強(qiáng)化審計(jì)與風(fēng)險(xiǎn)控制應(yīng)對(duì)數(shù)據(jù)庫安全挑戰(zhàn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)的數(shù)據(jù)庫信息價(jià)值及可訪問性得到了提升，同時(shí)，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，概括起來主要表現(xiàn)在以下三個(gè)層面：

·管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無法追溯并定位真實(shí)的操作者。

·技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任何安全工具(比如：防火墻、IDS、IPS等)來阻止內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機(jī)密信息等行為。

·審計(jì)層面：現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計(jì)方法，存在諸多的弊端,比如:數(shù)據(jù)庫審計(jì)功能的開啟會(huì)影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息的真實(shí)性。

伴隨著數(shù)據(jù)庫信息價(jià)值以及可訪問性提升，使得數(shù)據(jù)庫面對(duì)來自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無法有效追溯和審計(jì)。

數(shù)據(jù)庫審計(jì)的客觀需求

數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制的目的概括來說主要是三個(gè)方面：一是確保數(shù)據(jù)的完整性;二是讓管理者全面了解數(shù)據(jù)庫實(shí)際發(fā)生的情況;三是在可疑行為發(fā)生時(shí)可以自動(dòng)啟動(dòng)預(yù)先設(shè)置的告警流程，防范數(shù)據(jù)庫風(fēng)險(xiǎn)的發(fā)生。因此，如何采取一種可信賴的綜合途徑，確保數(shù)據(jù)庫活動(dòng)記錄的100%捕獲是極為重要的，任何一種遺漏關(guān)鍵活動(dòng)的行為，都會(huì)導(dǎo)致數(shù)據(jù)庫安全上的錯(cuò)誤判斷，并且干擾數(shù)據(jù)庫在運(yùn)行時(shí)的性能。只有充分理解企業(yè)對(duì)數(shù)據(jù)庫安全審計(jì)的客觀需求，才能夠給出行之有效的解決方案：

·捕捉數(shù)據(jù)訪問：不論在什么時(shí)間、以什么方式、只要數(shù)據(jù)被修改或查看了就需要自動(dòng)對(duì)其進(jìn)行追蹤;

·捕捉數(shù)據(jù)庫配置變化：當(dāng)“數(shù)據(jù)庫表結(jié)構(gòu)、控制數(shù)據(jù)訪問的權(quán)限和數(shù)據(jù)庫配置模式”等發(fā)生變化時(shí)，需要進(jìn)行自動(dòng)追蹤;

·自動(dòng)防御：當(dāng)探測(cè)到值得注意的情況時(shí)，需要自動(dòng)啟動(dòng)事先設(shè)置的告警策略，以便數(shù)據(jù)庫安全管理員及時(shí)采取有效應(yīng)對(duì)措施，對(duì)于嚴(yán)重影響業(yè)務(wù)運(yùn)行的高風(fēng)險(xiǎn)行為甚至可以立即阻斷;

·審計(jì)策略的靈活配置和管理：提供一種直截了當(dāng)?shù)姆椒▉砼渲盟心繕?biāo)服務(wù)器的審計(jì)形式、具體說明關(guān)注的活動(dòng)以及風(fēng)險(xiǎn)來臨時(shí)采取的動(dòng)作;

·審計(jì)記錄的管理：將從多個(gè)層面追蹤到的信息自動(dòng)整合到一個(gè)便于管理的，長期通用的數(shù)據(jù)存儲(chǔ)中，且這些數(shù)據(jù)需要獨(dú)立于被審計(jì)數(shù)據(jù)庫本身;

·靈活的報(bào)告生成：臨時(shí)和周期性地以各種格式輸出審計(jì)分析結(jié)果，用于顯示、打印和傳輸;

現(xiàn)有的數(shù)據(jù)庫審計(jì)解決方案的不足

傳統(tǒng)的審計(jì)方案，或多或少存在一些缺陷，主要表現(xiàn)在以下幾個(gè)方面：

·傳統(tǒng)網(wǎng)絡(luò)安全方案：依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)(IPS)，在網(wǎng)絡(luò)中檢查并實(shí)施數(shù)據(jù)庫訪問控制策略。但是網(wǎng)絡(luò)防火墻只能實(shí)現(xiàn)對(duì)IP地址、端口及協(xié)議的訪問控制，無法識(shí)別特定用戶的具體數(shù)據(jù)庫活動(dòng)(比如：某個(gè)用戶使用數(shù)據(jù)庫客戶端刪除某張數(shù)據(jù)庫表);而IPS雖然可以依賴特征庫有限阻止數(shù)據(jù)庫軟件已知漏洞的攻擊，但他同樣無法判別具體的數(shù)據(jù)庫用戶活動(dòng)，更談不上細(xì)粒度的審計(jì)。因此，無論是防火墻，還是IPS都不能解決數(shù)據(jù)庫特權(quán)濫用等問題。

·基于日志收集方案：需要數(shù)據(jù)庫軟件本身開啟審計(jì)功能，通過采集數(shù)據(jù)庫系統(tǒng)日志信息的方法形成審計(jì)報(bào)告，這樣的審計(jì)方案受限于數(shù)據(jù)庫的審計(jì)日志功能和訪問控制功能，在審計(jì)深度、審計(jì)響應(yīng)的實(shí)時(shí)性方面都難以獲得很好的審計(jì)效果。同時(shí)，開啟數(shù)據(jù)庫審計(jì)功能，一方面會(huì)增加數(shù)據(jù)庫服務(wù)器的資源消耗，嚴(yán)重影響數(shù)據(jù)庫性能;另一方面審計(jì)信息的真實(shí)性、完整性也無法保證。

·其他諸如應(yīng)用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認(rèn)證系統(tǒng)授權(quán)等等方式，均只能記錄有限的信息，更加無法提供細(xì)料度的數(shù)據(jù)庫操作審計(jì)。（IT專家網(wǎng)）