網絡監聽是數據庫安全審計最佳手段

2013-10-22 10:25:32 Net硅谷動力　點擊量：評論 (0)

數據庫系統作為三大基礎軟件之一并不是在計算機誕生的時候就同時產生的，隨著信息技術的發展，傳統文件系統已經不能滿足人們的需要，1961年，美國通用電氣公司成功開發了世界上第一個數據庫系統IDS（Integra

通過在數據庫系統上安裝相應的審計Agent，在Agent上實現審計策略的配置和日志的采集，常見的產品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產品，其典型部署示意圖如圖3所示：

　　

　　圖3 代理審計技術部署示意

　　該技術與日志審計技術比較類似，最大的不同是需要在被審計主機上安裝代理程序。代理審計技術從審計粒度上要優于日志審計技術，但是性能上的損耗是要大于日志審計技術，因為數據庫系統廠商未公開細節，由數據庫廠商提供的代理審計類產品對自有數據庫系統的兼容性較好，但是在跨數據庫系統的支持上，比如要同時審計Oracle和DB2時，存在一定的兼容性風險。同時由于在引入代理審計后，原數據庫系統的穩定性、可靠性、性能或多或少都會有一些影響，實際的應用面較窄。

　　3.基于網絡監聽的審計技術：該技術是通過將對數據庫系統的訪問流鏡像到交換機某一個端口，然后通過專用硬件設備對該端口流量進行分析和還原，從而實現對數據庫訪問的審計。其典型部署示意圖如圖4所示：

　　

　　圖4 網絡監聽審計技術部署示意
該技術最大的優點就是與現有數據庫系統無關，部署過程不會給數據庫系統帶來性能上的負擔，即使是出現故障也不會影響數據庫系統的正常運行，具備易部署、無風險的特點；但是，其部署的實現原理決定了網絡監聽技術在針對加密協議時，只能實現到會話級別審計（即可以審計到時間、源IP、源端口、目的IP、目的端口等信息），而沒法對內容進行審計。不過在絕大多數業務環境下，因為數據庫系統對業務性能的要求是遠高于對數據傳輸加密的要求，很少有采用加密通訊方式訪問數據庫服務端口的情況，故網絡監聽審計技術在實際的數據庫審計項目中應用非常廣泛。

　　4.基于網關的審計技術：該技術是通過在數據庫系統前部署網關設備，通過在線截獲并轉發到數據庫的流量而實現審計，其典型部署示意圖如圖5所示：

　　

　　圖5 網關審計技術部署示意

　　該技術是起源于安全審計在互聯網審計中的應用，在互聯網環境中，審計過程除了記錄以外，還需要關注控制，而網絡監聽方式無法實現很好的控制效果，故多數互聯網審計廠商選擇通過串行的方式來實現控制。在應用過程中，這種技術實現方式開始在數據庫環境中使用，不過由于數據庫環境存在流量大、業務連續性要求高、可靠性要求高的特點，與互聯網環境大相徑庭，故這種網關審計技術往往主要運用在對數據庫運維審計的情況下，不能完全覆蓋所有對數據庫訪問行為的審計。

　　通過對以上四種技術的分析，在進行數據庫審計技術方案的選擇時，我們遵循的根本原

　　則建議是：

　　1.業務保障原則：安全建設的根本目標是能夠更好的保障網絡上承載的業務。在保證安全的同時，必須保障業務的正常運行和運行效率。

　　2.結構簡化原則：安全建設的直接目的和效果是要將整個網絡變得更加安全，簡單的網絡結構便于整個安全防護體系的管理、執行和維護。

　　3.生命周期原則：安全建設不僅僅要考慮靜態設計，還要考慮不斷的變化；系統應具備適度的靈活性和擴展性。

　　根據通常情況下用戶業務系統7*24小時不間斷運行的特點，從穩定性、可靠性、可用

　　性等多方面進行考慮，特別是技術方案的選擇不應對現有系統造成影響，建議用戶朋友優選采用網絡監聽審計技術來實現對數據庫的審計。