關(guān)鍵詞:數(shù)據(jù)庫(kù)安全�、數(shù)據(jù)庫(kù)審計(jì)、產(chǎn)品演進(jìn)
摘要:
隨著用戶對(duì)核心數(shù)據(jù)的防護(hù)需求�����,數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品已經(jīng)成為信息安全建設(shè)的標(biāo)配��,當(dāng)市場(chǎng)需求增大各種產(chǎn)品迅速進(jìn)入市場(chǎng)�����,用戶在選擇上無所適從�����。筆者縱觀市場(chǎng)�����,將市面上幾十種數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品分為四種并追本溯源���,根據(jù)數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品的演進(jìn)過程劃分為三代�����,更好地對(duì)數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)進(jìn)行理解和價(jià)值闡述����。
正文:
當(dāng)前�����,數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品無疑已成為政企事業(yè)單位在信息安全方面的新寵�,信息安全建設(shè)的標(biāo)配,幾乎所有的安全集成中都有它的身影����。在市面上存在著幾十種數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品,這些產(chǎn)品集中起來大約可分四種類型:
1����、在網(wǎng)絡(luò)審計(jì)產(chǎn)品的基礎(chǔ)上經(jīng)過簡(jiǎn)單包裝推出數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品
2、針對(duì)數(shù)據(jù)庫(kù)通訊協(xié)議的特點(diǎn)開發(fā)出專門的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品
3���、國(guó)外的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品���,比如Imperva����、Guardium等�����;
4�����、OEM第三方的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品��,OEM對(duì)象可能來自國(guó)內(nèi)����,也可能來自國(guó)外,比如Imperva或韓國(guó)的DBInsight����。
追溯淵源,我們可以把數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品劃為三代:
第一代是入門級(jí)數(shù)據(jù)庫(kù)安全審計(jì)����,這代產(chǎn)品解決的是有和無的問題����;
第二代是專業(yè)型數(shù)據(jù)庫(kù)安全審計(jì)���,這代產(chǎn)品解決的是準(zhǔn)確性和易用性問題;
第三代是業(yè)務(wù)型數(shù)據(jù)庫(kù)安全審計(jì)����,這代產(chǎn)品解決的是數(shù)據(jù)價(jià)值問題。
一. 一代入門級(jí)數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品
我們將一代定義成入門級(jí)���,這是在數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品在國(guó)外取得成功�、外商進(jìn)入中國(guó)推行這個(gè)概念之后����,一些傳統(tǒng)網(wǎng)絡(luò)安全企業(yè)迅速跟進(jìn),基于傳統(tǒng)的網(wǎng)絡(luò)審計(jì)產(chǎn)品簡(jiǎn)單改造或產(chǎn)品都未經(jīng)改造只是概念包裝后就推向市場(chǎng)的產(chǎn)品�����。
這一代產(chǎn)品的典型特征為“三不管”:
(1) 不管審的準(zhǔn)不準(zhǔn)��,先審下來再說
(2) 不管審的全不全,先有了再說
(3) 不管好不好理解����,有數(shù)據(jù)再說
這一代產(chǎn)品本質(zhì)就是使用傳統(tǒng)的網(wǎng)絡(luò)審計(jì)能力,再加上一些正則匹配能力�,一些簡(jiǎn)單的特征追蹤,基本上數(shù)據(jù)庫(kù)安全審計(jì)的管理就是融入到原有的網(wǎng)絡(luò)管理界面中�����。這一代產(chǎn)品的主要缺陷�����,簡(jiǎn)單列出如下:
(1)長(zhǎng)SQL語句漏審
(2)多語句無法有效分割
(3)復(fù)雜語句對(duì)象解析錯(cuò)誤
(4)參數(shù)值與SQL語句匹配錯(cuò)誤
(5)錯(cuò)誤的應(yīng)答結(jié)果�,特別是影響行數(shù)解析不正確
