|
常見的安全審計技術主要有四類
分別是:基于日志的審計技術、基于代理的審計技術�����、基于網絡監(jiān)聽的審計技術����、基于網關的審計技術。
1.基于日志的審計技術:該技術通常是通過數(shù)據(jù)庫自身功能實現(xiàn)�����,Oracle��、DB2等主流數(shù)據(jù)庫��,均具備自身審計功能�����,通過配置數(shù)據(jù)庫的自審計功能�����,即可實現(xiàn)對數(shù)據(jù)庫的審計����,其典型部署示意圖如圖2所示:
圖2 日志審計技術部署示意
該技術能夠對網絡操作及本地操作數(shù)據(jù)庫的行為進行審計,由于依托于現(xiàn)有數(shù)據(jù)庫管理系統(tǒng)�����,因此兼容性很好����。
但這種審計技術的缺點也比較明顯。首先�,在數(shù)據(jù)庫系統(tǒng)上開啟自身日志審計對數(shù)據(jù)庫系統(tǒng)的性能就有影響,特別是在大流量情況下�,損耗較大;其次,日志審計記錄的細粒度上差��,缺少一些關鍵信息���,比如源IP�����、SQL語句等等�,審計溯源效果不好,最后就是日志審計需要到每一臺被審計主機上進行配置和查看��,較難進行統(tǒng)一的審計策略配置和日志分析����。
2.基于代理的審計技術:該技術是通過在數(shù)據(jù)庫系統(tǒng)上安裝相應的審計Agent,在Agent上實現(xiàn)審計策略的配置和日志的采集���,常見的產品如Oracle公司的Oracle Audit Vault����、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產品��,其典型部署示意圖如圖3所示:
圖3 代理審計技術部署示意
該技術與日志審計技術比較類似����,最大的不同是需要在被審計主機上安裝代理程序。代理審計技術從審計粒度上要優(yōu)于日志審計技術�����,但是性能上的損耗是要大于日志審計技術�,因為數(shù)據(jù)庫系統(tǒng)廠商未公開細節(jié),由數(shù)據(jù)庫廠商提供的代理審計類產品對自有數(shù)據(jù)庫系統(tǒng)的兼容性較好��,但是在跨數(shù)據(jù)庫系統(tǒng)的支持上����,比如要同時審計Oracle和DB2時,存在一定的兼容性風險��。同時由于在引入代理審計后�����,原數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性��、可靠性�、性能或多或少都會有一些影響,實際的應用面較窄�。
3.基于網絡監(jiān)聽的審計技術:該技術是通過將對數(shù)據(jù)庫系統(tǒng)的訪問流鏡像到交換機某一個端口,然后通過專用硬件設備對該端口流量進行分析和還原�,從而實現(xiàn)對數(shù)據(jù)庫訪問的審計。其典型部署示意圖如圖4所示:
圖4 網絡監(jiān)聽審計技術部署示意
該技術最大的優(yōu)點就是與現(xiàn)有數(shù)據(jù)庫系統(tǒng)無關��,部署過程不會給數(shù)據(jù)庫系統(tǒng)帶來性能上的負擔,即使是出現(xiàn)故障也不會影響數(shù)據(jù)庫系統(tǒng)的正常運行�����,具備易部署�����、無風險的特點;但是����,其部署的實現(xiàn)原理決定了網絡監(jiān)聽技術在針對加密協(xié)議時,只能實現(xiàn)到會話級別審計(即可以審計到時間���、源IP��、源端口����、目的IP��、目的端口等信息)�����,而沒法對內容進行審計。不過在絕大多數(shù)業(yè)務環(huán)境下��,因為數(shù)據(jù)庫系統(tǒng)對業(yè)務性能的要求是遠高于對數(shù)據(jù)傳輸加密的要求��,很少有采用加密通訊方式訪問數(shù)據(jù)庫服務端口的情況��,故網絡監(jiān)聽審計技術在實際的數(shù)據(jù)庫審計項目中應用非常廣泛�����。
4.基于網關的審計技術:該技術是通過在數(shù)據(jù)庫系統(tǒng)前部署網關設備�,通過在線截獲并轉發(fā)到數(shù)據(jù)庫的流量而實現(xiàn)審計�,其典型部署示意圖如圖5所示:
圖5 網關審計技術部署示意
該技術是起源于安全審計在互聯(lián)網審計中的應用,在互聯(lián)網環(huán)境中�����,審計過程除了記錄以外����,還需要關注控制,而網絡監(jiān)聽方式無法實現(xiàn)很好的控制效果���,故多數(shù)互聯(lián)網審計廠商選擇通過串行的方式來實現(xiàn)控制��。在應用過程中����,這種技術實現(xiàn)方式開始在數(shù)據(jù)庫環(huán)境中使用,不過由于數(shù)據(jù)庫環(huán)境存在流量大�、業(yè)務連續(xù)性要求高、可靠性要求高的特點�,與互聯(lián)網環(huán)境大相徑庭,故這種網關審計技術往往主要運用在對數(shù)據(jù)庫運維審計的情況下���,不能完全覆蓋所有對數(shù)據(jù)庫訪問行為的審計�����。
通過對以上四種技術的分析���,在進行數(shù)據(jù)庫審計技術方案的選擇時,我們遵循的根本原
則建議是:
1.業(yè)務保障原則:安全建設的根本目標是能夠更好的保障網絡上承載的業(yè)務�����。在保證安全的同時��,必須保障業(yè)務的正常運行和運行效率����。
2.結構簡化原則:安全建設的直接目的和效果是要將整個網絡變得更加安全�����,簡單的網絡結構便于整個安全防護體系的管理���、執(zhí)行和維護�����。
3.生命周期原則:安全建設不僅僅要考慮靜態(tài)設計����,還要考慮不斷的變化;系統(tǒng)應具備適度的靈活性和擴展性。
根據(jù)通常情況下用戶業(yè)務系統(tǒng)7*24小時不間斷運行的特點��,從穩(wěn)定性�����、可靠性�、可用
性等多方面進行考慮,特別是技術方案的選擇不應對現(xiàn)有系統(tǒng)造成影響��,建議用戶朋友優(yōu)選采用網絡監(jiān)聽審計技術來實現(xiàn)對數(shù)據(jù)庫的審計。
如果有需要服務器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【prubsntakaful.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
