目前,数据库审计产品无疑已经成为政府、企事业单位在信息安全方面的新宠,信息安全建设的标配,几乎所有安全集成有它。市场上有几十种数据库安全审计产品,这些产品大致可以分为四类:1.在网络审计产品的基础上,通过简单封装推出数据库审计产品2.根据数据库的特点开发通信协议专业数据库审计产品3.国外数据库审计产品,如Imperva、Guardium等;4、OEM第三方数据库审计产品,OEM对象可能来自国内也可能来自国外,如Imperva或韩国DBInsight。追本溯源,我们可以将数据库安全审计产品分为三代:第一代是入门级的数据库安全审计,这一代产品解决的是有没有的问题;第二代是专业的数据库安全审计,这一代产品解决了准确性和易用性的问题;第三代是面向业务的数据库安全审计,这一代产品解决的是数据价值的问题。第一代入门级数据库安全审计产品我们将第一代定义为入门级。这是继国外数据库安全审计产品成功,国外公司将这一概念引入中国后。一些传统网络安全公司迅速跟进。基于传统网络审计产品的简单修改或未经修改但经过概念包装后投放市场的产品。这一代产品的典型特征是“三不顾”:(1)不管评论是否准确,先评论再说(2)不管评论是否完整,有了就先说(3)不管你理解得好不好,有数据再说这一代产品的本质是利用传统的网络审计能力,加上一些正则匹配能力,还有一些简单的特征跟踪。基本上,数据库安全审计的管理被集成到原来的网络管理界面中。这一代产品的主要缺陷简述如下:(1)长SQL语句缺失(2)多条语句不能有效划分(3)复杂语句对象解析错误(4)参数值与SQL语句匹配errors(5)errors响应结果,尤其是受影响的行数分析不正确(6)Applicationuserassociationfullofdistortionrate(7)Unspecializedauditinterface(8)excessiveredundantauditinformationstorage其中,前六项上述缺陷与准确性有关,与全面性有关,用户难以验证;判断是否属于这类产品,一般可以通过两种简单的方法来判断:一种方法是接口。如果接口上有多种协议,数据库只是其中一种,往往是网络审计替代的产物;另一种方法是投标参数。一个很奇怪的现象是,在竞标数据库安全审计产品时,结果列出了一堆网络审计产品的要求。以下是一个典型的招标案例:与数据库审计产品无关的参数第二代专业数据库安全审计产品第二代数据库安全审计产品主要由新兴的安全厂商开发,研究过程中会参考国外的一些数据库安全产品和开发过程以其独特的设计理念、产品界面、自身的创新,生产出一款纯粹的数据库安全审计产品。这一代产品具有三个典型特征:(1)高度聚焦的产品理念产品取代了传统网络审计的概念,不会有MAIL、FTP、Telnet等协议,用户可以很容易地找到数据库审计信息.(2)数据库包深度分析和SQL语法分析第二代数据库安全审计产品的基本技能是准确分析数据库的包,并根据上下文进行跟踪(这需要模拟数据库的行为)数据库)。(3)基于数据库的接口组织清晰,完全采用面向数据库的接口组织,如:数据库、会话、语句、表、存储过程等;这样的产品概念一般被数据库审计产品的直接用户使用。维护人员和安全管理人员都很清楚,问题定位的线索组织也很清楚。以下是两代数据库审计产品的对比:第一代数据库审计产品典型界面示例1第一代数据库审计产品典型界面示例2从上图不难看出如图所示,在界面菜单组织结构中很难找到数据库信息,但在审计记录中也很难看到数据库的SQL语句、数据库用户、数据库会话等信息。对比二代数据库审计的典型界面组织,二代数据库安全审计的产品界面具有很强的数据库元素;“数据库”是最基本的信息组织单元,使用“会话”、“语句”等数据库中的基本信息。元素是线索;在审计记录、直观的SQL语句、数据库用户、会话信息等方面,立即将单调的网络协议还原为数据库信息。二代产品也存在差异,主要体现在三个方面:(1)DDPI技术的准确性由于数据库通信包的复杂性,即使采用深度包分析的方法,也不能保证完整的分析。准确的说,通信包能否做到高精度、高兼容,就看各个厂家的功力了。