【51CTO.com稿件】隨著企業規模不斷發展壯大，為提升企業運行效率，降低運營成本，企業信息化系統也在日益壯大，運維問題也日趨復雜，企業核心數據資源的安全無法進行有效管控，為企業健康發展埋下隱患。

基于此原因，企業信息化建設需在滿足業務運行的前提下，加強內控與安全審計力度，切實保障信息系統安全運行，滿足企業內控管理的合規要求。

[[209093]]

小編就信息安全內控與數據安全領域的兩款明星產品“堡壘機”與“數據庫審計系統”進行梳理歸納，希望能夠對廣大IT運維工程師進行產品選型提供幫助。

堡壘機

在了解堡壘機前，先扒一扒信息系統運維中存在的一些問題，偉大的創新并非突發奇想，往往來源于我們亟待解決之問題。

信息系統運維中的問題

1.一個用戶使用多個賬號

由于信息系統龐大，擁有少則數十臺，多則上百臺的服務器，而維護人員又極其有限，單個工程師維護多套系統的現象普遍存在。伴隨而來就是工程師記事簿上密密麻麻的賬號密碼，同時在多套主機系統之間切換，其工作量和復雜度成倍增加，直接導致的后果就是工作效率低下，操作繁瑣容易出現誤操作，影響系統正常運行。

2.權限分配粗放，缺乏細粒度

大多數的系統授權是采用操作系統自身的授權系統，授權功能分散在各個設備和系統中，缺乏統一的運維操作授權策略，授權顆粒度粗，無法基于最小權限分配原則管理用戶權限，因此，出現運維人員權限過大和內部操作權限濫用等問題。

3.第三方代維人員的操作行為缺乏有效監控

隨著企業信息化建設的快速發展，為緩解企業IT人員不足的壓力，越來越多的企業系統運維工作轉交給系統供應商或第三方代維商，企業既解決了人員不足的問題，又解決了招聘新人的技能培訓問題。但是在享受便利的同時，由于涉及提供商，代維商過多，人員復雜流動性又大，對操作行為缺少監控帶來的風險日益凸現，因此，需要通過嚴格的權限控制和操作行為審計。

針對上述問題，相信廣大運維工程師都有“搔頭不知癢處”的苦惱。不用急，這個時候我們的堡壘機登場了。

堡壘機的審計過程

堡壘機又名運維安全審計系統，首先他將服務器群的訪問限定單一入口，所有用戶均不能直接訪問服務器，需通過堡壘機中轉，這樣就有條件對整個流量進行監控，對風險操作進行記錄報警，對用戶進行集中地細粒度權限管理。再在堡壘機中集成單點登錄(SSO)功能，用戶只需登錄一次就可以訪問所有相互信任的應用系統解決單用戶多賬號問題;再就協議代理，通過截獲HTTP、ftp、ssh、rdp、vnc通信協議內容，解析并記錄IT運維人員的操作過程。

堡壘機的核心技術協議代理，由于協議對應的SOCKET端口對于服務器來說是唯一的，意味著堡壘機在給IT運維人員授權時，只能允許或禁止使用某服務器的某知名協議。假設授權給甲S服務器的RDP協議，就相當于S服務器上的所有IT資源授權給了甲。授權顆粒度一般是以服務器為單位。再一個對于RDP和VNC操作過程只能進行錄屏，對于風險過程無法快速智能識別，只能事后通過記錄慢慢甄別，時效性較差。待基于應用代理的堡壘機技術成熟后，應該有很大改進。

數據庫審計系統

數據庫審計系統在當下信息安全領域絕對算得上明星產品，一是因為信息化時代，數據庫作為企事業單位的戰略性資產，必須進行嚴格防范，以防被非法獲取;二是《薩班斯法案》、《計算機信息系統安全等級保護數據庫管理技術要求》等相關規范性法案及要求對企業內控與審計進行了合規性要求。更深刻的原因在于，數據庫面臨的眾多安全風險亟待解決。

數據庫面臨的安全風險

一、管理風險

內部員工及第三方維護人員的權限分配粗放，導致權限濫用且無有效手段監控操作，致使安全事件發生時不能及時告警且無法追溯并定位真實的操作者，數據流向失控。上文提到堡壘機雖說也有一定的審計功能，但無法達到應用級。

二、技術風險

ORALCE、SQL SERVER等數據庫系統是一個龐大而復雜的系統，加之其承載的高價值數據庫，無數黑客對其趨之若鶩，致使其漏洞層出不窮，而補丁往往跟進非常延后(有時打補丁風險不比黑客小)，另外基于應用層的注入攻擊更是難于防范。

三、審計層面

傳統的依賴于日志審計的方法，存在諸多弊端，如：數據庫審計功能開啟會影響數據庫本身的運行，原本海量的數據檢索已讓數據庫不堪重負;數據庫日志文件本身存在被篡改的風險，難于體現審計信息公正性和有效性;對于國內應用軟件的功能性開發模式，日志更是流于表面無實質價值。

數據庫審計系統的運行流程

數據庫審計系統通過監控所有出入數據庫的報文，通過深度的報文解析和重組技術將散列的報文還原成完整數據庫語句，如select、delete、alter、grant等，再根據相應的規則對其進行匹配并根據相應的風險等級實時告警。

舉個例子：某用戶A僅限于訪問數據庫中的A表權限，黑客利用數據庫的漏洞將用戶A進行提權后，可以去訪問B表，但是數據庫本身的權限機制已被攻破，因此用戶A訪問B表暢通無阻。如果在數據庫審計系統規則中限定B表的訪問權限，通過對于底層報文解析重組后分析發現A用戶在訪問B表，促發了風險規則，此時系統會產生高風險告警，并通過郵件、短信等方式告知審計人員實時處理，同時對事件進行記錄存檔用于事后的追溯。

獨立、公正的數據庫審計平臺

數據庫審計系統為第三方的獨立審計平臺，且自身進行了分權處理，因此，對于審計的獨立性與公正性得到了有效的保證。數據庫審計系統通過底層直接抓取報文解析重組的方式進行審計，黑客缺乏有效的手段規避審計。

數據庫審計系統的不足在于其設計局限于數據庫，對于網絡協議這一塊的審計還有欠缺。不過現在的數據庫審計系統也開始加強對協議方面的審計能力，昂楷AAS數據庫審計系統目前支持國內國外主流數據庫進行審計的同時，也支持常用的http、ftp、telnet、smtp、pop3等網絡協議的審計，更可喜的是其在Hadoop大數據架構、云計算、工控等領域也取得成功的商用。

數據庫審計和堡壘機都是目前有效實現信息化內控，滿足合規性的重要有效手段，區別在于堡壘機側重于對第三方維護人員行為的規范與控制，而數據庫審計系統側重于數據庫本身的安全以及對數據庫資源訪問的合規性控制與審計。因此，如何進行產品選型取決于當前所需迫切解決的問題，產品本身并無優劣之分，不同側重點不可被銷售代表的大嘴無所不能的忽悠。

【51CTO稿件，合作站點轉載請注明原文作者和出處為51CTO.com】