數(shù)據(jù)安全稽核是安全管理部門的重要職責(zé),以此保障數(shù)據(jù)安全治理的策略和規(guī)范被有效執(zhí)行和落地��,以確??焖侔l(fā)現(xiàn)潛在的風(fēng)險和行為。但數(shù)據(jù)稽核在大型企業(yè)或機(jī)構(gòu)超大規(guī)模的數(shù)據(jù)流量�����、龐大的數(shù)據(jù)管理系統(tǒng)和業(yè)務(wù)系統(tǒng)數(shù)量面前�,也面臨著很大的技術(shù)挑戰(zhàn)。
數(shù)據(jù)所面臨的威脅與風(fēng)險是動態(tài)變化的過程��,入侵環(huán)節(jié)��、入侵方式、入侵目標(biāo)均隨著時間不斷演進(jìn)�����。這也就要求我們的防護(hù)體系�、治理思路不能墨守成規(guī),更不能一成不變����。所以數(shù)據(jù)安全治理的過程中我們始終要具備一項關(guān)鍵能力--完善的審計與稽核能力。通過審計與稽核的能力來幫助我們掌握威脅與風(fēng)險的變化��,明確我們的防護(hù)方向�,進(jìn)而調(diào)整我們的防護(hù)體系,優(yōu)化防御策略��,補足防御薄弱點�����,使防護(hù)體系具備動態(tài)適應(yīng)能力�����,真正實現(xiàn)數(shù)據(jù)安全防護(hù)����。
組成����,分別是“行為審計與分析”�、“權(quán)限變化監(jiān)控”、“異常行為分析”���。
數(shù)據(jù)的安全審計和稽核機(jī)制由三個環(huán)節(jié)
行為審計與分析
在數(shù)據(jù)安全治理的思路下�,我們建設(shè)數(shù)據(jù)安全防護(hù)體系時必須具備審計能力����。利用數(shù)據(jù)庫協(xié)議分析技術(shù)將所有訪問和使用數(shù)據(jù)的行為全部記錄下來,包括賬號��、時間����、IP�、會話、操作����、對象、耗時、結(jié)果等等內(nèi)容���。一套完善的審計機(jī)制能夠為數(shù)據(jù)安全帶來兩個價值:
1���、事中告警
數(shù)據(jù)的訪問、使用�����、流轉(zhuǎn)過程中一旦出現(xiàn)可能導(dǎo)致數(shù)據(jù)外泄��、受損的惡意行為時����,審計機(jī)制可以第一時間發(fā)出威脅告警,通知管理人員���。管理人員在第一時間掌握威脅信息后���,可以針對性的阻止該威脅,從而降低或避免損失�����。所以,審計機(jī)制必須具備告警能力����,可以通過郵件、短信等方式發(fā)出告警通知���。
為實現(xiàn)事中告警能力��,審計系統(tǒng)需要能夠有效識別風(fēng)險威脅��,需要具備下列技術(shù):
漏洞攻擊檢測技術(shù):針對CVE公布的漏洞庫�,提供漏洞特征檢測技術(shù)�;
SQL注入監(jiān)控技術(shù):提供SQL注入特征庫;
口令攻擊監(jiān)控:針對指定周期內(nèi)風(fēng)險客戶端IP和用戶的頻次性登錄失敗行為監(jiān)控��;
高危訪問監(jiān)控技術(shù):在指定時間周期內(nèi)��,根據(jù)不同的訪問來源�,如:客戶單IP���、數(shù)據(jù)庫用戶��、MAC地址�����、操作系統(tǒng)��、主機(jī)名��,以及應(yīng)用關(guān)聯(lián)的用戶��、IP等元素設(shè)置訪問策略�;
高危操作控制技術(shù):針對不同訪問來源,提供對數(shù)據(jù)庫表��、字段��、函數(shù)�����、存儲過程等對象的高危操作行為監(jiān)控���,并且根據(jù)關(guān)聯(lián)表個數(shù)�����、執(zhí)行時長��、錯誤代碼����、關(guān)鍵字等元素進(jìn)行限制;
返回行超標(biāo)監(jiān)控技術(shù):提供對敏感表的返回行數(shù)監(jiān)控��;
SQL例外規(guī)則:根據(jù)不同的訪問來源�����,結(jié)合指定的非法SQL語句模板添加例外規(guī)則�����,以補充風(fēng)險規(guī)則的不足����,形成完善的審計策略。
