數(shù)據(jù)庫安全:數(shù)據(jù)庫審計(jì)產(chǎn)品特性解析
數(shù)據(jù)庫安全境況分析
數(shù)據(jù)庫安全面臨著諸多問題,由于計(jì)算機(jī)軟硬件故障、黑客入侵、病毒侵害等原因會(huì)導(dǎo)致數(shù)據(jù)庫系統(tǒng)不能正常運(yùn)轉(zhuǎn)、數(shù)據(jù)丟失等。然而更高的風(fēng)險(xiǎn)來源于企業(yè)內(nèi)部,企業(yè)內(nèi)部人員非法訪問、惡意篡改等操作,給數(shù)據(jù)庫系統(tǒng)帶來的威脅更是災(zāi)難性的。隨著企業(yè)的不斷成長,企業(yè)對(duì)日志審計(jì)和內(nèi)控安全的需求也日益迫切,對(duì)數(shù)據(jù)庫的審計(jì)也成了企業(yè)內(nèi)控的重中之重。
數(shù)據(jù)庫審計(jì)發(fā)展介紹
數(shù)據(jù)庫安全面臨的挑戰(zhàn)從來源分為兩個(gè)方面:一是來自外部,包括黑客對(duì)于數(shù)據(jù)庫的惡意攻擊,還有病毒、蠕蟲、木馬之類的針對(duì)數(shù)據(jù)庫的破壞;而更大的挑戰(zhàn)來自于企業(yè)的內(nèi)部,有調(diào)查顯示,超過80%的惡性后果來自企業(yè)的內(nèi)部人員,包括企業(yè)內(nèi)部人員惡意的操作、無意的違規(guī)行為等等,這些行為導(dǎo)致了數(shù)據(jù)的損壞和數(shù)據(jù)庫系統(tǒng)的破壞。
審計(jì)產(chǎn)品從2000年開始發(fā)展,2001年公安部頒布等保條例,2002年國外頒布薩班斯方案,以及國內(nèi)商業(yè)銀行的管控條例,都提到了對(duì)審計(jì)的重視,直到2005年左右,IT專業(yè)人士以及安全廠商都意識(shí)到在企業(yè)信息系統(tǒng)當(dāng)中數(shù)據(jù)庫是最核心的資產(chǎn),針對(duì)數(shù)據(jù)庫的審計(jì)是非常關(guān)鍵和重要的,由此國內(nèi)出現(xiàn)了比較專業(yè)的數(shù)據(jù)庫審計(jì)。
審計(jì)產(chǎn)品特點(diǎn)
數(shù)據(jù)庫審計(jì)產(chǎn)品的主要特點(diǎn)就是精確,從三個(gè)方面詳細(xì)闡述了精確這一特點(diǎn):
第一,審計(jì)策略的配置,數(shù)據(jù)庫審計(jì)產(chǎn)品在工作的時(shí)候,審計(jì)策略是非常重要的,這是其工作的重要依據(jù),在配置審計(jì)策略的時(shí)候,廠商目標(biāo)是力求讓用戶精確的配置審計(jì)目標(biāo),在提供配置的功能上廠商們做了很多細(xì)化的工作。
第二,審計(jì)日志的呈現(xiàn),廠商對(duì)于各種類型的數(shù)據(jù)庫都能做到語意解析,對(duì)數(shù)據(jù)庫的各種元素,包括操作對(duì)象、操作方式、操作元等等都能做到比較精細(xì)的展現(xiàn)。因此,在審計(jì)日志中能給用戶比較詳細(xì)的展示。
第三,審計(jì)過程的精確,目前企業(yè)很多的IT系統(tǒng)都是通過中間件訪問數(shù)據(jù)庫,而用戶直接操作數(shù)據(jù)庫的情況越來越少,多數(shù)的中間件都是外部中間件,廠商根據(jù)目前的應(yīng)用狀態(tài),開發(fā)出了三層關(guān)聯(lián)審計(jì),也就是對(duì)于Http客戶端到外部中間件,然后從外部中間件到數(shù)據(jù)庫的訪問,提供一種關(guān)聯(lián)的審計(jì),從而讓具體的數(shù)據(jù)庫操作行為追蹤溯源到具體的Http客戶端人員。
數(shù)據(jù)庫審計(jì)能為用戶帶來哪些?
