后,要對數據庫系統(tǒng)及其所在主機進行實時安全監(jiān)控、事后操作審計,部署一套數據庫審計系統(tǒng)。這一點尤為重要!相當于數據庫安全的后一道防線。

  事實表明,現在的數據泄漏和篡改事件都是“內部人員”作案為主,他們有合法的帳號口令,他們完全可以把自己偽裝成一個“合法”的內部人員,堂而皇之的竊取數據庫信息,根本不用任何攻擊手段,防火墻、IDS/IPS之類的傳統(tǒng)安全系統(tǒng)根本發(fā)現不了。因此,對數據庫系統(tǒng)的使用進行監(jiān)控和審計,關鍵的在于對內部人員的違規(guī)和誤操作進行監(jiān)控和審計。而這,正在數據庫審計系統(tǒng)的特長。

  針對重要的數據庫及其業(yè)務系統(tǒng),部署一套數據庫審計系統(tǒng),可以達到以下目標:

  1) 數據操作實時監(jiān)控:對所有外部或者內部用戶對數據庫和主機的各種操作行為、內容,進行實時監(jiān)控;

  2) 高危操作即時阻斷:對于高危操作能夠實時阻斷,干擾攻擊或者違規(guī)行為的執(zhí)行;

  3) 安全預警:對于入侵和違規(guī)行為進行及時預警和告警,并指導管理員進行應急響應處理;

  4) 事后調查取證:對于所有行為能夠進行事后查詢、取證、調查分析,出具各種審計報表報告。

  5) 責任認定、事態(tài)評估:系統(tǒng)能夠記錄和定位誰、在什么時候、通過什么方式對數據庫進行了什么操作,以及操作的結果和可能的危害程度。

  網神SecFox-NBA數據庫審計系統(tǒng)

  針對客戶面臨的上述挑戰(zhàn)和需求,網御神州推出的新一代數據庫審計產品??SecFox-NBA網絡行為審計系統(tǒng)(業(yè)務審計型)是一款的數據庫審計系統(tǒng),并具有強大的用戶“合法”行為深度分析能力。

  SecFox-NBA(業(yè)務審計型)采用旁路偵聽的方式對通過網絡連接到重要業(yè)務系統(tǒng)(服務器、數據庫、業(yè)務中間件、數據文件等)的數據流進行采集、分析和識別,實時監(jiān)視用戶訪問業(yè)務系統(tǒng)的狀態(tài),記錄各種訪問行為,發(fā)現并及時制止用戶的誤操作、違規(guī)訪問或者可疑行為。產品部署簡便,不需要修改任何網絡結構和應用配置,不會影響用戶的業(yè)務運行。

  SecFox-NBA(業(yè)務審計型)產品區(qū)隔于傳統(tǒng)數據庫審計產品的特征在于:

  1) 面向業(yè)務的安全審計

  SecFox-NBA(業(yè)務審計型)獨有面向業(yè)務的安全審計技術,通過業(yè)務網絡拓撲記錄客戶業(yè)務網絡中各種數據庫、主機、web應用系統(tǒng)相互的關聯性,審計人員可以根據以數據庫為核心的業(yè)務網絡的變化快速查看業(yè)務網絡中各個設備和整個業(yè)務網絡的事件和告警信息。

  2) 基于會話的行為審計

  傳統(tǒng)的數據庫或者網絡審計系統(tǒng)都采用基于指令的操作分析技術,可以顯示出所有與數據庫主機相關的操作,但是這些操作都是一條條孤立的指令,無法體現這些操作之間的關聯,例如是否是同一用戶的操作、以及操作的時間先后,審計員被迫從大量的操作記錄中自行尋找蛛絲馬跡,效率低下。借助網御神州獨有的基于會話的行為分析技術,審計員可以對當前網絡中所有訪問者進行基于時間的審查,了解每個訪問者任意一段時間內先后進行了什么操作,并支持訪問過程回放。SecFox-NBA(業(yè)務審計型)真正實現了對“誰、什么時間段內、對什么(數據)、進行了哪些操作、結果如何”的全程審計。

  3) 基于用戶ID的數據庫審計

  傳統(tǒng)的數據庫審計產品僅僅能夠定位到是哪個IP地址進行了違規(guī)操作,但是無法確認是那個用戶或者是哪個單位職工進行的違規(guī)操作。這給審計后續(xù)的責任認定帶來了不小的麻煩。SecFox-NBA(業(yè)務審計型)使用多種方式,能夠協助審計員定位是那個用戶ID進行了數據庫操作,真正實現了責任認定。