正確的產(chǎn)品選型����,意味著什么?
對(duì)于數(shù)據(jù)庫審計(jì)產(chǎn)品而言���,正確的選型將直接決定其在未來的應(yīng)用過程中能否真正發(fā)揮出審計(jì)的價(jià)值���!為了幫助廣大用戶更加合理地選擇符合自身需要的數(shù)據(jù)庫審計(jì)產(chǎn)品����,安華金和根據(jù)以往眾多項(xiàng)目中的選型經(jīng)驗(yàn)總結(jié),針對(duì)四點(diǎn)關(guān)鍵技術(shù)性指標(biāo)進(jìn)行分析����,并提出參考建議:
技術(shù)指標(biāo)一:準(zhǔn)確性
1、會(huì)影響數(shù)據(jù)庫審計(jì)準(zhǔn)確性的因素
· 數(shù)據(jù)庫系統(tǒng)的復(fù)雜性
大型數(shù)據(jù)庫系統(tǒng)的通訊協(xié)議是異常復(fù)雜的�����,為了進(jìn)行準(zhǔn)確的審計(jì)���,審計(jì)產(chǎn)品需要對(duì)各種數(shù)據(jù)庫通訊協(xié)議進(jìn)行分析����,以還原通訊包中的通訊協(xié)議結(jié)構(gòu)���,繼而準(zhǔn)確識(shí)別SQL語句�����、SQL句柄�、參數(shù)����、字符集等信息,技術(shù)的復(fù)雜性與困難度可想而知�����;
· 業(yè)務(wù)系統(tǒng)使用數(shù)據(jù)庫技術(shù)的復(fù)雜性
以銀行為例��,其業(yè)務(wù)系統(tǒng)通常由很多參數(shù)化語句組成���,且每個(gè)參數(shù)化語句對(duì)應(yīng)一個(gè)SQL游標(biāo)(又稱SQL句柄)�����,并使用SQL游標(biāo)和參數(shù)綁定來執(zhí)行命令�;在這種情況下��,審計(jì)產(chǎn)品必須準(zhǔn)確還原數(shù)據(jù)庫通訊協(xié)議包中的SQL游標(biāo)和Bind Variable的值�,同時(shí)將SQL游標(biāo)和參數(shù)化SQL語句準(zhǔn)確關(guān)聯(lián)還原,才能夠?qū)崿F(xiàn)準(zhǔn)確的審計(jì)�����;否則��,會(huì)因?yàn)闊o法識(shí)別通訊協(xié)議導(dǎo)致數(shù)據(jù)漏審,而一旦出現(xiàn)審計(jì)數(shù)據(jù)的大量漏審�,那么審計(jì)工作的價(jià)值便無從談起了����,就連合規(guī)監(jiān)測(cè)也會(huì)受到嚴(yán)重影響���。
2���、有效驗(yàn)證審計(jì)產(chǎn)品準(zhǔn)確性的方法
安華金和建議:在選型過程中��,盡量采取復(fù)制關(guān)鍵業(yè)務(wù)系統(tǒng)一段時(shí)間(最好是業(yè)務(wù)高峰期)的數(shù)據(jù)庫訪問網(wǎng)絡(luò)流量作為審計(jì)基準(zhǔn)流量包�,并通過重放審計(jì)基準(zhǔn)流量包�,對(duì)不同廠商所提供的數(shù)據(jù)庫審計(jì)產(chǎn)品進(jìn)行審計(jì)量和審計(jì)內(nèi)容準(zhǔn)確性的對(duì)比。這是非常有效的一種選型方式——因?yàn)樽钯N近業(yè)務(wù)��,所以也最能體現(xiàn)數(shù)據(jù)庫審計(jì)產(chǎn)品的審計(jì)準(zhǔn)確性和成熟度�����。
技術(shù)指標(biāo)二:性能
如果說“準(zhǔn)確性”是數(shù)據(jù)庫審計(jì)的“前提和基礎(chǔ)”�,那么“性能”就是衡量這一工作“完成效率”的重要指標(biāo)����。不過,判斷一款數(shù)據(jù)庫審計(jì)產(chǎn)品“性能”的好壞不能光看“表面”�,真實(shí)情況可能沒那么簡(jiǎn)單。
1�、性能瓶頸下的“錯(cuò)覺”