(6)充滿失真率的應(yīng)用用戶關(guān)聯(lián)
(7)未專業(yè)化的審計(jì)界面
(8)過度冗余的審計(jì)信息存儲(chǔ)
其中,以上缺陷的前六條都與準(zhǔn)確性和全面性有關(guān)�,用戶很難進(jìn)行驗(yàn)證;要判斷是否屬于這種產(chǎn)品�����,一般可以通過兩個(gè)簡(jiǎn)單的方式進(jìn)行判定:一個(gè)方法就是界面�����。如果在界面上有很多種協(xié)議,數(shù)據(jù)庫(kù)只是其中一種���,往往就是網(wǎng)絡(luò)審計(jì)改換的產(chǎn)品��;另一個(gè)方法就是招標(biāo)參數(shù)?���,F(xiàn)在一個(gè)很奇怪的現(xiàn)象就是�����,招標(biāo)數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品���,結(jié)果列出一堆網(wǎng)絡(luò)審計(jì)產(chǎn)品要求。以下是一個(gè)典型招標(biāo)案例:
圖 1.1 與數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品不相干的參數(shù)二. 二代專業(yè)型數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品
二代數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品主要是由新興安全廠商研發(fā)����,在研發(fā)過程中多少會(huì)參考一些國(guó)外數(shù)據(jù)庫(kù)安全產(chǎn)品的設(shè)計(jì)理念�����、產(chǎn)品界面���,再加上自己的創(chuàng)新���,生產(chǎn)出一款純粹的數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品�。這一代產(chǎn)品的典型特征有三個(gè):
(1)產(chǎn)品概念高度聚焦
產(chǎn)品替除傳統(tǒng)網(wǎng)絡(luò)審計(jì)的概念����,不會(huì)出現(xiàn)類似于MAIL、FTP���、Telnet等協(xié)議���,用戶很容易地找到數(shù)據(jù)庫(kù)審計(jì)信息。
(2)數(shù)據(jù)庫(kù)包深度解析和SQL語法解析
二代數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品的基本功在于對(duì)數(shù)據(jù)庫(kù)的包能夠進(jìn)行準(zhǔn)確分析�,并且根據(jù)上下文語境進(jìn)行追蹤(這需要模擬數(shù)據(jù)庫(kù)的行為)。
(3)數(shù)據(jù)庫(kù)化的界面組織清晰
完全采用了面向數(shù)據(jù)庫(kù)化的界面組織����,比如:數(shù)據(jù)庫(kù)、會(huì)話��、語句�����、表、存儲(chǔ)過程等�;這樣的產(chǎn)品概念,對(duì)于數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的直接使用者��,一般是運(yùn)維人員和安全管理人員���,就很清晰����,對(duì)問題的定位的線索組織也非常清晰�����。下面是兩代數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的一個(gè)對(duì)比:
圖 2.1 一代數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品典型界面示例1
圖 2.2 一代數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品典型界面示例2由圖2.2不難看出�����,界面菜單組織結(jié)構(gòu)中����,很難找到數(shù)據(jù)庫(kù)的信息���,在審計(jì)記錄中也很難看到數(shù)據(jù)庫(kù)的SQL語句����、數(shù)據(jù)庫(kù)用戶、數(shù)據(jù)庫(kù)會(huì)話等信息����。
圖 2.3 二代數(shù)據(jù)庫(kù)審計(jì)的典型界面組織對(duì)比得出,二代數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品界面��,具有強(qiáng)烈的數(shù)據(jù)庫(kù)元素���;以“數(shù)據(jù)庫(kù)”為最基本信息組織單元�����,以“會(huì)話”�����、“語句”等數(shù)據(jù)庫(kù)中的基本元素為線索��;在審計(jì)記錄中�����,直觀的SQL語句、數(shù)據(jù)庫(kù)用戶����、會(huì)話信息等,立刻將單調(diào)的網(wǎng)絡(luò)協(xié)議還原為數(shù)據(jù)庫(kù)信息���。
在第二代代產(chǎn)品中也有高下之分�����,主要體現(xiàn)在三個(gè)方面:
(1) DDPI技術(shù)的精準(zhǔn)度
