如果說數(shù)據(jù)庫安全審計已成為數(shù)據(jù)庫安全領(lǐng)域應(yīng)用十分廣泛���,用戶接受度很高的產(chǎn)品��,應(yīng)該沒有人會否認��。目前�,市場上的數(shù)據(jù)庫審計產(chǎn)品多以旁路鏡像部署方式為主��,但也有廠商采用植入式部署的方式����,雖然兩者都可以對數(shù)據(jù)庫訪問行為進行審計,但在審計效果和用戶體驗上卻存在顯著差異���。安華金和建議廣大用戶:在產(chǎn)品選型時���,應(yīng)更加關(guān)注產(chǎn)品的核心技術(shù)路線,選擇更適合的產(chǎn)品�����。
安華金和在下文將通過對數(shù)據(jù)庫審計市場上兩類技術(shù)路線的對比分析,分從審計結(jié)果全面性����、審計結(jié)果準(zhǔn)確性、檢索及入庫速度����、對存儲空間占用、產(chǎn)品的易用性五個衡量維度�����,呈現(xiàn)產(chǎn)品的功能和價值����,為廣大用戶提供產(chǎn)品選型的參考依據(jù):
【三個方式上的不同】
【五個維度上的差異】
維度一:審計結(jié)果全面性
1.旁路式:通過鏡像流量或探針的方式進行全流量采集,基于全量數(shù)據(jù)庫流量進行語句和會話分析�����,再通過對sql語句的協(xié)議解析�����,能夠?qū)徲嫷娇蛻舳诵畔?���,返回結(jié)果集。這種采集方式首先對數(shù)據(jù)庫類型不挑剔��,均可支持�����,并且能夠?qū)徲嫷狡胀ㄓ脩艉统売脩舻脑L問行為�。
2.植入式:屬于注冊代理程序的“侵入式”審計,利用數(shù)據(jù)庫的自審計插件(如Oracle的FGAC插件)���,讀取數(shù)據(jù)庫自審計日志����,依賴的是數(shù)據(jù)庫自身審計能力��。如果數(shù)據(jù)庫自身不具備審計能力�����,那么這類數(shù)據(jù)庫審計產(chǎn)品就無法支持對此類型數(shù)據(jù)庫的審計;而且數(shù)據(jù)庫自身審計功能一般只提供增����、刪、改�����、查語句和部分數(shù)據(jù)定義語句�����,無法提供全操作類型的審計�,也無法完整審計結(jié)果集。
維度二:審計結(jié)果準(zhǔn)確性
1.旁路式:由于是基于全流量的審計��,如果能配合sql語句的協(xié)議解析和特征捕獲等技術(shù)��,可以準(zhǔn)確關(guān)聯(lián)語句和會話��,進行精確的審計結(jié)果查詢分析能力�����;準(zhǔn)確關(guān)聯(lián)應(yīng)用用戶與SQL語句�,實現(xiàn)對業(yè)務(wù)行為的審計��。在此基礎(chǔ)上形成的規(guī)則庫�����,能夠更準(zhǔn)確的識別風(fēng)險訪問及漏洞攻擊行為。
2.植入式:由于是基于正則表達式完成SQL語句規(guī)則�����,無法基于通訊協(xié)議解析命中語句規(guī)則����,在實際工作中,會導(dǎo)致語句和會話無法關(guān)聯(lián)����,不能按照會話進行語句梳理匯總,那么會缺乏連貫分析能力���;并且�����,由于不是基于流量和協(xié)議的SQL語句解析��,對于目前用戶普遍要求的應(yīng)用關(guān)聯(lián)審計�,也無法實現(xiàn)。
維度三:檢索及入庫速度
1.旁路式:旁路鏡像流量的方式對應(yīng)用到數(shù)據(jù)庫的訪問完全透明�,不會產(chǎn)生影響,這也是安華金和以及目前市面上大多數(shù)審計廠商選擇旁路鏡像方式����,配合精確SQL解析技術(shù)來實現(xiàn)審計高可用性的主要原因之一。
2.植入式:由于原始審計信息是記錄在數(shù)據(jù)庫中的�����,需要定期獲取到審計設(shè)備上��,這其中可能產(chǎn)生較大的延遲����。另一方面,開啟數(shù)據(jù)庫自審計功能本身會占用大量內(nèi)存�,如果遇到高壓力并發(fā)的情況,會拖慢數(shù)據(jù)處理能力���,連累正常業(yè)務(wù)訪問���。
維度四:對存儲空間占用
1.旁路式:由于是鏡像方式獲取流量�,對于審計產(chǎn)品本身的存儲優(yōu)化能力有一定要求��,但不會影響數(shù)據(jù)庫服務(wù)器本身的存儲空間�,需要考量對比的是產(chǎn)品本身能否提供歸一化技術(shù)和壓縮存儲技術(shù),以節(jié)約存儲空間�。
2.植入式:由于需要開啟自審計功能�����,需要占用大量數(shù)據(jù)庫本身的存儲空間�����,如果同時缺乏SQL歸一技術(shù)�,那么在大數(shù)據(jù)處理情況下,數(shù)據(jù)庫本身的硬盤空間就會非常緊張��。
維度五:產(chǎn)品的易用性
1.旁路式:由于是基于數(shù)據(jù)庫流量的語句語法解析�,可以自動識別并添加審計數(shù)據(jù)庫;更專業(yè)的產(chǎn)品應(yīng)能夠基于解析結(jié)果����,從風(fēng)險、語句���、會話三個維度進行深度解析���,維度之間相互關(guān)聯(lián)����、多重鉆取分析�����,這樣用戶可以對數(shù)據(jù)庫的整體安全狀態(tài)有更直觀的判斷���。
2.植入式:數(shù)據(jù)庫審計產(chǎn)品在注冊實例的時候��,需要手工輸入IP端口數(shù)據(jù)庫實例�,還需要sys用戶及口令���,向數(shù)據(jù)庫中注冊用戶及程序����。另一方面����,如果是基于正則式的規(guī)則配置�,需要數(shù)據(jù)庫管理人員具備一定的技術(shù)能力����,深度參與規(guī)則和策略的配置定義。
安華金和在開展審計產(chǎn)品研發(fā)之初���,便已排除了類似植入式的技術(shù)路線���,并將在數(shù)據(jù)庫防火墻產(chǎn)品研發(fā)中積累的SQL語句解析能力和細粒度規(guī)則管控能力等優(yōu)勢融入審計產(chǎn)品之中��,通過與用戶的交互不斷提升產(chǎn)品的性能和易用性���,致力為用戶提供“免實施���、免維護、免培訓(xùn)”的成熟產(chǎn)品���。
目前����,數(shù)據(jù)庫安全審計系統(tǒng)已成為安華金和演進程度最高的產(chǎn)品�,并將來自客戶的直接需求納入產(chǎn)品功能的演進之中����,不斷豐富數(shù)據(jù)庫審計產(chǎn)品的特性���,為這類成熟產(chǎn)品注入新的活力��,持續(xù)提升產(chǎn)品對客戶的使用價值���。
產(chǎn)品咨詢:4000 258 365 