如果分析不准确,将会丢失数据或发生审计错误。(2)协议识别的智能化正是由于这种数据包分析技术的复杂性。一些产品为了准确识别协议类型,往往需要一些人工辅助,帮助输入数据库版本、操作系统类型、编码方式等。等待。在二代产品中,哪家厂商能够实现数据库协议的智能识别,将是产品易用性的另一个重要考量。(3)三层关联的准确性从审计的角度来看,由于一个业务系统往往共享一个数据库用户,无法区分哪些业务人员触发了哪些数据库操作,因此不能真正满足追溯的需要。为了满足这一需求,启明星辰率先注册了http协议与数据库协议连接的专利;后来,安衡也实现了类似的技术。但是由于连接池的存在,在高并发的情况下,这种技术的正确率不超过50%,作为审计是难以承受的。新兴的数据库安全厂商安华金河在国内率先推出了基于Web安装插件的方法,利用该方法实现了100%的审计准确率(四)数据关联分析在第二代数据库安全中审计类产品,大多还是单一数据库访问信息的展示方式,但在实际使用中,用户往往需要了解和发现某类高危风险,需要知道IP来源、谁登录、以及登录后整个session执行了哪些statements,当发现性能峰值瓶颈时,可以同时知道当时的session和statements的数量,以及这些session来自哪些IP,性能消耗主报表是最高的。语句使用什么参数。综上所述,第二代数据库安全审计产品具有以下特点:(1)软件的界面框架和界面元素采用数据库原有的概念组织,大大提高了“数据库”的专业性;(2)通过“会话”和“报表”“风险”和“风险”的内在联系,实现界面交互和线索关联,大大提高了“审计追踪”的能力和便利性;维度统计完成了数据库运行状态的梳理,从而大大提高了对数据库运行状态和性能的把握能力。目前,评价数据库审计产品的好坏,最重要的就是看以上三点。这三点使数据库审计产品实现了高度专业化的审计功能,同时扩展了它的使用价值,成为数据库运维和管理人员监控数据库状态、优化性能的重要工具。第三代业务数据库安全审计产品的专业性毋庸置疑,但第二代数据库审计产品仍然是技术产品,是DBA和运维人员的好帮手,只是与安全审计保持了一定的距离。管理人员和业务人员。大量的数据库审计产品上线后,无法向管理者和业务人员清楚地说明产品的价值。一个重要的原因是数据库是后台服务,数据库的SQL语言是一种高度专业化的语言。数据库对象不能与直接业务映射。因此,DBA和运维人员生成的报表,是管理者和业务部门看不懂的;于是,很多数据库审计产品成了摆设,或者只能发挥其应有价值的10%。第三代数据库安全审计产品的关键是如何通过面向业务的语言来呈现对数据库的访问行为;将传统数据库中的元素客户端IP、数据库用户、SQL操作类型、数据库表名、列名、过滤条件等元素改为业务人员熟悉的元素:办公地点、人员姓名、业务操作、业务对象、业务元素、以及某些类型的商业信息。为了更清楚地说明这个问题,我们来对比一下三代演进前后的数据库安全审计记录:图3.1第三代之前的数据库安全审计记录。数据的组织,如何将这些零散的SQL语句一个一个组织成业务操作,这个时候,展现给业务人员的不是每秒有多少SQL操作,而是每秒有多少业务操作。如图3.3所示,将当前会话中的多条审计记录组织成一个业务操作,如图3.4所示,不仅有审计记录的展示,还有性能、类型统计、成功与失败、检索条件、报表.基于业务运营。多条审计记录业务操作示例第二代数据库安全审计产品的统计和跟踪是按照SQL语言类型划分的,可以看到一些管理人员和业务人员难以理解的SQL语句。第三代数据库安全审计产品的统计和跟踪,按照业务行为和分类对信息进行组织和展示,查询语句也以面向业务的语言进行展示。当达到这个水平时,数据库安全审计产品对于业务人员和管理人员的价值将大大提升。但要做到这一点,还需要依靠良好的数据分析和处理。这个阶段完成一个好的业务产品,关键在于大数据的分析处理能力,尤其是数据流的处理能力。目前至少国内所有的数据库安全审计产品都离第三代数据库审计产品的目标还很远;只有真正掌握数据库核心技术能力的安全厂商,真正具有用户意识的安全厂商,才能生产出第三代产品,让我们拭目以待。
