數(shù)據(jù)庫審計(jì)工具的選擇

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

數(shù)據(jù)庫審計(jì)工具及其應(yīng)用程序

有四種基本平臺(tái)可以用于創(chuàng)建、收集和分析數(shù)據(jù)庫審計(jì)，它們是：本地?cái)?shù)據(jù)庫平臺(tái)、系統(tǒng)信息/事件管理及其日志管理、數(shù)據(jù)庫活動(dòng)監(jiān)控和數(shù)據(jù)庫審計(jì)平臺(tái)。

1. 本地審計(jì)：指的是使用本地?cái)?shù)據(jù)庫來進(jìn)行數(shù)據(jù)獲取，但使用數(shù)據(jù)庫系統(tǒng)本身對(duì)事件進(jìn)行存儲(chǔ)、分類、過濾和報(bào)告。IBM、微軟、甲骨文和Sybase針對(duì)這種情況都提供各自不同的解決方案，但本質(zhì)上都是去獲取相同的信息。雖然數(shù)據(jù)通常存儲(chǔ)在數(shù)據(jù)庫中，但卻可以導(dǎo)出到純文本文件、或以XML數(shù)據(jù)形式提供給其它的應(yīng)用程序。本地功能的使用節(jié)省了與獲取、部署和管理專用審計(jì)工具相關(guān)的成本，但卻使得數(shù)據(jù)庫產(chǎn)生了額外的性能開銷，對(duì)基本的收集和存儲(chǔ)也只能進(jìn)行有限的管理，并且需要人為的進(jìn)行管理。本地審計(jì)發(fā)生在數(shù)據(jù)庫范圍內(nèi)，并且只適用于對(duì)安置在單個(gè)設(shè)施內(nèi)的數(shù)據(jù)庫進(jìn)行分析。

2. SIEM和日志管理：安全信息和事件管理（SIEM），以及與之類似的日志管理工具都具備了收集審計(jì)文件的能力，但卻比本地?cái)?shù)據(jù)庫工具提供了更多的功能。請(qǐng)記住，這些工具不會(huì)像本地審計(jì)那樣會(huì)導(dǎo)致數(shù)據(jù)庫的開銷，從而減輕了數(shù)據(jù)庫的大部分負(fù)擔(dān)，但這需要一個(gè)專門的服務(wù)器對(duì)其進(jìn)行存儲(chǔ)和處理。除了數(shù)據(jù)庫審計(jì)日志，這些工具還從網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、防火墻和應(yīng)用程序中收集信息。SIEM 和日志管理可以提供綜合報(bào)告、數(shù)據(jù)收集、異構(gòu)數(shù)據(jù)庫支持，數(shù)據(jù)聚合和壓縮能力，這些都是本地?cái)?shù)據(jù)庫審計(jì)所不具備的優(yōu)點(diǎn)。LogLogic和Splunk等公司推出的日志管理系統(tǒng)，專門設(shè)計(jì)成能夠容納大量數(shù)據(jù)的系統(tǒng)，并且更專注于管理和報(bào)告。而由ArcSight公司和EMC公司安全部門RSA等廠商所推出的SIEM，則被設(shè)計(jì)成更適用于接近實(shí)時(shí)的網(wǎng)絡(luò)安全設(shè)備監(jiān)視，從而更深入地分析事件之間的關(guān)聯(lián)和安全報(bào)警等信息。然而，SIEM和日志管理之間的區(qū)別可能會(huì)逐漸模糊起來，這是因?yàn)榇蠖鄶?shù)的廠商都能同時(shí)提供兩個(gè)平臺(tái)，盡管兩者沒有完全整合在一起。

