时间:2021-07-01 10:21:17 帮助过:11人阅读
欢迎进入Oracle社区论坛,与200万技术人员互动交流 >>进入 我们正疲于寻找帮助组织从黑客攻击中解困的新技术和新产品,有一项技术在过去几年中一直受到广泛好评,它就是数据库活动监控技术,数据库中存储的数据是一笔宝贵的财富,通过实施智能监控,及早发现
欢迎进入Oracle社区论坛,与200万技术人员互动交流 >>进入
我们正疲于寻找帮助组织从黑客攻击中解困的新技术和新产品,有一项技术在过去几年中一直受到广泛好评,它就是数据库活动监控技术,数据库中存储的数据是一笔宝贵的财富,通过实施智能监控,及早发现对数据的威胁显得非常有意义。但什么是数据库活动监控,为什么应该关注这个技术呢?数据库安全背景介绍
大多数规模较大的组织都会使用一个数据库存储它们的重要数据,可能是联系资料,客户名单,产品数据或任何其它有价值的内容。随着关系数据库的广泛使用,SQL Server和Oracle部署到越来越多的组织中,承担起重要的数据存储服务。
虽然多年来这些产品在谈及安全时都有一段盛衰无常的历史,我并不是要特指SQL Server管理密码默认为空的漏洞,这些都已成为历史。微软2002启动可信赖计算计划,对所有微软开发人员进行了安全开发培训,确保安全编码成为常态。Oracle为了增强产品的安全性,推出了软件安全保障过程(Software Security Assurance Process,SSAP),其目标是确保Oracle工程师开发的产品从一开始就是安全的,不必再事后发布大量的安全补丁。
想要给DBA推一些新软件安装到他们的数据库服务器上是一件非常困难的事情,在很多情况下几乎是不可能完成的任务,因为服务器除了数据库和操作系统允许的操作外,其它行为全部是被锁定的。
谈到IT安全时,许多厂商都愿意提供专用的硬件插入到网络进行安全保护,这样就不用在服务器上安装软件,这种非侵入式方式也深受管理员的喜爱,他们可以随时插入或移除这种设备,而纯软件是达不到这种效果的。
IT安全的本质也在发生变化,已经从单纯的讲外围安全进化成纵深防御的安全,IT安全从业人员和DBA也意识到他们的数据面临的威胁越来越多,不是遭受数据丢失就是数据被破坏无法使用,并且越来越多的威胁是来自组织内部的,心怀不满的员工能够快速下载一个数据库结果集到U盘,当安全人员发现问题时,他们可能已经将数据转移到公司外去了。
数据库活动监控与数据库审计
过去几年,我们看到数据库厂商也都改善了其产品的安全性,其中值得一提的就是数据库活动监控工具,如果我们以SQL Server 2008为例,有很多原生审计工具非常有用,但与一个全面的数据库活动监控工具相比还是逊色不少。
SQL Server连接审计是一个监控登录失败或登录成功的子系统,审计跟踪可以提供谁在尝试连接服务器,这种审计方式对数据库的性能影响很小,因为它是数据库本身的功能之一。
此外,SQL Server提供了一个满足C2安全评估标准的审核工具,默认没有启用,但它工作时将跟踪每一个审核事件,并写入到服务器上的一个文件中,它的缺点是产生的审计数据量太大,对磁盘空间的要求较高,如果审核文件增长超出了磁盘空间允许的大小,SQL Server将会停止运行。此外,攻击者可以很容易探测到审计文件的存在,通过编辑可以轻松消除攻击痕迹。
SQL Server Trace(跟踪)是另一个审计工具,但它经常用于跟踪和调试慢速查询,虽然可以将SQL Server Trace配置为高效的,开箱即用的工具,但它消耗的资源也较多,如果你需要从安全的角度审计数据库,它并不是理想的工具。
数据库活动监控集所有安全技术与一体
数据库活动监控的目的是提供特殊的工具和技术,将数据库安全和普通信息安全技术结合起来。
数据库活动监控产品通常部署在客户端和关系数据库之间,它分析所有由客户端发出的结构化查询语言(SQL),对有潜在危险的活动打上标记,这是数据库活动监控和日志管理的关键区别,数据库活动监控实际上监控的是SQL命令,而日志管理工具管理的是数据库和系统可疑活动日志。
那么成千上万的SQL语句该如何分析呢?恩,这就是数据库活动监控设备“智慧”之处了。
数据库活动监控工具使用专门设计的算法分析SQL语句,凡是认为可能有问题的SQL语句,它都会做上标记,等待DBA采取行动。
对企业来说,财务用户通常选择长达3个月的数据进行分析,如果他们突然要求查看5年的数据,可能是想分析更多的历史数据,但也可能是想窃取5年的业务数据。