論數(shù)據(jù)庫安全審計(jì)系統(tǒng)建設(shè)的可行性

盧萬根

摘 要 根據(jù)《讇仔幸敵畔⑾低橙媸嶗砣嬲鋃先婕庸坦ぷ髦改稀芬螅誶捌謔嶗斫峁幕∩轄岷稀秬讇仔幸敵畔⑾低車燃侗;ぐ踩ㄉ枵鬧副曷涫登榭鱟圓欏罰孕畔⑾低車燃侗;ご銼昵榭黿惺嶗矸治霾⒄業(yè)講罹轡侍猓貝有畔⑾低場(chǎng)拔宸饋蹦芰?、瘦?つ芰Α踩誦屑囁嗇芰Α⒅С嘔肪潮U夏芰Α踩芾砘?、运诬理活l攘霾忝娼姓鋃希繁U易加跋煨畔⑾低嘲踩榷ㄔ誦械奈侍餳霸蠆⒊醪街貧└饗釵侍獾惱慕ㄒ欏K孀牌笠敵畔⑾低嘲踩ㄉ韞ぷ韉撓行蟯平蒞踩椎逼涑澹綰偽Vな蒞踩⑷綰畏婪妒菪孤┦悄殼捌笠敵畔踩ぷ髦惺滓媼俚奈侍?。?/p>

關(guān)鍵詞 數(shù)據(jù)庫 安全審計(jì)系統(tǒng)建設(shè)

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A

根據(jù)《讇仔幸敵畔⑾低橙媸嶗砣嬲鋃先婕庸坦ぷ髦改稀芬螅誶捌謔嶗斫峁幕∩轄岷稀秬讇仔幸敵畔⑾低車燃侗;ぐ踩ㄉ枵鬧副曷涫登榭鱟圓欏罰孕畔⑾低車燃侗;ご銼昵榭黿惺嶗矸治霾⒄業(yè)講罹轡侍猓貝有畔⑾低場(chǎng)拔宸饋蹦芰?、瘦?つ芰Α踩誦屑囁嗇芰Α⒅С嘔肪潮U夏芰Α踩芾砘?、运诬理活l攘霾忝娼姓鋃希繁U易加跋煨畔⑾低嘲踩榷ㄔ誦械奈侍餳霸蠆⒊醪街貧└饗釵侍獾惱慕ㄒ欏？

緊跟行業(yè)步伐，結(jié)合信息安全檢查和信息系統(tǒng)安全建設(shè)要求，進(jìn)行建設(shè)情況梳理，尋找差距，分析出目前數(shù)據(jù)安全工作需要進(jìn)一步加強(qiáng)的薄弱環(huán)節(jié)即數(shù)據(jù)有效防護(hù)，況且數(shù)據(jù)防護(hù)是信息安全工作中必不可少的一個(gè)環(huán)節(jié)。隨著信息安全工作的不斷有序推進(jìn)，數(shù)據(jù)安全首當(dāng)其沖，如何保證數(shù)據(jù)安全、如何防范數(shù)據(jù)泄漏是目前企業(yè)信息安全工作中首要面臨的問題。

1建設(shè)的必要性

根據(jù)企業(yè)的信息安全建設(shè)規(guī)劃，即從技術(shù)和管理兩個(gè)層面加強(qiáng)企業(yè)的信息安全建設(shè)，信息安全規(guī)劃在數(shù)據(jù)保護(hù)、運(yùn)行監(jiān)控、安全管理、運(yùn)維管理等方面保證企業(yè)在生產(chǎn)經(jīng)營過程中的信息安全需求，再結(jié)合行業(yè)對(duì)數(shù)據(jù)安全的要求，得出該項(xiàng)目的建設(shè)原因主要分為兩個(gè)方面：即自身的安全需求和行業(yè)的檢查要求。

2項(xiàng)目需求

2.1現(xiàn)狀分析

目前企業(yè)是典型的三層網(wǎng)絡(luò)架構(gòu)，之前部署了入侵檢測(cè)系統(tǒng)，通過入侵檢測(cè)系統(tǒng)對(duì)來自互聯(lián)網(wǎng)的流量進(jìn)行分析，進(jìn)行攻擊檢測(cè)，但是對(duì)數(shù)據(jù)庫區(qū)域不能進(jìn)行有效的數(shù)據(jù)安全防護(hù)，無法對(duì)數(shù)據(jù)進(jìn)行泄露防護(hù)。

2.2行業(yè)信息安全檢查工作和自身信息系統(tǒng)安全建設(shè)情況

根據(jù)行業(yè)信息安全檢查要求，對(duì)本企業(yè)進(jìn)行安全梳理，尋找問題和差距，梳理發(fā)現(xiàn)不合格項(xiàng)為9項(xiàng)，主要集中在數(shù)據(jù)安全保護(hù)和審計(jì)方面。

2.3目標(biāo)系統(tǒng)需求

通過數(shù)據(jù)安全建設(shè)，部署數(shù)據(jù)庫安全審計(jì)系統(tǒng)，對(duì)所有操作數(shù)據(jù)庫的流量進(jìn)行分析，對(duì)數(shù)據(jù)庫操作行為進(jìn)行審計(jì)，確保對(duì)所有的數(shù)據(jù)庫操作都進(jìn)行有效的監(jiān)管。

3建設(shè)目標(biāo)和內(nèi)容

3.1建設(shè)目標(biāo)

