随着信息系统业务不断发展,数据库系统应用范围越来越广,而与此同时,企业数据库信息安全面临的安全威胁日渐明显。近年来不断发生的重要敏感数据被窃取、篡改问题,已经引起各方面的高度重视,成为迫切需要解决的问题,如何选择一款合适的数据审计系统,已提上了政府、企事业单位、运营商的日程。
一、基本标准评价
是否能很好地帮助管理者完成对数据库访问行为的监测,是评判数据库安全审计系统的基本标准。一个完善的安全审计系统应该从几个方面评价: 1.是否具有全面丰富的数据库审计类型; 2.是否具有细粒度的数据库操作内容审计; 3.能否准确及时地对违规操作告警响应; 4.是否具有全面详细的审计信息,丰富可定制的报表分析系统; 5.其自身的安全性高,不易遭受攻击。
由此可见,一款合适的数据库审计系统应能通过网络数据的采集、分析、识别,实时监控网络中数据库的所有访问操作,同时支持自定义内容关键字库,实现数据库操作的内容监测识别,发现各种违规数据库操作行为,及时报警响应、全过程操作还原,从而实现安全事件的准确全程跟踪定位,全面保障数据库系统安全。
二、产品特性分析
1. 全面丰富的审计类型
系统应能支持SQL-92标准,覆盖ORALCE、SQL SERVER、MY SQL等主流数据库系统,具有广泛的适用能力。 2. 精细灵活的审计策略 系统应支持基于内容关键字、IP地址、用户/用户组等精细组合数据库审计策略,从而全面监测发现各种非法操作及合法用户的违规操作。 3. 精细数据库操作信息还原 系统应能实时审计用户对数据库系统的所有操作,精细还原SQL操作命令包括源IP地址、目的IP地址、访问时间等,实现安全事件准确全程跟踪定位,为事后追查取证提供有力支持。 4. 多种业务运维操作审计 系统应支持对TELNET、FTP等操作的命令级审计和全过程记录。 5. 审计信息“零管理” * 从实时升级系统到报表系统,从审计告警到日志备份,所有管理员需要日常进行的操作均可由系统定时自动后台运行; * 系统应提供全面的数据库审计事件信息的备份、恢复、清除、归并等功能;日志信息保存到SQL Server,Oracle等大型数据库中; * 提供丰富的数据查询检索功能。支持基于时间、IP地址、用户名等多种丰富的查询检索条件; * 系统应提供详细的综合分析报表、自定义三种类型10多个类别的报表模板,支持生成:日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG等格式导出。 6. 强大丰富的管理能力 * 系统应支持采用旁路监听部署模式,完全不影响数据库系统自身运行与性能; * 支持分布式部署集中管理模式,具有三种管理模式:单级管理、多级管理、主辅管理; * 支持B/S和C/S两种管理方式,管理方便灵活; * 支持多种响应方式,包括发送邮件、安全中心显示、日志数据库记录、打印机输出、运行用户自定义命令、TCPKiller等方式及时报警响应。 7. 高可靠的自身安全性 * 系统需采用安全、可靠、高效的硬件运行平台;采用强加密的SSL加密传输告警日志与控制命令,避免可能存在地嗅探行为,保证数据传输的安全; * 设备应支持热插拔的冗余双电源,避免电源硬件故障时设备宕机,提高设备可用性。
三、典型部署及效果
典型的数据库审计部署拓扑图: 通过在内网核心交换机上,旁路部署安全审计系统网络引擎,实时审计所有用户对数据库服务器的操作;在网络管理区部署1台服务器作为安全审计系统的安全中心,具有系统监控和日志管理功能,管理安全审计系统网络引擎。 通过部署安全审计系统将帮助实现: * 实时监控数据库各种账户的数据库操作行为,准确发现各种非法、违规操作,并及时告警响应处理,降低数据库安全风险,保护数据库资产安全; * 全面记录还原数据库操作信息,提供丰富的审计信息查询方式和报表,方便安全事件定位分析,事后追查取证。
四、结束语
数据库安全需求主要集中在以下方面: 1.全面监测数据库超级账户、临时账户等重要账户的数据库操作;2.实时监测数据库操作行为,发现非法违规操作能及时告警响应;3.详细记录数据库操作信息,提供丰富的审计信息查询方式和报表,方便安全事件定位分析,事后追查取证。通过在网络中部署安全审计系统,可有效监控数据库访问行为,准确掌握数据库系统的安全状态,及时发现违反数据库安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,保障企业数据库安全。
