常见的安全审计技术主要有四类,分别是:基于日志的审计技术、基于代理的审计技术、基于网络监听的审计技术、基于网关的审计技术。
1.基于日志的审计技术:该技术通常是通过数据库自身功能实现,Oracle、DB2等主流数据库,均具备自身审计功能,通过配置数据库的自审计功能,即可实现对数据库的审计,其典型部署示意图如图2所示:
图2 日志审计技术部署示意
该技术能够对网络操作及本地操作数据库的行为进行审计,由于依托于现有数据库管理
系统,因此兼容性很好。
但这种审计技术的缺点也比较明显。首先,在数据库系统上开启自身日志审计对数据库系统的性能就有影响,特别是在大流量情况下,损耗较大;其次,日志审
计记录的细粒度上差,缺少一些关键信息,比如源IP、SQL语句等等,审计溯源效果不好,最后就是日志审计需要到每一台被审计主机上进行配置和查看,较难
进行统一的审计策略配置和日志分析。
2.基于代理的审计技术:该技术是通过在数据库系统上安装相应的审计Agent,在Agent上实现审计策略的配置和日志的采集,常见的产品如
Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert
Tool以及第三方安全公司提供的产品,其典型部署示意图如图3所示:
图3 代理审计技术部署示意
该技术与日志审计技术比较类似,最大的不同是需要在被审计主机上安装代理程序。代理审计技术从审计粒度上要优于日志审计技术,但是性能上的损耗是要大
于日志审计技术,因为数据库系统厂商未公开细节,由数据库厂商提供的代理审计类产品对自有数据库系统的兼容性较好,但是在跨数据库系统的支持上,比如要同
时审计Oracle和DB2时,存在一定的兼容性风险。同时由于在引入代理审计后,原数据库系统的稳定性、可靠性、性能或多或少都会有一些影响,实际的应
用面较窄。
3.基于网络监听的审计技术:该技术是通过将对数据库系统的访问流镜像到交换机某一个端口,然后通过专用硬件设备对该端口流量进行分析和还原,从而实现对数据库访问的审计。其典型部署示意图如图4所示:
图4 网络监听审计技术部署示意
该技术最大的优点就是与现有数据库系统无关,部署过程不会给数据库系统带来性能上的负担,即使是出现故障也不会影响数据库系统的正常运行,具备易部
署、无风险的特点;但是,其部署的实现原理决定了网络监听技术在针对加密协议时,只能实现到会话级别审计(即可以审计到时间、源IP、源端口、目的IP、
目的端口等信息),而没法对内容进行审计。不过在绝大多数业务环境下,因为数据库系统对业务性能的要求是远高于对数据传输加密的要求,很少有采用加密通讯
方式访问数据库服务端口的情况,故网络监听审计技术在实际的数据库审计项目中应用非常广泛。
4.基于网关的审计技术:该技术是通过在数据库系统前部署网关设备,通过在线截获并转发到数据库的流量而实现审计,其典型部署示意图如图5所示:
图5 网关审计技术部署示意
该技术是起源于安全审计在互联网审计中的应用,在互联网环境中,审计过程除了记录以外,还需要关注控制,而网络监听方式无法实现很好的控制效果,故多
数互联网审计厂商选择通过串行的方式来实现控制。在应用过程中,这种技术实现方式开始在数据库环境中使用,不过由于数据库环境存在流量大、业务连续性要求
高、可靠性要求高的特点,与互联网环境大相径庭,故这种网关审计技术往往主要运用在对数据库运维审计的情况下,不能完全覆盖所有对数据库访问行为的审计。
通过对以上四种技术的分析,在进行数据库审计技术方案的选择时,我们遵循的根本原
则建议是:
1.业务保障原则:安全建设的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,必须保障业务的正常运行和运行效率。
2.结构简化原则:安全建设的直接目的和效果是要将整个网络变得更加安全,简单的网络结构便于整个安全防护体系的管理、执行和维护。
3.生命周期原则:安全建设不仅仅要考虑静态设计,还要考虑不断的变化;系统应具备适度的灵活性和扩展性。
根据通常情况下用户业务系统7*24小时不间断运行的特点,从稳定性、可靠性、可用
性等多方面进行考虑,特别是技术方案的选择不应对现有系统造成影响,建议用户朋友优选采用网络监听审计技术来实现对数据库的审计。
分享到:
相关推荐
【Oracle数据库审计方法的探讨】 Oracle数据库作为一款广泛使用的大型关系型数据库系统,其审计功能是数据安全管理的重要组成部分。审计技术能够记录并分析数据库的活动,确保数据的完整性和安全性,防止非法访问和...
