论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 4 篇帖子 ] 
作者 内容
 文章标题 : 基于输出的数据库审计和三层数据库审计
帖子发表于 : 2011-02-02 11:48 
离线
高级用户

关注按钮

注册: 2004-01-24 17:13
最近: 2015-06-04 11:46
拥有: 2,646.20 安全币

奖励: 624 安全币
在线: 4224 点
帖子: 292
地址: 深圳
1、市面上是否有基于输出的数据库审计系统?
我看了几款数据库审计系统,大多基于输入操作进行告警。这有点不大合适,因为我们关注的并操作本身(输入),而是操作的结果(输出)。大家都知道,要实现一个结果,有N种操作方式,也就有N种输入。这种黑名单对安全人员或者数据库审计系统厂商来说实在是一个难题,本来我还希望能有数据库审计系统厂商给我解决这个问题的,现在没办法,只有换一个思路,聚焦在输出上。因为任何基于数据库访问的拖库行为和场景,对应的输出都是有规律的。
当然了,在面对数据库篡改的时候,我们也需要关注输入 :)

2、三层数据库审计系统给我们带来神马收益?
三层:WAF-->Web Server-->App Server-->DB Audit-->Database
传统的2层:Web Server-->App Server-->DB Audit-->Database

现在据我所知是imperva和启明星辰有三层的数据库审计系统(如果还有其他的产品能支持,还请毛遂自荐)。可以理解把waf和db audit联动起来了。哪位能给我们系统的介绍下这种架构相对传统的数据库审计(2层)的收益?

我先抛一下砖:

三层的优点:据说可以看到源IP。至于还有其他啥的好处,等待各位的大玉。

三层的不足:对系统架构有要求,要3层物理上分开部署。

传统2层的优点:部署简单,对系统架构没要求,不需要WEB-APP-DB这种三层的架构。

传统2层的不足:
如果我们的系统架构是2层的:对WEB(APP)的部署要求比较高,不能多个应用部署在一个IP上,因为数据库审计系统只能看到SRC IP。如果混杂部署了,那么数据库审计系统告警的时候,很难看到来源。
如果我们的系统架构是3层的:那么我们看到的就是来自APP的请求了,至于源头到底是哪个WEB,哪个用户,哪个IP,更难排查。如果架构做的很好的话,或许相对好查一点,或许。。。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 基于输出的数据库审计和三层数据库审计
帖子发表于 : 2011-02-04 15:09 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,387.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
审计到源IP是必须的功能的……
很早的,汉邦、格方、光华,做的项目
就明确要求必须审计到源IP的
几年前的产品就有了

但是,对中间件的某些支持不行

如在下列环境下:
WEB服务器和DB服务器在一起

N台前台共同调用一台DB的数据,并且通过中间件

这样的情况,不行……

还是比较期待软件+硬件,二合一的数据库安全产品

实现网络、系统、数据库、应用层面的全方位安全

包括:
网络审计、数据库审计、网络层入侵检测(或防御)
有的可以设置主机层面的入侵防范,抵御注入攻击、溢出攻击。


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 基于输出的数据库审计和三层数据库审计
帖子发表于 : 2011-02-05 16:26 
离线
高级用户

关注按钮

注册: 2004-01-24 17:13
最近: 2015-06-04 11:46
拥有: 2,646.20 安全币

奖励: 624 安全币
在线: 4224 点
帖子: 292
地址: 深圳
网路游侠 写道:
审计到源IP是必须的功能的……
很早的,汉邦、格方、光华,做的项目
就明确要求必须审计到源IP的
几年前的产品就有了

但是,对中间件的某些支持不行

如在下列环境下:
WEB服务器和DB服务器在一起

N台前台共同调用一台DB的数据,并且通过中间件

这样的情况,不行……

还是比较期待软件+硬件,二合一的数据库安全产品

实现网络、系统、数据库、应用层面的全方位安全

包括:
网络审计、数据库审计、网络层入侵检测(或防御)
有的可以设置主机层面的入侵防范,抵御注入攻击、溢出攻击。


不是中间件的呢?就是自己开发的APP SERVER。
N个WEB-->N个中间层-->DB这种架构可以吗?

我也比较期待完整的解决方案,但觉得希望渺茫。
毕竟术业有专攻,啥都做的估计啥都做不好。


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 基于输出的数据库审计和三层数据库审计
帖子发表于 : 2011-03-15 16:11 
离线
中级用户

注册: 2009-01-21 13:23
最近: 2014-06-26 14:35
拥有: 1,066.10 安全币

奖励: 0 安全币
在线: 740 点
帖子: 81
1、对于输出的结果,其实在数据库来讲也可以称为返回结果,包括返回的结果,SQL命令执行时间,返回的错误编号等等,如select * 有多少条记录为返回了,UPDATE * 有多少条记录被更新成功了,login中特定时间内有多少条返回错误了;以上几种情况都可能对数据库造成影响,select:有人在查数据,可能造成数据泄露问题,update,是系统产生的还是客户端产生的,login是否是在暴力破解密码,等等。

2、推荐一个:三层审计功能,杭州安恒的也实现的,http://www.dbappsecurity.com.cn/products/products02.html,楼主也可以自己看下。


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 4 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012