數據庫審計系統：用戶自己的福爾摩斯

2013-10-29 10:20:54 eNet硅谷動力　點擊量：評論 (0)

　　叮鈴鈴、叮鈴鈴……，這大早上的，誰呀？，周一的早上，信息處安全室的廖明前腳剛跨進辦公室，桌上的電話鈴聲就急促的響了起來。小廖嘴里嘟囔著，邊放下雙肩包和手上的三明治，邊拿起話筒，還沒等小廖發問，

　　“叮鈴鈴、叮鈴鈴……”，“這大早上的，誰呀？”，周一的早上，信息處安全室的廖明前腳剛跨進辦公室，桌上的電話鈴聲就急促的響了起來。小廖嘴里嘟囔著，邊放下雙肩包和手上的三明治，邊拿起話筒，還沒等小廖發問，電話那頭一個嚴厲的聲音將廖明的神經繃成了180度，“這個月有筆已報銷的財務報銷單的狀態被修改成了未報銷，你馬上過來一下”，是張處長，隨之電話掛斷了。

　　張處長的話語少見的嚴厲，緊張的廖明邊走邊琢磨，改了狀態？看起來不是個小事。當廖明進到處長辦公室的時候，驚訝的發現信息處網絡管理員李敏、財務部王霞、信息處數據庫管理員魏強幾名主管正圍坐在一起。張處長見廖明進來了，指了指旁邊的椅子，示意廖明坐下。但廖明在路上已經想好了辦法，準備先顯示一下自己的專業性，所以沒等別人說話，馬上搶著說：“各位，我馬上去數據庫審計系統里查找證據，各位不要著急。”說完看了下處長，意思是領導您看呢？張處長猶豫了一下，說道：“小廖，這個事情很嚴重。這筆報銷單的金額較大，背后可能隱含未知的經濟利益方面的安全事件，剛剛魏強在數據庫服務器上沒有查到任何線索，我們現在把希望都放在了你這，希望能夠通過數據庫審計系統找出相關人員和證據。”

　　“小廖，我也查了一早上，就是在數據庫審計系統里面查的，沒有查到有價值的信息，只查到了修改這個報銷單狀態的數據庫語句，但操作者是報銷系統和數據庫之間交互的一個公共賬戶，沒有實際價值，背后的操作者應該是通過某種手段進入了報銷系統，然后通過報銷系統進行的修改，在我的數據庫審計系統里面查詢不到這個背后的操作者”，數據庫管理員魏強此時接著說了一句。由于公司需要，廖明所在的公司引進了兩套異構的數據庫審計系統，一套是某公司的，另一套是啟明星辰公司提供的。魏強和廖明都是審計管理員，魏強是某公司數據庫審計系統的管理員，也負責審計工作。廖明是啟明星辰天玥數據庫審計系統的審計管理員，系統管理員由其他管理人員負責，廖明只負責審計。

　　“這樣的話，是要好好分析一下了。”廖明聽完，覺得這件事情不是簡單的一件對數據庫進行修改的事件，腦海里隨之想起來啟明星辰數據庫安全專家在培訓時講到的“業務系統對數據庫的訪問，目前應用最為廣泛，也是大量數據庫操作的來源。一般來說，雖然用戶采用不同的賬戶訪問Web中間件，但是中間件對數據庫的操作卻是通過某一內置的固定賬號進行的，如果單純審計Web中間件對數據庫的操作，就無法將數據庫行為對應到具體業務用戶，單純審計業務用戶對中間件的操作，又無法得知這些操作帶來的數據庫改變。目前業內的數據庫安全審計產品審計到的絕大部分是Web中間件去調用數據庫產生的數據庫事件，無法審計到隱藏在Web中間件背后的真正操作者。啟明星辰天玥數據庫審計產品采用獨有的專利技術--CN101388899 一種Web服務器前后臺關聯審計方法及系統，通過前后臺關聯，完美的解決了這一難題，實現了數據庫操作（SQL）至具體用戶（HTTP-USER、HTTP-URL、HTTP-IP）的100%精確的關聯，并且是實時的關聯，不需手工二次操作，直接在SQL事件中體現。該項功能是啟明星辰數據庫審計產品區別于其它同類產品功能的特色之處。”

　　“好的，我馬上就查，大家跟我來。”說完廖明帶領著大家來到工位，打開啟明星辰天玥數據庫審計系統的審計查詢界面，通過數據庫管理員魏強提供的數據庫表結構信息和財務部王霞提供的關于報銷單的單據信息，開始在啟明星辰天玥數據庫審計系統里面尋找證據。

　　功夫不負有心人，廖明通過啟明星辰天玥數據庫審計產品提供的業務關聯審計功能，成功的將幕后的操作者在報銷系統中的修改證據查找了出來，其所用報銷系統的賬號是“xugou”，其在報銷系統中體現的客戶端IP是“192.168.57.8”，時間是“XXXX/XX/XX 02:18:27”，其修改報銷單狀態的URL部分內容是Http://192.168.0.27/baoxiaodan-modify.do? 1' or （update baoxiao set state=false where user='xugou'） <Http://192.168.0.27/baoxiaodan-modify.do?%201'%20or%20（update%20baoxiao%20set%20state=false%20where%20user='xugou'）name=xugou&state=fals>?????????

　　小廖把此條信息從啟明星辰數據庫審計系統中導出來后，打印出來擺在了大家面前。網絡管理員李敏拿起來看了看，思索了一下，然后肯定的說：“嗯，這個xugou應該是在凌晨2點多鐘，從某個地方登錄了我們公司的VPN，看，這個客戶端IP是公司VPN的IP，然后使用VPN的跳轉功能登錄到報銷系統中，并在瀏覽器中直接輸入了這個修改報銷單狀態的URL，這不僅導致在報銷系統中沒有留下證據，在某公司的數據庫審計系統中也沒有留下證據。但天網恢恢疏而不漏，他沒想到啟明星辰的數據庫審計系統把他的作案過程完整的記錄了下來，嗯，真是好樣的。”李敏拍了拍廖明的肩膀，然后對信息處張處長說：“處長，剩下的事情就交給我吧。”

　　張處長用贊許的眼神看了看廖明，然后對李敏說到：“好，希望你能再接再厲，把元兇緝拿到案。”

　　事情到此，廖明終于算松了一口氣。看來，當初力排眾議，堅決選用啟明星辰的天玥數據庫審計系統進行異構，是非常明智和正確的選擇。