網絡監聽是數據庫安全審計的最佳手段

李 瀟，張思東

北京交通大學電子信息工程學院，北京 100044

數據庫系統在企業管理等領域已經具有非常廣泛的應用，如ERP系統、計費系統、經分系統等。數據庫系統作為應用系統的核心，承載了企業運營的關鍵數據，是企業核心IT資產之一。 因此，長期以來，在保障業務連續性和性能的前提下，最大限度的保障數據庫安全一直是數據庫管理人員、安全管理人員孜孜不倦追求的安全目標。

1 數據庫安全風險更多是內部違規行為

數據庫安全涉及入侵防御、賬號管理、訪問控制、安全審計、防病毒、評估加固等多個方面，常見的安全產品如UTM、入侵檢測、漏洞掃描等產品為保障數據庫系統的正常運行起到了重要作用。但是，通過對諸多安全事件的處理、分析，調查人員發現企業內部人員造成的違規事件占了較大比例。

究其原因，主要是因為這些違規行為與傳統的攻擊行為不同，對內部的違規行為無法利用攻擊機理和漏洞機理進行分析，這就導致了那些抵御外部入侵的產品無用武之地。因此，要防止內部的違規行為，就需要在內部建設審計系統，通過對操作行為的分析，實現對違規行為的及時響應和追溯。

2009年Verizon基于對2億8500萬次累計破壞行為數據進行一次調查，結果得出外部入侵對數據庫系統的嘗試破壞行為占比最高，在75%左右。這是為什么呢？

主要原因在于：一方面由于數據庫系統往往承載關鍵業務數據，而這些數據牽涉到企業各個方面的信息，從政治、經濟而言都具備重要的價值；另一方面由于數據庫系統通常比較復雜，且其對連續性、穩定性有高標準的要求，安全管理人員在缺乏相關知識的情況下、往往出現想不到、不敢想、不敢動的情況，從而導致數據庫安全管理工作滯后于業務需求的滿足。

實際上，關于數據庫系統的安全事件層出不窮，而且有愈演愈烈之勢：遠有某市雙色球開獎數據庫被篡改，3305萬巨獎險被冒領的案件；近的更有，匯豐銀行2.4萬帳號數據被盜的列子……對此，國家相關部門非常重視，在《涉及國家秘密的信息系統分級保護技術要求》、《信息系統安全等級基本要求》等相關政策中，對于審計系統也有明確的要求。可見，保障數據庫安全和穩定，已經成為信息時代舉足輕重的一項工作。

2 簡介4類數據庫安全審計技術

常見的安全審計技術主要有四類，分別是：基于日記的審計技術、基于代理的審計技術、基于網絡監聽的審計技術、基于網關的審計技術。

1）基于日記的審計技術：該技術通常是通過數據庫自身功能實現，Oracle、DB2等主流數據庫，均具備自身審計功能，通過配置數據庫的自審計功能，即可實現對數據庫的審計，

該技術能夠對網絡操作及本地操作數據庫的行為進行審計，由于依托于現有數據庫管理系統，因此兼容性很好。

但這種審計技術的缺點也比較明顯。首先，在數據庫系統上開啟自身日志審計對數據庫系統的性能就有影響，特別是在大流量情況下，損耗較大；其次，日志審計記錄的細粒度上差，缺少一些關鍵信息，比如源IP、SQL語句等等，審計溯源效果不好，最后就是日志審計需要到每一臺被審計主機上進行配置和查看，較難進行統一的審計策略配置和日志分析。

2）基于代理的審計技術：該技術是通常在數據庫系統上安裝相應的審計Agent，在Agent上實現審計策略的配置和日志的采集，常見的產品如Oracle公司的Oracle Audit Vauit IBM公司的DB2 Audit Management Expert Tool以及第三方安全提供的產品。

該技術與日志審計技術比較類似，最大的不同是需要在被審計主機上安裝代理程序。代理審計技術從審計力度上要優于日志審計技術，但是性能上損耗是要大于日志審計技術，因為數據庫系統廠商未公開細節，由數據庫廠商提供的代理審計類產品對自有數據庫系統的兼容性較好，但是在跨數據庫系統的支持上，比如要同時審計Oracle和DB2時，存在一定的兼容性風險。同時由于在引入代理審計后，原數據庫系統的穩定性、可靠性、性能或多或少都會有一些影響，實際的應用面較窄。

3）基于網絡監聽的審計技術：該技術是通過獎對數據庫系統的訪問流境像到交換機某一個端口，然后通過專用硬件設備對該端口流量進行分析和還原，從而實現對數據接訪問的審計。

該技術最大的優點就是與現有數據庫系統無關，部署過程不會給數據庫系統帶來性能上的負擔，即使出現故障也不會影響數據庫系統的正常運行，具備易部署、無風險的特點；但是，其部署的實現原理決定了網絡監聽技術在針對加密協議時，只能實現到會話級別審計（即可以審計到時間、源IP、源端口、目的IP、目的端口等信息）、而沒法對內容進行審計。不過在絕大多數業務環境下，因為數據庫系統對業務性能的要求是遠高于對數據傳輸加密的要求，很少有采用加密通訊方式訪問數據庫服務端口的情況，故網絡監聽審計技術在實際的數據庫審計項目中應用非常廣泛。

4）基于網關的審計技術：該技術是通過在數據庫系統前部署網關設備，通過在線截獲并轉發到數據庫的流量而實現審計。

該技術是起源于安全審計在互聯網審計中的應用，在互聯網環境中，審計過程除了記錄以外、還需要關注控制，而網絡監聽方式無法實現很好的控制效果，故多數互聯網審計廠商選擇通過串行的方式來實現控制。在應用過程中，這種技術實現方式開始在數據庫環境中使用，不過由于數據庫環境存在流量大、業務連續性要求高、可靠性要求高的特點，與互聯網環境大相徑庭，故這種網關審計技術往往要運用在對數據庫運維審計的情況下，不能完覆蓋所有對數據庫訪問的審計。

通過對以上4種技術的分析，在進行數據庫審計技術方案的選擇時，我們遵循的根本原則建議是：

1）業務保障原則

安全建設的根本目標是能夠更好的保障網絡上承載的業務。在保證安全的同時，必須保障業務的正常運行和運行效率。

2）結構簡化原則

安全建設的直接目的和效果是要將整個網絡變得更加安全，簡單的網絡結構便于整個安全防護體系的管理、執行和維護。

3）生命周期原則

安全建設不僅僅要考慮靜態設計，還要考慮不斷的變化；系統應具備適度的靈活性和擴展性。

根據通常情況下用戶業務系統7×24小時不間斷運行的特點，從穩定性、可靠性、可用性等多方面進行考慮，特別是技術方案的選擇不應對現有系統造成影響，建議優選采用網絡監聽審計技術來實現對數據庫的審計。