數(shù)據(jù)是企業(yè)業(yè)務(wù)的根本��,數(shù)據(jù)庫是企業(yè)數(shù)據(jù)的載體,數(shù)據(jù)庫系統(tǒng)是企業(yè)信息系統(tǒng)的心臟�����,數(shù)字化社會(huì)的急速發(fā)展��,讓企業(yè)數(shù)據(jù)庫存儲(chǔ)信息的價(jià)值和可訪問性得到迅猛提升的同時(shí)�,卻也致使數(shù)據(jù)庫存儲(chǔ)的信息資產(chǎn)面臨著嚴(yán)峻挑戰(zhàn)。
2018年8月�����,華住集團(tuán)旗下所有酒店數(shù)據(jù)泄露�����,泄露的數(shù)據(jù)包含用戶注冊(cè)資料�����,入住登記信息��,開房記錄三類總共約5億條用戶信息�,售賣8比特幣。
2017年6月��,電商麗人麗妝員工利用管理員權(quán)限泄露消費(fèi)者信息1000多萬條���,獲利20多萬����。
數(shù)據(jù)庫是整個(gè)應(yīng)用系統(tǒng)的核心�����,有70%以上的泄密事件與數(shù)據(jù)庫相關(guān)����。數(shù)據(jù)庫安全面臨幾個(gè)主要的風(fēng)險(xiǎn):
-
系統(tǒng)管理員存在的誤操作�����、違規(guī)操作����、越權(quán)操作,損害業(yè)務(wù)系統(tǒng)安全運(yùn)行;
-
多人共用一個(gè)帳號(hào)�����,責(zé)任難以分清����;
-
第三方開發(fā)維護(hù)人員的誤操作,惡意操作和篡改�;
-
超級(jí)管理員權(quán)限過大,無法審計(jì)監(jiān)控�����;
-
網(wǎng)絡(luò)黑客:利用漏洞,竊取數(shù)據(jù)�����!黑客利用數(shù)據(jù)庫系統(tǒng)和WEB系統(tǒng)普遍存在代碼級(jí)以及邏輯設(shè)計(jì)上的缺陷�,即系統(tǒng)漏洞��。外部黑客可以利用這些漏洞發(fā)起攻擊�����,入侵?jǐn)?shù)據(jù)庫,達(dá)到竊取�����、篡改數(shù)據(jù)的目的���。
-
數(shù)據(jù)使用:內(nèi)部的工作人員����,由于工作便利�����,可能通過內(nèi)部網(wǎng)絡(luò)����,訪問到數(shù)據(jù)庫服務(wù)器。一旦進(jìn)入數(shù)據(jù)庫所在主機(jī)���,則可以拷貝�、盜取數(shù)據(jù)庫文件�����,通過解析工具或異地還原即可獲得所有用戶信息資料。
-
運(yùn)維場(chǎng)景:權(quán)限過高���,導(dǎo)致泄露���,系統(tǒng)維護(hù)人員負(fù)責(zé)數(shù)據(jù)庫的維護(hù)管理,直接掌握數(shù)據(jù)庫DBA用戶的口令���;這些人員被他人利用���,完全可以隨時(shí)登陸數(shù)據(jù)庫,任意進(jìn)行客戶信息的獲取�����。
數(shù)據(jù)庫系統(tǒng)是一個(gè)復(fù)雜而又關(guān)鍵的系統(tǒng)�,數(shù)據(jù)庫存在各種管理和技術(shù)上的風(fēng)險(xiǎn),如果這些風(fēng)險(xiǎn)變?yōu)槭聦?shí)����,那么企業(yè)數(shù)據(jù)將遭受嚴(yán)重的經(jīng)濟(jì)損失和法律風(fēng)險(xiǎn)。數(shù)據(jù)庫產(chǎn)生安全問題時(shí)���,具有非常強(qiáng)的隱蔽性�����,非常難以追查和定位����,因?yàn)闊o法查找問題發(fā)生的痕跡和證據(jù)�。因此,數(shù)據(jù)庫安全審計(jì)系統(tǒng)成為數(shù)據(jù)庫安全的重要組成部分�,它可以通過對(duì)數(shù)據(jù)庫操作的痕跡進(jìn)行詳細(xì)記錄和審計(jì),使數(shù)據(jù)的所有者對(duì)數(shù)據(jù)庫訪問活動(dòng)一目了然�����,有據(jù)可查��,及時(shí)掌握數(shù)據(jù)庫的使用情況��,并可以對(duì)安全隱患進(jìn)行調(diào)整和優(yōu)化������!罢l動(dòng)了我的數(shù)據(jù)庫”是現(xiàn)在的技術(shù)及管理手段需要回答的問題�����!雖然數(shù)據(jù)庫系統(tǒng)都擁有自身審計(jì)功能���,但卻存在一些不足。
開啟自身審計(jì)后影響應(yīng)用系統(tǒng)性能����,降低10%左右的性能����,影響到正常業(yè)務(wù)。
數(shù)據(jù)庫自身審計(jì)相當(dāng)于又當(dāng)運(yùn)動(dòng)員又當(dāng)裁判,不符合相關(guān)法規(guī)的合規(guī)要求�,也喪失了審計(jì)的中立性和獨(dú)立性原則。
