如果說數(shù)據(jù)庫安全審計已成為數(shù)據(jù)庫安全領(lǐng)域應(yīng)用十分廣泛����,用戶接受度很高的產(chǎn)品�,應(yīng)該沒有人會否認。目前�����,市場上的數(shù)據(jù)庫審計產(chǎn)品多以旁路鏡像部署方式為主��,但也有廠商采用植入式部署的方式����,雖然兩者都可以對數(shù)據(jù)庫訪問行為進行審計,但在審計效果和用戶體驗上卻存在顯著差異�����。安華金和建議廣大用戶:在產(chǎn)品選型時��,應(yīng)更加關(guān)注產(chǎn)品的核心技術(shù)路線��,選擇更適合的產(chǎn)品����。
安華金和在下文將通過對數(shù)據(jù)庫審計市場上兩類技術(shù)路線的對比分析,分從審計結(jié)果全面性�、審計結(jié)果準(zhǔn)確性、檢索及入庫速度��、對存儲空間占用�、產(chǎn)品的易用性五個衡量維度,呈現(xiàn)產(chǎn)品的功能和價值�,為廣大用戶提供產(chǎn)品選型的參考依據(jù):
【三個方式上的不同】
【五個維度上的差異】
維度一:審計結(jié)果全面性
1.旁路式:通過鏡像流量或探針的方式進行全流量采集,基于全量數(shù)據(jù)庫流量進行語句和會話分析�����,再通過對sql語句的協(xié)議解析,能夠?qū)徲嫷娇蛻舳诵畔?,返回結(jié)果集。這種采集方式首先對數(shù)據(jù)庫類型不挑剔��,均可支持��,并且能夠?qū)徲嫷狡胀ㄓ脩艉统売脩舻脑L問行為�����。
2.植入式:屬于注冊代理程序的“侵入式”審計��,利用數(shù)據(jù)庫的自審計插件(如Oracle的FGAC插件)�����,讀取數(shù)據(jù)庫自審計日志��,依賴的是數(shù)據(jù)庫自身審計能力�����。如果數(shù)據(jù)庫自身不具備審計能力�����,那么這類數(shù)據(jù)庫審計產(chǎn)品就無法支持對此類型數(shù)據(jù)庫的審計�����;而且數(shù)據(jù)庫自身審計功能一般只提供增���、刪����、改�、查語句和部分數(shù)據(jù)定義語句,無法提供全操作類型的審計��,也無法完整審計結(jié)果集�。
維度二:審計結(jié)果準(zhǔn)確性
1.旁路式:由于是基于全流量的審計,如果能配合sql語句的協(xié)議解析和特征捕獲等技術(shù)����,可以準(zhǔn)確關(guān)聯(lián)語句和會話,進行精確的審計結(jié)果查詢分析能力��;準(zhǔn)確關(guān)聯(lián)應(yīng)用用戶與SQL語句�����,實現(xiàn)對業(yè)務(wù)行為的審計。在此基礎(chǔ)上形成的規(guī)則庫�����,能夠更準(zhǔn)確的識別風(fēng)險訪問及漏洞攻擊行為����。
2.植入式:由于是基于正則表達式完成SQL語句規(guī)則,無法基于通訊協(xié)議解析命中語句規(guī)則����,在實際工作中,會導(dǎo)致語句和會話無法關(guān)聯(lián)��,不能按照會話進行語句梳理匯總�,那么會缺乏連貫分析能力;并且����,由于不是基于流量和協(xié)議的SQL語句解析,對于目前用戶普遍要求的應(yīng)用關(guān)聯(lián)審計�,也無法實現(xiàn)。
維度三:檢索及入庫速度
1.旁路式:旁路鏡像流量的方式對應(yīng)用到數(shù)據(jù)庫的訪問完全透明,不會產(chǎn)生影響���,這也是安華金和以及目前市面上大多數(shù)審計廠商選擇旁路鏡像方式�,配合精確SQL解析技術(shù)來實現(xiàn)審計高可用性的主要原因之一����。
2.植入式:由于原始審計信息是記錄在數(shù)據(jù)庫中的���,需要定期獲取到審計設(shè)備上���,這其中可能產(chǎn)生較大的延遲。另一方面��,開啟數(shù)據(jù)庫自審計功能本身會占用大量內(nèi)存�,如果遇到高壓力并發(fā)的情況,會拖慢數(shù)據(jù)處理能力�����,連累正常業(yè)務(wù)訪問����。
維度四:對存儲空間占用
1.旁路式:由于是鏡像方式獲取流量,對于審計產(chǎn)品本身的存儲優(yōu)化能力有一定要求,但不會影響數(shù)據(jù)庫服務(wù)器本身的存儲空間���,需要考量對比的是產(chǎn)品本身能否提供歸一化技術(shù)和壓縮存儲技術(shù)���,以節(jié)約存儲空間。
2.植入式:由于需要開啟自審計功能�,需要占用大量數(shù)據(jù)庫本身的存儲空間,如果同時缺乏SQL歸一技術(shù)����,那么在大數(shù)據(jù)處理情況下,數(shù)據(jù)庫本身的硬盤空間就會非常緊張�。
維度五:產(chǎn)品的易用性
1.旁路式:由于是基于數(shù)據(jù)庫流量的語句語法解析,可以自動識別并添加審計數(shù)據(jù)庫��;更專業(yè)的產(chǎn)品應(yīng)能夠基于解析結(jié)果�,從風(fēng)險、語句�、會話三個維度進行深度解析,維度之間相互關(guān)聯(lián)�����、多重鉆取分析�����,這樣用戶可以對數(shù)據(jù)庫的整體安全狀態(tài)有更直觀的判斷。
2.植入式:數(shù)據(jù)庫審計產(chǎn)品在注冊實例的時候����,需要手工輸入IP端口數(shù)據(jù)庫實例,還需要sys用戶及口令���,向數(shù)據(jù)庫中注冊用戶及程序。另一方面�,如果是基于正則式的規(guī)則配置,需要數(shù)據(jù)庫管理人員具備一定的技術(shù)能力��,深度參與規(guī)則和策略的配置定義��。
安華金和在開展審計產(chǎn)品研發(fā)之初��,便已排除了類似植入式的技術(shù)路線�,并將在數(shù)據(jù)庫防火墻產(chǎn)品研發(fā)中積累的SQL語句解析能力和細粒度規(guī)則管控能力等優(yōu)勢融入審計產(chǎn)品之中,通過與用戶的交互不斷提升產(chǎn)品的性能和易用性���,致力為用戶提供“免實施��、免維護�����、免培訓(xùn)”的成熟產(chǎn)品�����。
目前����,數(shù)據(jù)庫安全審計系統(tǒng)已成為安華金和演進程度最高的產(chǎn)品,并將來自客戶的直接需求納入產(chǎn)品功能的演進之中�����,不斷豐富數(shù)據(jù)庫審計產(chǎn)品的特性�,為這類成熟產(chǎn)品注入新的活力,持續(xù)提升產(chǎn)品對客戶的使用價值�����。
產(chǎn)品咨詢:4000 258 365 
