網(wǎng)絡(luò)監(jiān)聽是數(shù)據(jù)庫安全審計最佳手段
數(shù)據(jù)庫系統(tǒng)作為三大基礎(chǔ)軟件之一并不是在計算機誕生的時候就同時產(chǎn)生的,隨著信息技術(shù)的發(fā)展,傳統(tǒng)文件系統(tǒng)已經(jīng)不能滿足人們的需要,1961年,美國通用電氣公司成功開發(fā)了世界上第一個數(shù)據(jù)庫系統(tǒng)IDS(Integra
通過在數(shù)據(jù)庫系統(tǒng)上安裝相應的審計Agent,在Agent上實現(xiàn)審計策略的配置和日志的采集,常見的產(chǎn)品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產(chǎn)品,其典型部署示意圖如圖3所示:
圖3 代理審計技術(shù)部署示意
該技術(shù)與日志審計技術(shù)比較類似,最大的不同是需要在被審計主機上安裝代理程序。代理審計技術(shù)從審計粒度上要優(yōu)于日志審計技術(shù),但是性能上的損耗是要大于日志審計技術(shù),因為數(shù)據(jù)庫系統(tǒng)廠商未公開細節(jié),由數(shù)據(jù)庫廠商提供的代理審計類產(chǎn)品對自有數(shù)據(jù)庫系統(tǒng)的兼容性較好,但是在跨數(shù)據(jù)庫系統(tǒng)的支持上,比如要同時審計Oracle和DB2時,存在一定的兼容性風險。同時由于在引入代理審計后,原數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性、可靠性、性能或多或少都會有一些影響,實際的應用面較窄。
3.基于網(wǎng)絡(luò)監(jiān)聽的審計技術(shù):該技術(shù)是通過將對數(shù)據(jù)庫系統(tǒng)的訪問流鏡像到交換機某一個端口,然后通過專用硬件設(shè)備對該端口流量進行分析和還原,從而實現(xiàn)對數(shù)據(jù)庫訪問的審計。其典型部署示意圖如圖4所示:
圖4 網(wǎng)絡(luò)監(jiān)聽審計技術(shù)部署示意
該技術(shù)最大的優(yōu)點就是與現(xiàn)有數(shù)據(jù)庫系統(tǒng)無關(guān),部署過程不會給數(shù)據(jù)庫系統(tǒng)帶來性能上的負擔,即使是出現(xiàn)故障也不會影響數(shù)據(jù)庫系統(tǒng)的正常運行,具備易部署、無風險的特點;但是,其部署的實現(xiàn)原理決定了網(wǎng)絡(luò)監(jiān)聽技術(shù)在針對加密協(xié)議時,只能實現(xiàn)到會話級別審計(即可以審計到時間、源IP、源端口、目的IP、目的端口等信息),而沒法對內(nèi)容進行審計。不過在絕大多數(shù)業(yè)務(wù)環(huán)境下,因為數(shù)據(jù)庫系統(tǒng)對業(yè)務(wù)性能的要求是遠高于對數(shù)據(jù)傳輸加密的要求,很少有采用加密通訊方式訪問數(shù)據(jù)庫服務(wù)端口的情況,故網(wǎng)絡(luò)監(jiān)聽審計技術(shù)在實際的數(shù)據(jù)庫審計項目中應用非常廣泛。
4.基于網(wǎng)關(guān)的審計技術(shù):該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)前部署網(wǎng)關(guān)設(shè)備,通過在線截獲并轉(zhuǎn)發(fā)到數(shù)據(jù)庫的流量而實現(xiàn)審計,其典型部署示意圖如圖5所示:
圖5 網(wǎng)關(guān)審計技術(shù)部署示意
該技術(shù)是起源于安全審計在互聯(lián)網(wǎng)審計中的應用,在互聯(lián)網(wǎng)環(huán)境中,審計過程除了記錄以外,還需要關(guān)注控制,而網(wǎng)絡(luò)監(jiān)聽方式無法實現(xiàn)很好的控制效果,故多數(shù)互聯(lián)網(wǎng)審計廠商選擇通過串行的方式來實現(xiàn)控制。在應用過程中,這種技術(shù)實現(xiàn)方式開始在數(shù)據(jù)庫環(huán)境中使用,不過由于數(shù)據(jù)庫環(huán)境存在流量大、業(yè)務(wù)連續(xù)性要求高、可靠性要求高的特點,與互聯(lián)網(wǎng)環(huán)境大相徑庭,故這種網(wǎng)關(guān)審計技術(shù)往往主要運用在對數(shù)據(jù)庫運維審計的情況下,不能完全覆蓋所有對數(shù)據(jù)庫訪問行為的審計。
通過對以上四種技術(shù)的分析,在進行數(shù)據(jù)庫審計技術(shù)方案的選擇時,我們遵循的根本原
則建議是:
1.業(yè)務(wù)保障原則:安全建設(shè)的根本目標是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時,必須保障業(yè)務(wù)的正常運行和運行效率。
2.結(jié)構(gòu)簡化原則:安全建設(shè)的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加安全,簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個安全防護體系的管理、執(zhí)行和維護。
3.生命周期原則:安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計,還要考慮不斷的變化;系統(tǒng)應具備適度的靈活性和擴展性。
