我們正疲於尋找幫助組織從黑客攻擊中解困的新技術和新產品
有一項技術在過去幾年中一直受到廣泛好評
它就是數據庫活動監控技術
數據庫中存儲的數據是一筆寶貴的財富
通過實施智能監控
及早發現對數據的威脅顯得非常有意義
但什麼是數據庫活動監控
為什麼應該關注這個技術呢?
數據庫安全背景介紹
大多數規模較大的組織都會使用一個數據庫存儲它們的重要數據可能是聯系資料客戶名單產品數據或任何其它有價值的內容隨著關系數據庫的廣泛使用SQL Server和Oracle部署到越來越多的組織中承擔起重要的數據存儲服務
雖然多年來這些產品在談及安全時都有一段盛衰無常的歷史我並不是要特指SQL Server管理密碼默認為空的漏洞這些都已成為歷史微軟啟動可信賴計算計劃對所有微軟開發人員進行了安全開發培訓確保安全編碼成為常態Oracle為了增強產品的安全性推出了軟件安全保障過程(Software Security Assurance ProcessSSAP)其目標是確保Oracle工程師開發的產品從一開始就是安全的不必再事後發布大量的安全補丁
想要給DBA推一些新軟件安裝到他們的數據庫服務器上是一件非常困難的事情在很多情況下幾乎是不可能完成的任務因為服務器除了數據庫和操作系統允許的操作外其它行為全部是被鎖定的
談到IT安全時許多廠商都願意提供專用的硬件插入到網絡進行安全保護這樣就不用在服務器上安裝軟件這種非侵入式方式也深受管理員的喜愛他們可以隨時插入或移除這種設備而純軟件是達不到這種效果的
IT安全的本質也在發生變化已經從單純的講外圍安全進化成縱深防御的安全IT安全從業人員和DBA也意識到他們的數據面臨的威脅越來越多不是遭受數據丟失就是數據被破壞無法使用並且越來越多的威脅是來自組織內部的心懷不滿的員工能夠快速下載一個數據庫結果集到U盤當安全人員發現問題時他們可能已經將數據轉移到公司外去了
數據庫活動監控與數據庫審計
過去幾年我們看到數據庫廠商也都改善了其產品的安全性其中值得一提的就是數據庫活動監控工具如果我們以SQL Server 為例有很多原生審計工具非常有用但與一個全面的數據庫活動監控工具相比還是遜色不少
SQL Server連接審計是一個監控登錄失敗或登錄成功的子系統審計跟蹤可以提供誰在嘗試連接服務器這種審計方式對數據庫的性能影響很小因為它是數據庫本身的功能之一
此外SQL Server提供了一個滿足C安全評估標准的審核工具默認沒有啟用但它工作時將跟蹤每一個審核事件並寫入到服務器上的一個文件中它的缺點是產生的審計數據量太大對磁盤空間的要求較高如果審核文件增長超出了磁盤空間允許的大小SQL Server將會停止運行此外攻擊者可以很容易探測到審計文件的存在通過編輯可以輕松消除攻擊痕跡
SQL Server Trace(跟蹤)是另一個審計工具但它經常用於跟蹤和調試慢速查詢雖然可以將SQL Server Trace配置為高效的開箱即用的工具但它消耗的資源也較多如果你需要從安全的角度審計數據庫它並不是理想的工具
數據庫活動監控集所有安全技術與一體
數據庫活動監控的目的是提供特殊的工具和技術將數據庫安全和普通信息安全技術結合起來
數據庫活動監控產品通常部署在客戶端和關系數據庫之間它分析所有由客戶端發出的結構化查詢語言(SQL)對有潛在危險的活動打上標記這是數據庫活動監控和日志管理的關鍵區別數據庫活動監控實際上監控的是SQL命令而日志管理工具管理的是數據庫和系統可疑活動日志
那麼成千上萬的SQL語句該如何分析呢?恩這就是數據庫活動監控設備智慧之處了
數據庫活動監控工具使用專門設計的算法分析SQL語句凡是認為可能有問題的SQL語句它都會做上標記等待DBA采取行動
對企業來說財務用戶通常選擇長達個月的數據進行分析如果他們突然要求查看年的數據可能是想分析更多的歷史數據但也可能是想竊取年的業務數據
From:http://tw.wingwit.com/Article/program/Oracle/201311/18714.html
