǎn)生警告。

如何捕獲數(shù)據(jù)庫(kù)事件

現(xiàn)在你知道了何種事務(wù)是重要的，接下來(lái)你需要決定如何收集數(shù)據(jù)庫(kù)事件。每一種數(shù)據(jù)庫(kù)檢測(cè)器都提供了多種收集數(shù)據(jù)的方法，每一種方法都各有優(yōu)劣。

在數(shù)據(jù)庫(kù)平臺(tái)上安裝代理很常見(jiàn)，因?yàn)榇砟懿东@所有SQL活動(dòng)，在不影響數(shù)據(jù)庫(kù)性能的前提下，有助于理解某次查詢是否是惡意的。

本地審計(jì)功能可收集事件，但卻不一定能收集到原始的SQL查詢，開(kāi)銷也要大很多，影響數(shù)據(jù)庫(kù)性能。

網(wǎng)絡(luò)收集器則提供了一種更快更容易的收集SQL活動(dòng)的方法，但會(huì)丟失管理員通過(guò)控制臺(tái)進(jìn)行的事務(wù)和活動(dòng)。

代理是關(guān)鍵數(shù)據(jù)庫(kù)事實(shí)上的安全工具。本地審計(jì)和網(wǎng)絡(luò)監(jiān)控則在非關(guān)鍵數(shù)據(jù)庫(kù)上比較常見(jiàn)，但在特殊情況下使用得更多。

數(shù)據(jù)庫(kù)安全的基本定義

現(xiàn)在，你已經(jīng)在從關(guān)鍵數(shù)據(jù)庫(kù)系統(tǒng)中收集事件，下一步是實(shí)現(xiàn)你的安全策略。DAM的工作方式是分析數(shù)據(jù)庫(kù)查詢，你可以通過(guò)很多選項(xiàng)設(shè)置對(duì)哪些語(yǔ)句進(jìn)行檢查，以及如何檢查。數(shù)據(jù)庫(kù)活動(dòng)檢測(cè)工具提供的基本功能有：

監(jiān)測(cè)和查找

警告和報(bào)告

工作次序驗(yàn)證

捕獲數(shù)據(jù)庫(kù)濫用

SQL捕獲（用于審計(jì)）

大多數(shù)政策執(zhí)行的是數(shù)據(jù)庫(kù)查詢屬性檢查：用戶是誰(shuí)、用戶正在瀏覽哪一列、用戶使用何種應(yīng)用程序、用戶接觸到的數(shù)據(jù)、操作時(shí)間等，這些通常都被用于定義安全策略。你為每一個(gè)屬性分配特定值，當(dāng)用戶超過(guò)這些預(yù)定義的閾值時(shí)，監(jiān)測(cè)系統(tǒng)就會(huì)產(chǎn)生警告。例如，你可能會(huì)想對(duì)這些情況產(chǎn)生警告：所有午夜之后的查詢、三次失敗的登錄嘗試、任何對(duì)信用卡資料的訪問(wèn)。

高級(jí)監(jiān)控

數(shù)據(jù)庫(kù)活動(dòng)監(jiān)測(cè)系統(tǒng)的能力在過(guò)去的幾年里得到了極大的提高。過(guò)去只是純粹的監(jiān)測(cè)和警示，現(xiàn)在已經(jīng)提供了一套可靠的阻止攻擊、主動(dòng)抵制濫用的方法。大多數(shù)DAM產(chǎn)品具有的高級(jí)功能有：

SQL注入監(jiān)測(cè)

攻擊阻止和虛擬補(bǔ)丁

特定應(yīng)用程序用戶認(rèn)證

會(huì)話終止

行為監(jiān)控和內(nèi)部威脅檢測(cè)#p#

但是，先進(jìn)的分析手段就意味著先進(jìn)的政策，這些政策要針對(duì)你的環(huán)境，供應(yīng)商沒(méi)法為你事先設(shè)定。為了檢測(cè)和阻止SQL注入攻擊，你需要為你的應(yīng)用程序定義合法的SQL查詢語(yǔ)句。如果你不能及時(shí)地給數(shù)據(jù)庫(kù)打補(bǔ)丁，那么你就需要編寫一個(gè)政策，用于檢測(cè)攻擊，同時(shí)部署DAM阻止威脅。幸運(yùn)的是，即便你的數(shù)據(jù)庫(kù)供應(yīng)商沒(méi)有為你預(yù)設(shè)政策，你的DAM供應(yīng)商也會(huì)幫助你自定義。

