数据库审计系统核心指标浅析
- 作者: 红旗渠的儿女
- 来源: 51数据库
- 2020-12-22
随着企业信息化系统业务的不断发展,数据库应用范围越来越广。数据库系统承载着企业的账务数据、贸易记录、工程数据等重要信息,然企业数据库面临的安全威胁日渐增加。近年来不断发生的重要敏感数据被窃取、篡改问题,已经引起各方面的高度重视,成为迫切需要解决的问题,因此,如何选择一款合适的数据审计系统已经提上了政府、企事业单位、运营商的日程。
基本标准评价
是否能够帮助管理者完成对数据库访问行为的监测是评判数据库安全审计系统的基本标准。一个完善的安全审计系统应该从几个方面评价:
一、是否具有全面丰富的数据库审计类型;
二、是否具有细粒度的数据库操作内容审计;
三、能否准确及时的违规操作告警响应;
四、是否具有全面详细的审计信息,丰富可定制的报表分析系统;
五、其自身的安全性高,不易遭受攻击。
由此可见,数据库审计系统应该能通过网络数据的采集、分析、识别,实时监控网络数据库的所有访问操作,同时支持自定义内容关键字库,实现数据库操作的内容监测识别,发现各种违规数据库操作行为,及时报警响应、全过程操作还原,从而实现安全事件的准确全程跟踪定位,全面保障数据库系统安全。
产品特性分析
1、全面丰富的审计类型
系统应该能够支持SQL-92标准,覆盖ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等主流数据库系统,具有广泛的适用能力。
2、精细灵活的审计策略
系统应支持基于内容关键字、IP地址、用户/用户组、时间、数据库类型、数据库操作类型、数据库表名、字段名等精细组合数据库审计策略,从而全面监测发现各种非法操作及合法用户的违规操作。
3、精细数据库操作信息还原
系统应能够实时审计用户对数据库系统的所有操作(如:插入、删除、更新、用户自定义操作等),精细还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等,实现安全事件准确全程跟踪定位,为事后追查取证提供有力支持。
4、多种业务运维操作审计
系统应支持对TELNET、FTP等操作的命令级审计和全过程记录。
5、审计信息“零管理”
从实时升级系统到报表系统,从审计告警到日志备份,所有管理员需要日常进行的操作均可由系统定时自动后台运行;
系统应提供全面的数据库审计事件信息的备份、恢复、清除、归并等功能;日志信息保存到SQL Server,Oracle等大型数据库中;
提供丰富的数据查询检索功能。支持基于时间、IP地址、数据库服务器IP地址、用户名、数据库操作命令、数据库表名/字段名等多种丰富的查询检索条件;
系统应提供详细的综合分析报表、自定义三种类型10多个类别的报表模板,支持生成:日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG等格式导出。
6. 强大丰富的管理能力
系统应支持采用旁路监听部署模式,完全不影响数据库系统自身运行与性能;
支持分布式部署集中管理模式,具有三种管理模式:单级管理、多级管理、主辅管理;
支持B/S和C/S两种管理方式,管理方便灵活;
支持多种响应方式,包括发送邮件、安全中心显示、日志数据库记录、打印机输出、运行用户自定义命令、TCPKiller等方式及时报警响应。
7. 高可靠的自身安全性
系统需采用安全、可靠、高效的硬件运行平台;采用强加密的SSL加密传输告警日志与控制命令,避免可能存在地嗅探行为,保证数据传输的安全;
设备应支持热插拔的冗余双电源,避免电源硬件故障时设备宕机,提高设备可用性。
典型部署及效果
典型的数据库审计部署拓扑图:
通过在内网核心交换机上,旁路部署安全审计系统网络引擎,实时审计所有用户对数据库服务器的操作;在网络管理区部署1台服务器作为安全审计系统的安全中心,具有系统监控和日志管理功能,管理安全审计系统网络引擎。
通过部署安全审计系统将帮助实现:
实时监控数据库各种账户(如超级管理员、临时账户等)的数据库操作行为,准确发现各种非法、违规操作,并及时告警响应处理,降低数据库安全风险,保护数据库资产安全;
全面记录还原数据库操作信息,提供丰富的审计信息查询方式和报表,方便安全事件定位分析,事后追查取证。
结束语
根据对数据库系统的威胁与风险分析,数据库安全需求主要集中在以下方面:
一是全面监测数据库超级账户、临时账户等重要账户的数据库操作;
二是实时监测数据库操作行为,发现非法违规操作能及时告警响应;
三是详细记录数据库操作信息,并提供丰富的审计信息查询方式和报表,方便安全事件定位分析,事后追查取证。
因此通过在网络中部署安全审计系统,可有效监控数据库访问行为,准确掌握数据库系统的安全状态,及时发现违反数据库安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,保障企业数据库安全。