3. DAM：數(shù)據(jù)庫活動(dòng)監(jiān)控平臺(tái)被設(shè)計(jì)成用于監(jiān)控?cái)?shù)據(jù)庫活動(dòng)中的威脅，并執(zhí)行規(guī)則遵從控制。諸如Application Security、Fortinet、IBM、Netezza和甲骨文這樣的供應(yīng)商，提供了異構(gòu)數(shù)據(jù)庫中的事件獲取。大多數(shù)供應(yīng)商提供了多種方式來獲取信息，包括收集來自網(wǎng)絡(luò)、數(shù)據(jù)庫所在的操作系統(tǒng)和數(shù)據(jù)庫審計(jì)日志等多方查詢（queries）信息。DAM 工具被專門用于高速數(shù)據(jù)檢索和實(shí)時(shí)政策執(zhí)行。像SIEM工具一樣，DAM 工具可以收集來自異構(gòu)數(shù)據(jù)庫和多數(shù)據(jù)源的數(shù)據(jù)，并被設(shè)計(jì)成用于分析和報(bào)警。而與SIEM不同的是，DAM并不是專為數(shù)據(jù)庫而設(shè)計(jì)的，它更加專注于在應(yīng)用程序級(jí)進(jìn)行數(shù)據(jù)庫分析，而不是在網(wǎng)絡(luò)級(jí)或系統(tǒng)級(jí)上進(jìn)行。除了對(duì)數(shù)據(jù)庫的操作進(jìn)行取證（forensic）分析，DAM還提供了諸如活動(dòng)阻塞、虛擬打補(bǔ)丁、過濾（filtering）和評(píng)估等高級(jí)功能。

4. 數(shù)據(jù)庫審計(jì)平臺(tái)：一些數(shù)據(jù)庫廠商提供了專門數(shù)據(jù)庫，這與日志管理服務(wù)器很相似。這些數(shù)據(jù)庫由一個(gè)專用的平臺(tái)組成，它存儲(chǔ)從本地?cái)?shù)據(jù)庫審計(jì)中獲取的日志文件，并把多個(gè)數(shù)據(jù)庫的日志文件收集到一個(gè)中央位置上。其中一些平臺(tái)還提供了異構(gòu)數(shù)據(jù)庫日志文件收集器。報(bào)告、取證分析、把日志文件聚集為共同的格式，以及安全存儲(chǔ)，這都是此種平臺(tái)可以帶來的好處。雖然這些平臺(tái)不提供多數(shù)據(jù)來源、或像DAM那樣進(jìn)行細(xì)致的分析，不具備SIEM那樣的關(guān)聯(lián)和分析能力,也不像日志管理簡(jiǎn)單易用，但對(duì)于那些專注于數(shù)據(jù)庫審計(jì)的IT運(yùn)營而言，這是一個(gè)性價(jià)比很高的方法，可以用來生成安全報(bào)告和存儲(chǔ)取證方面的安全數(shù)據(jù)。

數(shù)據(jù)庫審計(jì)的選擇過程

為了有助于進(jìn)行數(shù)據(jù)庫審計(jì)的選擇過程，你需要考慮以下各平臺(tái)類型的特點(diǎn)，以及每個(gè)供應(yīng)商的解決方案。按重要性排序如下：

數(shù)據(jù)來源：在本文中所描述的信息主要來源是數(shù)據(jù)庫的審計(jì)日志，這是由數(shù)據(jù)庫引擎創(chuàng)建的。然而，審計(jì)日志隨數(shù)據(jù)庫的不同而有所變化，在某些情況下有多種信息都可以歸在審計(jì)日志這一類。此外，一些平臺(tái)可以創(chuàng)建某個(gè)用戶對(duì)數(shù)據(jù)庫操作的活動(dòng)日志。雖然這種日志并不如本地平臺(tái)所創(chuàng)建的那樣準(zhǔn)確，但它卻能包含所有SELECT語句，并具有更好的引導(dǎo)性能。你需要仔細(xì)檢查來自不同數(shù)據(jù)源的哪些數(shù)據(jù)可用，并看看信息是否足夠滿足你的安全、運(yùn)營和規(guī)則遵從的要求。

規(guī)則遵從：由于依照產(chǎn)業(yè)和政府的法規(guī)是采用數(shù)據(jù)庫審計(jì)解決方案的主要?jiǎng)恿?，你需要審查政策和供?yīng)商提供的產(chǎn)品報(bào)告。這些報(bào)告能幫助你迅速滿足規(guī)則遵從的要求，并降低在定制方面的成本。

