網(wǎng)絡(luò)監(jiān)聽(tīng)成數(shù)據(jù)庫(kù)安全審計(jì)的最佳手段(2)

常見(jiàn)的安全審計(jì)技術(shù)主要有四類

分別是：基于日志的審計(jì)技術(shù)、基于代理的審計(jì)技術(shù)、基于網(wǎng)絡(luò)監(jiān)聽(tīng)的審計(jì)技術(shù)、基于網(wǎng)關(guān)的審計(jì)技術(shù)。

1.基于日志的審計(jì)技術(shù)：該技術(shù)通常是通過(guò)數(shù)據(jù)庫(kù)自身功能實(shí)現(xiàn)，Oracle、DB2等主流數(shù)據(jù)庫(kù)，均具備自身審計(jì)功能，通過(guò)配置數(shù)據(jù)庫(kù)的自審計(jì)功能，即可實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的審計(jì)，其典型部署示意圖如圖2所示：

圖2 日志審計(jì)技術(shù)部署示意

該技術(shù)能夠?qū)W(wǎng)絡(luò)操作及本地操作數(shù)據(jù)庫(kù)的行為進(jìn)行審計(jì)，由于依托于現(xiàn)有數(shù)據(jù)庫(kù)管理系統(tǒng)，因此兼容性很好。

但這種審計(jì)技術(shù)的缺點(diǎn)也比較明顯。首先，在數(shù)據(jù)庫(kù)系統(tǒng)上開(kāi)啟自身日志審計(jì)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的性能就有影響，特別是在大流量情況下，損耗較大;其次，日志審計(jì)記錄的細(xì)粒度上差，缺少一些關(guān)鍵信息，比如源IP、SQL語(yǔ)句等等，審計(jì)溯源效果不好，最后就是日志審計(jì)需要到每一臺(tái)被審計(jì)主機(jī)上進(jìn)行配置和查看，較難進(jìn)行統(tǒng)一的審計(jì)策略配置和日志分析。

2.基于代理的審計(jì)技術(shù)：該技術(shù)是通過(guò)在數(shù)據(jù)庫(kù)系統(tǒng)上安裝相應(yīng)的審計(jì)Agent，在Agent上實(shí)現(xiàn)審計(jì)策略的配置和日志的采集，常見(jiàn)的產(chǎn)品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產(chǎn)品，其典型部署示意圖如圖3所示：

圖3 代理審計(jì)技術(shù)部署示意

該技術(shù)與日志審計(jì)技術(shù)比較類似，最大的不同是需要在被審計(jì)主機(jī)上安裝代理程序。代理審計(jì)技術(shù)從審計(jì)粒度上要優(yōu)于日志審計(jì)技術(shù)，但是性能上的損耗是要大于日志審計(jì)技術(shù)，因?yàn)閿?shù)據(jù)庫(kù)系統(tǒng)廠商未公開(kāi)細(xì)節(jié)，由數(shù)據(jù)庫(kù)廠商提供的代理審計(jì)類產(chǎn)品對(duì)自有數(shù)據(jù)庫(kù)系統(tǒng)的兼容性較好，但是在跨數(shù)據(jù)庫(kù)系統(tǒng)的支持上，比如要同時(shí)審計(jì)Oracle和DB2時(shí)，存在一定的兼容性風(fēng)險(xiǎn)。同時(shí)由于在引入代理審計(jì)后，原數(shù)據(jù)庫(kù)系統(tǒng)的穩(wěn)定性、可靠性、性能或多或少都會(huì)有一些影響，實(shí)際的應(yīng)用面較窄。

3.基于網(wǎng)絡(luò)監(jiān)聽(tīng)的審計(jì)技術(shù)：該技術(shù)是通過(guò)將對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)流鏡像到交換機(jī)某一個(gè)端口，然后通過(guò)專用硬件設(shè)備對(duì)該端口流量進(jìn)行分析和還原，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的審計(jì)。其典型部署示意圖如圖4所示：　