由于數(shù)據(jù)庫(kù)通訊包的復(fù)雜度���,即使按照一種深度包解析思路也不能保證解析的完全精準(zhǔn),能否對(duì)通訊包作到高精度高兼容性��,這就要看各個(gè)廠商的功力了����。解析不準(zhǔn)�,要么丟數(shù)據(jù),要么審計(jì)錯(cuò)誤�����。
(2)協(xié)議識(shí)別的智能化
正是由于這種包解析技術(shù)的復(fù)雜性,為了能準(zhǔn)確識(shí)別協(xié)議類型�����,一些產(chǎn)品往往需要人工進(jìn)行一些輔助����,幫助輸入說明數(shù)據(jù)庫(kù)的版本、操作系統(tǒng)的類型�����、編碼方式等�����。二代產(chǎn)品中�,哪家廠商能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)庫(kù)協(xié)議的智能化識(shí)別,將是產(chǎn)品易用性的另一個(gè)重要考量指標(biāo)����。
(3) 三層關(guān)聯(lián)的準(zhǔn)確度
從審計(jì)的角度,由于一個(gè)業(yè)務(wù)系統(tǒng)往往公用一個(gè)數(shù)據(jù)庫(kù)用戶�,因此無法區(qū)分哪個(gè)業(yè)務(wù)人員觸發(fā)了哪些數(shù)據(jù)庫(kù)操作��,因此不能真正地滿足追查的需要����。為了滿足這個(gè)需要����,啟明星辰最早注冊(cè)了通過http協(xié)議與數(shù)據(jù)庫(kù)協(xié)議進(jìn)行關(guān)聯(lián)的專利;后來安恒也實(shí)現(xiàn)了類似的技術(shù)��。但是由于鏈接池的存在�,在高并發(fā)的情況下,這種技術(shù)的正確率不超過50%�,作為審計(jì)這是無法忍受的。新興數(shù)據(jù)庫(kù)安全廠商安華金和���,在國(guó)內(nèi)率先推出了基于在web上安裝插件的方式���,利用這種方式實(shí)現(xiàn)100%審計(jì)的準(zhǔn)確性
(4) 數(shù)據(jù)的關(guān)聯(lián)分析
第二代數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品中,很多依然是單個(gè)數(shù)據(jù)庫(kù)訪問信息的展示風(fēng)格���, 但是在實(shí)際的使用中,用戶往往需要了解發(fā)現(xiàn)某類高危的風(fēng)險(xiǎn)�����,需要知道IP來源,什么用戶登錄�,登錄后在整個(gè)會(huì)話中都執(zhí)行了什么語句。發(fā)現(xiàn)一個(gè)峰值性能瓶頸的時(shí)候��,能同時(shí)知道當(dāng)時(shí)的會(huì)話量��,語句量�,對(duì)于這些會(huì)話都來自于什么IP�����,主要是什么語句的性能消耗占比最高,在這些消耗占比最高的語句使用的是什么樣的參數(shù)����。
綜上�����,二代數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品具有這樣的特點(diǎn):
1�、以數(shù)據(jù)庫(kù)原生概念組織軟件的界面框架和界面元素����,大幅提升“數(shù)據(jù)庫(kù)”的專業(yè)性���;
2、通過 ‘會(huì)話’���、‘語句’�、‘風(fēng)險(xiǎn)’之間的內(nèi)在聯(lián)系實(shí)現(xiàn)界面交互和線索關(guān)聯(lián)�����,大幅提升“審計(jì)追蹤”的能力和便利性��;
3�����、通過對(duì)數(shù)據(jù)庫(kù)訪問的IP�、用戶、語句(操作)��、對(duì)象���、響應(yīng)等不同維度的統(tǒng)計(jì)����,完成了數(shù)據(jù)庫(kù)運(yùn)行狀況的梳理����,從而大幅提升對(duì)數(shù)據(jù)庫(kù)運(yùn)行狀況和性能的掌握能力�。
當(dāng)前��,考核數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的好壞,最重點(diǎn)的就是看以上三點(diǎn)���。這三點(diǎn)使數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品實(shí)現(xiàn)了審計(jì)功能高度專業(yè)化����,同時(shí)延展了其使用價(jià)值���,成為數(shù)據(jù)庫(kù)運(yùn)維與管理人員進(jìn)行數(shù)據(jù)庫(kù)狀態(tài)監(jiān)控和性能優(yōu)化的重要工具。
三. 三代業(yè)務(wù)型數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品