為實(shí)現(xiàn)行為監(jiān)測(cè)，即發(fā)現(xiàn)異常的行為，你需要定義什么樣的行為才是正常的。要識(shí)別特定應(yīng)用程序用戶——并不是通常地應(yīng)用程序連接數(shù)據(jù)庫(kù)的賬戶——你需要提供查詢IP地址或者傳遞用戶憑證的手段。如果檢測(cè)到嚴(yán)重的威脅，你需要決定是否斷開(kāi)該用戶，或者鎖定賬戶禁止其訪問(wèn)系統(tǒng)。所有這些高級(jí)的功能都要求你進(jìn)行自定義操作。DAM供應(yīng)商只是提供模板和工具，幫助你針對(duì)自己的應(yīng)用環(huán)境建立政策、監(jiān)測(cè)和執(zhí)行手段，但政策必須由你自己定制。

部署DAM

長(zhǎng)期來(lái)看，如果要從一開(kāi)始就節(jié)省時(shí)間、避免麻煩，管理DAM平臺(tái)有幾個(gè)方面需要注意。包括：

分離職責(zé)：基于安全和法規(guī)兩方面的原因，撰寫政策和審核報(bào)告的人不應(yīng)該是監(jiān)控?cái)?shù)據(jù)庫(kù)的管理員。同樣地，一組數(shù)據(jù)庫(kù)的DBA不應(yīng)使用DAM工具窺探其他組的數(shù)據(jù)庫(kù)。想法就是要檢測(cè)舞弊、相互制約，所以應(yīng)在DAM產(chǎn)品內(nèi)區(qū)分角色和責(zé)任。

長(zhǎng)期存儲(chǔ)：數(shù)據(jù)庫(kù)活動(dòng)檢測(cè)平臺(tái)通常沒(méi)有儲(chǔ)存安全信息、事件管理（SIEM）信息和日志管理信息的能力，但一般會(huì)提供一些相關(guān)的能力。這些產(chǎn)品注重語(yǔ)句級(jí)別的分析，而不是長(zhǎng)期的存儲(chǔ)和管理。事件很少能在DAM產(chǎn)品中保存超過(guò)30天。如果你想執(zhí)行90天或者180天長(zhǎng)的窗口期的分析，那就需要為DAM服務(wù)器或者日志管理系統(tǒng)提供額外的存儲(chǔ)器。

可擴(kuò)展性：DAM的可擴(kuò)展性有三個(gè)關(guān)鍵問(wèn)題：事務(wù)量、網(wǎng)絡(luò)拓?fù)湟约皩Ｓ糜诒O(jiān)控的系統(tǒng)資源。DAM系統(tǒng)的架構(gòu)要與本地的數(shù)據(jù)收集器、事件分析和警告產(chǎn)生設(shè)備、中央政策管理和報(bào)告設(shè)備相適應(yīng)。你需要確保上述每一部分都能與其他部分進(jìn)行可靠的溝通，并且你能從部署在虛擬環(huán)境中的數(shù)據(jù)庫(kù)中收集事件信息。要最大程度地利用你在DAM上的投資，最好是要理解你需要分析的事件的類型，并過(guò)濾掉所有你擔(dān)心的東西。更少的事件信息意味著更少的存儲(chǔ)和處理開(kāi)銷。當(dāng)需要監(jiān)控每小時(shí)執(zhí)行上百萬(wàn)條查詢的數(shù)據(jù)庫(kù)時(shí)，過(guò)濾能極大地降低設(shè)備或服務(wù)器投資。

數(shù)據(jù)庫(kù)活動(dòng)監(jiān)測(cè)是一項(xiàng)成熟的技術(shù)，專注于數(shù)據(jù)庫(kù)事務(wù)，提供了保護(hù)數(shù)據(jù)、阻止惡意操作的有效手段。但是，要體現(xiàn)監(jiān)測(cè)平臺(tái)的價(jià)值，你需要投資建立規(guī)則、警示和報(bào)告機(jī)制，從而解決你所面臨的安全問(wèn)題。

此外，為避免造成管理或性能問(wèn)題，部署系統(tǒng)時(shí)需仔細(xì)斟酌安裝選項(xiàng)。DAM的用途有很多，所以你需要清楚地知道你的優(yōu)先工作是什么。在運(yùn)用更高級(jí)的安全功能之前，你應(yīng)首先讓基本的系統(tǒng)工作起來(lái)。

【編輯推薦】

1. 內(nèi)網(wǎng)安全管理系統(tǒng)DeskView實(shí)現(xiàn)雙向監(jiān)控
2. 初試IE9第一個(gè)配置工具TweakIE9
3. 支付寶產(chǎn)品經(jīng)理談iPad上的設(shè)計(jì)工具
4. 漏洞掃描工具選擇技巧大揭秘