文章目录
前言
数据库审计系统作为数据安全1.0阶段—数据库安全的基础产品,经过十多年的发展已经逐渐成熟,市面上的数据库审计类产品非常多,但是关于数据库审计系统你真的了解吗?
数据库审计系统在数据安全发展阶段留下了浓墨重彩的一笔,现如今也是组织机构信息安全建设、等保评估不可或缺的技术工具,本文会介绍数据库审计的系统原理、主要功能、部署模式、应用场景、价值体现、未来技术发展,希望有你想要的东西!
1、数据库审计系统为什么会出现?
1.1合法权限滥用的监控需求
内部人员、运维人员、 DBA、开发人员对数据库中的数据都需要频繁地访问;诸多的人群和过高的权限造成敏感数据集中泄露的风险。
1.2高危操作访问数据库的监控
删除数据库表、无条件批量删除或修改数据等数据库操作的监控审计以及敏感数据库表的操作访问的监控
1.3安全合规需求
随着等保2.0的推出,政企机构都在执行等保要求,其中数据库审计系统是数据安全保护的重要组成部分。
2、数据库审计系统是什么?
数据库审计系统实现了所有访问数据库操作行为的审计,是一款基于数据库协议标准分析和SQL解析技术的数据库审计产品。数据库审计系统能够详细记录用户对数据库进行增删改查、查询、登录等操作行为及返回结果,通过配置安全规则实现对危险操作的实时告警和事后追溯,从而达到保护数据库安全的防护效果。
3、技术原理
数据库审计系统需要通过不同的引流方式,获取到访问数据库的报文,再对报文进行深度解析,提取针对数据库的操作信息;对操作信息进行风险识别后存储下来,用于审计记录查询和风险报表展示。
(其中涉及的报文解析技术各个厂商有所不同,个别厂商还能支持对加密协议的解析,技术实现原理基本如此,实现细节不过多深究)
4、性能指标参考
第一点:支持数据库类型、数量
第二点:审计速率,峰值SQL处理能力
第三点:审计记录查询速度
(性能决定型号配置)
5、部署方式
5.1常规部署(硬件形式旁路部署)
数据库审计系统采用旁路部署的话,硬件设备与交换机直连,通过交换机把数据库的访问流量镜像到某个端口,流量直接发送到数据库审计系统的网卡驱动,审计系统需要对流量进行捕获并解析处理。
5.2软件部署(软件形式虚拟化部署)
通过插件引流的模式在目标数据库安装agent,解决云环境、虚拟化环境内部流量无法镜像的问题,这种场景下数据库审计系统依旧可以获取网卡的流量,保证正常审计。
5.3分布式部署
分布式部署分为中心节点和子节点,审计中心统一负责数据库审计日志数据的存储和分析,审计子节点作为探针负责数据库操作日志的采集、解析和审计,一个审计中心可管理多个审计子节点。另一种模式是单独一个审计管理平台,其他子节点都是正常的审计设备,一个平台实现运维管理和运行监控,适用大型企业单位的分布式部署场景。
6、产品主要功能
数据库审计的主要功能在于对数据库的访问行为进行监管,通过镜像或探针的方式采集所有数据库的访问流量,记录下数据库的所有访问和操作行为,在发生数据库安全事件(例如数据篡改或泄露)后为事件的追责提供依据,并针对数据库操作的风险行为进行告警。同时系统内置日常风险报表及自定义报表
6.1实时监控与访问审计
数据库审计系统可实时监控防护数据库系统,防止受到运维人员、黑客、内部人员的危险操作。当用户访问数据库时,数据库审计系统能够根据内置或者自定义的风险告警规则,进行行为特征及审计规则匹配,任何对数据库的攻击或触发审计规则的操作都会被审计系统记录到并实时告警。
6.2审计记录检索
数据库审计系统通过各种条件组合的方式进行查询,能够快速地精确地定位到某条审计记录。这些组合条件包括操作语句、MAC地址、客户端IP、数据库信息、时间、返回结果等内容。
** 6.3三层审计**
对于B/S架构的应用系统而言,用户通过应用服务器实现对数据库的访问,数据库审计系统通过关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息(URL),主要根据时间、操作语句等条件进行审计记录检索。通过三层关联精准定位到人,解决只能审计到应用服务器的相关信息但无法定位具体的访问操作者的问题。
6.4丰富的安全审计报表
数据库审计系统具备功能强大的报表功能,根据审计检索的条件可以到处合规报表和自定义安全报表,报告模块支持Word、Excel、Pdf格式的数据导出。
