自2010年以来,国内领先的IT专业网站IT168联合旗下ITPUB、ChinaUnix技术社区已经连续举办了三届数据库技术大会,每届大会超过千人规模,云集了国内技术水平最高的数据架构师、DBA、数据库开发工程师、研发总监、IT经理等,是目前国内最受欢迎的数据库技术盛会。
在DTCC2013大会数据管理专场,捷骅技术支持中心总经理袁志永为我们带来《基于网络监听的数据库安全审计技术》演讲。
▲捷骅技术支持中心总经理袁志永
近年期,各种数据安全事件层出不穷,一旦发生数据泄露或者篡改,其影响和损失必将是十分巨大的,同时监管部门的处罚也会非常严厉,如何防止数据泄露和篡改已经成为了各大数据中心亟需应对的关键问题之一。
据来自Forrester的调查显示的有关数据库安全的数据:CISSPs (Certified Information Systems Security professionals): 数据库安全在所有安全问题里居于第一位。所有发放信用卡的银行,必须遵守PCI-DSS (Payment Card Industry Data Security Standard) 。防火墙/IDS等对数据安全的保护有效率不到10%,90%以上的安全威胁需要数据库本身以及专业产品的防护。数据库安全威胁80%来自于内部用户的误操作和恶意操作。
▲数据库访问来源
▲数据库安全风险
袁志永介绍到,实现对数据库的安全审计和风险控制要做好如下的几件事情:数据库访问审计,服务器远程连接审计,违规操作告警和响应,日志查询、统计分析,隐私数据掩码保护,高危操作审批执行,二层用户客户端连接认证,本地主机操作审计。
▲另外一种方式的安全审计技术
嗅探(sniffer)模式,是一种旁路模式,一般利用交换机的端口镜像方式,或者使用TAP设备实现,将数据库的进出流量复制到审计设备的数据采集网卡中。
混合模式是嗅探模式和网关模式的综合运用,网关模式,是在审计系统上配置一个代理网关,对数据库的访问强制通过网关,一般用于二层用户访问审计和控制。
在嗅探模式下,通过协议解析线程,对捕获包数据进行解析还原,能够准确定位到连接的来源、用户信息、时间、操作的类型、操作语句、返回结果,以及响应时间和返回行数等信息。
3 Tier WAS end user:对于通过应用系统进行的数据访问,在通常的审计记录中,像IP地址,会被显示为应用服务器的IP地址。如果我们需要获取终端用户信息,例如终端IP,用户名等,通常的实现方式有两种:
对于极特殊的情况下,用户直接在数据库服务器主机上进行的操作,通过在数据库服务器上安装一个本地操作日志记录的代理插件,记录用户的行为。
▲数据库审计与风险控制的意义
