正確的產(chǎn)品選型���,意味著什么��?
對于數(shù)據(jù)庫審計產(chǎn)品而言����,正確的選型將直接決定其在未來的應(yīng)用過程中能否真正發(fā)揮出審計的價值�!為了幫助廣大用戶更加合理地選擇符合自身需要的數(shù)據(jù)庫審計產(chǎn)品��,安華金和根據(jù)以往眾多項目中的選型經(jīng)驗(yàn)總結(jié)�����,針對四點(diǎn)關(guān)鍵技術(shù)性指標(biāo)進(jìn)行分析�,并提出參考建議:
技術(shù)指標(biāo)一:準(zhǔn)確性
1�、會影響數(shù)據(jù)庫審計準(zhǔn)確性的因素
· 數(shù)據(jù)庫系統(tǒng)的復(fù)雜性
大型數(shù)據(jù)庫系統(tǒng)的通訊協(xié)議是異常復(fù)雜的,為了進(jìn)行準(zhǔn)確的審計���,審計產(chǎn)品需要對各種數(shù)據(jù)庫通訊協(xié)議進(jìn)行分析,以還原通訊包中的通訊協(xié)議結(jié)構(gòu)����,繼而準(zhǔn)確識別SQL語句、SQL句柄�、參數(shù)、字符集等信息�,技術(shù)的復(fù)雜性與困難度可想而知;
· 業(yè)務(wù)系統(tǒng)使用數(shù)據(jù)庫技術(shù)的復(fù)雜性
以銀行為例���,其業(yè)務(wù)系統(tǒng)通常由很多參數(shù)化語句組成���,且每個參數(shù)化語句對應(yīng)一個SQL游標(biāo)(又稱SQL句柄)���,并使用SQL游標(biāo)和參數(shù)綁定來執(zhí)行命令;在這種情況下���,審計產(chǎn)品必須準(zhǔn)確還原數(shù)據(jù)庫通訊協(xié)議包中的SQL游標(biāo)和Bind Variable的值����,同時將SQL游標(biāo)和參數(shù)化SQL語句準(zhǔn)確關(guān)聯(lián)還原�����,才能夠?qū)崿F(xiàn)準(zhǔn)確的審計����;否則,會因?yàn)闊o法識別通訊協(xié)議導(dǎo)致數(shù)據(jù)漏審�,而一旦出現(xiàn)審計數(shù)據(jù)的大量漏審,那么審計工作的價值便無從談起了�����,就連合規(guī)監(jiān)測也會受到嚴(yán)重影響���。
2�����、有效驗(yàn)證審計產(chǎn)品準(zhǔn)確性的方法
安華金和建議:在選型過程中��,盡量采取復(fù)制關(guān)鍵業(yè)務(wù)系統(tǒng)一段時間(最好是業(yè)務(wù)高峰期)的數(shù)據(jù)庫訪問網(wǎng)絡(luò)流量作為審計基準(zhǔn)流量包�����,并通過重放審計基準(zhǔn)流量包����,對不同廠商所提供的數(shù)據(jù)庫審計產(chǎn)品進(jìn)行審計量和審計內(nèi)容準(zhǔn)確性的對比。這是非常有效的一種選型方式——因?yàn)樽钯N近業(yè)務(wù)��,所以也最能體現(xiàn)數(shù)據(jù)庫審計產(chǎn)品的審計準(zhǔn)確性和成熟度�����。
技術(shù)指標(biāo)二:性能
如果說“準(zhǔn)確性”是數(shù)據(jù)庫審計的“前提和基礎(chǔ)”���,那么“性能”就是衡量這一工作“完成效率”的重要指標(biāo)。不過�����,判斷一款數(shù)據(jù)庫審計產(chǎn)品“性能”的好壞不能光看“表面”,真實(shí)情況可能沒那么簡單�����。
1�����、性能瓶頸下的“錯覺”
首先要強(qiáng)調(diào)的是�,任何一款數(shù)據(jù)庫審計產(chǎn)品都存在性能瓶頸;正因如此���,用戶需要關(guān)注一種可能發(fā)生的情況��,即有些數(shù)據(jù)庫審計產(chǎn)品無論面對多么大的壓力測試��,其資源消耗始終維持在一個基本不變的水平�����,也未發(fā)出任何“壓力告警”提示信息���;然而真實(shí)情況卻是,丟失審計數(shù)據(jù)的情況已經(jīng)且正在發(fā)生��,為什么會出現(xiàn)這種問題?往往是因?yàn)檫@類數(shù)據(jù)庫審計產(chǎn)品通過某些技術(shù)配置���,將超限的流量“默默丟棄掉”��,以維持表面上的“性能錯覺”����。
對此�����,安華金和建議通過以下兩種方法進(jìn)行測試:
· 測試方法一
使用從生產(chǎn)系統(tǒng)通過流量復(fù)制獲得的基準(zhǔn)壓力測試流量包����,并通過不同的壓力進(jìn)行流量包重放,以觀察審計產(chǎn)品在何種的壓力下會出現(xiàn)較大規(guī)模的審計數(shù)據(jù)丟失情況�。
· 測試方式二
在相同壓力下,對多個審計產(chǎn)品進(jìn)行對比測試�����;通過對比審計量��,可較為清晰地看出不同審計產(chǎn)品的能力水平�����。
2����、不應(yīng)缺失的“超限告警”
