数据库审计是对数据库访问行为进行监管的系统,一般采用旁路部署的方式,通过镜像或探针的方式采集所有数据库的访问流量,并基于SQL语法、语义的解析技术,记录下数据库的所有访问和 *** 作行为,例如访问数据的用户(IP、账号、时间), *** 作(增、删、改、查)、对象(表、字段)等。
数据库审计系统的主要价值有两点,
一是:在发生数据库安全事件(例如数据篡改、泄露)后为事件的追责定责提供依据;
二是,针对数据库 *** 作的风险行为进行时时告警。
数据库审计的功能:
1、数据库相关安全事件的追溯与定责
数据库审计的核心价值是在发生数据库安全事件后,为追责、定责提供依据,与此同时也可以对数据库的攻击和非法 *** 作等行为起到震慑的作用。数据库自身携带的审计功能,不仅会拖慢数据库的性能,同时也有其自身的弊端,比如高权限用户可以删除审计日志,日志查看需要专业知识,日志分析复杂度高等。独立的数据库审计产品,可以有效避免以上弊端。三权分立原则可以避免针对审计日志的删除和篡改,SQL语句解析技术,可以将审计结果翻译成通俗易懂的业务化语言,使得一般的业务人员和管理者也能看懂。
2、数据库风险行为发现与告警
数据库审计系统还可以对于针对数据库的攻击和风险 *** 作等进行实时告警,以便管理人员及时作出应对措施,从而避免数据被破坏或者窃取。这一功能的实现主要基于sql的语句准确解析技术,利用对SQL语句的特征分析,快速实现对语句的策略判定,从而发现数据库入侵行为、数据库异常行为、数据库违规访问行为,并通过短信、邮件、Syslog等多种方式实时告警。
3、满足合规需求
满足国家《网络安全法》、等保规定以及各行业规定中对于数据库审计的合规性需求。并可根据需求形成不同的审计报表,例如:综合报表、合规性报表、专项报表、自定义报表等。
数据库审计怎么审
1、数据库访问流量采集
流量采集是数据库审计系统的基础,只有做到数据库访问流量的全采集,才能保证数据库审计的可用性和价值,目前主要的流量采集方式主要有两种:
镜像方式:采用旁路部署通过镜像方式获取数据库的所有访问流量。一般适用于传统IT架构,通过镜像方式将所有访问数据库的流量转发到数据库审计系统,来实现数据库访问流量的获取。
探针方式:为了适应“云环境”“虚拟化”及“一体机”数据库审计需求,基于“探针”方式捕获数据库访问流量。适用于复杂的网络环境,在应用端或数据库服务器部署Rmagent组件(产品提供),通过虚拟环境分配的审计管理网口进行数据传输,完成数据库流量采集。
探针式数据采集,还可以进行数据库本地行为审计,包括数据库和应用系统同机审计和远程登录后的客户端行为。
2、语法、语义解析
SQL语法、语义的解析技术,是实现数据库审计系统可用、易用的必要条件。准确的数据库协议解析,能够保障数据库审计的全面性与易用性。全面的审计结果应该包括:访问数据库的应用层信息、客户端信息、数据库信息、对象信息、响应信息、登录时间、 *** 作时间、SQL响应时长等;高易用性的数据库审计产品的审计结果和报告,应该能够使用业务化的语言呈现出对数据库的访问行为,例如将数据库中的要素客户端IP、数据库用户、SQL *** 作类型、数据库表名称、列名称、过滤条件变成业务人员熟悉的要素:办公地点、工作人员名称、业务 *** 作、业务对象、业务元素、某种类别的业务信息。这样的是审计结果呈现即便是非专业的DBA或运维人员的管理者或业务人员也能够看懂。(一)数据库内置的审计功能
此审计系统使用数据库本身的内置审计功能来审计绝大多数数据库 *** 作。但是,审计的细粒度级别非常低,并且很难恢复SQL *** 作本身。例如,对于数据删除 *** 作:从 EMP 中删除,其中 DEPTNO=10;假设表 EMP 中有 100 条记录满足条件 DEPTNO=10,则数据库审计系统中将有 100 个 DELETE *** 作,而不是真正的 SQL 语句:从 EMP 中删除,其中 DEPTNO=10。并且大多数现有数据库无法准确审计 DDL 语句,例如:ALTER TABLE XXX ADD (col单个数据库产品可以审计 DDL 语句,但这是通过创建数据库级触发器来完成的。
总之,这种基于数据库产品本身审计功能的审计系统的审计粒度和准确性是有限的。而且由于数据库产品本身的审计功能是基于数据库引擎的,所以消耗了生产数据库系统本身的资源。如果开启所有会话的所有数据库 *** 作审计,生产数据库系统的CPU资源将消耗15%~30%。因此,如果使用这样的数据库审计系统,通常只是有目的地审计单个数据或 *** 作,而不审计整个业务数据库中的所有 *** 作。
(二)外置旁路模式的数据库审计系统
外部审计模式的数据库审计系统是独立于生产数据库的系统,其工作原理是通过网络审计模式监听并收集所有客户端发往生产数据库的网络报文,然后在审计系统内部解包这些网络报文并恢复 *** 作命令(即 SQL 语句)里面。SQL语句捕获后,存储在数据库审计系统中,然后根据用户设置的条件生成告警或报告。与基于数据库产品的审计功能相比,外部审计模式下的数据库审计系统具有以下优点:不占用生产系统的任何系统资源,由于它基于网络审计模式,所有审计 *** 作都在审计系统上进行,因此不会占用生产数据库系统的系统资源;它可以准确地恢复SQL语句,因为所有从客户端发送到数据库服务器的SQL语句都是通过TCP/IP网络发送的,如果按照相应的数据库产品网络数据包格式对这些TCP/IP网络数据包进行捕获和解析,原则上可以得到所有的SQL语句代码。因此,网络审计模式下的数据库审计产品不仅可以审计DML *** 作,还可以审计数据查询 *** 作和DDL *** 作。具有良好的用户界面,可根据用户需求自定义报警条件,可以通过黑白名单减少每日报警次数。
目前,医院信息系统中的数据库审计产品大多采用这种网络审计模式。但需要注意的是,如果用户直接登录数据库系统所在的 *** 作系统,或者直接在数据库系统主机的控制台上执行数据库 *** 作,则不会生成数据库网络数据包,这种网络审计模式下的数据库审计系统无法审计这些数据库 *** 作。因此,如果要对生产数据库进行全面的审计,不仅要部署网络审计模式的审计系统,还要结合堡垒主机系统和桌面管理系统。
关注威翰德科技公众号解锁更多回答现在很重要了,因为很多合规性要求之外,各企业自身也越来越看重数据安全,像《网络安全法》第四十条规定网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。第四十一条规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。数据库审计就成为刚需。
推荐你了解下安华金和的数据库审计产品,在业界做的很不错,目前支持数据库类型最全。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)