談到數(shù)據(jù)庫審計(jì)能為用戶帶來的好處,我們列舉了三個(gè)方面:首先是合規(guī),現(xiàn)在國家的法律法規(guī)對(duì)于企業(yè)內(nèi)部IT系統(tǒng)都有合規(guī)性的要求,包括等保、封保的要求,還有特殊行業(yè)如金融、電信等行業(yè)都有對(duì)內(nèi)部IT系統(tǒng)的審計(jì)要求,企業(yè)部署數(shù)據(jù)庫審計(jì)產(chǎn)品,第一個(gè)能達(dá)到的價(jià)值就是合規(guī)。
二是提高企業(yè)IT內(nèi)控的規(guī)范性,數(shù)據(jù)庫審計(jì)系統(tǒng)可以幫助企業(yè)內(nèi)部人員對(duì)IT系統(tǒng)的訪問,以及數(shù)據(jù)庫的操作更加規(guī)范,使得企業(yè)從管理到技術(shù)形成一個(gè)整體、規(guī)范IT內(nèi)控體系。
三是提高聲譽(yù)、降低損失,企業(yè)部署了數(shù)據(jù)庫審計(jì)產(chǎn)品,就可以符合安全管理?xiàng)l例,符合國家的法律法規(guī)等等,從而提高了企業(yè)的聲譽(yù)。另一方面,可以對(duì)數(shù)據(jù)泄露等等造成企業(yè)重大損失的可能性做到很好的預(yù)防。
還有很多審計(jì)系統(tǒng)可以對(duì)數(shù)據(jù)庫進(jìn)行全方位的審計(jì),包括對(duì)數(shù)據(jù)庫的各種訪問審計(jì),對(duì)數(shù)據(jù)訪問的監(jiān)控和防護(hù)以及對(duì)數(shù)據(jù)庫的運(yùn)維操作的審計(jì)。同時(shí),數(shù)據(jù)庫審計(jì)廣泛應(yīng)用在各個(gè)行業(yè),包括金融、電信、政府、能源等等。
談到了具體行業(yè)對(duì)數(shù)據(jù)庫審計(jì)的需求,不同行業(yè)對(duì)數(shù)據(jù)庫審計(jì)的需求是有一些差別的。由于不同行業(yè)的行業(yè)特點(diǎn)是不一樣的,所以對(duì)于審計(jì)產(chǎn)品所希望達(dá)到的目的是不同的。如金融行業(yè),它的目的主要合規(guī)和減少部分的工作量;電信行業(yè)的主要特點(diǎn)是數(shù)據(jù)庫訪問量非常大,它對(duì)于審計(jì)產(chǎn)品的需求是穩(wěn)定和完整;醫(yī)療行業(yè)購買審計(jì)產(chǎn)品的目的是為了考察或是審計(jì)醫(yī)生的各種醫(yī)療行為。因此,不同行業(yè)對(duì)于審計(jì)的目的不太一樣,但是要求卻是一致的,審計(jì)產(chǎn)品必須滿足穩(wěn)定性、完整性、保密性等等這些要求。
數(shù)據(jù)庫審計(jì):事中檢測(cè)預(yù)警+事后追蹤溯源
網(wǎng)絡(luò)安全審計(jì)系統(tǒng)要做到事中檢測(cè)預(yù)警,首先要定制安全策略,確定每個(gè)用戶的操作權(quán)限以及確定企業(yè)需要審計(jì)的目標(biāo),然后審計(jì)系統(tǒng)就可以在這個(gè)安全策略指導(dǎo)下工作,當(dāng)發(fā)現(xiàn)有一些關(guān)鍵人進(jìn)行關(guān)鍵的操作時(shí),可能是合規(guī)也可能是不合規(guī)的操作,就會(huì)進(jìn)行相應(yīng)的告警,告警之后會(huì)對(duì)違規(guī)的操作進(jìn)行阻斷,同時(shí)發(fā)郵件給相應(yīng)的安全管理員或是上級(jí)領(lǐng)導(dǎo)。如此,數(shù)據(jù)庫審計(jì)產(chǎn)品對(duì)一些必要的操作提供及時(shí)的檢測(cè)和響應(yīng)。
針對(duì)事后的追蹤溯源,網(wǎng)絡(luò)安全審計(jì)系統(tǒng)在網(wǎng)絡(luò)運(yùn)行的過程中,對(duì)審計(jì)的日志會(huì)存儲(chǔ)到數(shù)據(jù)庫中,如果用戶過一段時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)有異常,或者數(shù)據(jù)庫有不正常情況,就可以到審計(jì)產(chǎn)品里邊去找一些線索,也可以說是取證,然后通過日志分析系統(tǒng)協(xié)助用戶對(duì)需要審計(jì)的日志進(jìn)行統(tǒng)一的分析,這就是事后的追蹤溯源過程。
用戶選購數(shù)據(jù)庫審計(jì)產(chǎn)品建議
企業(yè)在選購數(shù)據(jù)庫審計(jì)產(chǎn)品時(shí)首先要了解自己企業(yè)的應(yīng)用狀態(tài),了解哪些業(yè)務(wù)系統(tǒng)會(huì)訪問數(shù)據(jù)庫,哪些人使用客戶端,或是遠(yuǎn)程訪問數(shù)據(jù)庫,另外還要明確企業(yè)的審計(jì)目標(biāo),只有明確了這些主要的目的,才能根據(jù)不同的目的去考察數(shù)據(jù)庫審計(jì)產(chǎn)品,因?yàn)槊總€(gè)廠家的產(chǎn)品都有自己的特色,可以根據(jù)企業(yè)自身的需求來選擇比較適合的產(chǎn)品。
數(shù)據(jù)庫審計(jì)的未來發(fā)展
數(shù)據(jù)庫安全審計(jì)市場(chǎng)分析中,廠商們對(duì)的態(tài)度表示未來是非常樂觀。廠商在數(shù)據(jù)庫審計(jì)市場(chǎng)也將繼續(xù)發(fā)力,一方面圍繞數(shù)據(jù)庫安全審計(jì)深入研究數(shù)據(jù)庫技術(shù),結(jié)合數(shù)據(jù)庫的訪問控制、認(rèn)證管理等等形成一套比較完善的針對(duì)數(shù)據(jù)庫的安全體系。另一方面深挖行業(yè)需求,針對(duì)不同行業(yè)分析它的應(yīng)用特色,然后根據(jù)它不同應(yīng)用特色來強(qiáng)化產(chǎn)品針對(duì)行業(yè)需求的滿足度。第三結(jié)合公司其他的安全產(chǎn)品,借鑒其他安全產(chǎn)品的技術(shù)做好行業(yè)的解決方案。
