網(wǎng)絡(luò)監(jiān)聽是數(shù)據(jù)庫安全審計最佳手段

2013-10-22 10:25:32 Net硅谷動力　點擊量：評論 (0)

數(shù)據(jù)庫系統(tǒng)作為三大基礎(chǔ)軟件之一并不是在計算機誕生的時候就同時產(chǎn)生的，隨著信息技術(shù)的發(fā)展，傳統(tǒng)文件系統(tǒng)已經(jīng)不能滿足人們的需要，1961年，美國通用電氣公司成功開發(fā)了世界上第一個數(shù)據(jù)庫系統(tǒng)IDS（Integra

通過在數(shù)據(jù)庫系統(tǒng)上安裝相應(yīng)的審計Agent，在Agent上實現(xiàn)審計策略的配置和日志的采集，常見的產(chǎn)品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產(chǎn)品，其典型部署示意圖如圖3所示：

　　

網(wǎng)絡(luò)監(jiān)聽是數(shù)據(jù)庫安全審計最佳手段

　　圖3 代理審計技術(shù)部署示意

　　該技術(shù)與日志審計技術(shù)比較類似，最大的不同是需要在被審計主機上安裝代理程序。代理審計技術(shù)從審計粒度上要優(yōu)于日志審計技術(shù)，但是性能上的損耗是要大于日志審計技術(shù)，因為數(shù)據(jù)庫系統(tǒng)廠商未公開細(xì)節(jié)，由數(shù)據(jù)庫廠商提供的代理審計類產(chǎn)品對自有數(shù)據(jù)庫系統(tǒng)的兼容性較好，但是在跨數(shù)據(jù)庫系統(tǒng)的支持上，比如要同時審計Oracle和DB2時，存在一定的兼容性風(fēng)險。同時由于在引入代理審計后，原數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性、可靠性、性能或多或少都會有一些影響，實際的應(yīng)用面較窄。

　　3.基于網(wǎng)絡(luò)監(jiān)聽的審計技術(shù)：該技術(shù)是通過將對數(shù)據(jù)庫系統(tǒng)的訪問流鏡像到交換機某一個端口，然后通過專用硬件設(shè)備對該端口流量進(jìn)行分析和還原，從而實現(xiàn)對數(shù)據(jù)庫訪問的審計。其典型部署示意圖如圖4所示：

　　

　　圖4 網(wǎng)絡(luò)監(jiān)聽審計技術(shù)部署示意
該技術(shù)最大的優(yōu)點就是與現(xiàn)有數(shù)據(jù)庫系統(tǒng)無關(guān)，部署過程不會給數(shù)據(jù)庫系統(tǒng)帶來性能上的負(fù)擔(dān)，即使是出現(xiàn)故障也不會影響數(shù)據(jù)庫系統(tǒng)的正常運行，具備易部署、無風(fēng)險的特點；但是，其部署的實現(xiàn)原理決定了網(wǎng)絡(luò)監(jiān)聽技術(shù)在針對加密協(xié)議時，只能實現(xiàn)到會話級別審計（即可以審計到時間、源IP、源端口、目的IP、目的端口等信息），而沒法對內(nèi)容進(jìn)行審計。不過在絕大多數(shù)業(yè)務(wù)環(huán)境下，因為數(shù)據(jù)庫系統(tǒng)對業(yè)務(wù)性能的要求是遠(yuǎn)高于對數(shù)據(jù)傳輸加密的要求，很少有采用加密通訊方式訪問數(shù)據(jù)庫服務(wù)端口的情況，故網(wǎng)絡(luò)監(jiān)聽審計技術(shù)在實際的數(shù)據(jù)庫審計項目中應(yīng)用非常廣泛。

　　4.基于網(wǎng)關(guān)的審計技術(shù)：該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)前部署網(wǎng)關(guān)設(shè)備，通過在線截獲并轉(zhuǎn)發(fā)到數(shù)據(jù)庫的流量而實現(xiàn)審計，其典型部署示意圖如圖5所示：

　　

　　圖5 網(wǎng)關(guān)審計技術(shù)部署示意

　　該技術(shù)是起源于安全審計在互聯(lián)網(wǎng)審計中的應(yīng)用，在互聯(lián)網(wǎng)環(huán)境中，審計過程除了記錄以外，還需要關(guān)注控制，而網(wǎng)絡(luò)監(jiān)聽方式無法實現(xiàn)很好的控制效果，故多數(shù)互聯(lián)網(wǎng)審計廠商選擇通過串行的方式來實現(xiàn)控制。在應(yīng)用過程中，這種技術(shù)實現(xiàn)方式開始在數(shù)據(jù)庫環(huán)境中使用，不過由于數(shù)據(jù)庫環(huán)境存在流量大、業(yè)務(wù)連續(xù)性要求高、可靠性要求高的特點，與互聯(lián)網(wǎng)環(huán)境大相徑庭，故這種網(wǎng)關(guān)審計技術(shù)往往主要運用在對數(shù)據(jù)庫運維審計的情況下，不能完全覆蓋所有對數(shù)據(jù)庫訪問行為的審計。

　　通過對以上四種技術(shù)的分析，在進(jìn)行數(shù)據(jù)庫審計技術(shù)方案的選擇時，我們遵循的根本原

　　則建議是：

　　1.業(yè)務(wù)保障原則：安全建設(shè)的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時，必須保障業(yè)務(wù)的正常運行和運行效率。

　　2.結(jié)構(gòu)簡化原則：安全建設(shè)的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加安全，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個安全防護(hù)體系的管理、執(zhí)行和維護(hù)。

　　3.生命周期原則：安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計，還要考慮不斷的變化；系統(tǒng)應(yīng)具備適度的靈活性和擴展性。

　　根據(jù)通常情況下用戶業(yè)務(wù)系統(tǒng)7*24小時不間斷運行的特點，從穩(wěn)定性、可靠性、可用

　　性等多方面進(jìn)行考慮，特別是技術(shù)方案的選擇不應(yīng)對現(xiàn)有系統(tǒng)造成影響，建議用戶朋友優(yōu)選采用網(wǎng)絡(luò)監(jiān)聽審計技術(shù)來實現(xiàn)對數(shù)據(jù)庫的審計。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