选购数据库安全审计产品的5大要素

2013-10-22 10:28:47 eNet硅谷动力　点击量：评论 (0)

近年来，有关数据库的安全事故可谓层出不穷，诸如银行内部数据信息泄露造成的账户资金失密、信用卡信息被盗用导致的信用卡伪造、企业内部机密数据泄露引起的竞争力下降……，这些情况无不说明了实施数据库安

据库名、数据表名、字段名、字段值、返回码等，以满足针对各种违规行为的精确检测、响应和审计，如表1所示：

　　

　　表1 数据库审计记录

　　需要特别指出的是，判断数据库审计是否达到语法解析阶段的主要指标有三个方面：

　　首先是能够将SQL语句分解成多个字段进行响应和记录，任意一列都可以单独设定审计规则，单独查询，这样就可以满足用户精确响应和精确查询的要求。

　　其次是能够实现对绑定变量传输情况下的字段与数值的自匹配解析，通过对字段值的解析、设定字段数值条件。在大多数情况下，数据表关键字段往往对应着现实世界中资金或物品的数量及额度，对关键字段改变操作的精确检测非常重要。

　　最后是语法解析的完整性，SQL操作对象有多种类别，如Database、table、view、index、trigger、procedure、domain、schema、user、cursor、transaction等，在实际应用中，各数据库系统（比如Oracle、DB2、MSQL）在SQL-92标准的基础上具体实现也有所差异，满足不同种类数据库系统、满足不同版本的数据库系统、满足不同通讯协议下的数据库环境，满足对各操作对象及DML、DCL、DDL命令支持是审计完整性的重要指标之一。

　　5大因素帮你选出好的数据库安全审计产品

　　结合以上对数据库审计技术的阐述，在数据库审计产品的选择上，主要从以下5个方面进行考虑：

　　部署安全：系统应采用网络监听审计技术，部署过程中不对原有系统进行干扰，即无需在客户端或服务器端安装代理、也无需在整个通讯链路中串联设备，改变原有通讯方式，数据库审计产品的故障不会造成原有系统出现问题；

　　策略灵活：业务系统数据在数据库中进行集中存储，故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等，同时能够审计数据库返回的错误代码、响应时间等，这样一方面能够对关键业务数值进行重点审计，另一方面能够在数据库出现关键错误时及时响应，避免由于数据库故障带来的业务损失；数据库审计产品需要提供缺省的审计策略，具备良好的开放性，能够根据用户的业务特点进行审计策略的定义和修改；

　　事件完整：数据库审计产品应能支持主流数据库的审计，符合SQL-92标准，满足对常见数据库系统如Oracle、DB2、Microsoft SQL-Server、Sybase、Informix、Teradata、Mysql的审计；同时由于业务系统对数据库的业务操作是大量而频繁的，这就要求安全审计产品具备较高的性能，避免由于审计事件无法入库而导致数据完整性缺失带来的无法取证问题，大多数安全审计产品应达到每秒5000条左右的平均入库速度，每秒10000条左右的峰值入库速度，日处理审计事件性能不低于1000万条；

　　自身安全：通过三权分立机制，实现对管理员、审计员、操作员进行权限划分，规定各角色用户只能在其权限范围内对数据库审计产品进行操作，同时对整个操作进行自身审计；产品自身应保证其安全性，需要结合安全加固、硬件令牌、访问控制等多种安全手段提高自身的安全性；

　　独立可靠：审计事件的存储不依赖被审计对象，同时为了保证审计溯源的准确性，应提供时间同步功能，避免各审计组件时间不一致带来的误差。