網(wǎng)絡(luò)監(jiān)聽(tīng)是數(shù)據(jù)庫(kù)安全審計(jì)最佳手段

2013-10-22 10:25:32 Net硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

數(shù)據(jù)庫(kù)系統(tǒng)作為三大基礎(chǔ)軟件之一并不是在計(jì)算機(jī)誕生的時(shí)候就同時(shí)產(chǎn)生的，隨著信息技術(shù)的發(fā)展，傳統(tǒng)文件系統(tǒng)已經(jīng)不能滿足人們的需要，1961年，美國(guó)通用電氣公司成功開(kāi)發(fā)了世界上第一個(gè)數(shù)據(jù)庫(kù)系統(tǒng)IDS（Integra

通過(guò)在數(shù)據(jù)庫(kù)系統(tǒng)上安裝相應(yīng)的審計(jì)Agent，在Agent上實(shí)現(xiàn)審計(jì)策略的配置和日志的采集，常見(jiàn)的產(chǎn)品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產(chǎn)品，其典型部署示意圖如圖3所示：

　　

網(wǎng)絡(luò)監(jiān)聽(tīng)是數(shù)據(jù)庫(kù)安全審計(jì)最佳手段

　　圖3 代理審計(jì)技術(shù)部署示意

　　該技術(shù)與日志審計(jì)技術(shù)比較類似，最大的不同是需要在被審計(jì)主機(jī)上安裝代理程序。代理審計(jì)技術(shù)從審計(jì)粒度上要優(yōu)于日志審計(jì)技術(shù)，但是性能上的損耗是要大于日志審計(jì)技術(shù)，因?yàn)閿?shù)據(jù)庫(kù)系統(tǒng)廠商未公開(kāi)細(xì)節(jié)，由數(shù)據(jù)庫(kù)廠商提供的代理審計(jì)類產(chǎn)品對(duì)自有數(shù)據(jù)庫(kù)系統(tǒng)的兼容性較好，但是在跨數(shù)據(jù)庫(kù)系統(tǒng)的支持上，比如要同時(shí)審計(jì)Oracle和DB2時(shí)，存在一定的兼容性風(fēng)險(xiǎn)。同時(shí)由于在引入代理審計(jì)后，原數(shù)據(jù)庫(kù)系統(tǒng)的穩(wěn)定性、可靠性、性能或多或少都會(huì)有一些影響，實(shí)際的應(yīng)用面較窄。

　　3.基于網(wǎng)絡(luò)監(jiān)聽(tīng)的審計(jì)技術(shù)：該技術(shù)是通過(guò)將對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)流鏡像到交換機(jī)某一個(gè)端口，然后通過(guò)專用硬件設(shè)備對(duì)該端口流量進(jìn)行分析和還原，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的審計(jì)。其典型部署示意圖如圖4所示：

　　

　　圖4 網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)部署示意
該技術(shù)最大的優(yōu)點(diǎn)就是與現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)無(wú)關(guān)，部署過(guò)程不會(huì)給數(shù)據(jù)庫(kù)系統(tǒng)帶來(lái)性能上的負(fù)擔(dān)，即使是出現(xiàn)故障也不會(huì)影響數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)行，具備易部署、無(wú)風(fēng)險(xiǎn)的特點(diǎn)；但是，其部署的實(shí)現(xiàn)原理決定了網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)在針對(duì)加密協(xié)議時(shí)，只能實(shí)現(xiàn)到會(huì)話級(jí)別審計(jì)（即可以審計(jì)到時(shí)間、源IP、源端口、目的IP、目的端口等信息），而沒(méi)法對(duì)內(nèi)容進(jìn)行審計(jì)。不過(guò)在絕大多數(shù)業(yè)務(wù)環(huán)境下，因?yàn)閿?shù)據(jù)庫(kù)系統(tǒng)對(duì)業(yè)務(wù)性能的要求是遠(yuǎn)高于對(duì)數(shù)據(jù)傳輸加密的要求，很少有采用加密通訊方式訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)端口的情況，故網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)在實(shí)際的數(shù)據(jù)庫(kù)審計(jì)項(xiàng)目中應(yīng)用非常廣泛。

　　4.基于網(wǎng)關(guān)的審計(jì)技術(shù)：該技術(shù)是通過(guò)在數(shù)據(jù)庫(kù)系統(tǒng)前部署網(wǎng)關(guān)設(shè)備，通過(guò)在線截獲并轉(zhuǎn)發(fā)到數(shù)據(jù)庫(kù)的流量而實(shí)現(xiàn)審計(jì)，其典型部署示意圖如圖5所示：

　　

　　圖5 網(wǎng)關(guān)審計(jì)技術(shù)部署示意

　　該技術(shù)是起源于安全審計(jì)在互聯(lián)網(wǎng)審計(jì)中的應(yīng)用，在互聯(lián)網(wǎng)環(huán)境中，審計(jì)過(guò)程除了記錄以外，還需要關(guān)注控制，而網(wǎng)絡(luò)監(jiān)聽(tīng)方式無(wú)法實(shí)現(xiàn)很好的控制效果，故多數(shù)互聯(lián)網(wǎng)審計(jì)廠商選擇通過(guò)串行的方式來(lái)實(shí)現(xiàn)控制。在應(yīng)用過(guò)程中，這種技術(shù)實(shí)現(xiàn)方式開(kāi)始在數(shù)據(jù)庫(kù)環(huán)境中使用，不過(guò)由于數(shù)據(jù)庫(kù)環(huán)境存在流量大、業(yè)務(wù)連續(xù)性要求高、可靠性要求高的特點(diǎn)，與互聯(lián)網(wǎng)環(huán)境大相徑庭，故這種網(wǎng)關(guān)審計(jì)技術(shù)往往主要運(yùn)用在對(duì)數(shù)據(jù)庫(kù)運(yùn)維審計(jì)的情況下，不能完全覆蓋所有對(duì)數(shù)據(jù)庫(kù)訪問(wèn)行為的審計(jì)。

　　通過(guò)對(duì)以上四種技術(shù)的分析，在進(jìn)行數(shù)據(jù)庫(kù)審計(jì)技術(shù)方案的選擇時(shí)，我們遵循的根本原

　　則建議是：

　　1.業(yè)務(wù)保障原則：安全建設(shè)的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，必須保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。

　　2.結(jié)構(gòu)簡(jiǎn)化原則：安全建設(shè)的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加安全，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個(gè)安全防護(hù)體系的管理、執(zhí)行和維護(hù)。

　　3.生命周期原則：安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化；系統(tǒng)應(yīng)具備適度的靈活性和擴(kuò)展性。

　　根據(jù)通常情況下用戶業(yè)務(wù)系統(tǒng)7*24小時(shí)不間斷運(yùn)行的特點(diǎn)，從穩(wěn)定性、可靠性、可用

　　性等多方面進(jìn)行考慮，特別是技術(shù)方案的選擇不應(yīng)對(duì)現(xiàn)有系統(tǒng)造成影響，建議用戶朋友優(yōu)選采用網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的審計(jì)。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