論數據庫安全審計系統建設的可行性

盧萬根

摘 要 根據《讇仔幸敵畔⑾低橙媸嶗砣嬲鋃先婕庸坦ぷ髦改稀芬螅誶捌謔嶗斫峁幕∩轄岷稀秬讇仔幸敵畔⑾低車燃侗;ぐ踩ㄉ枵鬧副曷涫登榭鱟圓欏罰孕畔⑾低車燃侗;ご銼昵榭黿惺嶗矸治霾⒄業講罹轡侍猓貝有畔⑾低場拔宸饋蹦芰?、瘦?つ芰Α踩誦屑囁嗇芰Α⒅С嘔肪潮U夏芰Α踩芾砘啤⒃宋芾砘頻攘霾忝娼姓鋃希繁U易加跋煨畔⑾低嘲踩榷ㄔ誦械奈侍餳霸蠆⒊醪街貧└饗釵侍獾惱慕ㄒ欏K孀牌笠敵畔⑾低嘲踩ㄉ韞ぷ韉撓行蟯平蒞踩椎逼涑澹綰偽Vな蒞踩⑷綰畏婪妒菪孤┦悄殼捌笠敵畔踩ぷ髦惺滓媼俚奈侍狻？

關鍵詞 數據庫 安全審計系統建設

中圖分類號：TP311文獻標識碼：A

根據《讇仔幸敵畔⑾低橙媸嶗砣嬲鋃先婕庸坦ぷ髦改稀芬螅誶捌謔嶗斫峁幕∩轄岷稀秬讇仔幸敵畔⑾低車燃侗;ぐ踩ㄉ枵鬧副曷涫登榭鱟圓欏罰孕畔⑾低車燃侗;ご銼昵榭黿惺嶗矸治霾⒄業講罹轡侍猓貝有畔⑾低場拔宸饋蹦芰Α⑹荼;つ芰Α踩誦屑囁嗇芰Α⒅С嘔肪潮U夏芰Α踩芾砘?、运诬理活l攘霾忝娼姓鋃希繁U易加跋煨畔⑾低嘲踩榷ㄔ誦械奈侍餳霸蠆⒊醪街貧└饗釵侍獾惱慕ㄒ欏？

緊跟行業步伐，結合信息安全檢查和信息系統安全建設要求，進行建設情況梳理，尋找差距，分析出目前數據安全工作需要進一步加強的薄弱環節即數據有效防護，況且數據防護是信息安全工作中必不可少的一個環節。隨著信息安全工作的不斷有序推進，數據安全首當其沖，如何保證數據安全、如何防范數據泄漏是目前企業信息安全工作中首要面臨的問題。

1建設的必要性

根據企業的信息安全建設規劃，即從技術和管理兩個層面加強企業的信息安全建設，信息安全規劃在數據保護、運行監控、安全管理、運維管理等方面保證企業在生產經營過程中的信息安全需求，再結合行業對數據安全的要求，得出該項目的建設原因主要分為兩個方面：即自身的安全需求和行業的檢查要求。

2項目需求

2.1現狀分析

目前企業是典型的三層網絡架構，之前部署了入侵檢測系統，通過入侵檢測系統對來自互聯網的流量進行分析，進行攻擊檢測，但是對數據庫區域不能進行有效的數據安全防護，無法對數據進行泄露防護。

2.2行業信息安全檢查工作和自身信息系統安全建設情況

根據行業信息安全檢查要求，對本企業進行安全梳理，尋找問題和差距，梳理發現不合格項為9項，主要集中在數據安全保護和審計方面。

2.3目標系統需求

通過數據安全建設，部署數據庫安全審計系統，對所有操作數據庫的流量進行分析，對數據庫操作行為進行審計，確保對所有的數據庫操作都進行有效的監管。

3建設目標和內容

3.1建設目標

3.1.1安全穩定

目前企業在互聯網接入和用戶準入控制方面，進行了一系列的安全措施，但是對數據庫的安全防護目前仍是空白，沒有對數據庫的訪問及操作行為、系統資源的異常使用、重要系統命令的使用等進行有效的管控和審計，在此情況下，通過部署數據庫審計系統，可以有效地對數據庫的訪問和操作行為進行審計，通過審計，達到數據庫長期安全穩定運行。

3.1.2行業規范

目前企業沒有針對數據庫的安全防護措施，更沒有對數據庫進行行為審計的安全產品，而在信息安全檢查中，對數據庫的安全具有嚴格的要求，部署數據庫安全審計產品可以有效的幫助企業滿足行業規范要求。

3.2建設內容

通過數據庫審計系統實時進行數據庫訪問監控與行為審計，多角度分析數據庫活動，并對異常的行為進行告警通知、審計記錄、追溯分析。數據庫審計系統獨立于數據庫進行配置和部署，這種方式能夠在不影響數據庫的前提下，達到安全管理的目的。拋棄傳統數據庫審計產品中的SQL處理機制（依賴于正則表達式、字符串等技術識別SQL），數據庫審計系統應能完全模擬數據庫的詞法、語法（lex/yacc）解析，可以精準、智能的識別SQL類型，從而靈活的構建行為模型，且能夠快速、準確的配置和定位策略;此外，通過智能的SQL識別，采用啟發式風險評估，能夠及時發現數據庫操作的潛在風險，從而實現對數據庫操作的有效監管。

4實現方式和技術路線

4.1實現方式

數據庫審計系統，旁路部署在核心交換機上，在旁路模式下，通過端口鏡像、網絡嗅探器、集線器、TAP等，達到將訪問被保護數據庫的流量復制一份到DAS審計服務器上。另外，還有一種特殊的旁路模式，是在客戶端到被保護數據庫鏈路上的堡壘機或者代理服務器上，通過TCP/IP協議探測形式，將獲取的數據包信息復制（發送）一份到與堡壘機并行的審計服務器上。

4.2技術路線

數據庫審計系統將提供靈活和易于操作的策略配置，策略配置為高效而全面地實現數據庫安全審計起到了決定性的作用。

數據庫審計系統至少涵蓋以下幾種配置策略：

全面審計策略：所有的數據庫請求都被審計，保證審計的全面性;

審計過濾策略：在某些高吞吐量場景，過高的負載將致實時處理和存儲壓力過大，通過系統的白名單過濾、白名單規則對常規安全語句、安全來源實現審計過濾，使系統能夠在滿載的情況下，集中處理在危險或異常的SQL語句審計上;

重點語句告警策略：無論是否執行全面審計的策略，系統都可以對需要重點監視的語句進行特殊對待，可以通過黑名單、正則表達、重點用戶、重點IP、返回行數等策略完成對重點關注對象和行為的定義，對這些重點對象和行為的語句可以將其放入到告警審計中，可以通過syslog、snmp、郵件或短信等多種途徑對這些行為進行告警。

通過數據庫安全審計系統的建設，進一步解決企業保證數據安全、防范數據泄漏及符合行業規范檢查所面臨的問題。

參考文獻

[1] 內部文件.讇仔幸敵畔⑾低橙媸嶗砣嬲鋃先婕庸坦ぷ髦改蟍EB/OL].2013.

[2] 內部文件.關于開展讇仔幸敵畔⑾低嘲踩燃侗;ふ墓ぷ韉耐ㄖ猍EB/OL].2011.

[3] 內部文件.關于印發讇仔幸敵畔⑼綈踩芾砉娑ǖ耐ㄖ猍EB/OL].2011.