安全和規則遵從的需要促使人們去使用資料庫審計功能,這些日誌檔案也給人們提供了洞察資料庫活動的獨特視角。 資料庫廠商正致力於優化產品的審計效能,減小歷史遺留問題,但使用者依然需要謹慎部署,從而避免目前已知的問題。
什麼是資料庫審計
資料庫審計是指對審計和事務日誌進行審查,從而跟蹤資料和資料庫結構的變化。資料庫可以這樣進行設定:捕捉資料和元資料的改變,以及儲存這些資料的資料庫所做的修改。
典型的審計報告應該包括以下內容:完成的資料庫操作、改變的資料值、執行該項操作的人,以及其他幾項屬性。這些審計功能被植入到所有的關聯式資料庫平台中,並確保生成的記錄檔案具有較高的準確性和完整性,就好像在資料庫中儲存的資料一樣。
此外,審計跟蹤還能把一系列的語句轉化為合理的事務,並提供業務流程取證(forensic)分析所需的業務環境。
不過,審計功能也存在限制,例如不能對資料訪問語句(通常稱之為select語句)進行審計。另外,本地資料庫審計很難捕捉到使用者認可的原始查詢(query)和變數(variables),只能從綜合的角度對事件做出記錄,而日誌則可以捕捉到改變前後的資料值。這也使得審計跟蹤在檢測已改變的內容時,比檢測已訪問的內容更為有效。
對資料庫活動和狀態進行取證檢查時,審計可以準確的把握事件的本質。對select語句(使用者檢視資料時會使用)進行檢查時,因為本地平台缺乏對這些語句的收集能力,即便利用高階選項實現了這項操作,也會導致效能受到極大損失。既然有簡單的方法可以高效地對select語句進行登記(cataloging)(例如,登入失敗、嘗試檢視信用證資訊),為什麼企業還要選擇在本地資料庫審計功能上增加其他的資料收集資源。
不管怎樣,內建的資料庫審計功能可以生成事務認證和法規控制的核心資訊。
資料庫審計的促進因素
在對一些特定的資料庫審計建立工具和收集工具進行分析之前,讓我們先來**一下為什麼需要加入這些功能。你所在的企業可能存在下面所提的一項也或是所有需求。
規則遵從:法規控制在一些領域起著關鍵性的作用,例如在管理變動、業務流程驗證、系統故障,或生成具有一定準確性和一致性的安全事件材料等方面。這也是資料庫審計在欺詐檢測方面如此重要的原因所在。
此外,資料庫審計對與薩班斯-奧克斯利(sarbanes-oxley)法案相關的法規遵從也具有重大的意義。管理變動、事務歷史記錄、特定事件報告通常都是法規控制所要求的。pci-dss額外控制也是非常重要的,因為系統許可權更改、或管理行為和系統功能的變更都需要進行仔細的審查。
你需要時刻謹記的是,資料庫審計並沒有在各種規則遵從(包括sox、pci-dss、hipaa、ferpa或美國國家隱私條例)中被明確地列為一項必須具備的要求。在實踐中,審計為政策執行所必要的元素(如,業務流程、資料使用、以及管理任務)都提供了精確、簡潔的歷史記錄。因為所有企業應用程式都需要資料庫的支援,並且是資料狀態(業務處理的淨結果)的唯一權威,所以資料庫是實行控制最合理、也最有效的地方。
因此,大多數以跟蹤特定使用者群體、物件或資料元素為核心任務的審計工作都需要進行資料庫審計。
安全:資料的安全和隱私是使用資料庫審計功能的另乙個主要促進因素,比以上所述的幾點因素重要得多。捕捉失敗的登入、查詢,以及管理功能的誤用是對系統探查能力進行檢測的一種途徑。
對能夠暴露資料的視窗(views)外掛程式進行監控、使用系統功能的公共許可、為普通使用者提供管理能力的許可權更改,這些都是很常見的使用案例。對誰在何時、何地進行了何種操作等屬性進行取證分析,能夠提供非常不錯的提示資訊,以顯示資料庫的使用是否合法,或是否有可能受到潛在的攻擊。為防止資料庫被篡改,審計跟蹤提供了足夠的資訊以確定更改的型別,並幫助使用者理解必需的糾正措施。
通常情況下,審計跟蹤用於輔助siem(安全資訊和事件管理)以及日誌管理等安全工具,進行相關性和安全事件的通知。
操作: 資料庫審計功能最初是為幫助資料庫管理員審查資料庫活動而設計的,使得他們可以理解如何分配資源以及對何處的查詢做出調整。儘管目前已經有了完成上述任務的工具,並且效能也不錯,資料庫審計仍然在進行著故障分析和業務流程分析,從而確保資料庫的可靠性。
因為你可以設想下述場景:當災難性的故障發生了,你會問「剛才發生了什麼事?」,此時,如果進行審計跟蹤的話,你可以極為簡便的恢復系統。
有四種基本平台可以用於建立、收集和分析資料庫審計,它們是:本地資料庫平台、系統資訊/事件管理及其日誌管理、資料庫活動監控和資料庫審計平台。