首先要強(qiáng)調(diào)的是,任何一款數(shù)據(jù)庫審計(jì)產(chǎn)品都存在性能瓶頸��;正因如此,用戶需要關(guān)注一種可能發(fā)生的情況�,即有些數(shù)據(jù)庫審計(jì)產(chǎn)品無論面對(duì)多么大的壓力測(cè)試,其資源消耗始終維持在一個(gè)基本不變的水平����,也未發(fā)出任何“壓力告警”提示信息;然而真實(shí)情況卻是���,丟失審計(jì)數(shù)據(jù)的情況已經(jīng)且正在發(fā)生�����,為什么會(huì)出現(xiàn)這種問題?往往是因?yàn)檫@類數(shù)據(jù)庫審計(jì)產(chǎn)品通過某些技術(shù)配置��,將超限的流量“默默丟棄掉”,以維持表面上的“性能錯(cuò)覺”��。
對(duì)此�,安華金和建議通過以下兩種方法進(jìn)行測(cè)試:
· 測(cè)試方法一
使用從生產(chǎn)系統(tǒng)通過流量復(fù)制獲得的基準(zhǔn)壓力測(cè)試流量包,并通過不同的壓力進(jìn)行流量包重放���,以觀察審計(jì)產(chǎn)品在何種的壓力下會(huì)出現(xiàn)較大規(guī)模的審計(jì)數(shù)據(jù)丟失情況����。
· 測(cè)試方式二
在相同壓力下,對(duì)多個(gè)審計(jì)產(chǎn)品進(jìn)行對(duì)比測(cè)試�;通過對(duì)比審計(jì)量,可較為清晰地看出不同審計(jì)產(chǎn)品的能力水平。
2���、不應(yīng)缺失的“超限告警”
由于數(shù)據(jù)庫審計(jì)產(chǎn)品采用旁路部署的方式�����,所以會(huì)在審計(jì)流量超限時(shí)��,保護(hù)性地丟棄無法處理的流量�;但是��,如果產(chǎn)品本身不具備較為準(zhǔn)確的超限告警能力�,用戶方面就無法及時(shí)知曉是否發(fā)生了流量超限的情況�����,也無從判斷是否出現(xiàn)了大規(guī)模審計(jì)數(shù)據(jù)丟失的問題��,更不可能依據(jù)流量超限的真實(shí)情況進(jìn)行準(zhǔn)確應(yīng)對(duì)�。所以說���,是否具備準(zhǔn)確的“超限告警”能力���,對(duì)判斷數(shù)據(jù)庫審計(jì)產(chǎn)品真實(shí)性能的具有重要意義。
技術(shù)指標(biāo)三:探針
隨著云和虛擬化環(huán)境的廣泛應(yīng)用����,需要通過部署審計(jì)探針來應(yīng)對(duì)上述無法進(jìn)行流量鏡像的場(chǎng)景���;正因如此�,探針的流量采集性能,以及部署探針對(duì)用戶主機(jī)資源�����、網(wǎng)絡(luò)資源的影響等�����,成為了數(shù)據(jù)庫審計(jì)產(chǎn)品選型的重要技術(shù)指標(biāo)之一。
1�、探針的流量采集性能
部署探針后,可通過壓力測(cè)試��,檢測(cè)其在審計(jì)流量發(fā)生較大規(guī)模丟失時(shí)的性能表現(xiàn)。
2�、探針的資源可調(diào)能力
探針的資源可調(diào)能力,主要是為解決以下兩種情況:
· 如果探針對(duì)資源占用不合理����,會(huì)嚴(yán)重影響服務(wù)器的業(yè)務(wù)處理能力;
· 探針需要復(fù)制數(shù)據(jù)庫流量并通過網(wǎng)絡(luò)傳輸至審計(jì)設(shè)備��,而這也意味著增加了一倍的數(shù)據(jù)庫流量�;如果對(duì)流量傳輸?shù)目刂撇缓侠恚蜁?huì)造成帶寬不足��,并嚴(yán)重影響服務(wù)器的業(yè)務(wù)處理能力���。
根據(jù)以上情況���,安華金和建議在數(shù)據(jù)庫審計(jì)產(chǎn)品選型時(shí)����,對(duì)審計(jì)探針是否具備“資源占用監(jiān)測(cè)及可調(diào)節(jié)能力”進(jìn)行重點(diǎn)考量:
