数据库审计植入式
属于注册代理程序的“侵入式”审计,利用数据库的自审计插件(如Oracle的FGAC插件),读取数据库自审计日志,依赖的是数据库自身审计能力,这里有一个很大的问题,如果数据库自身不具备审计能力,那么这类数据库审计产品就无法支持对此类型数据库的审计;并且,数据库自审计功能一般只提供增、删、改、查语句和部分数据定义语句,无法提供全操作类型的审计,也
银行防统方调试
数据库审计植入式
属于注册代理程序的“侵入式”审计,利用数据库的自审计插件(如Oracle的FGAC插件),读取数据库自审计日志,依赖的是数据库自身审计能力,这里有一个很大的问题,如果数据库自身不具备审计能力,那么这类数据库审计产品就无法支持对此类型数据库的审计;并且,数据库自审计功能一般只提供增、删、改、查语句和部分数据定义语句,无法提供全操作类型的审计,也无法完整审计结果集。不过从另一个角度来看,植入方式也有其亮点——本地操作的审计,这些不通过网络的流量,传统的流量镜像方式捕获不到,不过旁路式的审计,也可以通过增加rmagent,实现这项功能。
外置旁路模式的数据库审计系统
外置旁听模式的数据库审计系统是一个独立于生产数据库的系统,其工作原理是通过网络旁听模式并收集所有客户端发送到生产数据库中的网络包,然后在审计系统内部将这些网络包进行解包还原里面的操作命令(即SQL语句)。将SQL语句捕获下来后,存入到数据库审计系统中,然后再根据用户设置条件进行告警或生成报告。
数据库审计其他介绍
在Oracle、MySQL、SQLServer等大型数据库产品中,均自带了审计服务模块,具备完整准确记录SQL日志的能力。然而,数据库自身的审计受限于自身的管理体系,DBA用户可根据需要随时停掉审计服务,干坏事时甚至可以不审计,或人工删除日志消除痕迹,不符合安全审计的第三方独立性原则;加之自身与数据库服务器本地部署,往往消耗30%以上性能,因此也需要引入第三方审计产品。
数据库审计
一、管理风险
内部员工及第三方维护人员的权限分配粗放,导致权限滥用且无有效手段监控操作,致使安全事件发生时不能及时告警且无法追溯并定位真实的操作者,数据流向失控。
二、技术风险
ORALCE、SQL SERVER等数据库系统是一个庞大而复杂的系统,加之其承载的值数据库,无数对其趋之若鹜,致使其漏洞层出不穷,而补丁往往跟进非常延后(有时打补丁风险不比小),另外基于应用层的注入攻击更是难于防范。
三、审计层面
传统的依赖于日志审计的方法,存在诸多弊端,如:数据库审计功能开启会影响数据库本身的运行,原本海量的数据检索已让数据库不堪重负;数据库日志文件本身存在被篡改的风险,难于体现审计信息公正性和有效性;对于国内应用软件的功能性开发模式,日志更是流于表面无实质价值。
(作者: 来源:)
