監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

數(shù)據(jù)庫審計(jì)工具的選擇

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

來源:泛普軟件

數(shù)據(jù)庫審計(jì)工具及其應(yīng)用程序

有四種基本平臺(tái)可以用于創(chuàng)建、收集和分析數(shù)據(jù)庫審計(jì),它們是:本地?cái)?shù)據(jù)庫平臺(tái)、系統(tǒng)信息/事件管理及其日志管理、數(shù)據(jù)庫活動(dòng)監(jiān)控和數(shù)據(jù)庫審計(jì)平臺(tái)。

1. 本地審計(jì):指的是使用本地?cái)?shù)據(jù)庫來進(jìn)行數(shù)據(jù)獲取,但使用數(shù)據(jù)庫系統(tǒng)本身對(duì)事件進(jìn)行存儲(chǔ)、分類、過濾和報(bào)告。IBM、微軟、甲骨文和Sybase針對(duì)這種情況都提供各自不同的解決方案,但本質(zhì)上都是去獲取相同的信息。雖然數(shù)據(jù)通常存儲(chǔ)在數(shù)據(jù)庫中,但卻可以導(dǎo)出到純文本文件、或以XML數(shù)據(jù)形式提供給其它的應(yīng)用程序。本地功能的使用節(jié)省了與獲取、部署和管理專用審計(jì)工具相關(guān)的成本,但卻使得數(shù)據(jù)庫產(chǎn)生了額外的性能開銷,對(duì)基本的收集和存儲(chǔ)也只能進(jìn)行有限的管理,并且需要人為的進(jìn)行管理。本地審計(jì)發(fā)生在數(shù)據(jù)庫范圍內(nèi),并且只適用于對(duì)安置在單個(gè)設(shè)施內(nèi)的數(shù)據(jù)庫進(jìn)行分析。

2. SIEM和日志管理:安全信息和事件管理(SIEM),以及與之類似的日志管理工具都具備了收集審計(jì)文件的能力,但卻比本地?cái)?shù)據(jù)庫工具提供了更多的功能。請(qǐng)記住,這些工具不會(huì)像本地審計(jì)那樣會(huì)導(dǎo)致數(shù)據(jù)庫的開銷,從而減輕了數(shù)據(jù)庫的大部分負(fù)擔(dān),但這需要一個(gè)專門的服務(wù)器對(duì)其進(jìn)行存儲(chǔ)和處理。除了數(shù)據(jù)庫審計(jì)日志,這些工具還從網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、防火墻和應(yīng)用程序中收集信息。SIEM 和日志管理可以提供綜合報(bào)告、數(shù)據(jù)收集、異構(gòu)數(shù)據(jù)庫支持,數(shù)據(jù)聚合和壓縮能力,這些都是本地?cái)?shù)據(jù)庫審計(jì)所不具備的優(yōu)點(diǎn)。LogLogic和Splunk等公司推出的日志管理系統(tǒng),專門設(shè)計(jì)成能夠容納大量數(shù)據(jù)的系統(tǒng),并且更專注于管理和報(bào)告。而由ArcSight公司和EMC公司安全部門RSA等廠商所推出的SIEM,則被設(shè)計(jì)成更適用于接近實(shí)時(shí)的網(wǎng)絡(luò)安全設(shè)備監(jiān)視,從而更深入地分析事件之間的關(guān)聯(lián)和安全報(bào)警等信息。然而,SIEM和日志管理之間的區(qū)別可能會(huì)逐漸模糊起來,這是因?yàn)榇蠖鄶?shù)的廠商都能同時(shí)提供兩個(gè)平臺(tái),盡管兩者沒有完全整合在一起。

