论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 22 篇帖子 ]  前往页数 上一页  1, 2
作者 内容
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-12 09:20 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,375.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
wzknet 写道:
现在CMCC,都上4A系统了。

4A,无非就是:认证、授权、审计、账号管理
一般在带外管理中,或者,现在绝大多数的4A,基本都是堡垒机……
再好一点的,加上日志管理、数据库审计、网络审计
移动的4A标准可以在网上下载到,没什么很特别的东西。


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-12 10:32 
离线
高级用户

关注按钮

注册: 2012-03-21 14:09
最近: 2015-01-09 11:07
拥有: 2,165.00 安全币

奖励: 348 安全币
在线: 4945 点
帖子: 159
我倒是对楼主的头像photo比较感兴趣,愿闻其详


回到顶部
  用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-16 15:55 
离线
中级用户

关注按钮

注册: 2011-10-21 14:52
最近: 2015-10-19 15:21
拥有: 1,162.00 安全币

奖励: 29 安全币
在线: 1122 点
帖子: 127
4A已经不玩了。


回到顶部
  用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2013-10-19 22:57 
离线
新手

注册: 2013-10-18 13:19
最近: 2014-12-27 11:39
拥有: 82.00 安全币

奖励: 0 安全币
在线: 292 点
帖子: 11
CSD 写道:
kenneth608 写道:
我觉得应该结合当前的实际需求,现在三层架构被广泛应用,即用户层->应用层(中间件)->数据库层,目前绝大多数的应用系统都是多个应用系统帐号对应后端几个特定的数据库帐号进行业务操作,单纯审计后端数据库帐号的数据库行为意义已经不大(因为无法定位到前端具体是哪个用户在操作),必须考虑一种技术手段将应用系统帐号的操作和后端数据库的行为关联起来,这样的审计才有意义,你觉得呢?

我觉得,1、中间层->数据层,审计记录的准确性和完整性是关键,否则一切以此为基础的告警、查询、报表均不可靠。2、用户层->中间层,N-1的数据库访问模式,通过前端分析和后端审计进行关联技术难度很大。
其他解决方案来讲,中间层加入用户名、ip地址等信息访问数据库,后端进行关联审计应该准确,但中间层做改变难度比较大。总而言之,审计记录准确性和完整性第一位,分析和展现第二位。但目前国内数据库审计产品准确性和完整性能够做好的看不到。多数忽悠,安全行业没有打假队,所以很多产品横行:)。求是,厂家见谅!


楼主正解。大家更要审视准确性和完整性做不好背后的根本原因。这个产业在中国发展了十几年,现状是,协议解码都还未完成。要彻底解码,开发难度确实较大。请关注帕拉迪,《皇帝的新装》里面的小孩。


回到顶部
  用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2014-02-13 18:00 
离线
新手

注册: 2012-10-29 17:02
最近: 2014-06-11 16:37
拥有: 167.00 安全币

奖励: 0 安全币
在线: 102 点
帖子: 7
dmkj2050 写道:
Tiger_Lee 写道:
我认为数据库审计最重要的作用是:事中预警和事后审计。
那么,事中预警的准确性、及时性和预警方式多样性,事后审计的可读性、完整性和速度应该是最关键的要素。
1、事中预警:
a)准确性:
1) 内置常见敏感操作特征库,指的是业务无关的 SQL特权敏感操作(增删改等)、数据库特有操作(如Oracle特有操作)的定义,这是大部分厂商都能做到的;
2) 内置业务相关的敏感操作定义,如医院HIS的统方操作语句特征;
3) 内置SQL 入侵检测特征库协助检测;
4) 三层架构系统环境,目前关联分析做得最好的恐怕是利用Cookies关联的技术。
业务相关敏感操作、三层架构架构、入侵检测这3种的预警,误报漏报率肯定是很高的。
业务相关,实际上就是要内置行业专版特征库;数据库入侵检测的预警我估计国内比较有可能做得最好的就安恒、绿盟和启明。

b)及时性:都差不多吧。
c)预警方式:
syslog、snmp、邮件预警应该是最常见的,短信预警的受限于审计系统对短信网关和短信猫的支持情况。
如果审计系统能访问互联网,可以利用邮件告警,通过手机邮箱告警。

2、事后审计:
a)可读性:
会话关联情况、中间件关联情况、SQL语句翻译(中文翻译是否有必要?)是否做好;
厂家的产品UC、用户体验和UI是否有做好咯;

b)完整性:
如果不是全审计产品,审计日志肯定有所缺失的;

c)查询速度:
如果是前10亿条记录,大厂家的产品查询速度是不多的,有的可能几分钟就能查完吧。

-------------------------------------------

可审计性的更重要的作用是 能够事前威慑。



安全防护的核心点在于:对内审计防止和法人干非法事,也就是“恶意违规”了;对外要能够高效、及时、精准的对未知风险进行预警。发现后再来谈阻止。
如果无法发现,一切防护手段都是空谈!


