目前市場上的數(shù)據(jù)庫審計產(chǎn)品的風險規(guī)則大多是到SQL語句和語句模板層級,安華金和在與客戶的不斷接觸中��,發(fā)現(xiàn)會存在有些場景下用戶更關注數(shù)據(jù)庫中敏感對象的訪問行為的現(xiàn)象��,這些敏感對象可能是數(shù)據(jù)庫��、表�,甚至字段(列),這對審計粒度來說提出更高挑戰(zhàn)�����。
面對上述挑戰(zhàn)���,安華金和研發(fā)人員通過全新的數(shù)據(jù)結構設計和數(shù)據(jù)處理邏輯設計����,提供了基于數(shù)據(jù)庫表級別的對象統(tǒng)計和分析能力�。第一��、在新的數(shù)據(jù)結構設計中���,充分考慮到不同數(shù)據(jù)庫中表對象屬主的定義范圍差異�����,如Oracle和SQL Server有Schema的概念��,Oracle的Instance���,MySQL的庫概念等��,設計了目前相對覆蓋元素較多的一種數(shù)據(jù)庫表對象Owner機制��,即以“DBname+Schema@(DBIP+Port+Instance)”多個字段的組合方式�����,基本覆蓋常用關系型數(shù)據(jù)庫形態(tài)�。第二���、針對Oracle RAC集群和MySQL Proxy類集群的應用場景�����,將多個數(shù)據(jù)庫IP和端口組合成一個數(shù)據(jù)庫來分析���,避免因過于細致的屬主劃分粒度帶來同一表對象統(tǒng)計數(shù)據(jù)的分散��。
DBAudit在指定的屬主范圍內��,會將動態(tài)請求而產(chǎn)生的SQL語句以表對象為單位統(tǒng)計��,且依托訪問表對象時的SQL語句解析�����,提供了“表對象-操作類型-SQL語句流水”和“表對象-語句模板-SQL語句流水”的兩種鉆取分析路徑�。
對解析出的表根據(jù)數(shù)據(jù)分析可標記為敏感表對象�,然后可以對一批敏感表對象做訪問行為的軌跡分析,比如該表對象被哪個訪問源(客戶端IP�、數(shù)據(jù)庫用戶)訪問、哪個客戶端工具所訪問以及整體的訪問頻度分布情況����,快速定位該敏感對象從哪些位置進行訪問。
從操作類型角度����,表對象經(jīng)常會以什么樣的方式被訪問����,訪問頻次怎樣�;從語句模板角度�,表對象經(jīng)常會被什么樣的語句模板來訪問,做到這一層級�,思路再往前一步,假定該表對象出現(xiàn)了新的訪問類型(如經(jīng)常SELECT的表對象突然出現(xiàn)了DELETE的操作行為)�,或者表對象出現(xiàn)了一種新的語句訪問模型(如出現(xiàn)了一種新的語句模板),是否疑似為非正常訪問動作����?當功能演進到該階段,是否像有些行為模型的分析��?是的����,這就是我們正在完善的審計系統(tǒng)訪問行為模型。
作為數(shù)據(jù)安全領域的領跑者�,我們將繼續(xù)深耕,不斷挖掘產(chǎn)品新的價值點���,正是憑著這種敢于向技術壁壘發(fā)起攻堅���、敢于突破自我的精神�����,才能打磨出具有領先性和前瞻性的成熟產(chǎn)品���。
產(chǎn)品咨詢:4000 258 365 