3. DAM:數(shù)據(jù)庫活動(dòng)監(jiān)控平臺(tái)被設(shè)計(jì)成用于監(jiān)控?cái)?shù)據(jù)庫活動(dòng)中的威脅,并執(zhí)行規(guī)則遵從控制。諸如Application Security、Fortinet、IBM、Netezza和甲骨文這樣的供應(yīng)商,提供了異構(gòu)數(shù)據(jù)庫中的事件獲取。大多數(shù)供應(yīng)商提供了多種方式來獲取信息,包括收集來自網(wǎng)絡(luò)、數(shù)據(jù)庫所在的操作系統(tǒng)和數(shù)據(jù)庫審計(jì)日志等多方查詢(queries)信息。DAM 工具被專門用于高速數(shù)據(jù)檢索和實(shí)時(shí)政策執(zhí)行。像SIEM工具一樣,DAM 工具可以收集來自異構(gòu)數(shù)據(jù)庫和多數(shù)據(jù)源的數(shù)據(jù),并被設(shè)計(jì)成用于分析和報(bào)警。而與SIEM不同的是,DAM并不是專為數(shù)據(jù)庫而設(shè)計(jì)的,它更加專注于在應(yīng)用程序級(jí)進(jìn)行數(shù)據(jù)庫分析,而不是在網(wǎng)絡(luò)級(jí)或系統(tǒng)級(jí)上進(jìn)行。除了對(duì)數(shù)據(jù)庫的操作進(jìn)行取證(forensic)分析,DAM還提供了諸如活動(dòng)阻塞、虛擬打補(bǔ)丁、過濾(filtering)和評(píng)估等高級(jí)功能。

4. 數(shù)據(jù)庫審計(jì)平臺(tái):一些數(shù)據(jù)庫廠商提供了專門數(shù)據(jù)庫,這與日志管理服務(wù)器很相似。這些數(shù)據(jù)庫由一個(gè)專用的平臺(tái)組成,它存儲(chǔ)從本地?cái)?shù)據(jù)庫審計(jì)中獲取的日志文件,并把多個(gè)數(shù)據(jù)庫的日志文件收集到一個(gè)中央位置上。其中一些平臺(tái)還提供了異構(gòu)數(shù)據(jù)庫日志文件收集器。報(bào)告、取證分析、把日志文件聚集為共同的格式,以及安全存儲(chǔ),這都是此種平臺(tái)可以帶來的好處。雖然這些平臺(tái)不提供多數(shù)據(jù)來源、或像DAM那樣進(jìn)行細(xì)致的分析,不具備SIEM那樣的關(guān)聯(lián)和分析能力,也不像日志管理簡(jiǎn)單易用,但對(duì)于那些專注于數(shù)據(jù)庫審計(jì)的IT運(yùn)營而言,這是一個(gè)性價(jià)比很高的方法,可以用來生成安全報(bào)告和存儲(chǔ)取證方面的安全數(shù)據(jù)。

數(shù)據(jù)庫審計(jì)的選擇過程

為了有助于進(jìn)行數(shù)據(jù)庫審計(jì)的選擇過程,你需要考慮以下各平臺(tái)類型的特點(diǎn),以及每個(gè)供應(yīng)商的解決方案。按重要性排序如下:

數(shù)據(jù)來源:在本文中所描述的信息主要來源是數(shù)據(jù)庫的審計(jì)日志,這是由數(shù)據(jù)庫引擎創(chuàng)建的。然而,審計(jì)日志隨數(shù)據(jù)庫的不同而有所變化,在某些情況下有多種信息都可以歸在審計(jì)日志這一類。此外,一些平臺(tái)可以創(chuàng)建某個(gè)用戶對(duì)數(shù)據(jù)庫操作的活動(dòng)日志。雖然這種日志并不如本地平臺(tái)所創(chuàng)建的那樣準(zhǔn)確,但它卻能包含所有SELECT語句,并具有更好的引導(dǎo)性能。你需要仔細(xì)檢查來自不同數(shù)據(jù)源的哪些數(shù)據(jù)可用,并看看信息是否足夠滿足你的安全、運(yùn)營和規(guī)則遵從的要求。

規(guī)則遵從:由于依照產(chǎn)業(yè)和政府的法規(guī)是采用數(shù)據(jù)庫審計(jì)解決方案的主要?jiǎng)恿?,你需要審查政策和供?yīng)商提供的產(chǎn)品報(bào)告。這些報(bào)告能幫助你迅速滿足規(guī)則遵從的要求,并降低在定制方面的成本。

