后,要對數(shù)據(jù)庫系統(tǒng)及其所在主機進行實時安全監(jiān)控、事后操作審計,部署一套數(shù)據(jù)庫審計系統(tǒng)。這一點尤為重要!相當(dāng)于數(shù)據(jù)庫安全的后一道防線。

  事實表明,現(xiàn)在的數(shù)據(jù)泄漏和篡改事件都是“內(nèi)部人員”作案為主,他們有合法的帳號口令,他們完全可以把自己偽裝成一個“合法”的內(nèi)部人員,堂而皇之的竊取數(shù)據(jù)庫信息,根本不用任何攻擊手段,防火墻、IDS/IPS之類的傳統(tǒng)安全系統(tǒng)根本發(fā)現(xiàn)不了。因此,對數(shù)據(jù)庫系統(tǒng)的使用進行監(jiān)控和審計,關(guān)鍵的在于對內(nèi)部人員的違規(guī)和誤操作進行監(jiān)控和審計。而這,正在數(shù)據(jù)庫審計系統(tǒng)的特長。

  針對重要的數(shù)據(jù)庫及其業(yè)務(wù)系統(tǒng),部署一套數(shù)據(jù)庫審計系統(tǒng),可以達到以下目標(biāo):

  1) 數(shù)據(jù)操作實時監(jiān)控:對所有外部或者內(nèi)部用戶對數(shù)據(jù)庫和主機的各種操作行為、內(nèi)容,進行實時監(jiān)控;

  2) 高危操作即時阻斷:對于高危操作能夠?qū)崟r阻斷,干擾攻擊或者違規(guī)行為的執(zhí)行;

  3) 安全預(yù)警:對于入侵和違規(guī)行為進行及時預(yù)警和告警,并指導(dǎo)管理員進行應(yīng)急響應(yīng)處理;

  4) 事后調(diào)查取證:對于所有行為能夠進行事后查詢、取證、調(diào)查分析,出具各種審計報表報告。

  5) 責(zé)任認定、事態(tài)評估:系統(tǒng)能夠記錄和定位誰、在什么時候、通過什么方式對數(shù)據(jù)庫進行了什么操作,以及操作的結(jié)果和可能的危害程度。

  網(wǎng)神SecFox-NBA數(shù)據(jù)庫審計系統(tǒng)

  針對客戶面臨的上述挑戰(zhàn)和需求,網(wǎng)御神州推出的新一代數(shù)據(jù)庫審計產(chǎn)品??SecFox-NBA網(wǎng)絡(luò)行為審計系統(tǒng)(業(yè)務(wù)審計型)是一款的數(shù)據(jù)庫審計系統(tǒng),并具有強大的用戶“合法”行為深度分析能力。

  SecFox-NBA(業(yè)務(wù)審計型)采用旁路偵聽的方式對通過網(wǎng)絡(luò)連接到重要業(yè)務(wù)系統(tǒng)(服務(wù)器、數(shù)據(jù)庫、業(yè)務(wù)中間件、數(shù)據(jù)文件等)的數(shù)據(jù)流進行采集、分析和識別,實時監(jiān)視用戶訪問業(yè)務(wù)系統(tǒng)的狀態(tài),記錄各種訪問行為,發(fā)現(xiàn)并及時制止用戶的誤操作、違規(guī)訪問或者可疑行為。產(chǎn)品部署簡便,不需要修改任何網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用配置,不會影響用戶的業(yè)務(wù)運行。

  SecFox-NBA(業(yè)務(wù)審計型)產(chǎn)品區(qū)隔于傳統(tǒng)數(shù)據(jù)庫審計產(chǎn)品的特征在于:

  1) 面向業(yè)務(wù)的安全審計

  SecFox-NBA(業(yè)務(wù)審計型)獨有面向業(yè)務(wù)的安全審計技術(shù),通過業(yè)務(wù)網(wǎng)絡(luò)拓撲記錄客戶業(yè)務(wù)網(wǎng)絡(luò)中各種數(shù)據(jù)庫、主機、web應(yīng)用系統(tǒng)相互的關(guān)聯(lián)性,審計人員可以根據(jù)以數(shù)據(jù)庫為核心的業(yè)務(wù)網(wǎng)絡(luò)的變化快速查看業(yè)務(wù)網(wǎng)絡(luò)中各個設(shè)備和整個業(yè)務(wù)網(wǎng)絡(luò)的事件和告警信息。

  2) 基于會話的行為審計

  傳統(tǒng)的數(shù)據(jù)庫或者網(wǎng)絡(luò)審計系統(tǒng)都采用基于指令的操作分析技術(shù),可以顯示出所有與數(shù)據(jù)庫主機相關(guān)的操作,但是這些操作都是一條條孤立的指令,無法體現(xiàn)這些操作之間的關(guān)聯(lián),例如是否是同一用戶的操作、以及操作的時間先后,審計員被迫從大量的操作記錄中自行尋找蛛絲馬跡,效率低下。借助網(wǎng)御神州獨有的基于會話的行為分析技術(shù),審計員可以對當(dāng)前網(wǎng)絡(luò)中所有訪問者進行基于時間的審查,了解每個訪問者任意一段時間內(nèi)先后進行了什么操作,并支持訪問過程回放。SecFox-NBA(業(yè)務(wù)審計型)真正實現(xiàn)了對“誰、什么時間段內(nèi)、對什么(數(shù)據(jù))、進行了哪些操作、結(jié)果如何”的全程審計。

  3) 基于用戶ID的數(shù)據(jù)庫審計

  傳統(tǒng)的數(shù)據(jù)庫審計產(chǎn)品僅僅能夠定位到是哪個IP地址進行了違規(guī)操作,但是無法確認是那個用戶或者是哪個單位職工進行的違規(guī)操作。這給審計后續(xù)的責(zé)任認定帶來了不小的麻煩。SecFox-NBA(業(yè)務(wù)審計型)使用多種方式,能夠協(xié)助審計員定位是那個用戶ID進行了數(shù)據(jù)庫操作,真正實現(xiàn)了責(zé)任認定。