圖4 網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)部署示意

該技術(shù)最大的優(yōu)點(diǎn)就是與現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)無(wú)關(guān)，部署過(guò)程不會(huì)給數(shù)據(jù)庫(kù)系統(tǒng)帶來(lái)性能上的負(fù)擔(dān)，即使是出現(xiàn)故障也不會(huì)影響數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)行，具備易部署、無(wú)風(fēng)險(xiǎn)的特點(diǎn);但是，其部署的實(shí)現(xiàn)原理決定了網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)在針對(duì)加密協(xié)議時(shí)，只能實(shí)現(xiàn)到會(huì)話級(jí)別審計(jì)(即可以審計(jì)到時(shí)間、源IP、源端口、目的IP、目的端口等信息)，而沒(méi)法對(duì)內(nèi)容進(jìn)行審計(jì)。不過(guò)在絕大多數(shù)業(yè)務(wù)環(huán)境下，因?yàn)閿?shù)據(jù)庫(kù)系統(tǒng)對(duì)業(yè)務(wù)性能的要求是遠(yuǎn)高于對(duì)數(shù)據(jù)傳輸加密的要求，很少有采用加密通訊方式訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)端口的情況，故網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)在實(shí)際的數(shù)據(jù)庫(kù)審計(jì)項(xiàng)目中應(yīng)用非常廣泛。

4.基于網(wǎng)關(guān)的審計(jì)技術(shù)：該技術(shù)是通過(guò)在數(shù)據(jù)庫(kù)系統(tǒng)前部署網(wǎng)關(guān)設(shè)備，通過(guò)在線截獲并轉(zhuǎn)發(fā)到數(shù)據(jù)庫(kù)的流量而實(shí)現(xiàn)審計(jì)，其典型部署示意圖如圖5所示：　

圖5 網(wǎng)關(guān)審計(jì)技術(shù)部署示意

該技術(shù)是起源于安全審計(jì)在互聯(lián)網(wǎng)審計(jì)中的應(yīng)用，在互聯(lián)網(wǎng)環(huán)境中，審計(jì)過(guò)程除了記錄以外，還需要關(guān)注控制，而網(wǎng)絡(luò)監(jiān)聽(tīng)方式無(wú)法實(shí)現(xiàn)很好的控制效果，故多數(shù)互聯(lián)網(wǎng)審計(jì)廠商選擇通過(guò)串行的方式來(lái)實(shí)現(xiàn)控制。在應(yīng)用過(guò)程中，這種技術(shù)實(shí)現(xiàn)方式開(kāi)始在數(shù)據(jù)庫(kù)環(huán)境中使用，不過(guò)由于數(shù)據(jù)庫(kù)環(huán)境存在流量大、業(yè)務(wù)連續(xù)性要求高、可靠性要求高的特點(diǎn)，與互聯(lián)網(wǎng)環(huán)境大相徑庭，故這種網(wǎng)關(guān)審計(jì)技術(shù)往往主要運(yùn)用在對(duì)數(shù)據(jù)庫(kù)運(yùn)維審計(jì)的情況下，不能完全覆蓋所有對(duì)數(shù)據(jù)庫(kù)訪問(wèn)行為的審計(jì)。

通過(guò)對(duì)以上四種技術(shù)的分析，在進(jìn)行數(shù)據(jù)庫(kù)審計(jì)技術(shù)方案的選擇時(shí)，我們遵循的根本原

則建議是：

1.業(yè)務(wù)保障原則：安全建設(shè)的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，必須保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。

2.結(jié)構(gòu)簡(jiǎn)化原則：安全建設(shè)的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加安全，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個(gè)安全防護(hù)體系的管理、執(zhí)行和維護(hù)。

3.生命周期原則：安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化;系統(tǒng)應(yīng)具備適度的靈活性和擴(kuò)展性。

根據(jù)通常情況下用戶業(yè)務(wù)系統(tǒng)7*24小時(shí)不間斷運(yùn)行的特點(diǎn)，從穩(wěn)定性、可靠性、可用

性等多方面進(jìn)行考慮，特別是技術(shù)方案的選擇不應(yīng)對(duì)現(xiàn)有系統(tǒng)造成影響，建議用戶朋友優(yōu)選采用網(wǎng)絡(luò)監(jiān)聽(tīng)審計(jì)技術(shù)來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的審計(jì)。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]