网络监听是数据库安全审计最佳手段
数据库系统作为三大基础软件之一并不是在计算机诞生的时候就同时产生的,随着信息技术的发展,传统文件系统已经不能满足人们的需要,1961年,美国通用电气公司成功开发了世界上第一个数据库系统IDS(Integra
通过在数据库系统上安装相应的审计Agent,在Agent上实现审计策略的配置和日志的采集,常见的产品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的产品,其典型部署示意图如图3所示:
图3 代理审计技术部署示意
该技术与日志审计技术比较类似,最大的不同是需要在被审计主机上安装代理程序。代理审计技术从审计粒度上要优于日志审计技术,但是性能上的损耗是要大于日志审计技术,因为数据库系统厂商未公开细节,由数据库厂商提供的代理审计类产品对自有数据库系统的兼容性较好,但是在跨数据库系统的支持上,比如要同时审计Oracle和DB2时,存在一定的兼容性风险。同时由于在引入代理审计后,原数据库系统的稳定性、可靠性、性能或多或少都会有一些影响,实际的应用面较窄。
3.基于网络监听的审计技术:该技术是通过将对数据库系统的访问流镜像到交换机某一个端口,然后通过专用硬件设备对该端口流量进行分析和还原,从而实现对数据库访问的审计。其典型部署示意图如图4所示:
图4 网络监听审计技术部署示意
该技术最大的优点就是与现有数据库系统无关,部署过程不会给数据库系统带来性能上的负担,即使是出现故障也不会影响数据库系统的正常运行,具备易部署、无风险的特点;但是,其部署的实现原理决定了网络监听技术在针对加密协议时,只能实现到会话级别审计(即可以审计到时间、源IP、源端口、目的IP、目的端口等信息),而没法对内容进行审计。不过在绝大多数业务环境下,因为数据库系统对业务性能的要求是远高于对数据传输加密的要求,很少有采用加密通讯方式访问数据库服务端口的情况,故网络监听审计技术在实际的数据库审计项目中应用非常广泛。
4.基于网关的审计技术:该技术是通过在数据库系统前部署网关设备,通过在线截获并转发到数据库的流量而实现审计,其典型部署示意图如图5所示:
图5 网关审计技术部署示意
该技术是起源于安全审计在互联网审计中的应用,在互联网环境中,审计过程除了记录以外,还需要关注控制,而网络监听方式无法实现很好的控制效果,故多数互联网审计厂商选择通过串行的方式来实现控制。在应用过程中,这种技术实现方式开始在数据库环境中使用,不过由于数据库环境存在流量大、业务连续性要求高、可靠性要求高的特点,与互联网环境大相径庭,故这种网关审计技术往往主要运用在对数据库运维审计的情况下,不能完全覆盖所有对数据库访问行为的审计。
通过对以上四种技术的分析,在进行数据库审计技术方案的选择时,我们遵循的根本原
则建议是:
1.业务保障原则:安全建设的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,必须保障业务的正常运行和运行效率。
2.结构简化原则:安全建设的直接目的和效果是要将整个网络变得更加安全,简单的网络结构便于整个安全防护体系的管理、执行和维护。
3.生命周期原则:安全建设不仅仅要考虑静态设计,还要考虑不断的变化;系统应具备适度的灵活性和扩展性。
根据通常情况下用户业务系统7*24小时不间断运行的特点,从稳定性、可靠性、可用
性等多方面进行考虑,特别是技术方案的选择不应对现有系统造成影响,建议用户朋友优选采用网络监听审计技术来实现对数据库的审计。
图3 代理审计技术部署示意
该技术与日志审计技术比较类似,最大的不同是需要在被审计主机上安装代理程序。代理审计技术从审计粒度上要优于日志审计技术,但是性能上的损耗是要大于日志审计技术,因为数据库系统厂商未公开细节,由数据库厂商提供的代理审计类产品对自有数据库系统的兼容性较好,但是在跨数据库系统的支持上,比如要同时审计Oracle和DB2时,存在一定的兼容性风险。同时由于在引入代理审计后,原数据库系统的稳定性、可靠性、性能或多或少都会有一些影响,实际的应用面较窄。
3.基于网络监听的审计技术:该技术是通过将对数据库系统的访问流镜像到交换机某一个端口,然后通过专用硬件设备对该端口流量进行分析和还原,从而实现对数据库访问的审计。其典型部署示意图如图4所示:
图4 网络监听审计技术部署示意
该技术最大的优点就是与现有数据库系统无关,部署过程不会给数据库系统带来性能上的负担,即使是出现故障也不会影响数据库系统的正常运行,具备易部署、无风险的特点;但是,其部署的实现原理决定了网络监听技术在针对加密协议时,只能实现到会话级别审计(即可以审计到时间、源IP、源端口、目的IP、目的端口等信息),而没法对内容进行审计。不过在绝大多数业务环境下,因为数据库系统对业务性能的要求是远高于对数据传输加密的要求,很少有采用加密通讯方式访问数据库服务端口的情况,故网络监听审计技术在实际的数据库审计项目中应用非常广泛。
4.基于网关的审计技术:该技术是通过在数据库系统前部署网关设备,通过在线截获并转发到数据库的流量而实现审计,其典型部署示意图如图5所示:
图5 网关审计技术部署示意
该技术是起源于安全审计在互联网审计中的应用,在互联网环境中,审计过程除了记录以外,还需要关注控制,而网络监听方式无法实现很好的控制效果,故多数互联网审计厂商选择通过串行的方式来实现控制。在应用过程中,这种技术实现方式开始在数据库环境中使用,不过由于数据库环境存在流量大、业务连续性要求高、可靠性要求高的特点,与互联网环境大相径庭,故这种网关审计技术往往主要运用在对数据库运维审计的情况下,不能完全覆盖所有对数据库访问行为的审计。
通过对以上四种技术的分析,在进行数据库审计技术方案的选择时,我们遵循的根本原
则建议是:
1.业务保障原则:安全建设的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,必须保障业务的正常运行和运行效率。
2.结构简化原则:安全建设的直接目的和效果是要将整个网络变得更加安全,简单的网络结构便于整个安全防护体系的管理、执行和维护。
3.生命周期原则:安全建设不仅仅要考虑静态设计,还要考虑不断的变化;系统应具备适度的灵活性和扩展性。
根据通常情况下用户业务系统7*24小时不间断运行的特点,从稳定性、可靠性、可用
性等多方面进行考虑,特别是技术方案的选择不应对现有系统造成影响,建议用户朋友优选采用网络监听审计技术来实现对数据库的审计。
责任编辑:和硕涵
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络