3.1.1安全穩(wěn)定

目前企業(yè)在互聯(lián)網(wǎng)接入和用戶準(zhǔn)入控制方面，進(jìn)行了一系列的安全措施，但是對(duì)數(shù)據(jù)庫的安全防護(hù)目前仍是空白，沒有對(duì)數(shù)據(jù)庫的訪問及操作行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等進(jìn)行有效的管控和審計(jì)，在此情況下，通過部署數(shù)據(jù)庫審計(jì)系統(tǒng)，可以有效地對(duì)數(shù)據(jù)庫的訪問和操作行為進(jìn)行審計(jì)，通過審計(jì)，達(dá)到數(shù)據(jù)庫長期安全穩(wěn)定運(yùn)行。

3.1.2行業(yè)規(guī)范

目前企業(yè)沒有針對(duì)數(shù)據(jù)庫的安全防護(hù)措施，更沒有對(duì)數(shù)據(jù)庫進(jìn)行行為審計(jì)的安全產(chǎn)品，而在信息安全檢查中，對(duì)數(shù)據(jù)庫的安全具有嚴(yán)格的要求，部署數(shù)據(jù)庫安全審計(jì)產(chǎn)品可以有效的幫助企業(yè)滿足行業(yè)規(guī)范要求。

3.2建設(shè)內(nèi)容

通過數(shù)據(jù)庫審計(jì)系統(tǒng)實(shí)時(shí)進(jìn)行數(shù)據(jù)庫訪問監(jiān)控與行為審計(jì)，多角度分析數(shù)據(jù)庫活動(dòng)，并對(duì)異常的行為進(jìn)行告警通知、審計(jì)記錄、追溯分析。數(shù)據(jù)庫審計(jì)系統(tǒng)獨(dú)立于數(shù)據(jù)庫進(jìn)行配置和部署，這種方式能夠在不影響數(shù)據(jù)庫的前提下，達(dá)到安全管理的目的。拋棄傳統(tǒng)數(shù)據(jù)庫審計(jì)產(chǎn)品中的SQL處理機(jī)制（依賴于正則表達(dá)式、字符串等技術(shù)識(shí)別SQL），數(shù)據(jù)庫審計(jì)系統(tǒng)應(yīng)能完全模擬數(shù)據(jù)庫的詞法、語法（lex/yacc）解析，可以精準(zhǔn)、智能的識(shí)別SQL類型，從而靈活的構(gòu)建行為模型，且能夠快速、準(zhǔn)確的配置和定位策略;此外，通過智能的SQL識(shí)別，采用啟發(fā)式風(fēng)險(xiǎn)評(píng)估，能夠及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫操作的潛在風(fēng)險(xiǎn)，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)庫操作的有效監(jiān)管。

4實(shí)現(xiàn)方式和技術(shù)路線

4.1實(shí)現(xiàn)方式

數(shù)據(jù)庫審計(jì)系統(tǒng)，旁路部署在核心交換機(jī)上，在旁路模式下，通過端口鏡像、網(wǎng)絡(luò)嗅探器、集線器、TAP等，達(dá)到將訪問被保護(hù)數(shù)據(jù)庫的流量復(fù)制一份到DAS審計(jì)服務(wù)器上。另外，還有一種特殊的旁路模式，是在客戶端到被保護(hù)數(shù)據(jù)庫鏈路上的堡壘機(jī)或者代理服務(wù)器上，通過TCP/IP協(xié)議探測(cè)形式，將獲取的數(shù)據(jù)包信息復(fù)制（發(fā)送）一份到與堡壘機(jī)并行的審計(jì)服務(wù)器上。

4.2技術(shù)路線

數(shù)據(jù)庫審計(jì)系統(tǒng)將提供靈活和易于操作的策略配置，策略配置為高效而全面地實(shí)現(xiàn)數(shù)據(jù)庫安全審計(jì)起到了決定性的作用。

數(shù)據(jù)庫審計(jì)系統(tǒng)至少涵蓋以下幾種配置策略：

全面審計(jì)策略：所有的數(shù)據(jù)庫請(qǐng)求都被審計(jì)，保證審計(jì)的全面性;

審計(jì)過濾策略：在某些高吞吐量場(chǎng)景，過高的負(fù)載將致實(shí)時(shí)處理和存儲(chǔ)壓力過大，通過系統(tǒng)的白名單過濾、白名單規(guī)則對(duì)常規(guī)安全語句、安全來源實(shí)現(xiàn)審計(jì)過濾，使系統(tǒng)能夠在滿載的情況下，集中處理在危險(xiǎn)或異常的SQL語句審計(jì)上;

重點(diǎn)語句告警策略：無論是否執(zhí)行全面審計(jì)的策略，系統(tǒng)都可以對(duì)需要重點(diǎn)監(jiān)視的語句進(jìn)行特殊對(duì)待，可以通過黑名單、正則表達(dá)、重點(diǎn)用戶、重點(diǎn)IP、返回行數(shù)等策略完成對(duì)重點(diǎn)關(guān)注對(duì)象和行為的定義，對(duì)這些重點(diǎn)對(duì)象和行為的語句可以將其放入到告警審計(jì)中，可以通過syslog、snmp、郵件或短信等多種途徑對(duì)這些行為進(jìn)行告警。

通過數(shù)據(jù)庫安全審計(jì)系統(tǒng)的建設(shè)，進(jìn)一步解決企業(yè)保證數(shù)據(jù)安全、防范數(shù)據(jù)泄漏及符合行業(yè)規(guī)范檢查所面臨的問題。

參考文獻(xiàn)

[1] 內(nèi)部文件.讇仔幸敵畔⑾低橙媸嶗砣嬲鋃先婕庸坦ぷ髦改蟍EB/OL].2013.

[2] 內(nèi)部文件.關(guān)于開展讇仔幸敵畔⑾低嘲踩燃侗;ふ墓ぷ韉耐ㄖ猍EB/OL].2011.

[3] 內(nèi)部文件.關(guān)于印發(fā)讇仔幸敵畔⑼綈踩芾砉娑ǖ耐ㄖ猍EB/OL].2011.