自身審計(jì)采用明文存儲(chǔ)����,授權(quán)用戶可以隨意修改和刪除���。
在安全事故發(fā)生后��,查詢和分析極為困難�����,難以幫助管理員發(fā)現(xiàn)和定位問題�����。各種數(shù)據(jù)庫系統(tǒng)的審計(jì)信息格式復(fù)雜���,不統(tǒng)一,難以集中審計(jì)����,影響審計(jì)效果���。
為了減少或者解決數(shù)據(jù)庫安全問題,我們必須進(jìn)行有效干預(yù)���,比如采用一些數(shù)據(jù)庫安全技術(shù)去實(shí)現(xiàn)就是非常好的思路����。目前���,數(shù)據(jù)庫安全技術(shù)主要包括:數(shù)據(jù)庫漏洞掃描�、數(shù)據(jù)庫加密�����、數(shù)據(jù)庫防火墻�、數(shù)據(jù)脫敏、數(shù)據(jù)庫安全審計(jì)系統(tǒng)等���。其中���,數(shù)據(jù)庫安全審計(jì)系統(tǒng)是數(shù)據(jù)安全防線中不可缺少的技術(shù)手段。
傳統(tǒng)的數(shù)據(jù)庫審計(jì)產(chǎn)品的審計(jì)結(jié)果大多以數(shù)據(jù)庫為單位呈現(xiàn),也就是:某個(gè)數(shù)據(jù)庫被誰訪問�����,對(duì)數(shù)據(jù)庫進(jìn)行了哪些操作���,操作中存在哪些風(fēng)險(xiǎn)或者違規(guī)行為�����。數(shù)據(jù)安全治理理念,以應(yīng)用用戶為視角的誰訪問了哪些數(shù)據(jù)��,對(duì)這些數(shù)據(jù)進(jìn)行了哪些操作��,這些操作行為是否合規(guī)成為一個(gè)全新的數(shù)據(jù)庫審計(jì)視角�。基于這種以應(yīng)用發(fā)起者為出發(fā)點(diǎn)���,通過哪些應(yīng)用業(yè)務(wù)的請(qǐng)求����,最終訪問了哪些數(shù)據(jù)�,數(shù)據(jù)庫審計(jì)全新應(yīng)用關(guān)聯(lián)審計(jì)順勢(shì)而出。
應(yīng)用關(guān)聯(lián)審計(jì)
在新的應(yīng)用關(guān)聯(lián)審計(jì)視角下,構(gòu)建了4級(jí)應(yīng)用框架結(jié)構(gòu)�����,應(yīng)用請(qǐng)求-應(yīng)用模塊-應(yīng)用行為-應(yīng)用:
訪問源對(duì)某個(gè)指定的URL發(fā)起訪問請(qǐng)求的流水記錄��;
針對(duì)某類相同和相似的應(yīng)用請(qǐng)求��,去除參數(shù)化的URL模板(類似于SQL語句模板概念)�����;
多個(gè)應(yīng)用行為的組合����,歸屬于一組功能模塊的集合,對(duì)應(yīng)應(yīng)用服務(wù)器的功能菜單���;
以應(yīng)用服務(wù)器IP+應(yīng)用服務(wù)器端口+應(yīng)用工程名定義的一個(gè)應(yīng)用系統(tǒng)����。
危險(xiǎn)行為實(shí)時(shí)告警�,及時(shí)防范安全風(fēng)險(xiǎn)
能夠針對(duì)外部SQL注入、緩沖區(qū)溢出���、權(quán)限提升�����、拒絕服務(wù)攻擊��、內(nèi)部高危操作等危險(xiǎn)行為實(shí)時(shí)監(jiān)控告警���。幫助用戶及時(shí)采取安全手段���,防范安全風(fēng)險(xiǎn)。
滿足等�、分保合規(guī)���,確保檢查不扣分
對(duì)數(shù)據(jù)庫的登錄和操作行為建立和健全行為分析模型�����,提供風(fēng)險(xiǎn)預(yù)警�����,幫助客戶構(gòu)建數(shù)據(jù)安全管理規(guī)范和制度��;
滿足“網(wǎng)絡(luò)安全法”的要求����,為業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫存儲(chǔ)百億條的日志信息。
對(duì)于應(yīng)用系統(tǒng)訪問數(shù)據(jù)庫的行為實(shí)時(shí)監(jiān)控��,追溯訪問來源可定位終端的應(yīng)用用戶信息����。 從應(yīng)用系統(tǒng)的業(yè)務(wù)行為追溯數(shù)據(jù)庫風(fēng)險(xiǎn),關(guān)聯(lián)分析應(yīng)用操作行為(URL)和數(shù)據(jù)庫操作行為(SQL)����。
數(shù)據(jù)庫審計(jì)系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)庫訪問流量全捕獲�����,基于語義語法的精準(zhǔn)SQL語句解析能力����,具備100%應(yīng)用關(guān)聯(lián)技術(shù),準(zhǔn)確審計(jì)訪問來源�����。實(shí)現(xiàn)100%無漏審,零誤報(bào)���。
