为什么要运维审计?运维审计的作用是什么?

为什么要运维审计?运维审计的作用是什么?,第1张

运维管理审计系统涵盖多种运维协议(RDP、SSH、TELNET、FTP、SCP等)并提供 *** 作回放检索、输入记录、标题抓取等功能,从明确人、主机、帐户各个角度,提供丰富的统计分析,帮助用户及时发现安全隐患,协助优化网络资源的使用。它能够对运维人员的访问过程进行细粒度的授权、全过程的 *** 作记录及控制、全方位的 *** 作审计、并支持事后 *** 作过程回放功能,实现运维过程的“事前预防、事中控制、事后审计”,在简化运维 *** 作的同时,全面解决各种复杂环境下的运维安全问题,提升企业IT 运维管理水平。
现在主流的堡垒机就是碉堡堡垒机,碉堡不同于传统的硬件堡垒机,是软件形态的,可以部署于任意服务器设备上。碉堡提供了远程运维管理所需要的集中身份认证、集中访问授权、集中访问管理、集中 *** 作审计,以及简化 *** 作和管理的单点登陆功能。

数据库审计系统:
数据库审计是对数据库访问行为进行监管的系统,一般采用旁路部署的方式,通过镜像或探针的方式采集所有数据库的访问流量,并基于SQL语法、语义的解析技术,记录下数据库的所有访问和 *** 作行为,例如访问数据的用户(IP、账号、时间), *** 作(增、删、改、查)、对象(表、字段)等。
数据库审计系统的主要价值有两点,
一是:在发生数据库安全事件(例如数据篡改、泄露)后为事件的追责定责提供依据;
二是,针对数据库 *** 作的风险行为进行时时告警。
数据库审计的功能:
1、数据库相关安全事件的追溯与定责
数据库审计的核心价值是在发生数据库安全事件后,为追责、定责提供依据,与此同时也可以对数据库的攻击和非法 *** 作等行为起到震慑的作用。数据库自身携带的审计功能,不仅会拖慢数据库的性能,同时也有其自身的弊端,比如高权限用户可以删除审计日志,日志查看需要专业知识,日志分析复杂度高等。独立的数据库审计产品,可以有效避免以上弊端。三权分立原则可以避免针对审计日志的删除和篡改,SQL语句解析技术,可以将审计结果翻译成通俗易懂的业务化语言,使得一般的业务人员和管理者也能看懂。
2、数据库风险行为发现与告警
数据库审计系统还可以对于针对数据库的攻击和风险 *** 作等进行实时告警,以便管理人员及时作出应对措施,从而避免数据被破坏或者窃取。这一功能的实现主要基于sql的语句准确解析技术,利用对SQL语句的特征分析,快速实现对语句的策略判定,从而发现数据库入侵行为、数据库异常行为、数据库违规访问行为,并通过短信、邮件、Syslog等多种方式实时告警。
3、满足合规需求
满足国家《网络安全法》、等保规定以及各行业规定中对于数据库审计的合规性需求。并可根据需求形成不同的审计报表,例如:综合报表、合规性报表、专项报表、自定义报表等。
数据库审计怎么审
1、数据库访问流量采集
流量采集是数据库审计系统的基础,只有做到数据库访问流量的全采集,才能保证数据库审计的可用性和价值,目前主要的流量采集方式主要有两种:
镜像方式:采用旁路部署通过镜像方式获取数据库的所有访问流量。一般适用于传统IT架构,通过镜像方式将所有访问数据库的流量转发到数据库审计系统,来实现数据库访问流量的获取。
探针方式:为了适应“云环境”“虚拟化”及“一体机”数据库审计需求,基于“探针”方式捕获数据库访问流量。适用于复杂的网络环境,在应用端或数据库服务器部署Rmagent组件(产品提供),通过虚拟环境分配的审计管理网口进行数据传输,完成数据库流量采集。
探针式数据采集,还可以进行数据库本地行为审计,包括数据库和应用系统同机审计和远程登录后的客户端行为。
2、语法、语义解析
SQL语法、语义的解析技术,是实现数据库审计系统可用、易用的必要条件。准确的数据库协议解析,能够保障数据库审计的全面性与易用性。全面的审计结果应该包括:访问数据库的应用层信息、客户端信息、数据库信息、对象信息、响应信息、登录时间、 *** 作时间、SQL响应时长等;高易用性的数据库审计产品的审计结果和报告,应该能够使用业务化的语言呈现出对数据库的访问行为,例如将数据库中的要素客户端IP、数据库用户、SQL *** 作类型、数据库表名称、列名称、过滤条件变成业务人员熟悉的要素:办公地点、工作人员名称、业务 *** 作、业务对象、业务元素、某种类别的业务信息。这样的是审计结果呈现即便是非专业的DBA或运维人员的管理者或业务人员也能够看懂。

