數(shù)據(jù)安全稽核是安全管理部門的重要職責(zé)�����,以此保障數(shù)據(jù)安全治理的策略和規(guī)范被有效執(zhí)行和落地����,以確?���?焖侔l(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和行為。但數(shù)據(jù)稽核在大型企業(yè)或機(jī)構(gòu)超大規(guī)模的數(shù)據(jù)流量�����、龐大的數(shù)據(jù)管理系統(tǒng)和業(yè)務(wù)系統(tǒng)數(shù)量面前�����,也面臨著很大的技術(shù)挑戰(zhàn)���。
數(shù)據(jù)所面臨的威脅與風(fēng)險(xiǎn)是動態(tài)變化的過程��,入侵環(huán)節(jié)��、入侵方式��、入侵目標(biāo)均隨著時(shí)間不斷演進(jìn)����。這也就要求我們的防護(hù)體系、治理思路不能墨守成規(guī)���,更不能一成不變����。所以數(shù)據(jù)安全治理的過程中我們始終要具備一項(xiàng)關(guān)鍵能力--完善的審計(jì)與稽核能力���。通過審計(jì)與稽核的能力來幫助我們掌握威脅與風(fēng)險(xiǎn)的變化�,明確我們的防護(hù)方向�,進(jìn)而調(diào)整我們的防護(hù)體系,優(yōu)化防御策略�,補(bǔ)足防御薄弱點(diǎn),使防護(hù)體系具備動態(tài)適應(yīng)能力��,真正實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)���。
組成��,分別是“行為審計(jì)與分析”�、“權(quán)限變化監(jiān)控”����、“異常行為分析”。
數(shù)據(jù)的安全審計(jì)和稽核機(jī)制由三個(gè)環(huán)節(jié)
行為審計(jì)與分析
在數(shù)據(jù)安全治理的思路下���,我們建設(shè)數(shù)據(jù)安全防護(hù)體系時(shí)必須具備審計(jì)能力�。利用數(shù)據(jù)庫協(xié)議分析技術(shù)將所有訪問和使用數(shù)據(jù)的行為全部記錄下來�,包括賬號、時(shí)間����、IP、會話�����、操作�、對象、耗時(shí)�����、結(jié)果等等內(nèi)容。一套完善的審計(jì)機(jī)制能夠?yàn)閿?shù)據(jù)安全帶來兩個(gè)價(jià)值:
1��、事中告警
數(shù)據(jù)的訪問��、使用���、流轉(zhuǎn)過程中一旦出現(xiàn)可能導(dǎo)致數(shù)據(jù)外泄�����、受損的惡意行為時(shí)��,審計(jì)機(jī)制可以第一時(shí)間發(fā)出威脅告警�,通知管理人員�����。管理人員在第一時(shí)間掌握威脅信息后��,可以針對性的阻止該威脅�����,從而降低或避免損失。所以�,審計(jì)機(jī)制必須具備告警能力,可以通過郵件�����、短信等方式發(fā)出告警通知����。
為實(shí)現(xiàn)事中告警能力����,審計(jì)系統(tǒng)需要能夠有效識別風(fēng)險(xiǎn)威脅,需要具備下列技術(shù):
漏洞攻擊檢測技術(shù):針對CVE公布的漏洞庫���,提供漏洞特征檢測技術(shù)���;
SQL注入監(jiān)控技術(shù):提供SQL注入特征庫;
口令攻擊監(jiān)控:針對指定周期內(nèi)風(fēng)險(xiǎn)客戶端IP和用戶的頻次性登錄失敗行為監(jiān)控�����;
高危訪問監(jiān)控技術(shù):在指定時(shí)間周期內(nèi)���,根據(jù)不同的訪問來源�,如:客戶單IP、數(shù)據(jù)庫用戶�、MAC地址、操作系統(tǒng)��、主機(jī)名����,以及應(yīng)用關(guān)聯(lián)的用戶、IP等元素設(shè)置訪問策略�;
高危操作控制技術(shù):針對不同訪問來源,提供對數(shù)據(jù)庫表�、字段、函數(shù)�����、存儲過程等對象的高危操作行為監(jiān)控�����,并且根據(jù)關(guān)聯(lián)表個(gè)數(shù)����、執(zhí)行時(shí)長���、錯(cuò)誤代碼、關(guān)鍵字等元素進(jìn)行限制����;
返回行超標(biāo)監(jiān)控技術(shù):提供對敏感表的返回行數(shù)監(jiān)控;