· 探針支持自我調(diào)節(jié)能力����,可最大限度減少對(duì)數(shù)據(jù)庫服務(wù)器的影響����;可提供CPU、MEM��、帶寬等多種壓力識(shí)別檢測(cè)手段���,從而動(dòng)態(tài)調(diào)整對(duì)數(shù)據(jù)庫流量采集的配置參數(shù)�����;
· 可根據(jù)動(dòng)態(tài)閾值檢測(cè)機(jī)制調(diào)整探針工作狀態(tài),通過對(duì)不同級(jí)別限速(動(dòng)態(tài)限速)或休眠主動(dòng)掛起以降低對(duì)網(wǎng)絡(luò)帶寬的占用�,從而保證業(yè)務(wù)的正常進(jìn)行;
· 具有探針狀態(tài)監(jiān)控���、遠(yuǎn)程控制啟停等管理功能�����,從而在大規(guī)模、分布式項(xiàng)目部署大量探針的情況下�,能夠?qū)崿F(xiàn)集中監(jiān)測(cè)與管理。
技術(shù)指標(biāo)四:靈活性
要知道�����,不同的用戶有著不同的場(chǎng)景����、需求和痛點(diǎn)。從實(shí)用性的角度來看�����,是否能夠更加靈活地配置審計(jì)規(guī)則,幫助用戶更好地解決問題���,是對(duì)數(shù)據(jù)庫審計(jì)產(chǎn)品的一大考驗(yàn)����。安華金和建議從以下三點(diǎn)���,對(duì)數(shù)據(jù)庫審計(jì)產(chǎn)品的“靈活性”進(jìn)行考量:
(1)默認(rèn)情況下,產(chǎn)品進(jìn)行全流量審計(jì);
(2)如果需要根據(jù)用戶需求及其數(shù)據(jù)資產(chǎn)的重要性���、訪問邊界或區(qū)域等進(jìn)行有選擇性的審計(jì)工作�,則需要產(chǎn)品具備靈活的審計(jì)策略配置能力�。例如:可針對(duì)登錄行為(會(huì)話規(guī)則)和操作行為(操作規(guī)則)配置審計(jì)/不審計(jì)的規(guī)則;可支持包括訪問來源�、常用操作、指定對(duì)象操作在內(nèi)的豐富的規(guī)則項(xiàng)等�;
(3)當(dāng)有人在運(yùn)維區(qū)“批量查詢手機(jī)號(hào)”時(shí)����,需要數(shù)據(jù)庫審計(jì)產(chǎn)品能夠識(shí)別這一“風(fēng)險(xiǎn)操作”����,并實(shí)現(xiàn)對(duì)個(gè)人信息的訪問追溯和監(jiān)測(cè)——記錄下進(jìn)行風(fēng)險(xiǎn)操作人員的信息及其查詢過的全部手機(jī)號(hào),便于事后追溯及追責(zé)����、定責(zé);但是�,如果審計(jì)產(chǎn)品僅具備面向全局的“結(jié)果集審計(jì)”功能���,則會(huì)“無選擇性”地記錄所有SQL語句的結(jié)果集����,從而造成用戶存儲(chǔ)空間的極大浪費(fèi)����,并嚴(yán)重干擾審計(jì)工作的成效����。因此����,審計(jì)產(chǎn)品需要具備“按規(guī)則進(jìn)行結(jié)果集審計(jì)”的能力���,即支持設(shè)定“被規(guī)則條件命中后“再執(zhí)行結(jié)果集審計(jì)動(dòng)作的功能,而其他未被規(guī)則命中的SQL操作則不執(zhí)行�����。
【了解更多】
《安華金和數(shù)據(jù)庫安全審計(jì)系統(tǒng)》
《安華金和數(shù)據(jù)庫安全審計(jì)在銀行業(yè)復(fù)雜場(chǎng)景下的實(shí)踐》
《安華金和保障芯片制造領(lǐng)軍企業(yè)數(shù)據(jù)安全》
《安華金和防護(hù)上市企業(yè)數(shù)據(jù)庫防暴力破解安全》
產(chǎn)品咨詢:4000 258 365 