界面簡(jiǎn)單�����,業(yè)務(wù)化語言呈現(xiàn)
數(shù)據(jù)庫安全審計(jì)產(chǎn)品界面簡(jiǎn)單易用����、操作方便����。提供SQL語句翻譯能力,幫助非技術(shù)人員快速了解數(shù)據(jù)庫訪問情況���。免實(shí)施、免培訓(xùn)��,可快速掌握上手的數(shù)據(jù)庫審計(jì)產(chǎn)品���。
數(shù)據(jù)庫安全審計(jì)系統(tǒng)支持國際主流數(shù)據(jù)庫:Oracle���、SQL Server�����、MySQL��、MariaDB����、DB2���、PostgreSQL��、Sybase��、Informix�����、CacheDB����、GP��、SAP HANA���、Teradata等��;支持國產(chǎn)數(shù)據(jù)庫:SgrDB��、DM�、GBase、KingBase��、Oscar等�;非關(guān)系型數(shù)據(jù)庫:支持MongoDB、Redis等數(shù)據(jù)庫�;支持Hive、HBase�����、Impala�����、Sentry��、HDFS�、ES等大數(shù)據(jù)組件�。
全面的審計(jì)元素保證數(shù)據(jù)庫審計(jì)結(jié)果的全面性
數(shù)據(jù)庫審計(jì)產(chǎn)品的審計(jì)元素包括:表�、函數(shù)��、包����、存儲(chǔ)過程、視圖�、數(shù)據(jù)庫登陸用戶、客戶端ip�、端口、MAC�����、客戶端操作系統(tǒng)�����、用戶名��、客戶端工具���、影響行數(shù)�、結(jié)果集、執(zhí)行時(shí)間�、操作類型、長(zhǎng)語句���、大對(duì)象���、mysql壓縮協(xié)議、dblink�、imp、exp��、prepare參數(shù)等���,這些全面的審計(jì)元素實(shí)現(xiàn)了數(shù)據(jù)庫審計(jì)產(chǎn)品審計(jì)結(jié)果的全面性�����。
精確SQL語句解析保證數(shù)據(jù)庫審計(jì)結(jié)果的準(zhǔn)確性
數(shù)據(jù)庫審計(jì)產(chǎn)品基于精確的數(shù)據(jù)庫通訊協(xié)議解析���,采用句柄追蹤\參數(shù)綁定追蹤和基于詞法和語法的SQL解析技術(shù),可以實(shí)現(xiàn)在長(zhǎng)SQL語句�、高并發(fā)訪問量時(shí)不丟包;在多SQL語句情況下�����,準(zhǔn)確記錄數(shù)據(jù)庫語句是否執(zhí)行成功�����;對(duì)于prepare語句���,準(zhǔn)確將參數(shù)值與原始語句和綁定變量關(guān)聯(lián)�;對(duì)SQL執(zhí)行結(jié)果集進(jìn)行準(zhǔn)確追蹤���,從而準(zhǔn)確記錄SQL語句的影響行數(shù)�����。
應(yīng)用審計(jì)視角下的4層應(yīng)用框架結(jié)構(gòu)保障應(yīng)用關(guān)聯(lián)審計(jì)的準(zhǔn)確性
數(shù)據(jù)庫審計(jì)產(chǎn)品在新的應(yīng)用關(guān)聯(lián)審計(jì)視角下��,構(gòu)建了4級(jí)應(yīng)用框架結(jié)構(gòu)����,應(yīng)用請(qǐng)求-應(yīng)用模塊-應(yīng)用行為-應(yīng)用�����。
完整的風(fēng)險(xiǎn)匹配規(guī)則與多樣化的告警方式實(shí)現(xiàn)全面風(fēng)險(xiǎn)發(fā)現(xiàn)與及時(shí)告警
基于橫向的黑白名單匹配規(guī)則以及黑白名單SQL語句,以及縱向的高中低等風(fēng)險(xiǎn)等級(jí)設(shè)置����,實(shí)現(xiàn)準(zhǔn)確的數(shù)據(jù)庫訪問風(fēng)險(xiǎn)行為匹配。snmp��、syslog����、短信、郵件等多樣性的告警方式�,保證數(shù)據(jù)庫風(fēng)險(xiǎn)行為的實(shí)時(shí)告警。
數(shù)據(jù)庫安全審計(jì)產(chǎn)品��,不僅在等保2.0合規(guī)強(qiáng)制要求中有體現(xiàn)�,還是數(shù)據(jù)庫遭受安全風(fēng)險(xiǎn)及數(shù)據(jù)泄露的事后查證手段,更是數(shù)據(jù)生命全周期安全保障中的重要技術(shù)措施����。在大力發(fā)展數(shù)字經(jīng)濟(jì)的當(dāng)下,依法保障數(shù)據(jù)安全性����,已經(jīng)是數(shù)字經(jīng)濟(jì)時(shí)代不可或缺的重要環(huán)節(jié)。