SQL例外規(guī)則:根據(jù)不同的訪問來源���,結(jié)合指定的非法SQL語句模板添加例外規(guī)則,以補(bǔ)充風(fēng)險(xiǎn)規(guī)則的不足���,形成完善的審計(jì)策略�����。
2���、事后溯源
數(shù)據(jù)的訪問、使用過程出現(xiàn)信息安全事件之后����,可以通過審計(jì)機(jī)制對該事件進(jìn)行追蹤溯源,確定事件發(fā)生的源頭(誰做的�����?什么時(shí)間做的?什么地點(diǎn)做的�?),還原事件的發(fā)生過程�����,分析事件造成的損失�����。不但能夠?qū)`規(guī)人員實(shí)現(xiàn)追責(zé)和定責(zé)�����,還為調(diào)整防御策略提供非常必要的參考�����。所以����,審計(jì)機(jī)制必須具備豐富的檢索能力,可以將全要素作為檢索條件的查詢功能��,方便事后溯源定位。
一套完善的審計(jì)機(jī)制是基于敏感數(shù)據(jù)�、策略、數(shù)據(jù)流轉(zhuǎn)基線等多個(gè)維度的集合體�,對數(shù)據(jù)的生產(chǎn)流轉(zhuǎn),數(shù)據(jù)操作進(jìn)行監(jiān)控�����、審計(jì)�����、分析����,及時(shí)發(fā)現(xiàn)異常數(shù)據(jù)流向�、異常數(shù)據(jù)操作行為,并進(jìn)行告警����,輸出報(bào)告。
權(quán)限變化監(jiān)控
賬號和權(quán)限總是動態(tài)被維護(hù)的�,在成千上萬的數(shù)據(jù)賬號和權(quán)限下,如何快速了解在已經(jīng)完成的賬號和權(quán)限基線上增加了哪些賬號���,賬號的權(quán)限是否變化了�����,這些變化是否遵循了合規(guī)性保證�。需要通過靜態(tài)的掃描技術(shù)和可視化技術(shù)幫助信息安全管理部門完成這種賬號和權(quán)限的變化稽核。
權(quán)限變化監(jiān)控是指監(jiān)控所有賬號權(quán)限的變化情況�����,包括賬號的增加和減少�,權(quán)限的提高和降低,是數(shù)據(jù)安全稽核的重要一環(huán)���。對權(quán)限變化進(jìn)行監(jiān)控�,對抵御外部提權(quán)攻擊��,對抵御內(nèi)部人員私自調(diào)整賬號權(quán)限進(jìn)行違規(guī)操作均是必不可少的關(guān)鍵能力��。
權(quán)限變化監(jiān)控能力的建立分為兩個(gè)階段�����,第一是權(quán)限梳理����,第二是權(quán)限監(jiān)控����。
1���、權(quán)限梳理
結(jié)合人工和靜態(tài)掃描技術(shù)�����,對現(xiàn)有賬號情況進(jìn)行詳細(xì)梳理���,梳理結(jié)果形成賬號和權(quán)限基線,該基線的調(diào)整必須遵循規(guī)章制度的合規(guī)性保障����。通過可視化技術(shù)幫助管理人員直觀掌握環(huán)境中所有賬號及對應(yīng)的權(quán)限情況��。
2�����、權(quán)限監(jiān)控
賬號和權(quán)限基線一旦形成��,即可通過掃描技術(shù)對所有賬號及權(quán)限進(jìn)行變化監(jiān)控。監(jiān)控結(jié)果與基線進(jìn)行對比��,一旦出現(xiàn)違規(guī)變化(未遵循規(guī)章制度的私自調(diào)整權(quán)限)會通過可視化技術(shù)和告警技術(shù)確保管理人員第一時(shí)間可以得到通知�。
異常行為分析
在安全稽核過程中��,除了明顯的數(shù)據(jù)攻擊行為和違規(guī)的數(shù)據(jù)訪問行為外,很多的數(shù)據(jù)入侵和非法訪問是掩蓋在合理的授權(quán)下的����,這就需要通過一些數(shù)據(jù)分析技術(shù)���,對異常性的行為進(jìn)行發(fā)現(xiàn)和定義,這些行為往往從單個(gè)的個(gè)體來看是合法的����。
對于異常行為���,可以通過兩種方式��,一種是通過人工的分析完成異常行為的定義���;一種是對日常行為進(jìn)行動態(tài)的學(xué)習(xí)和建模,對于不符合日常建模的行為進(jìn)行告警�����。
下表是列舉幾種異常行為的定義:
異常行為分析機(jī)制的建立對分析、尋找“好人中的壞人”非常關(guān)鍵����,同時(shí)也是防御體系、防御策略調(diào)整的重要參考內(nèi)容��。
產(chǎn)品咨詢:4000 258 365 
