后,要對(duì)數(shù)據(jù)庫(kù)系統(tǒng)及其所在主機(jī)進(jìn)行實(shí)時(shí)安全監(jiān)控、事后操作審計(jì),部署一套數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。這一點(diǎn)尤為重要!相當(dāng)于數(shù)據(jù)庫(kù)安全的后一道防線(xiàn)。

  事實(shí)表明,現(xiàn)在的數(shù)據(jù)泄漏和篡改事件都是“內(nèi)部人員”作案為主,他們有合法的帳號(hào)口令,他們完全可以把自己偽裝成一個(gè)“合法”的內(nèi)部人員,堂而皇之的竊取數(shù)據(jù)庫(kù)信息,根本不用任何攻擊手段,防火墻、IDS/IPS之類(lèi)的傳統(tǒng)安全系統(tǒng)根本發(fā)現(xiàn)不了。因此,對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的使用進(jìn)行監(jiān)控和審計(jì),關(guān)鍵的在于對(duì)內(nèi)部人員的違規(guī)和誤操作進(jìn)行監(jiān)控和審計(jì)。而這,正在數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的特長(zhǎng)。

  針對(duì)重要的數(shù)據(jù)庫(kù)及其業(yè)務(wù)系統(tǒng),部署一套數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),可以達(dá)到以下目標(biāo):

  1) 數(shù)據(jù)操作實(shí)時(shí)監(jiān)控:對(duì)所有外部或者內(nèi)部用戶(hù)對(duì)數(shù)據(jù)庫(kù)和主機(jī)的各種操作行為、內(nèi)容,進(jìn)行實(shí)時(shí)監(jiān)控;

  2) 高危操作即時(shí)阻斷:對(duì)于高危操作能夠?qū)崟r(shí)阻斷,干擾攻擊或者違規(guī)行為的執(zhí)行;

  3) 安全預(yù)警:對(duì)于入侵和違規(guī)行為進(jìn)行及時(shí)預(yù)警和告警,并指導(dǎo)管理員進(jìn)行應(yīng)急響應(yīng)處理;

  4) 事后調(diào)查取證:對(duì)于所有行為能夠進(jìn)行事后查詢(xún)、取證、調(diào)查分析,出具各種審計(jì)報(bào)表報(bào)告。

  5) 責(zé)任認(rèn)定、事態(tài)評(píng)估:系統(tǒng)能夠記錄和定位誰(shuí)、在什么時(shí)候、通過(guò)什么方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行了什么操作,以及操作的結(jié)果和可能的危害程度。

  網(wǎng)神SecFox-NBA數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)

  針對(duì)客戶(hù)面臨的上述挑戰(zhàn)和需求,網(wǎng)御神州推出的新一代數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品??SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)(業(yè)務(wù)審計(jì)型)是一款的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),并具有強(qiáng)大的用戶(hù)“合法”行為深度分析能力。

  SecFox-NBA(業(yè)務(wù)審計(jì)型)采用旁路偵聽(tīng)的方式對(duì)通過(guò)網(wǎng)絡(luò)連接到重要業(yè)務(wù)系統(tǒng)(服務(wù)器、數(shù)據(jù)庫(kù)、業(yè)務(wù)中間件、數(shù)據(jù)文件等)的數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別,實(shí)時(shí)監(jiān)視用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)的狀態(tài),記錄各種訪(fǎng)問(wèn)行為,發(fā)現(xiàn)并及時(shí)制止用戶(hù)的誤操作、違規(guī)訪(fǎng)問(wèn)或者可疑行為。產(chǎn)品部署簡(jiǎn)便,不需要修改任何網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用配置,不會(huì)影響用戶(hù)的業(yè)務(wù)運(yùn)行。

  SecFox-NBA(業(yè)務(wù)審計(jì)型)產(chǎn)品區(qū)隔于傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的特征在于:

  1) 面向業(yè)務(wù)的安全審計(jì)

  SecFox-NBA(業(yè)務(wù)審計(jì)型)獨(dú)有面向業(yè)務(wù)的安全審計(jì)技術(shù),通過(guò)業(yè)務(wù)網(wǎng)絡(luò)拓?fù)溆涗浛蛻?hù)業(yè)務(wù)網(wǎng)絡(luò)中各種數(shù)據(jù)庫(kù)、主機(jī)、web應(yīng)用系統(tǒng)相互的關(guān)聯(lián)性,審計(jì)人員可以根據(jù)以數(shù)據(jù)庫(kù)為核心的業(yè)務(wù)網(wǎng)絡(luò)的變化快速查看業(yè)務(wù)網(wǎng)絡(luò)中各個(gè)設(shè)備和整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的事件和告警信息。

  2) 基于會(huì)話(huà)的行為審計(jì)

  傳統(tǒng)的數(shù)據(jù)庫(kù)或者網(wǎng)絡(luò)審計(jì)系統(tǒng)都采用基于指令的操作分析技術(shù),可以顯示出所有與數(shù)據(jù)庫(kù)主機(jī)相關(guān)的操作,但是這些操作都是一條條孤立的指令,無(wú)法體現(xiàn)這些操作之間的關(guān)聯(lián),例如是否是同一用戶(hù)的操作、以及操作的時(shí)間先后,審計(jì)員被迫從大量的操作記錄中自行尋找蛛絲馬跡,效率低下。借助網(wǎng)御神州獨(dú)有的基于會(huì)話(huà)的行為分析技術(shù),審計(jì)員可以對(duì)當(dāng)前網(wǎng)絡(luò)中所有訪(fǎng)問(wèn)者進(jìn)行基于時(shí)間的審查,了解每個(gè)訪(fǎng)問(wèn)者任意一段時(shí)間內(nèi)先后進(jìn)行了什么操作,并支持訪(fǎng)問(wèn)過(guò)程回放。SecFox-NBA(業(yè)務(wù)審計(jì)型)真正實(shí)現(xiàn)了對(duì)“誰(shuí)、什么時(shí)間段內(nèi)、對(duì)什么(數(shù)據(jù))、進(jìn)行了哪些操作、結(jié)果如何”的全程審計(jì)。

  3) 基于用戶(hù)ID的數(shù)據(jù)庫(kù)審計(jì)

  傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品僅僅能夠定位到是哪個(gè)IP地址進(jìn)行了違規(guī)操作,但是無(wú)法確認(rèn)是那個(gè)用戶(hù)或者是哪個(gè)單位職工進(jìn)行的違規(guī)操作。這給審計(jì)后續(xù)的責(zé)任認(rèn)定帶來(lái)了不小的麻煩。SecFox-NBA(業(yè)務(wù)審計(jì)型)使用多種方式,能夠協(xié)助審計(jì)員定位是那個(gè)用戶(hù)ID進(jìn)行了數(shù)據(jù)庫(kù)操作,真正實(shí)現(xiàn)了責(zé)任認(rèn)定。