盧萬根

摘 要 根據(jù)《讇仔幸敵畔⑾低橙媸嶗砣嬲鋃先婕庸坦ぷ髦改稀芬螅誶捌謔嶗斫峁幕∩轄岷稀秬讇仔幸敵畔⑾低車燃侗;ぐ踩ㄉ枵鬧副曷涫登榭鱟圓欏罰孕畔⑾低車燃侗;ご銼昵榭黿惺嶗矸治霾⒄業(yè)講罹轡侍猓貝有畔⑾低場拔宸饋蹦芰?、瘦?つ芰Α踩誦屑囁嗇芰?、支硣I肪潮U夏芰Α踩芾砘啤⒃宋芾砘頻攘霾忝娼姓鋃希繁U易加跋煨畔⑾低嘲踩榷ㄔ誦械奈侍餳霸蠆⒊醪街貧└饗釵侍獾惱慕ㄒ欏K孀牌笠敵畔⑾低嘲踩ㄉ韞ぷ韉撓行蟯平蒞踩椎逼涑澹綰偽Vな蒞踩⑷綰畏婪妒菪孤┦悄殼捌笠敵畔踩ぷ髦惺滓媼俚奈侍??？

關(guān)鍵詞 數(shù)據(jù)庫 安全審計系統(tǒng)建設(shè)

中圖分類號：TP311文獻標(biāo)識碼：A

根據(jù)《讇仔幸敵畔⑾低橙媸嶗砣嬲鋃先婕庸坦ぷ髦改稀芬螅誶捌謔嶗斫峁幕∩轄岷稀秬讇仔幸敵畔⑾低車燃侗;ぐ踩ㄉ枵鬧副曷涫登榭鱟圓欏罰孕畔⑾低車燃侗;ご銼昵榭黿惺嶗矸治霾⒄業(yè)講罹轡侍猓貝有畔⑾低場拔宸饋蹦芰?、瘦?つ芰Α踩誦屑囁嗇芰Α⒅С嘔肪潮U夏芰Α踩芾砘?、运诬理活l攘霾忝娼姓鋃希繁U易加跋煨畔⑾低嘲踩榷ㄔ誦械奈侍餳霸蠆⒊醪街貧└饗釵侍獾惱慕ㄒ欏？

緊跟行業(yè)步伐，結(jié)合信息安全檢查和信息系統(tǒng)安全建設(shè)要求，進行建設(shè)情況梳理，尋找差距，分析出目前數(shù)據(jù)安全工作需要進一步加強的薄弱環(huán)節(jié)即數(shù)據(jù)有效防護，況且數(shù)據(jù)防護是信息安全工作中必不可少的一個環(huán)節(jié)。隨著信息安全工作的不斷有序推進，數(shù)據(jù)安全首當(dāng)其沖，如何保證數(shù)據(jù)安全、如何防范數(shù)據(jù)泄漏是目前企業(yè)信息安全工作中首要面臨的問題。

1建設(shè)的必要性

根據(jù)企業(yè)的信息安全建設(shè)規(guī)劃，即從技術(shù)和管理兩個層面加強企業(yè)的信息安全建設(shè)，信息安全規(guī)劃在數(shù)據(jù)保護、運行監(jiān)控、安全管理、運維管理等方面保證企業(yè)在生產(chǎn)經(jīng)營過程中的信息安全需求，再結(jié)合行業(yè)對數(shù)據(jù)安全的要求，得出該項目的建設(shè)原因主要分為兩個方面：即自身的安全需求和行業(yè)的檢查要求。

2項目需求

2.1現(xiàn)狀分析

目前企業(yè)是典型的三層網(wǎng)絡(luò)架構(gòu)，之前部署了入侵檢測系統(tǒng)，通過入侵檢測系統(tǒng)對來自互聯(lián)網(wǎng)的流量進行分析，進行攻擊檢測，但是對數(shù)據(jù)庫區(qū)域不能進行有效的數(shù)據(jù)安全防護，無法對數(shù)據(jù)進行泄露防護。

2.2行業(yè)信息安全檢查工作和自身信息系統(tǒng)安全建設(shè)情況

根據(jù)行業(yè)信息安全檢查要求，對本企業(yè)進行安全梳理，尋找問題和差距，梳理發(fā)現(xiàn)不合格項為9項，主要集中在數(shù)據(jù)安全保護和審計方面。

2.3目標(biāo)系統(tǒng)需求

通過數(shù)據(jù)安全建設(shè)，部署數(shù)據(jù)庫安全審計系統(tǒng)，對所有操作數(shù)據(jù)庫的流量進行分析，對數(shù)據(jù)庫操作行為進行審計，確保對所有的數(shù)據(jù)庫操作都進行有效的監(jiān)管。

3建設(shè)目標(biāo)和內(nèi)容

3.1建設(shè)目標(biāo)