1.本地審計:指的是使用本地資料庫來進行資料獲取,但使用資料庫系統本身對事件進行儲存、分類、過濾和報告。
ibm、微軟、甲骨文和sybase針對這種情況都提供各自不同的解決方案,但本質上都是去獲取相同的資訊。雖然資料通常儲存在資料庫中,但卻可以匯出到純文字檔案、或以xml資料形式提供給其它的應用程式。本地功能的使用節省了與獲取、部署和管理專用審計工具相關的成本,但卻使得資料庫產生了額外的效能開銷,對基本的收集和儲存也只能進行有限的管理,並且需要人為的進行管理。
本地審計發生在資料庫範圍內,並且只適用於對安置在單個設施內的資料庫進行分析。
和日誌管理:安全資訊和事件管理(siem),以及與之類似的日誌管理工具都具備了收集審計檔案的能力,但卻比本地資料庫工具提供了更多的功能。請記住,這些工具不會像本地審計那樣會導致資料庫的開銷,從而減輕了資料庫的大部分負擔,但這需要乙個專門的伺服器對其進行儲存和處理。
除了資料庫審計日誌,這些工具還從網路裝置、作業系統、防火牆和應用程式中收集資訊。siem 和日誌管理可以提供綜合報告、資料收集、異構資料庫支援,資料聚合和壓縮能力,這些都是本地資料庫審計所不具備的優點。loglogic和splunk等公司推出的日誌管理系統,專門設計成能夠容納大量資料的系統,並且更專注於管理和報告。
而由arcsight公司和emc公司安全部門rsa等廠商所推出的siem,則被設計成更適用於接近實時的網路安全裝置監視,從而更深入地分析事件之間的關聯和安全報警等資訊。然而,siem和日誌管理之間的區別可能會逐漸模糊起來,這是因為大多數的廠商都能同時提供兩個平台,儘管兩者沒有完全整合在一起。
資料庫活動監控平台被設計成用於監控資料庫活動中的威脅,並執行規則遵從控制。諸如application security、fortinet、ibm、netezza和甲骨文這樣的**商,提供了異構資料庫中的事件獲取。大多數**商提供了多種方式來獲取資訊,包括收集來自網路、資料庫所在的作業系統和資料庫審計日誌等多方查詢(queries)資訊。
dam 工具被專門用於高速資料檢索和實時政策執行。像siem工具一樣,dam 工具可以收集來自異構資料庫和多資料來源的資料,並被設計成用於分析和報警。而與siem不同的是,dam並不是專為資料庫而設計的,它更加專注於在應用程式級進行資料庫分析,而不是在網路級或系統級上進行。
除了對資料庫的操作進行取證(forensic)分析,dam還提供了諸如活動阻塞、虛擬打補丁、過濾(filtering)和評估等高階功能。
4.資料庫審計平台:一些資料庫廠商提供了專門資料庫,這與日誌管理伺服器很相似。
這些資料庫由乙個專用的平台組成,它儲存從本地資料庫審計中獲取的日誌檔案,並把多個資料庫的日誌檔案收集到乙個**位置上。其中一些平台還提供了異構資料庫日誌檔案收集器。報告、取證分析、把日誌檔案聚集為共同的格式,以及安全儲存,這都是此種平台可以帶來的好處。
雖然這些平台不提供多資料**、或像dam那樣進行細緻的分析,不具備siem那樣的關聯和分析能力,也不像日誌管理簡單易用,但對於那些專注於資料庫審計的it運營而言,這是乙個價效比很高的方法,可以用來生成安全報告和儲存取證方面的安全資料。
資料庫審計的選擇過程
為了有助於進行資料庫審計的選擇過程,你需要考慮以下各平台型別的特點,以及每個**商的解決方案。按重要性排序如下:
資料**:在本文中所描述的資訊主要**是資料庫的審計日誌,這是由資料庫引擎建立的。然而,審計日誌隨資料庫的不同而有所變化,在某些情況下有多種資訊都可以歸在審計日誌這一類。
此外,一些平台可以建立某個使用者對資料庫操作的活動日誌。雖然這種日誌並不如本地平台所建立的那樣準確,但它卻能包含所有select語句,並具有更好的引導效能。你需要仔細檢查來自不同資料來源的哪些資料可用,並看看資訊是否足夠滿足你的安全、運營和規則遵從的要求。
規則遵從:由於依照產業和**的法規是採用資料庫審計解決方案的主要動力,你需要審查政策和**商提供的產品報告。這些報告能幫助你迅速滿足規則遵從的要求,並降低在定製方面的成本。
部署:使用者對所有解決方案描述最大的投訴是部署時需要面對很多難題。安裝、配置、政策管理、減少誤報、自定義報告或資料管理,這些也是使用者需要解決的問題。