部署:用戶對(duì)所有解決方案描述最大的投訴是部署時(shí)需要面對(duì)很多難題。安裝、配置、政策管理、減少誤報(bào)、自定義報(bào)告或數(shù)據(jù)管理,這些也是用戶需要解決的問題。正是由于這個(gè)原因,你需要將資源集中從而進(jìn)行實(shí)地比較,以評(píng)估工具的優(yōu)劣。此外,針對(duì)一兩個(gè)數(shù)據(jù)庫的部署進(jìn)行測(cè)試是不夠的,你需要在多個(gè)數(shù)據(jù)庫之間制定計(jì)劃以進(jìn)行一些可擴(kuò)展性測(cè)試,從而模擬真實(shí)世界的情景。當(dāng)然,這增加了概念驗(yàn)證(proof-of-concept)過程的負(fù)擔(dān),但從長(zhǎng)遠(yuǎn)來看這是值得的,因?yàn)閺S商存在的UI問題、政策管理和體系結(jié)構(gòu)的不合理選擇,只會(huì)在實(shí)際測(cè)試中才會(huì)表現(xiàn)出來。

性能:它與供應(yīng)商平臺(tái)的關(guān)系不是很大,但和數(shù)據(jù)庫本身的數(shù)據(jù)審計(jì)選項(xiàng)聯(lián)系得更加緊密。目前存在著多個(gè)版本和選項(xiàng),并且本地審計(jì)的性能變化也很快,因此你需要運(yùn)行一些測(cè)試。你可能還需要平衡你想收集的數(shù)據(jù)和你需要的數(shù)據(jù),并尋找以制定最少的政策來滿足需求的途徑,因?yàn)檎咴蕉嘁馕吨谒邢到y(tǒng)上花的經(jīng)費(fèi)也更多。

整合:你需要對(duì)合作供應(yīng)商在工作流程、故障報(bào)告(trouble-ticketing)、系統(tǒng)與政策管理產(chǎn)品的整合方面進(jìn)行驗(yàn)證。

審計(jì)日志包含很多對(duì)審計(jì)人員、安全專家和數(shù)據(jù)庫管理員有幫助的信息,但是它們會(huì)影響到性能。對(duì)于數(shù)據(jù)庫審計(jì)可以的提供任何新奇事物,你都需要通過了解其可能增加的負(fù)擔(dān)。審計(jì)會(huì)引起一些性能上的損失,而根據(jù)你執(zhí)行的情況,損失可能會(huì)很嚴(yán)重。但是,這些問題是可以緩解的,并且對(duì)于一些商業(yè)問題而言,數(shù)據(jù)庫審計(jì)日記是規(guī)則遵從和安全分析必不可少的環(huán)節(jié)。

除了本地?cái)?shù)據(jù)庫審計(jì)(位于數(shù)據(jù)庫資源上層),我們描述的所有工具都被部署為一個(gè)獨(dú)立的設(shè)備或軟件。所有數(shù)據(jù)庫審計(jì)都提供了中央政策(central policy)和數(shù)據(jù)管理、報(bào)告,并提供數(shù)據(jù)聚合(data aggregation)功能。SIEM(安全信息和事件管理)、日志管理和數(shù)據(jù)庫活動(dòng)監(jiān)控供應(yīng)商為可擴(kuò)展性提供了一個(gè)層次部署模型,在該模型中多臺(tái)服務(wù)器或設(shè)備被分布在大型的IT組織中,以改善用戶對(duì)處理和存儲(chǔ)的需求。

聚合數(shù)據(jù)使得正被收集的巨大數(shù)據(jù)量的管理和報(bào)告變得容易。此外,信息收集被放在中央服務(wù)器中可以保護(hù)處理日記不被篡改。

究竟那種方法更適合你,這取決于你的需求、你需要解決的業(yè)務(wù)問題,以及你愿意為解決問題而投入多少時(shí)間和金錢。一個(gè)好消息是你可以有大量的選擇,比如讓自己的數(shù)據(jù)庫管理員去進(jìn)行數(shù)據(jù)庫本地審計(jì)從而獲得基礎(chǔ)的信息,或者對(duì)成千上萬的設(shè)備進(jìn)行數(shù)據(jù)聚合操作。

發(fā)布:2007-04-27 16:37    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
成都OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普成都OA信息化其他應(yīng)用

成都OA軟件 成都軟件動(dòng)態(tài) 成都OA信息化 成都OA客戶 成都OA快播 成都OA行業(yè)資訊 成都監(jiān)控公司 成都倉庫管理軟件 成都餐飲管理軟件 成都物業(yè)管理軟件 成都網(wǎng)站建設(shè)公司 成都軟件開發(fā)公司 成都門禁系統(tǒng)