|
常見的安全審計技術(shù)主要有四類
分別是:基于日志的審計技術(shù)、基于代理的審計技術(shù)����、基于網(wǎng)絡(luò)監(jiān)聽的審計技術(shù)���、基于網(wǎng)關(guān)的審計技術(shù)。
1.基于日志的審計技術(shù):該技術(shù)通常是通過數(shù)據(jù)庫自身功能實現(xiàn)�����,Oracle�、DB2等主流數(shù)據(jù)庫,均具備自身審計功能����,通過配置數(shù)據(jù)庫的自審計功能,即可實現(xiàn)對數(shù)據(jù)庫的審計�����,其典型部署示意圖如圖2所示:
圖2 日志審計技術(shù)部署示意
該技術(shù)能夠?qū)W(wǎng)絡(luò)操作及本地操作數(shù)據(jù)庫的行為進行審計����,由于依托于現(xiàn)有數(shù)據(jù)庫管理系統(tǒng),因此兼容性很好��。
但這種審計技術(shù)的缺點也比較明顯。首先��,在數(shù)據(jù)庫系統(tǒng)上開啟自身日志審計對數(shù)據(jù)庫系統(tǒng)的性能就有影響�,特別是在大流量情況下����,損耗較大;其次,日志審計記錄的細粒度上差���,缺少一些關(guān)鍵信息�����,比如源IP�、SQL語句等等����,審計溯源效果不好,最后就是日志審計需要到每一臺被審計主機上進行配置和查看��,較難進行統(tǒng)一的審計策略配置和日志分析����。
2.基于代理的審計技術(shù):該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)上安裝相應(yīng)的審計Agent,在Agent上實現(xiàn)審計策略的配置和日志的采集���,常見的產(chǎn)品如Oracle公司的Oracle Audit Vault��、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產(chǎn)品�����,其典型部署示意圖如圖3所示:
圖3 代理審計技術(shù)部署示意
該技術(shù)與日志審計技術(shù)比較類似�,最大的不同是需要在被審計主機上安裝代理程序。代理審計技術(shù)從審計粒度上要優(yōu)于日志審計技術(shù)�����,但是性能上的損耗是要大于日志審計技術(shù)��,因為數(shù)據(jù)庫系統(tǒng)廠商未公開細節(jié)�����,由數(shù)據(jù)庫廠商提供的代理審計類產(chǎn)品對自有數(shù)據(jù)庫系統(tǒng)的兼容性較好��,但是在跨數(shù)據(jù)庫系統(tǒng)的支持上����,比如要同時審計Oracle和DB2時,存在一定的兼容性風(fēng)險。同時由于在引入代理審計后�,原數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性、可靠性���、性能或多或少都會有一些影響,實際的應(yīng)用面較窄�。
3.基于網(wǎng)絡(luò)監(jiān)聽的審計技術(shù):該技術(shù)是通過將對數(shù)據(jù)庫系統(tǒng)的訪問流鏡像到交換機某一個端口,然后通過專用硬件設(shè)備對該端口流量進行分析和還原��,從而實現(xiàn)對數(shù)據(jù)庫訪問的審計�。其典型部署示意圖如圖4所示:
圖4 網(wǎng)絡(luò)監(jiān)聽審計技術(shù)部署示意
該技術(shù)最大的優(yōu)點就是與現(xiàn)有數(shù)據(jù)庫系統(tǒng)無關(guān),部署過程不會給數(shù)據(jù)庫系統(tǒng)帶來性能上的負擔(dān)��,即使是出現(xiàn)故障也不會影響數(shù)據(jù)庫系統(tǒng)的正常運行��,具備易部署�����、無風(fēng)險的特點;但是���,其部署的實現(xiàn)原理決定了網(wǎng)絡(luò)監(jiān)聽技術(shù)在針對加密協(xié)議時�,只能實現(xiàn)到會話級別審計(即可以審計到時間�����、源IP、源端口�、目的IP、目的端口等信息)����,而沒法對內(nèi)容進行審計。不過在絕大多數(shù)業(yè)務(wù)環(huán)境下���,因為數(shù)據(jù)庫系統(tǒng)對業(yè)務(wù)性能的要求是遠高于對數(shù)據(jù)傳輸加密的要求����,很少有采用加密通訊方式訪問數(shù)據(jù)庫服務(wù)端口的情況�����,故網(wǎng)絡(luò)監(jiān)聽審計技術(shù)在實際的數(shù)據(jù)庫審計項目中應(yīng)用非常廣泛��。
4.基于網(wǎng)關(guān)的審計技術(shù):該技術(shù)是通過在數(shù)據(jù)庫系統(tǒng)前部署網(wǎng)關(guān)設(shè)備����,通過在線截獲并轉(zhuǎn)發(fā)到數(shù)據(jù)庫的流量而實現(xiàn)審計,其典型部署示意圖如圖5所示:
圖5 網(wǎng)關(guān)審計技術(shù)部署示意
該技術(shù)是起源于安全審計在互聯(lián)網(wǎng)審計中的應(yīng)用��,在互聯(lián)網(wǎng)環(huán)境中,審計過程除了記錄以外����,還需要關(guān)注控制,而網(wǎng)絡(luò)監(jiān)聽方式無法實現(xiàn)很好的控制效果����,故多數(shù)互聯(lián)網(wǎng)審計廠商選擇通過串行的方式來實現(xiàn)控制。在應(yīng)用過程中���,這種技術(shù)實現(xiàn)方式開始在數(shù)據(jù)庫環(huán)境中使用,不過由于數(shù)據(jù)庫環(huán)境存在流量大���、業(yè)務(wù)連續(xù)性要求高��、可靠性要求高的特點��,與互聯(lián)網(wǎng)環(huán)境大相徑庭���,故這種網(wǎng)關(guān)審計技術(shù)往往主要運用在對數(shù)據(jù)庫運維審計的情況下,不能完全覆蓋所有對數(shù)據(jù)庫訪問行為的審計�。
通過對以上四種技術(shù)的分析,在進行數(shù)據(jù)庫審計技術(shù)方案的選擇時����,我們遵循的根本原
則建議是:
1.業(yè)務(wù)保障原則:安全建設(shè)的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)���。在保證安全的同時,必須保障業(yè)務(wù)的正常運行和運行效率�����。
2.結(jié)構(gòu)簡化原則:安全建設(shè)的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加安全��,簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個安全防護體系的管理��、執(zhí)行和維護����。
3.生命周期原則:安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計,還要考慮不斷的變化;系統(tǒng)應(yīng)具備適度的靈活性和擴展性����。
根據(jù)通常情況下用戶業(yè)務(wù)系統(tǒng)7*24小時不間斷運行的特點,從穩(wěn)定性��、可靠性����、可用
性等多方面進行考慮��,特別是技術(shù)方案的選擇不應(yīng)對現(xiàn)有系統(tǒng)造成影響�����,建議用戶朋友優(yōu)選采用網(wǎng)絡(luò)監(jiān)聽審計技術(shù)來實現(xiàn)對數(shù)據(jù)庫的審計�。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
