您的數據庫被審計了嗎?
隨著信息泄漏和信息篡改事件的愈發頻繁,用戶急需針對存儲核心數據的數據庫系統進行全面的網絡行為審計,阻止非法入侵和違規操作,保障核心數據資產的安全。
隨著信息技術的不斷發展,數字信息逐漸成為一種重要資產,尤其是在過去的20多年里,作為信息的主要載體——數據庫,其相關應用在數量和重要性方面都取得了巨大的增長。包括政府機構、企事業單位、制造業、商業等在內的幾乎每一種組織都使用它來存儲、操縱和檢索數據。隨著人們對數據的依賴性越來越高,各種數據信息,尤其是一些財務數據、客戶數據等成為了關系企業生存的重要資產。網絡化時代的到來、互聯網技術的普及更加深了數據保護的矛盾,網絡技術使得數字信息的泄漏和篡改變得更加容易,而防范則更加困難。
更為嚴重的是,所有信息泄漏事件中,源自內部人員所為的占了絕大部分。根據FBI和CSI對484家公司進行的網絡安全專項調查結果顯示:超過85%的安全威脅來自公司內部,在損失金額上,由于內部人員泄密導致了6056.5萬美元的損失,是黑客造成損失的16倍,是病毒造成損失的12倍。另據中國國家信息安全測評認證中心調查,信息安全的現實威脅也主要為內部信息泄露和內部人員犯罪,而非病毒和外來黑客引起。
因此,近兩年來,大多數企事業單位和政府機關紛紛把關注的目光投向信息系統數據的安全問題,尤其是內部網絡的管理和防護。現在較為普遍的做法是在原有網絡安全防護(防火墻、IDS、UTM等傳統安全設備)的基礎上,采用上網行為管理類、終端管理類等具備較強防止內部信息外泄功能的產品,筑起了一道由內向外的安全防線。然而,這樣是否就徹底安全了呢?當然不是!人類在進步,科技在發展,計算機的威脅手法也在不斷更新,病毒、木馬、蠕蟲、DDos攻擊……所以我們決不能放松警惕,要將安全進行到底!那么,接下來我們該做什么呢?從外部到內部的通信有防護了,從內部PC到外部的通信有防護了,終端本身有防護了,還差哪里呢?答案在下圖:
圖:數據庫安全防線的缺失
從這幅典型的網絡拓撲圖中,我們不難看出,我們缺的正是對服務器區的防護,對數據庫的防護,對內部PC訪問業務系統的防護!
也許有的企業認為,他們所使用的是Oracal、MS SQL是國際大品牌的產品,其本身有非常強的安全性,不會有問題的,不需要再另加防護。這種想法是不完全正確的:
1) 在很多企業中,對數據庫訪問的特權都有管理不當的問題。開發者、移動員工和外部顧問經常能夠在沒有太多限制的情況下訪問敏感信息。另外,人員流動和外包也可以讓數據庫活動很難鎖定。
2) 對于擁有數據庫合法權限的內部使用者,數據庫的安全機制對于他們形同虛設,一旦他們之中有人違背職業道德,那么后果不堪想象!
因此,數據庫審計產品應運而生。以典型的網御神州SecFox-NBA(業務審計型)產品為例,該產品通過審計核心業務系統的網絡訪問行為,能夠加強對關鍵信息系統的訪問控制與審計,尤其是針對信息系統后臺的數據庫的內控與審計,確保核心業務的正常運行,防范內部違規行為和誤操作。該產品還應提供業務流量實時監控與審計事件統計分析功能,能夠直觀地反映網絡環境的安全狀況,特別是訪問量、業務流量、業務訪問分布、業務拓撲、行為分析等重要信息,使得管理者可以直觀的實時了解業務系統安全狀況。
數據庫審計產品能夠及時發現一些內部授權用戶由于對系統不熟悉而導致的誤操作,或內部用戶、運維人員、外包工程師有意進行的數據篡改和竊取,有效保護主要數據的安全。而且通過各種訪問信息的記錄,能夠完整地回放事故當時操作場景,定位事故真正責任人,便于事后追查原因與界定責任。
另一方面,用戶可利用數據庫審計產品,按照企事業單位的有關規章制度、國家行業要求,設定審計策略、告警規則,從而協助企事業單位更好完善IT內控與審計體系,達到國家風險、內控指引的IT審計要求和等級保護中對數據安全的相關要求。
總之,通過部署專用的數據庫審計產品,用戶可以對重要的數據庫系統達到以下安全保護目標:
1) 進行數據操作實監控:對所有外部或是內部用戶訪問數據庫和主機的各種操作行為、內容,進行實時監控;
2) 對高危操作實時地阻斷,干擾攻擊或違規行為的執行;
3) 進行安全預警:對入侵和違規行為進行預警和告警,并能夠指導管理員進行應急響應處理;
4) 進行事后調查取證:對于所有行為能夠進行事后查詢、取證、調查分析,出具各種審計報表報告。
5) 協助責任認定、事態評估:我們的系統不光能夠記錄和定位誰、在什么時候、通過什么方式對數據庫進行了什么操作,還能記錄操作的結果以及評估可能的危害程度。
因此,數據庫審計產品著實是政府和企事業單位進行下一步網絡安全建設的首選產品。需要指出的是,在選擇此類產品時,應注意以下幾個方面:
1) 安裝部署的難以程度。推薦選擇偵聽、存儲一體化的硬件產品,B/S結構,可直接通過瀏覽器進行管理,不用裝任何插件。這樣就不用另配服務器或存儲設備,上架即可使用;
2) 旁路鏡像的方式,不會影響原有的網絡結構,或業務訪問模式。這點非常重要,使用此類產品的目的是保護數據庫,保護業務系統,千萬不要因它而起反作用;
3) 根據自身所用的數據庫類型選擇產品。建議選擇能夠支持windows、linux、unix等各種操作系統下的各類主流數據庫(例如SQL Server、Oracle、DB2、Sybase等)全都可以支持的產品,這樣即使后期擴展也不怕;
4) 審計的粒度要夠細致,否則只是雞肋。要能識別出增、刪、改、查等全部SQL操作,審計的內容不光包括網絡中的原始數據,還要對這些原始數據進行了細致化的字段的解析,包括時間、IP、MAC、庫、表、記錄、用戶、函數、參數等重要信息字段,同時要知道這些SQL操作執行的結果是成功還是失敗;
5) 不要單純的只是數據庫審計。對于用戶而言,要保護核心數據,僅僅依靠對數據庫的審計是不夠的。內部人員違規操作的途徑有很多,有的是直接違規訪問數據庫,有的是登錄到數據庫所在的主機服務器上,有的是透過FTP去下載數據庫所在主機的重要數據文件,還有的是透過其他程序或者中間件系統訪問數據庫。所以,必須對數據庫、主機、HTTP協議、TELNET、FTP協議,網絡流量、中間件系統都進行審計,才能更加全面的發現違規、防止信息泄漏。
【編輯推薦】
