目前市場上的數(shù)據(jù)庫審計(jì)產(chǎn)品的風(fēng)險(xiǎn)規(guī)則大多是到SQL語句和語句模板層級����,安華金和在與客戶的不斷接觸中,發(fā)現(xiàn)會存在有些場景下用戶更關(guān)注數(shù)據(jù)庫中敏感對象的訪問行為的現(xiàn)象����,這些敏感對象可能是數(shù)據(jù)庫、表��,甚至字段(列)�����,這對審計(jì)粒度來說提出更高挑戰(zhàn)�。
面對上述挑戰(zhàn),安華金和研發(fā)人員通過全新的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)和數(shù)據(jù)處理邏輯設(shè)計(jì)��,提供了基于數(shù)據(jù)庫表級別的對象統(tǒng)計(jì)和分析能力�����。第一�、在新的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)中���,充分考慮到不同數(shù)據(jù)庫中表對象屬主的定義范圍差異���,如Oracle和SQL Server有Schema的概念��,Oracle的Instance��,MySQL的庫概念等�����,設(shè)計(jì)了目前相對覆蓋元素較多的一種數(shù)據(jù)庫表對象Owner機(jī)制����,即以“DBname+Schema@(DBIP+Port+Instance)”多個(gè)字段的組合方式�����,基本覆蓋常用關(guān)系型數(shù)據(jù)庫形態(tài)�。第二、針對Oracle RAC集群和MySQL Proxy類集群的應(yīng)用場景����,將多個(gè)數(shù)據(jù)庫IP和端口組合成一個(gè)數(shù)據(jù)庫來分析,避免因過于細(xì)致的屬主劃分粒度帶來同一表對象統(tǒng)計(jì)數(shù)據(jù)的分散��。
DBAudit在指定的屬主范圍內(nèi),會將動態(tài)請求而產(chǎn)生的SQL語句以表對象為單位統(tǒng)計(jì)����,且依托訪問表對象時(shí)的SQL語句解析,提供了“表對象-操作類型-SQL語句流水”和“表對象-語句模板-SQL語句流水”的兩種鉆取分析路徑�����。
對解析出的表根據(jù)數(shù)據(jù)分析可標(biāo)記為敏感表對象�,然后可以對一批敏感表對象做訪問行為的軌跡分析,比如該表對象被哪個(gè)訪問源(客戶端IP����、數(shù)據(jù)庫用戶)訪問、哪個(gè)客戶端工具所訪問以及整體的訪問頻度分布情況����,快速定位該敏感對象從哪些位置進(jìn)行訪問。
從操作類型角度�����,表對象經(jīng)常會以什么樣的方式被訪問�����,訪問頻次怎樣;從語句模板角度�����,表對象經(jīng)常會被什么樣的語句模板來訪問���,做到這一層級,思路再往前一步�,假定該表對象出現(xiàn)了新的訪問類型(如經(jīng)常SELECT的表對象突然出現(xiàn)了DELETE的操作行為),或者表對象出現(xiàn)了一種新的語句訪問模型(如出現(xiàn)了一種新的語句模板)�,是否疑似為非正常訪問動作?當(dāng)功能演進(jìn)到該階段���,是否像有些行為模型的分析���?是的,這就是我們正在完善的審計(jì)系統(tǒng)訪問行為模型��。
作為數(shù)據(jù)安全領(lǐng)域的領(lǐng)跑者����,我們將繼續(xù)深耕��,不斷挖掘產(chǎn)品新的價(jià)值點(diǎn)��,正是憑著這種敢于向技術(shù)壁壘發(fā)起攻堅(jiān)�����、敢于突破自我的精神���,才能打磨出具有領(lǐng)先性和前瞻性的成熟產(chǎn)品。
產(chǎn)品咨詢:4000 258 365 