根據(jù)通常情況下用戶業(yè)務(wù)系統(tǒng)7*24小時不間斷運行的特點,從穩(wěn)定性、可靠性、可用
性等多方面進行考慮,特別是技術(shù)方案的選擇不應對現(xiàn)有系統(tǒng)造成影響,建議用戶朋友優(yōu)選采用網(wǎng)絡(luò)監(jiān)聽審計技術(shù)來實現(xiàn)對數(shù)據(jù)庫的審計。
圖3 代理審計技術(shù)部署示意
該技術(shù)與日志審計技術(shù)比較類似,最大的不同是需要在被審計主機上安裝代理程序。代理審計技術(shù)從審計粒度上要優(yōu)于日志審計技術(shù),但是性能上的損耗是要大于日志審計技術(shù),因為數(shù)據(jù)庫系統(tǒng)廠商未公開細節(jié),由數(shù)據(jù)庫廠商提供的代理審計類產(chǎn)品對自有數(shù)據(jù)庫系統(tǒng)的兼容性較好,但是在跨數(shù)據(jù)庫系統(tǒng)的支持上,比如要同時審計Oracle和DB2時,存在一定的兼容性風險。同時由于在引入代理審計后,原數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性、可靠性、性能或多或少都會有一些影響,實際的應用面較窄。
3.基于網(wǎng)絡(luò)監(jiān)聽的審計技術(shù):該技術(shù)是通過將對數(shù)據(jù)庫系統(tǒng)的訪問流鏡像到交換機某一個端口,然后通過專用硬件設(shè)備對該端口流量進行分析和還原,從而實現(xiàn)對數(shù)據(jù)庫訪問的審計。其典型部署示意圖如圖4所示:
圖4 網(wǎng)絡(luò)監(jiān)聽審計技術(shù)部署示意
該技術(shù)最大的優(yōu)點就是與現(xiàn)有數(shù)據(jù)庫系統(tǒng)無關(guān),部署過程不會給數(shù)據(jù)庫系統(tǒng)帶來性能上的負擔,即使是出現(xiàn)故障也不會影響數(shù)據(jù)庫系統(tǒng)的正常運行,具備易部署、無風險的特點;但是,其部署的實現(xiàn)原理決定了網(wǎng)絡(luò)監(jiān)聽技術(shù)在針對加密協(xié)議時,只能實現(xiàn)到會話級別審計(即可以審計到時間、源IP、源端口、目的IP、目的端口等信息),而沒法對內(nèi)容進行審計。不過在絕大多數(shù)業(yè)務(wù)環(huán)境下,因為數(shù)據(jù)庫系統(tǒng)對業(yè)務(wù)性能的要求是遠高于對數(shù)據(jù)傳輸加密的要求,很少有采用加密通訊方式訪問數(shù)據(jù)庫服務(wù)端口的情況,故網(wǎng)絡(luò)監(jiān)聽審計技術(shù)在實際的數(shù)據(jù)庫審計項目中應用非常廣泛。
4.基于網(wǎng)關(guān)的審計技術(shù):該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)前部署網(wǎng)關(guān)設(shè)備,通過在線截獲并轉(zhuǎn)發(fā)到數(shù)據(jù)庫的流量而實現(xiàn)審計,其典型部署示意圖如圖5所示:
圖5 網(wǎng)關(guān)審計技術(shù)部署示意
該技術(shù)是起源于安全審計在互聯(lián)網(wǎng)審計中的應用,在互聯(lián)網(wǎng)環(huán)境中,審計過程除了記錄以外,還需要關(guān)注控制,而網(wǎng)絡(luò)監(jiān)聽方式無法實現(xiàn)很好的控制效果,故多數(shù)互聯(lián)網(wǎng)審計廠商選擇通過串行的方式來實現(xiàn)控制。在應用過程中,這種技術(shù)實現(xiàn)方式開始在數(shù)據(jù)庫環(huán)境中使用,不過由于數(shù)據(jù)庫環(huán)境存在流量大、業(yè)務(wù)連續(xù)性要求高、可靠性要求高的特點,與互聯(lián)網(wǎng)環(huán)境大相徑庭,故這種網(wǎng)關(guān)審計技術(shù)往往主要運用在對數(shù)據(jù)庫運維審計的情況下,不能完全覆蓋所有對數(shù)據(jù)庫訪問行為的審計。
通過對以上四種技術(shù)的分析,在進行數(shù)據(jù)庫審計技術(shù)方案的選擇時,我們遵循的根本原
則建議是:
1.業(yè)務(wù)保障原則:安全建設(shè)的根本目標是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時,必須保障業(yè)務(wù)的正常運行和運行效率。
2.結(jié)構(gòu)簡化原則:安全建設(shè)的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加安全,簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個安全防護體系的管理、執(zhí)行和維護。
3.生命周期原則:安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計,還要考慮不斷的變化;系統(tǒng)應具備適度的靈活性和擴展性。
根據(jù)通常情況下用戶業(yè)務(wù)系統(tǒng)7*24小時不間斷運行的特點,從穩(wěn)定性、可靠性、可用
性等多方面進行考慮,特別是技術(shù)方案的選擇不應對現(xiàn)有系統(tǒng)造成影響,建議用戶朋友優(yōu)選采用網(wǎng)絡(luò)監(jiān)聽審計技術(shù)來實現(xiàn)對數(shù)據(jù)庫的審計。
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