6.5安全事件回放
允许安全管理员提取历史数据,对过去某一时段的事件进行回放,真实展现当时的完整操作过程,便于分析和追溯系统安全问题。
6.6风险触发实时告警
一旦出现违反安全审计规则的操作,数据库审计系统可以配置多种告警方式,包括通过手机短信、邮件、SYSLOG、SNMP等发送到对应运维或者管理人员手中,极大方便日常的运维工作。
6.7数据库资产自动发现
系统通过对数据库网络流量的采集和数据解析,利用各数据库类型私有通信协议各自特征,实现对不同类型数据库的自动识别,同时还可从协议内容获取到更为精确的数据库参数,比如数据库版本号、协议版本号、通信端口等信息。
7、产品价值
7.1满足合规
帮助用户满足等保、分保等合规要求,各政府及行业对于信息安全越来越重视,也提出了很多的相关标准来确保各单位的网络安全。
7.2提升敏感数据防护能力
提升组织机构的敏感数据保护能力,有效防止敏感数据被窃取、盗用、违规使用,对敏感数据的流转实现安全保护,提升敏感数据防泄露能力。
7.3安全事件可追溯
一旦发生安全事件可以通过查询审计记录详情,获取有效的记录信息来协助管理人员找到相应的操作记录。系统通过各种条件多重组合的方式进行查询,能够快速地精确地定位到责任人。
8、历史发展过程
1)第一代数审产品(2003 年前后):第一代数据库安全审计产品由网络审计简单变形而成,采取字符串匹配等审计技术,进行简单场 景下数据库行为活动的监控,但受限于复杂场景下易发生无效告警 和误报等情况。
2)第二代数审产品(2009 年前后):第二代数审产品采用基于数据 库协议的语法、语义的解析技术,产品架构实现升级,能够实现复 杂类场景下的精准审计与告警,准确度显著提升,并能够满足对于 等保政策要求较高、业务量较小的政府类或中小企业客户。
3)第三代数审产品(2014 年前后):数据库访问规模的扩大导致存 储的审计日志数量增加,数据库审计系统难以进行高效检索等性能 问题暴露,大型业务系统的审计需求无法满足,通过引入全文检 索、列存储数据库、多进程并发等技术,产品性能全面升级,用户 范围也逐渐拓展至金融、电信等业务体量较大行业。
4)第四代数审产品(2017 年前后):数据库安全审计产品向智能化 进行升级,能够自动识别数据库类型并进行数据分级,同时根据数据库结构的变化与安全防护策略进行联动调整,从“被动支撑”跃 升为“主动推送”。
8、未来技术演变趋势
8.1安全策略机器学习
支持对用户访问行为进行自动学习,根据访问来源、操作行为、路径等条件提取各类数据特征,自动生成用户访问行为基线。数据库审计系统针对风险操作具备AI智能学习能力,不断优化安全策略库。可以自动学习应用程序访问数据库的行为特征,并自动建立安全访问规则。
8.2安全规则精细化配置
审计的核心在于安全规则的准确度,只有针对业务系统配置运维可用的安全规则才能体现审计防护价值,给出针对性安全建议,做到真正的安全审计而不是机器在跑数据,高危操作实时告警,一般行为保证全部审计即可,方便后续追溯事件详情。
8.3数据探针
上传数据库安全风险数据和日志给数据安全平台或者大数据平台,数据库审计系统作为数据库安全基础产品后续可能要减少产品功能,保存审计能力即可,安全防护的重心从主动推送上升到主动防御、联动联防层面。
8.4agent自动部署
随着云上部署越来越多,对于agent插件的部署管理需求日益增加,稳定支持agent引流插件批量部署、统一管理尤为重要,同时自动部署Agent和心跳检测功能是各安全厂商努力的方向。
写在最后的话
数据库审计系统走过了十多年的风风雨雨,是安全人耳熟能详的产品,随着技术革新和产品迭代,越发耀眼。它是构建数据安全防线的基础工具和雷达,只有知道了数据库风险点,防护才更具针对性,安全能力才能得到显著提升!
本文只是介绍了目前数据库审计系统这个产品的基本信息和发展趋势,信息有限,涉及具体技术原理的内容不过多讨论,数据库审计系统是一个基础的工程,如果厂商有成熟的产品,说明在研发技术的沉淀比较深。数据安全防护只有打好基础,建好体系,才能看到后面坚不可摧的堡垒。
注:以上分享仅供参考和学习,如有侵权,请联系我删除,感谢。
版权归原作者 Financial talent 所有, 如有侵权,请联系我们删除。