安华金和官网上看的一篇文章,希望对你有帮助。随着数据价值的不断提升,从政策到用户对于数据安全重视程度越来越高,数据库审计产品作为一款部署简单,不用对现有IT架构进行任何改变,又能够满足政策合规需求的产品,希望对在数据库审计产品的选型过程中对您有所帮助。
一、数据库审计产品选型的10大基本能力
如果要满足用户使用数据库审计产品的基本需求,必须满足以下条件:
1、审计记录全和准:保证审计的准确性、全面性、无漏审,实现数据库访问流量的全捕获;
2、高效入库:审计结果快速入库,要在高访问量压力下,审计结果入库无延迟、无丢包;
3、准确的关联审计:高并发情况下,能够审计到数据库 *** 作的应用用户;
4、高效分析:要能够对审计记录进行快速分析与检索,至少实现千万乃至亿级数据秒级响应;
5、高易用性:要符合用户的使用习惯,保障产品的易用性;
6、加密协议解析:随着通讯加密的普及,数据库审计产品必须要能够解析加密的数据库访问流量;
7、数据库入侵行为监测:数据价值的提升,造成了数据库攻击行为更加普遍,审计产品应提供针对数据库漏洞攻击的“检测”功能,并对这些漏洞攻击实时监控、有效记录,发现风险后及时告警,且能够有效追溯风险来源;
8、数据库异常行为监测:数据库访问行为异常时,系统可提供实时的告警能力,降低数据泄露的损失;
9、数据库违规行为监测:数据库审计产品还应具备针对数据库的违规访问、登录等行为检测告警的能力;
10、报表展现:数据库审计产品应具备将审计日志进行数据化分析并以个性化报表展示的能力,以便帮助安全管理人员更加便捷、深入的剖析数据库运行风险。例如:综合报表、合规性报表、专项报表、自定义报表等。
二、做标王,数据库审计还需要哪些更过硬实力
在具备了数据库审计产品的基本功能之外,一款好的数据库审计产品还应能够做到以下四点:
1、全面的审计元素:包括,表、函数、包、存储过程、视图、数据库登陆用户、客户端ip、端口、MAC、客户端 *** 作系统、用户名、客户端工具、影响行数、结果集、执行时间、 *** 作类型、长语句、大对象、mysql压缩协议、dblink、imp、exp、prepare参数等,这样才能保证审计结果的全面性;
2、精确SQL语句解析:采用句柄追踪\参数绑定追踪和基于词法和语法的精确SQL解析技术,可以实现在长SQL语句、高并发访问量时不丢包;在多SQL语句情况下,准确记录数据库语句是否执行成功;对于prepare语句,准确将参数值与原始语句和绑定变量关联;对SQL执行结果集进行准确追踪,从而准确记录SQL语句的影响行数,从而保证数据库审计结果的准确性;
3、应用审计视角下的4层应用框架结构:具备4级应用框架结构——应用请求、应用行为、应用模块、应用:
应用请求:访问源对某个指定的URL发起访问请求的流水记录;
应用行为:针对某类相同和相似的应用请求,去除参数化的URL模板(类似于SQL语句模板概念);
应用模块:多个应用行为的组合,归属于一组功能模块的集合,对应应用服务器的功能菜单;
应用:以应用服务器IP+应用服务器端口+应用工程名定义的一个应用系统。
这种4级应用框架结构,可以有效保证数据库审计产品的应用关联准确性,从而提供完整的基于应用访问视角的综合性统计数据呈现和正向追溯能力,以及多角度的审计结果分析能力。
4、完整的风险匹配规则与多样化的告警方式:基于横向的黑白名单匹配规则以及黑白名单SQL语句,以及纵向的高中低等风险等级设置,实现准确的数据库访问风险行为匹配。snmp、syslog、短信、邮件等多样性的告警方式,保证数据库风险行为的实时告警,从而实现全面风险发现与及时告警。
这是我在安华金和官网上看到的一篇文章,觉得不错,推荐给你,他们家就有数据库审计产品,不明白的也可以再百度下。