部署：用戶對(duì)所有解決方案描述最大的投訴是部署時(shí)需要面對(duì)很多難題。安裝、配置、政策管理、減少誤報(bào)、自定義報(bào)告或數(shù)據(jù)管理，這些也是用戶需要解決的問題。正是由于這個(gè)原因，你需要將資源集中從而進(jìn)行實(shí)地比較，以評(píng)估工具的優(yōu)劣。此外，針對(duì)一兩個(gè)數(shù)據(jù)庫的部署進(jìn)行測(cè)試是不夠的，你需要在多個(gè)數(shù)據(jù)庫之間制定計(jì)劃以進(jìn)行一些可擴(kuò)展性測(cè)試，從而模擬真實(shí)世界的情景。當(dāng)然，這增加了概念驗(yàn)證（proof-of-concept）過程的負(fù)擔(dān)，但從長(zhǎng)遠(yuǎn)來看這是值得的，因?yàn)閺S商存在的UI問題、政策管理和體系結(jié)構(gòu)的不合理選擇，只會(huì)在實(shí)際測(cè)試中才會(huì)表現(xiàn)出來。

性能：它與供應(yīng)商平臺(tái)的關(guān)系不是很大，但和數(shù)據(jù)庫本身的數(shù)據(jù)審計(jì)選項(xiàng)聯(lián)系得更加緊密。目前存在著多個(gè)版本和選項(xiàng)，并且本地審計(jì)的性能變化也很快，因此你需要運(yùn)行一些測(cè)試。你可能還需要平衡你想收集的數(shù)據(jù)和你需要的數(shù)據(jù)，并尋找以制定最少的政策來滿足需求的途徑，因?yàn)檎咴蕉嘁馕吨谒邢到y(tǒng)上花的經(jīng)費(fèi)也更多。

整合：你需要對(duì)合作供應(yīng)商在工作流程、故障報(bào)告（trouble-ticketing）、系統(tǒng)與政策管理產(chǎn)品的整合方面進(jìn)行驗(yàn)證。

審計(jì)日志包含很多對(duì)審計(jì)人員、安全專家和數(shù)據(jù)庫管理員有幫助的信息，但是它們會(huì)影響到性能。對(duì)于數(shù)據(jù)庫審計(jì)可以的提供任何新奇事物，你都需要通過了解其可能增加的負(fù)擔(dān)。審計(jì)會(huì)引起一些性能上的損失，而根據(jù)你執(zhí)行的情況，損失可能會(huì)很嚴(yán)重。但是，這些問題是可以緩解的，并且對(duì)于一些商業(yè)問題而言，數(shù)據(jù)庫審計(jì)日記是規(guī)則遵從和安全分析必不可少的環(huán)節(jié)。

除了本地?cái)?shù)據(jù)庫審計(jì)（位于數(shù)據(jù)庫資源上層），我們描述的所有工具都被部署為一個(gè)獨(dú)立的設(shè)備或軟件。所有數(shù)據(jù)庫審計(jì)都提供了中央政策（central policy）和數(shù)據(jù)管理、報(bào)告，并提供數(shù)據(jù)聚合（data aggregation）功能。SIEM（安全信息和事件管理）、日志管理和數(shù)據(jù)庫活動(dòng)監(jiān)控供應(yīng)商為可擴(kuò)展性提供了一個(gè)層次部署模型，在該模型中多臺(tái)服務(wù)器或設(shè)備被分布在大型的IT組織中，以改善用戶對(duì)處理和存儲(chǔ)的需求。

聚合數(shù)據(jù)使得正被收集的巨大數(shù)據(jù)量的管理和報(bào)告變得容易。此外，信息收集被放在中央服務(wù)器中可以保護(hù)處理日記不被篡改。

究竟那種方法更適合你，這取決于你的需求、你需要解決的業(yè)務(wù)問題，以及你愿意為解決問題而投入多少時(shí)間和金錢。一個(gè)好消息是你可以有大量的選擇，比如讓自己的數(shù)據(jù)庫管理員去進(jìn)行數(shù)據(jù)庫本地審計(jì)從而獲得基礎(chǔ)的信息，或者對(duì)成千上萬的設(shè)備進(jìn)行數(shù)據(jù)聚合操作。