3.1.1安全穩(wěn)定

目前企業(yè)在互聯(lián)網(wǎng)接入和用戶準(zhǔn)入控制方面，進行了一系列的安全措施，但是對數(shù)據(jù)庫的安全防護目前仍是空白，沒有對數(shù)據(jù)庫的訪問及操作行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等進行有效的管控和審計，在此情況下，通過部署數(shù)據(jù)庫審計系統(tǒng)，可以有效地對數(shù)據(jù)庫的訪問和操作行為進行審計，通過審計，達到數(shù)據(jù)庫長期安全穩(wěn)定運行。

3.1.2行業(yè)規(guī)范

目前企業(yè)沒有針對數(shù)據(jù)庫的安全防護措施，更沒有對數(shù)據(jù)庫進行行為審計的安全產(chǎn)品，而在信息安全檢查中，對數(shù)據(jù)庫的安全具有嚴(yán)格的要求，部署數(shù)據(jù)庫安全審計產(chǎn)品可以有效的幫助企業(yè)滿足行業(yè)規(guī)范要求。

3.2建設(shè)內(nèi)容

通過數(shù)據(jù)庫審計系統(tǒng)實時進行數(shù)據(jù)庫訪問監(jiān)控與行為審計，多角度分析數(shù)據(jù)庫活動，并對異常的行為進行告警通知、審計記錄、追溯分析。數(shù)據(jù)庫審計系統(tǒng)獨立于數(shù)據(jù)庫進行配置和部署，這種方式能夠在不影響數(shù)據(jù)庫的前提下，達到安全管理的目的。拋棄傳統(tǒng)數(shù)據(jù)庫審計產(chǎn)品中的SQL處理機制（依賴于正則表達式、字符串等技術(shù)識別SQL），數(shù)據(jù)庫審計系統(tǒng)應(yīng)能完全模擬數(shù)據(jù)庫的詞法、語法（lex/yacc）解析，可以精準(zhǔn)、智能的識別SQL類型，從而靈活的構(gòu)建行為模型，且能夠快速、準(zhǔn)確的配置和定位策略;此外，通過智能的SQL識別，采用啟發(fā)式風(fēng)險評估，能夠及時發(fā)現(xiàn)數(shù)據(jù)庫操作的潛在風(fēng)險，從而實現(xiàn)對數(shù)據(jù)庫操作的有效監(jiān)管。

4實現(xiàn)方式和技術(shù)路線

4.1實現(xiàn)方式

數(shù)據(jù)庫審計系統(tǒng)，旁路部署在核心交換機上，在旁路模式下，通過端口鏡像、網(wǎng)絡(luò)嗅探器、集線器、TAP等，達到將訪問被保護數(shù)據(jù)庫的流量復(fù)制一份到DAS審計服務(wù)器上。另外，還有一種特殊的旁路模式，是在客戶端到被保護數(shù)據(jù)庫鏈路上的堡壘機或者代理服務(wù)器上，通過TCP/IP協(xié)議探測形式，將獲取的數(shù)據(jù)包信息復(fù)制（發(fā)送）一份到與堡壘機并行的審計服務(wù)器上。

4.2技術(shù)路線

數(shù)據(jù)庫審計系統(tǒng)將提供靈活和易于操作的策略配置，策略配置為高效而全面地實現(xiàn)數(shù)據(jù)庫安全審計起到了決定性的作用。

數(shù)據(jù)庫審計系統(tǒng)至少涵蓋以下幾種配置策略：

全面審計策略：所有的數(shù)據(jù)庫請求都被審計，保證審計的全面性;

審計過濾策略：在某些高吞吐量場景，過高的負(fù)載將致實時處理和存儲壓力過大，通過系統(tǒng)的白名單過濾、白名單規(guī)則對常規(guī)安全語句、安全來源實現(xiàn)審計過濾，使系統(tǒng)能夠在滿載的情況下，集中處理在危險或異常的SQL語句審計上;

重點語句告警策略：無論是否執(zhí)行全面審計的策略，系統(tǒng)都可以對需要重點監(jiān)視的語句進行特殊對待，可以通過黑名單、正則表達、重點用戶、重點IP、返回行數(shù)等策略完成對重點關(guān)注對象和行為的定義，對這些重點對象和行為的語句可以將其放入到告警審計中，可以通過syslog、snmp、郵件或短信等多種途徑對這些行為進行告警。

通過數(shù)據(jù)庫安全審計系統(tǒng)的建設(shè)，進一步解決企業(yè)保證數(shù)據(jù)安全、防范數(shù)據(jù)泄漏及符合行業(yè)規(guī)范檢查所面臨的問題。

參考文獻

[1] 內(nèi)部文件.讇仔幸敵畔⑾低橙媸嶗砣嬲鋃先婕庸坦ぷ髦改蟍EB/OL].2013.

[2] 內(nèi)部文件.關(guān)于開展讇仔幸敵畔⑾低嘲踩燃侗;ふ墓ぷ韉耐ㄖ猍EB/OL].2011.

[3] 內(nèi)部文件.關(guān)于印發(fā)讇仔幸敵畔⑼綈踩芾砉娑ǖ耐ㄖ猍EB/OL].2011.