行业资料-交通装置-一种基于桥模式的数据库审计方法.zip
"天融信数据库审计网络审计系统-日志外发配置手册" 天融信数据库审计网络审计系统提供了审计日志、系统日志、报警日志的syslog、SNMP和邮件外发功能。这篇手册将详细介绍如何配置天融信数据库审计网络审计系统的...
【标题】"inception-master源代码、数据库审计平台"指的是一个开源项目,其核心是Inception,一个数据库审计系统。Inception是针对企业级数据库进行安全审计和运维管理的工具,它可以帮助用户监控和记录数据库的操作...
数据库审计技术文档数据库审计技术文档数据库审计技术文档数据库审计技术文档数据库审计技术文档数据库审计技术文档数据库审计技术文档数据库审计技术文档数据库审计技术文档数据库审计技术文档数据库审计技术文档...
3. **审计层面**:传统的数据库审计方法,例如基于日志文件的审计机制,存在性能影响、易被篡改等问题,降低了审计信息的可靠性和真实性。 这些挑战促使企业寻求更为高效、可靠的数据库审计与风险控制解决方案。 #...
### 奇安信数据库审计V6.0_用户手册v1.0 #### 一、产品概述 奇安信数据库审计系统V6.0是一款专业级别的数据库安全管理和审计工具,旨在提供全方位的安全保障和精细化的数据库访问控制。该系统不仅能够对数据库活动...
附件: 数据库审计系统需求说明 序号 指标项 具体要求 1 硬件指标 标准机架式设备,不少于 6个1000M电口,不少于 2个SFP光口(带SFP模块), 具备独立的管理口和 HA 口;可用磁盘空间不小于 2T;吞吐能力》2000M峰值处...
### 数据库审计方案知识点 #### 一、数据库安全现状 在当前的信息技术环境中,数据库作为组织机构中的核心资产,面临着内外部的安全威胁。特别是在公安行业、政府机关以及企业单位中,由于使用的数据库系统多为国外...
天融信数据库审计系统(TA-DB)是集行为监控与内容审计为一体的产品。它以旁路的方式部署在网络中,不影响网络的性能,且该产品还支持串联方式接入网络,实现串联网络环境下的数据监听和审计。
"安恒明御数据库审计产品技术方案" 数据库审计是指记录数据库操作行为日志的系统,它可以对数据库进行实时监控和审计,从而防止非法访问和数据泄露。数据库审计的重要性在于保护数据的安全和完整性,防止数据窃取、...
在最有价值的数据库安全产品调查中,数据灾备和数据库审计分别占据了76%以上的比例。这表明企业在数据安全策略制定中不仅重视数据备份和恢复能力,还高度关注通过审计手段来监控和防范内部及外部威胁。其中,数据库...
它还具备智能化的协议识别、可视化的操作和监控界面、可交互可下钻的风险追踪能力,是一款免实施、免培训、免维护的新一代数据库审计产品。 安华金和数据库安全审计系统支持多种主流和专用数据库,包括Oracle、...
数据库审计(Sybsecurity数据库实例演示(sql 2008)) 数据库审计是信息安全审计的重要组成部分,同时也是数据库管理系统安全性重要的一部分。通过审计功能,凡是与数据库安全性相关的操作均可被记录下来。只要...
数据库审计系统是保护数据库安全的关键组成部分,它针对的是在信息系统中至关重要的数据库。数据库存储了组织的核心信息,包括交易记录、人力资源数据、机密信息和敏感资料,因此成为了黑客的主要目标。尽管大部分...
数据库审计系统是保护数据安全的重要工具,其基本原理在于记录并分析数据库的访问行为,确保合规性和防范潜在风险。数据库审计系统(DBAudit)能够实时监控网络上的数据库活动,对SQL语句进行细粒度审计,对异常行为...
华为 DAS1500-V 数据库审计系统产品描述 华为 DAS1500-V 数据库审计系统是一款基于云计算架构的数据库审计解决方案,旨在帮助客户实现弹性自动化的基础设施、按需的服务模式和更加敏捷的 IT 服务水平。该系统可以...
金融行业数据库审计系统解决方案金融行业数据库审计系统解决方案