由于數(shù)據(jù)庫審計產(chǎn)品采用旁路部署的方式,所以會在審計流量超限時��,保護(hù)性地丟棄無法處理的流量�����;但是����,如果產(chǎn)品本身不具備較為準(zhǔn)確的超限告警能力,用戶方面就無法及時知曉是否發(fā)生了流量超限的情況�,也無從判斷是否出現(xiàn)了大規(guī)模審計數(shù)據(jù)丟失的問題,更不可能依據(jù)流量超限的真實(shí)情況進(jìn)行準(zhǔn)確應(yīng)對�。所以說,是否具備準(zhǔn)確的“超限告警”能力�����,對判斷數(shù)據(jù)庫審計產(chǎn)品真實(shí)性能的具有重要意義。
技術(shù)指標(biāo)三:探針
隨著云和虛擬化環(huán)境的廣泛應(yīng)用��,需要通過部署審計探針來應(yīng)對上述無法進(jìn)行流量鏡像的場景�����;正因如此��,探針的流量采集性能��,以及部署探針對用戶主機(jī)資源�、網(wǎng)絡(luò)資源的影響等,成為了數(shù)據(jù)庫審計產(chǎn)品選型的重要技術(shù)指標(biāo)之一�。
1、探針的流量采集性能
部署探針后��,可通過壓力測試����,檢測其在審計流量發(fā)生較大規(guī)模丟失時的性能表現(xiàn)。
2����、探針的資源可調(diào)能力
探針的資源可調(diào)能力,主要是為解決以下兩種情況:
· 如果探針對資源占用不合理����,會嚴(yán)重影響服務(wù)器的業(yè)務(wù)處理能力;
· 探針需要復(fù)制數(shù)據(jù)庫流量并通過網(wǎng)絡(luò)傳輸至審計設(shè)備����,而這也意味著增加了一倍的數(shù)據(jù)庫流量;如果對流量傳輸?shù)目刂撇缓侠?�,就會造成帶寬不足�����,并?yán)重影響服務(wù)器的業(yè)務(wù)處理能力�。
根據(jù)以上情況,安華金和建議在數(shù)據(jù)庫審計產(chǎn)品選型時���,對審計探針是否具備“資源占用監(jiān)測及可調(diào)節(jié)能力”進(jìn)行重點(diǎn)考量:
· 探針支持自我調(diào)節(jié)能力�,可最大限度減少對數(shù)據(jù)庫服務(wù)器的影響����;可提供CPU、MEM�、帶寬等多種壓力識別檢測手段,從而動態(tài)調(diào)整對數(shù)據(jù)庫流量采集的配置參數(shù)����;
· 可根據(jù)動態(tài)閾值檢測機(jī)制調(diào)整探針工作狀態(tài)���,通過對不同級別限速(動態(tài)限速)或休眠主動掛起以降低對網(wǎng)絡(luò)帶寬的占用,從而保證業(yè)務(wù)的正常進(jìn)行��;
· 具有探針狀態(tài)監(jiān)控����、遠(yuǎn)程控制啟停等管理功能,從而在大規(guī)模��、分布式項目部署大量探針的情況下�����,能夠?qū)崿F(xiàn)集中監(jiān)測與管理����。
技術(shù)指標(biāo)四:靈活性
要知道,不同的用戶有著不同的場景�、需求和痛點(diǎn)。從實(shí)用性的角度來看��,是否能夠更加靈活地配置審計規(guī)則�����,幫助用戶更好地解決問題,是對數(shù)據(jù)庫審計產(chǎn)品的一大考驗(yàn)���。安華金和建議從以下三點(diǎn),對數(shù)據(jù)庫審計產(chǎn)品的“靈活性”進(jìn)行考量:
(1)默認(rèn)情況下�,產(chǎn)品進(jìn)行全流量審計;
(2)如果需要根據(jù)用戶需求及其數(shù)據(jù)資產(chǎn)的重要性����、訪問邊界或區(qū)域等進(jìn)行有選擇性的審計工作,則需要產(chǎn)品具備靈活的審計策略配置能力����。例如:可針對登錄行為(會話規(guī)則)和操作行為(操作規(guī)則)配置審計/不審計的規(guī)則;可支持包括訪問來源��、常用操作���、指定對象操作在內(nèi)的豐富的規(guī)則項等�����;
(3)當(dāng)有人在運(yùn)維區(qū)“批量查詢手機(jī)號”時��,需要數(shù)據(jù)庫審計產(chǎn)品能夠識別這一“風(fēng)險操作”��,并實(shí)現(xiàn)對個人信息的訪問追溯和監(jiān)測——記錄下進(jìn)行風(fēng)險操作人員的信息及其查詢過的全部手機(jī)號�����,便于事后追溯及追責(zé)��、定責(zé)�����;但是�����,如果審計產(chǎn)品僅具備面向全局的“結(jié)果集審計”功能�,則會“無選擇性”地記錄所有SQL語句的結(jié)果集,從而造成用戶存儲空間的極大浪費(fèi)��,并嚴(yán)重干擾審計工作的成效�����。因此�,審計產(chǎn)品需要具備“按規(guī)則進(jìn)行結(jié)果集審計”的能力��,即支持設(shè)定“被規(guī)則條件命中后“再執(zhí)行結(jié)果集審計動作的功能�����,而其他未被規(guī)則命中的SQL操作則不執(zhí)行��。
【了解更多】
《安華金和數(shù)據(jù)庫安全審計系統(tǒng)》
《安華金和數(shù)據(jù)庫安全審計在銀行業(yè)復(fù)雜場景下的實(shí)踐》
《安華金和保障芯片制造領(lǐng)軍企業(yè)數(shù)據(jù)安全》
《安華金和防護(hù)上市企業(yè)數(shù)據(jù)庫防暴力破解安全》
產(chǎn)品咨詢:4000 258 365 