2��、事后溯源
數(shù)據(jù)的訪問��、使用過程出現(xiàn)信息安全事件之后�����,可以通過審計機(jī)制對該事件進(jìn)行追蹤溯源�����,確定事件發(fā)生的源頭(誰做的�����?什么時間做的����?什么地點做的?)����,還原事件的發(fā)生過程,分析事件造成的損失��。不但能夠?qū)`規(guī)人員實現(xiàn)追責(zé)和定責(zé)����,還為調(diào)整防御策略提供非常必要的參考。所以�,審計機(jī)制必須具備豐富的檢索能力,可以將全要素作為檢索條件的查詢功能��,方便事后溯源定位。
一套完善的審計機(jī)制是基于敏感數(shù)據(jù)���、策略���、數(shù)據(jù)流轉(zhuǎn)基線等多個維度的集合體,對數(shù)據(jù)的生產(chǎn)流轉(zhuǎn)�,數(shù)據(jù)操作進(jìn)行監(jiān)控、審計����、分析,及時發(fā)現(xiàn)異常數(shù)據(jù)流向����、異常數(shù)據(jù)操作行為,并進(jìn)行告警���,輸出報告�。
權(quán)限變化監(jiān)控
賬號和權(quán)限總是動態(tài)被維護(hù)的��,在成千上萬的數(shù)據(jù)賬號和權(quán)限下�����,如何快速了解在已經(jīng)完成的賬號和權(quán)限基線上增加了哪些賬號,賬號的權(quán)限是否變化了��,這些變化是否遵循了合規(guī)性保證�����。需要通過靜態(tài)的掃描技術(shù)和可視化技術(shù)幫助信息安全管理部門完成這種賬號和權(quán)限的變化稽核��。
權(quán)限變化監(jiān)控是指監(jiān)控所有賬號權(quán)限的變化情況�����,包括賬號的增加和減少���,權(quán)限的提高和降低,是數(shù)據(jù)安全稽核的重要一環(huán)�。對權(quán)限變化進(jìn)行監(jiān)控,對抵御外部提權(quán)攻擊�����,對抵御內(nèi)部人員私自調(diào)整賬號權(quán)限進(jìn)行違規(guī)操作均是必不可少的關(guān)鍵能力�����。
權(quán)限變化監(jiān)控能力的建立分為兩個階段,第一是權(quán)限梳理���,第二是權(quán)限監(jiān)控���。
1、權(quán)限梳理
結(jié)合人工和靜態(tài)掃描技術(shù)����,對現(xiàn)有賬號情況進(jìn)行詳細(xì)梳理,梳理結(jié)果形成賬號和權(quán)限基線��,該基線的調(diào)整必須遵循規(guī)章制度的合規(guī)性保障��。通過可視化技術(shù)幫助管理人員直觀掌握環(huán)境中所有賬號及對應(yīng)的權(quán)限情況���。
2���、權(quán)限監(jiān)控
賬號和權(quán)限基線一旦形成,即可通過掃描技術(shù)對所有賬號及權(quán)限進(jìn)行變化監(jiān)控�。監(jiān)控結(jié)果與基線進(jìn)行對比,一旦出現(xiàn)違規(guī)變化(未遵循規(guī)章制度的私自調(diào)整權(quán)限)會通過可視化技術(shù)和告警技術(shù)確保管理人員第一時間可以得到通知����。
異常行為分析
在安全稽核過程中���,除了明顯的數(shù)據(jù)攻擊行為和違規(guī)的數(shù)據(jù)訪問行為外,很多的數(shù)據(jù)入侵和非法訪問是掩蓋在合理的授權(quán)下的����,這就需要通過一些數(shù)據(jù)分析技術(shù)�,對異常性的行為進(jìn)行發(fā)現(xiàn)和定義,這些行為往往從單個的個體來看是合法的��。
對于異常行為�����,可以通過兩種方式�����,一種是通過人工的分析完成異常行為的定義���;一種是對日常行為進(jìn)行動態(tài)的學(xué)習(xí)和建模����,對于不符合日常建模的行為進(jìn)行告警。
下表是列舉幾種異常行為的定義:
異常行為分析機(jī)制的建立對分析����、尋找“好人中的壞人”非常關(guān)鍵,同時也是防御體系����、防御策略調(diào)整的重要參考內(nèi)容。
產(chǎn)品咨詢:4000 258 365 
