论数据库安全审计系统建设的可行性

2018-04-23 01:08卢万根

科教导刊·电子版 2018年36期

卢万根

摘要根据《讇仔幸敌畔⑾低橙媸崂砣嬲锒先婕庸坦ぷ髦改稀芬螅谇捌谑崂斫峁幕∩辖岷稀秬讇仔幸敌畔⑾低车燃侗;ぐ踩ㄉ枵闹副曷涫登榭鲎圆椤罚孕畔⑾低车燃侗;ご锉昵榭鼋惺崂矸治霾⒄业讲罹辔侍猓贝有畔⑾低场拔宸馈蹦芰Α⑹荼;つ芰Α踩诵屑嗫啬芰Α⒅С呕肪潮U夏芰Α踩芾砘啤⒃宋芾砘频攘霾忝娼姓锒希繁U易加跋煨畔⑾低嘲踩榷ㄔ诵械奈侍饧霸虿⒊醪街贫└飨钗侍獾恼慕ㄒ椤K孀牌笠敌畔⑾低嘲踩ㄉ韫ぷ鞯挠行蛲平莅踩椎逼涑澹绾伪Vな莅踩⑷绾畏婪妒菪孤┦悄壳捌笠敌畔踩ぷ髦惺滓媪俚奈侍狻？

关键词数据库安全审计系统建设

中图分类号：TP311文献标识码：A

根据《讇仔幸敌畔⑾低橙媸崂砣嬲锒先婕庸坦ぷ髦改稀芬螅谇捌谑崂斫峁幕∩辖岷稀秬讇仔幸敌畔⑾低车燃侗;ぐ踩ㄉ枵闹副曷涫登榭鲎圆椤罚孕畔⑾低车燃侗;ご锉昵榭鼋惺崂矸治霾⒄业讲罹辔侍猓贝有畔⑾低场拔宸馈蹦芰Α⑹荼;つ芰Α踩诵屑嗫啬芰Α⒅С呕肪潮U夏芰Α踩芾砘啤⒃宋芾砘频攘霾忝娼姓锒希繁U易加跋煨畔⑾低嘲踩榷ㄔ诵械奈侍饧霸虿⒊醪街贫└飨钗侍獾恼慕ㄒ椤？

紧跟行业步伐，结合信息安全检查和信息系统安全建设要求，进行建设情况梳理，寻找差距，分析出目前数据安全工作需要进一步加强的薄弱环节即数据有效防护，况且数据防护是信息安全工作中必不可少的一个环节。随着信息安全工作的不断有序推进，数据安全首当其冲，如何保证数据安全、如何防范数据泄漏是目前企业信息安全工作中首要面临的问题。

1建设的必要性

根据企业的信息安全建设规划，即从技术和管理两个层面加强企业的信息安全建设，信息安全规划在数据保护、运行监控、安全管理、运维管理等方面保证企业在生产经营过程中的信息安全需求，再结合行业对数据安全的要求，得出该项目的建设原因主要分为两个方面：即自身的安全需求和行业的检查要求。

2项目需求

2.1现状分析

目前企业是典型的三层网络架构，之前部署了入侵检测系统，通过入侵检测系统对来自互联网的流量进行分析，进行攻击检测，但是对数据库区域不能进行有效的数据安全防护，无法对数据进行泄露防护。

2.2行業信息安全检查工作和自身信息系统安全建设情况

根据行业信息安全检查要求，对本企业进行安全梳理，寻找问题和差距，梳理发现不合格项为9项，主要集中在数据安全保护和审计方面。

2.3目标系统需求

通过数据安全建设，部署数据库安全审计系统，对所有操作数据库的流量进行分析，对数据库操作行为进行审计，确保对所有的数据库操作都进行有效的监管。

3建设目标和内容

3.1建设目标

3.1.1安全稳定

目前企业在互联网接入和用户准入控制方面，进行了一系列的安全措施，但是对数据库的安全防护目前仍是空白，没有对数据库的访问及操作行为、系统资源的异常使用、重要系统命令的使用等进行有效的管控和审计，在此情况下，通过部署数据库审计系统，可以有效地对数据库的访问和操作行为进行审计，通过审计，达到数据库长期安全稳定运行。

3.1.2行业规范

目前企业没有针对数据库的安全防护措施，更没有对数据库进行行为审计的安全产品，而在信息安全检查中，对数据库的安全具有严格的要求，部署数据库安全审计产品可以有效的帮助企业满足行业规范要求。

3.2建设内容

通过数据库审计系统实时进行数据库访问监控与行为审计，多角度分析数据库活动，并对异常的行为进行告警通知、审计记录、追溯分析。数据库审计系统独立于数据库进行配置和部署，这种方式能够在不影响数据库的前提下，达到安全管理的目的。抛弃传统数据库审计产品中的SQL处理机制（依赖于正则表达式、字符串等技术识别SQL），数据库审计系统应能完全模拟数据库的词法、语法（lex/yacc）解析，可以精准、智能的识别SQL类型，从而灵活的构建行为模型，且能够快速、准确的配置和定位策略;此外，通过智能的SQL识别，采用启发式风险评估，能够及时发现数据库操作的潜在风险，从而实现对数据库操作的有效监管。

4实现方式和技术路线

4.1实现方式

数据库审计系统，旁路部署在核心交换机上，在旁路模式下，通过端口镜像、网络嗅探器、集线器、TAP等，达到将访问被保护数据库的流量复制一份到DAS审计服务器上。另外，还有一种特殊的旁路模式，是在客户端到被保护数据库链路上的堡垒机或者代理服务器上，通过TCP/IP协议探测形式，将获取的数据包信息复制（发送）一份到与堡垒机并行的审计服务器上。

4.2技术路线

数据库审计系统将提供灵活和易于操作的策略配置，策略配置为高效而全面地实现数据库安全审计起到了决定性的作用。

数据库审计系统至少涵盖以下几种配置策略：

全面审计策略：所有的数据库请求都被审计，保证审计的全面性;

审计过滤策略：在某些高吞吐量场景，过高的负载将致实时处理和存储压力过大，通过系统的白名单过滤、白名单规则对常规安全语句、安全来源实现审计过滤，使系统能够在满载的情况下，集中处理在危险或异常的SQL语句审计上;

重点语句告警策略：无论是否执行全面审计的策略，系统都可以对需要重点监视的语句进行特殊对待，可以通过黑名单、正则表达、重点用户、重点IP、返回行数等策略完成对重点关注对象和行为的定义，对这些重点对象和行为的语句可以将其放入到告警审计中，可以通过syslog、snmp、邮件或短信等多种途径对这些行为进行告警。

通过数据库安全审计系统的建设，进一步解决企业保证数据安全、防范数据泄漏及符合行业规范检查所面临的问题。

参考文献

[1] 内部文件.讇仔幸敌畔⑾低橙媸崂砣嬲锒先婕庸坦ぷ髦改蟍EB/OL].2013.

[2] 内部文件.关于开展讇仔幸敌畔⑾低嘲踩燃侗;ふ墓ぷ鞯耐ㄖ猍EB/OL].2011.

[3] 内部文件.关于印发讇仔幸敌畔⑼绨踩芾砉娑ǖ耐ㄖ猍EB/OL].2011.