回到顶部
  用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2014-05-07 14:23 
离线
新手

注册: 2012-10-29 17:02
最近: 2014-06-11 16:37
拥有: 167.00 安全币

奖励: 0 安全币
在线: 102 点
帖子: 7
Tiger_Lee 写道:
我认为数据库审计最重要的作用是:事中预警和事后审计。
那么,事中预警的准确性、及时性和预警方式多样性,事后审计的可读性、完整性和速度应该是最关键的要素。
1、事中预警:
a)准确性:
1) 内置常见敏感操作特征库,指的是业务无关的 SQL特权敏感操作(增删改等)、数据库特有操作(如Oracle特有操作)的定义,这是大部分厂商都能做到的;
2) 内置业务相关的敏感操作定义,如医院HIS的统方操作语句特征;
3) 内置SQL 入侵检测特征库协助检测;
4) 三层架构系统环境,目前关联分析做得最好的恐怕是利用Cookies关联的技术。
业务相关敏感操作、三层架构架构、入侵检测这3种的预警,误报漏报率肯定是很高的。
业务相关,实际上就是要内置行业专版特征库;数据库入侵检测的预警我估计国内比较有可能做得最好的就安恒、绿盟和启明。

b)及时性:都差不多吧。
c)预警方式:
syslog、snmp、邮件预警应该是最常见的,短信预警的受限于审计系统对短信网关和短信猫的支持情况。
如果审计系统能访问互联网,可以利用邮件告警,通过手机邮箱告警。

2、事后审计:
a)可读性:
会话关联情况、中间件关联情况、SQL语句翻译(中文翻译是否有必要?)是否做好;
厂家的产品UC、用户体验和UI是否有做好咯;

b)完整性:
如果不是全审计产品,审计日志肯定有所缺失的;

c)查询速度:
如果是前10亿条记录,大厂家的产品查询速度是不多的,有的可能几分钟就能查完吧。

==========================
1、个人觉得完整性非常重要,如果审计不完整,出现漏审、误审;且绕过审计的机制被人提炼出来了,数据库审计产品就形同废铁了。
2、因为干坏事的总会去研究怎么逃避现有的监控规则的,所以基于特征库来做告警也不是最完美的方案,这种黑名单的方式只能对已知的攻击方式进行防御;而未知的呢?怎么办?往往未知威胁才是最严重的威胁。而这类的威胁一定只能借助白名单的防御方式来防护;而做白名单防护的核心又在数据库协议全解码了,这个才是最难点。国内现有的数据库厂商都存在解码不全的问题,所以这种方案迟迟没人敢做。
3、再来说说三层关联,大家都在聊业务系统三层关联,孰不知核心在业务“帐号”;而帐号名在哪呢?90%都是储存在数据库里的,并且是以变量的形式写入数据库的。核心点在数据库绑定变量值的解析审计;有了这个唯一特征才能真正的关联三层业务系统。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2014-05-08 12:25 
离线
版主

注册: 2005-12-21 11:28
最近: 2015-05-15 10:57
拥有: 2,043.60 安全币

奖励: 487 安全币
在线: 4857 点
帖子: 523
地址: BJ
数据库审计不就是审计安全和内容吗?

安全包括
1.权限
2.日志
3.代码(sql注入,Storeprecedure,triger,identity字段,pk等问题)

内容包括
1.完整性 (数据链的完整,这跟业务系统的流程和架构设计以及代码质量有很大关系,可以通过完整性来倒推系统和流程的质量)
2.一致性 (多系统数据的鉴别,很容易发现舞弊和系统漏洞哦,还为数据仓库做准备工作)
3.高效性(这个完全是技术问题了)

前面的安全性也许能做成工具,后面的内容方面只能自己开发了。


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 22 篇帖子 ]  前往页数 上一页  1, 2

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012