正是由於這個原因,你需要將資源集中從而進行實地比較,以評估工具的優劣。此外,針對一兩個資料庫的部署進行測試是不夠的,你需要在多個資料庫之間制定計畫以進行一些可擴充套件性測試,從而模擬真實世界的情景。當然,這增加了概念驗證(proof-of-concept)過程的負擔,但從長遠來看這是值得的,因為廠商存在的ui問題、政策管理和體系結構的不合理選擇,只會在實際測試中才會表現出來。
效能:它與**商平台的關係不是很大,但和資料庫本身的資料審計選項聯絡得更加緊密。目前存在著多個版本和選項,並且本地審計的效能變化也很快,因此你需要執行一些測試。
你可能還需要平衡你想收集的資料和你需要的資料,並尋找以制定最少的政策來滿足需求的途徑,因為政策越多意味著在所有系統上花的經費也更多。
整合:你需要對合作**商在工作流程、故障報告(trouble-ticketing)、系統與政策管理產品的整合方面進行驗證。
審計日誌包含很多對審計人員、安全專家和資料庫管理員有幫助的資訊,但是它們會影響到效能。對於資料庫審計可以的提供任何新奇事物,你都需要通過了解其可能增加的負擔。審計會引起一些效能上的損失,而根據你執行的情況,損失可能會很嚴重。
但是,這些問題是可以緩解的,並且對於一些商業問題而言,資料庫審計日記是規則遵從和安全分析必不可少的環節。
除了本地資料庫審計(位於資料庫資源上層),我們描述的所有工具都被部署為乙個獨立的裝置或軟體。所有資料庫審計都提供了**政策(central policy)和資料管理、報告,並提供資料聚合(data aggregation)功能。siem(安全資訊和事件管理)、日誌管理和資料庫活動監控**商為可擴充套件性提供了乙個層次部署模型,在該模型中多台伺服器或裝置被分布在大型的it組織中,以改善使用者對處理和儲存的需求。
聚合資料使得正被收集的巨大資料量的管理和報告變得容易。此外,資訊收集被放在**伺服器中可以保護處理日記不被篡改。
究竟那種方法更適合你,這取決於你的需求、你需要解決的業務問題,以及你願意為解決問題而投入多少時間和金錢。乙個好訊息是你可以有大量的選擇,比如讓自己的資料庫管理員去進行資料庫本地審計從而獲得基礎的資訊,或者對成千上萬的裝置進行資料聚合操作。
【techtarget中國原創】資料庫管理員受命於建立審計記錄以符合安全審計和合規審計的要求,但如果他們僅僅去閱讀那些敘述如何進行資料庫審計的標準操作手冊的話,恐怕會很失望。資料庫審計工具都有一些特殊的使用技巧,如果不花費時間合理地規劃審計流程,使用這些工具可能會使得資料庫執行效能遭受慘重打擊。由於進行審計而導致資料庫執行效能下降超過50%的例子並不少見。
這也就意味著,看起來簡單的審計工作可能最終會導致資料庫變慢、表空間佔滿、收集過量事件,以及給自己造成維護和報表生成方面的諸多麻煩。
相反,在開展審計工作的時候,首先應該建立乙個測試資料庫,並進行一些基本的效能測試:先關閉審計選項,建立效能基線,然後將其與在不同審計方式、配置和過濾選項下的審計方案測試後所獲得的效能指標進行逐個比較。這樣做不僅有助於理解每個審計選項對效能的影響,也可以幫助識別資源瓶頸。
相信我,這些資訊是你在對生產用資料庫伺服器進行配置之前就必須清楚的。即使是你正準備將資料庫日誌傳送給siem或者日誌管理系統的時候,建立並維護審計追蹤策略仍然是必不可少的工作,別指望那些系統會去幫你優化審計設定。
中國期刊全文資料庫簡介
收錄年限 2000年至今 部分回溯至1999年會議 更新頻率 ki中心 及資料庫交換服務中心每日更新,各映象站點通過網際網路或衛星傳送資料可實現每日更新,光碟每月更新,專題光碟年度更新。中國重要報紙全文資料庫 簡介 收錄2000年以來中國國內重要報紙刊載的學術性 資料性文獻的連續動態更新的資料庫。至...
資料庫種類與資料庫結構
2 網狀結構模型 某醫院醫生 病房和病人之間的聯絡。即每個醫生負責 三個病人,每個病房可住一到四個病人。如果將醫生看成是乙個資料集合,病人和病房分別是另外兩個資料集合,那麼醫生 病人和病房的比例關係就是m n p 即m個醫生,n個病人,p間病房 這種資料結構就是網狀資料結構,它的一般結構模型,記錄r...
資料控制資料庫
資料庫實驗報告 實驗四實驗題目 資料控制 指導老師 李萍 專業班級 電腦科學與技術系1001班 姓名 劉萌 2010100155 2012年 11月10日 實驗型別 驗證實驗室 軟體實驗室一 一 實驗題目 資料控制 安全性和完整性 二 實驗目的和要求 理解sql server的使用者與許可權管理機制...