(一)数据库内置的审计功能
此审计系统使用数据库本身的内置审计功能来审计绝大多数数据库 *** 作。但是,审计的细粒度级别非常低,并且很难恢复SQL *** 作本身。例如,对于数据删除 *** 作:从 EMP 中删除,其中 DEPTNO=10;假设表 EMP 中有 100 条记录满足条件 DEPTNO=10,则数据库审计系统中将有 100 个 DELETE *** 作,而不是真正的 SQL 语句:从 EMP 中删除,其中 DEPTNO=10。并且大多数现有数据库无法准确审计 DDL 语句,例如:ALTER TABLE XXX ADD (col单个数据库产品可以审计 DDL 语句,但这是通过创建数据库级触发器来完成的。
总之,这种基于数据库产品本身审计功能的审计系统的审计粒度和准确性是有限的。而且由于数据库产品本身的审计功能是基于数据库引擎的,所以消耗了生产数据库系统本身的资源。如果开启所有会话的所有数据库 *** 作审计,生产数据库系统的CPU资源将消耗15%~30%。因此,如果使用这样的数据库审计系统,通常只是有目的地审计单个数据或 *** 作,而不审计整个业务数据库中的所有 *** 作。
(二)外置旁路模式的数据库审计系统
外部审计模式的数据库审计系统是独立于生产数据库的系统,其工作原理是通过网络审计模式监听并收集所有客户端发往生产数据库的网络报文,然后在审计系统内部解包这些网络报文并恢复 *** 作命令(即 SQL 语句)里面。SQL语句捕获后,存储在数据库审计系统中,然后根据用户设置的条件生成告警或报告。与基于数据库产品的审计功能相比,外部审计模式下的数据库审计系统具有以下优点:不占用生产系统的任何系统资源,由于它基于网络审计模式,所有审计 *** 作都在审计系统上进行,因此不会占用生产数据库系统的系统资源;它可以准确地恢复SQL语句,因为所有从客户端发送到数据库服务器的SQL语句都是通过TCP/IP网络发送的,如果按照相应的数据库产品网络数据包格式对这些TCP/IP网络数据包进行捕获和解析,原则上可以得到所有的SQL语句代码。因此,网络审计模式下的数据库审计产品不仅可以审计DML *** 作,还可以审计数据查询 *** 作和DDL *** 作。具有良好的用户界面,可根据用户需求自定义报警条件,可以通过黑白名单减少每日报警次数。
目前,医院信息系统中的数据库审计产品大多采用这种网络审计模式。但需要注意的是,如果用户直接登录数据库系统所在的 *** 作系统,或者直接在数据库系统主机的控制台上执行数据库 *** 作,则不会生成数据库网络数据包,这种网络审计模式下的数据库审计系统无法审计这些数据库 *** 作。因此,如果要对生产数据库进行全面的审计,不仅要部署网络审计模式的审计系统,还要结合堡垒主机系统和桌面管理系统。
关注威翰德科技公众号解锁更多回答

一、产品概述
主机监控审计系统是专门针对终端数据安全、行为审计、访问控制研发出的一款安全管理产品。产品遵循网络防护与端点防护并重理念,从终端状态、行为、事件三个方面来进行防御,有效防止终端通过各种途径主动、被动泄密,形成了对终端、终端应用、终端 *** 作者、终端使用单位等多方位的管理体系,构筑了终端信息安全保密的钢铁长城。
二、 产品结构
主机监控审计系统由7部分组成:WinPcap程序、SQL Server管理信息库、Web中央管理配置平台、区域管理器、客户端注册程序、管理器主机保护模块、报警中心模块。
1) WinPcap程序:
嗅探驱动软件,监听共享网络上传送的数据。
2) 环境初始化程序:
SQL Server管理信息库,建立系统初始化数据库。
3) Web管理平台:
管理配置中心,包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置 *** 作。
4) 区域管理器:
数据处理中心,负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。内置网络扫描器,用来发现网络的终端设备,并将发现的设备信息交由区域管理器处理。
5) 客户端注册程序:
将接收并执行服务器下发的指令,对终端行为、 *** 作、状态进行控制与管理。
6) 主机保护模块:
根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
7) 报警中心模块:
安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。
三、产品功能
主机监控审计系统通过Web方式对整个系统进行应用策略配置,管理网络和查询审计数据,方便用户 *** 作,有效防范不安全因素对内部终端构成的威胁,真正做到内部终端的安全管理,防止信息泄密,满足客户对内部终端管理的功能需求:
1) 网络访问行为审计和控制
以黑白名单的方式对用户的网络访问行为进行控制,并对用户访问的网络等进行审计和记录。
2) 文件保护及审计
提供对终端的OS系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的 *** 作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。
3) 网络文件输出审计
对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。
4) 邮件审计
根据策略对主机发送的邮件进行控制。并审计发送的邮件地址、IP等信息进行控制审计和记录。
5) 打印审计
根据策略对主机打印行为进行监控审计,防止非授权的信息被打印,同时根据要求还可以备份打印内容。
6) 敏感信息检查
根据用户自主设定的敏感信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含敏感内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。
7) 用户权限审计
能够审计用户权限更改,及 *** 作系统内用户增加和删除 *** 作。
8) 独立的权限分配体系
提供系统管理员、系统审核员(安全员)、系统审计员和一般 *** 作员权限分配,使之分别进行不同的管理 *** 作。
9) 系统日志审计
支持不同权限管理员在Web控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。

你想怎么审计?只是单纯的看日志还是要实现外发的邮件必须经过审批才能出去。看日志的话exchange 2010工具里有,但速度很慢,一般都是通过反垃圾邮件系统来看。外发审计的话需要专业的审计系统。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13504660.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-08-20
下一篇 2023-08-20

发表评论

登录后才能评论

评论列表(0条)

保存