二代數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的專業(yè)度勿用置疑��,但依然是一個(gè)技術(shù)型產(chǎn)品����,是DBA和運(yùn)維人員的好幫手����,但與管理人員����、業(yè)務(wù)人員保持著一定的距離��。大量的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品上線以后,無法向管理人員和業(yè)務(wù)人員闡述清楚產(chǎn)品的價(jià)值,這其中一個(gè)重要的原因就是數(shù)據(jù)庫(kù)是一個(gè)后臺(tái)的服務(wù)����,數(shù)據(jù)庫(kù)的SQL語言是個(gè)專業(yè)化程度很高的語言���,數(shù)據(jù)庫(kù)對(duì)象無法與直接的業(yè)務(wù)發(fā)生映射�����。因此����,DBA和運(yùn)維人員生成的報(bào)告��,無法讓管理者和業(yè)務(wù)部門看懂;從而使很多的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品成為了擺設(shè),或者只發(fā)揮了其應(yīng)有價(jià)值的10%�����。
三代數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品的關(guān)鍵就是�,如何通過業(yè)務(wù)化的語言呈現(xiàn)出對(duì)數(shù)據(jù)庫(kù)的訪問行為���;將傳統(tǒng)數(shù)據(jù)庫(kù)中的要素客戶端IP����、數(shù)據(jù)庫(kù)用戶���、SQL 操作類型����、數(shù)據(jù)庫(kù)表名稱、列名稱���、過濾條件變成業(yè)務(wù)人員熟悉的要素:辦公地點(diǎn)�、工作人員名稱�����、業(yè)務(wù)操作��、業(yè)務(wù)對(duì)象、業(yè)務(wù)元素��、某種類別的業(yè)務(wù)信息����。為了更清楚的說名這個(gè)問題,我們對(duì)比看看三代演進(jìn)前后數(shù)據(jù)庫(kù)安全的審計(jì)記錄:
圖 3.1 三代以前數(shù)據(jù)庫(kù)安全審計(jì)記錄
圖 3.2 三代數(shù)據(jù)庫(kù)安全審計(jì)記錄三代數(shù)據(jù)庫(kù)安全審計(jì)���,不僅僅是審計(jì)記錄的展現(xiàn),還包括數(shù)據(jù)的組織���,如何把這些分散的SQL語句���,再組織成一個(gè)個(gè)業(yè)務(wù)操作��,這個(gè)時(shí)候給業(yè)務(wù)人員展現(xiàn)的就不是每秒有多少個(gè)SQL操作�����,而是每秒有多少個(gè)業(yè)務(wù)操作。如圖3.3位當(dāng)前一個(gè)會(huì)話中的多條審計(jì)記錄��,組織成一個(gè)業(yè)務(wù)操作后��,如圖3.4�����,不僅僅是審計(jì)記錄的展現(xiàn),同時(shí)包括性能�、類型統(tǒng)計(jì)、成功與失敗、檢索條件�、報(bào)表都是基于業(yè)務(wù)操作為單位����。
圖 3.3 多條審計(jì)記錄
圖 3.4 業(yè)務(wù)操作示例二代數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品的統(tǒng)計(jì)和追蹤根據(jù)SQL語言類型進(jìn)行劃分,可以看到一些管理人員和業(yè)務(wù)人員很難懂的SQL語句��。三代數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品統(tǒng)計(jì)和追蹤按照業(yè)務(wù)的行為和分類來進(jìn)行信息的組織和展現(xiàn)���,而查詢到的語句也是業(yè)務(wù)化的語言展現(xiàn)�����。當(dāng)達(dá)到這樣的程度�,數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品對(duì)于業(yè)務(wù)人員和管理人員的價(jià)值將大大提升����。但要達(dá)到這樣的程度,需要依賴很好的數(shù)據(jù)分析處理�����,在這一階段能否完成一個(gè)好的業(yè)務(wù)化產(chǎn)品的關(guān)鍵在于大數(shù)據(jù)的分析處理能力�,特別是對(duì)數(shù)據(jù)流的處理能力����。
當(dāng)前,至少國(guó)內(nèi)所有的數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品距離三代數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的目標(biāo)差距甚遠(yuǎn)���;只有真正掌握數(shù)據(jù)庫(kù)核心技術(shù)能力的安全廠商�,真正具有用戶意識(shí)的安全廠商���,才能生產(chǎn)出三代產(chǎn)品�����,讓我們拭目以待�����。
下載完整版:《縱論數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品的三代演進(jìn)》
產(chǎn)品咨詢:4000 258 365 
