论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 22 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-04 13:05 
离线
新手

关注按钮

注册: 2012-12-04 12:38
最近: 2014-06-13 17:59
拥有: 140.00 安全币

奖励: 0 安全币
在线: 226 点
帖子: 5
市场上数据库审计产品有一些,从处理性能、审计准确性、日志存贮、搜索查询等方面都是关键点,不知各位有何见解?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-04 14:53 
离线
顶级用户

关注按钮

注册: 2011-05-15 08:39
最近: 2014-04-16 11:54
拥有: 12,487.00 安全币

奖励: 28127 安全币
在线: 14420 点
帖子: 1085
CSD 写道:
市场上数据库审计产品有一些,从处理性能、审计准确性、日志存贮、搜索查询等方面都是关键点,不知各位有何见解?

我始终认为,日志审计重点在审计。

而审计的完整性需要处理性能和存储来保证;
审计的准确性来自于搜索查询(自动化)的可靠性;

同时日志审计应配合有效的关联分析。


--------本帖迄今已累计获得60安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-04 16:18 
离线
新手

注册: 2007-10-18 09:23
最近: 2013-06-05 22:24
拥有: 126.00 安全币

奖励: 0 安全币
在线: 159 点
帖子: 16
我觉得应该结合当前的实际需求,现在三层架构被广泛应用,即用户层->应用层(中间件)->数据库层,目前绝大多数的应用系统都是多个应用系统帐号对应后端几个特定的数据库帐号进行业务操作,单纯审计后端数据库帐号的数据库行为意义已经不大(因为无法定位到前端具体是哪个用户在操作),必须考虑一种技术手段将应用系统帐号的操作和后端数据库的行为关联起来,这样的审计才有意义,你觉得呢?


--------本帖迄今已累计获得66安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-05 13:40 
离线
新手

关注按钮

注册: 2012-12-04 12:38
最近: 2014-06-13 17:59
拥有: 140.00 安全币

奖励: 0 安全币
在线: 226 点
帖子: 5
kenneth608 写道:
我觉得应该结合当前的实际需求,现在三层架构被广泛应用,即用户层->应用层(中间件)->数据库层,目前绝大多数的应用系统都是多个应用系统帐号对应后端几个特定的数据库帐号进行业务操作,单纯审计后端数据库帐号的数据库行为意义已经不大(因为无法定位到前端具体是哪个用户在操作),必须考虑一种技术手段将应用系统帐号的操作和后端数据库的行为关联起来,这样的审计才有意义,你觉得呢?

我觉得,1、中间层->数据层,审计记录的准确性和完整性是关键,否则一切以此为基础的告警、查询、报表均不可靠。2、用户层->中间层,N-1的数据库访问模式,通过前端分析和后端审计进行关联技术难度很大。
其他解决方案来讲,中间层加入用户名、ip地址等信息访问数据库,后端进行关联审计应该准确,但中间层做改变难度比较大。总而言之,审计记录准确性和完整性第一位,分析和展现第二位。但目前国内数据库审计产品准确性和完整性能够做好的看不到。多数忽悠,安全行业没有打假队,所以很多产品横行:)。求是,厂家见谅!


--------本帖迄今已累计获得51安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-05 14:52 
离线
新手

注册: 2007-10-18 09:23
最近: 2013-06-05 22:24
拥有: 126.00 安全币

奖励: 0 安全币
在线: 159 点
帖子: 16
CSD 写道:
kenneth608 写道:
我觉得应该结合当前的实际需求,现在三层架构被广泛应用,即用户层->应用层(中间件)->数据库层,目前绝大多数的应用系统都是多个应用系统帐号对应后端几个特定的数据库帐号进行业务操作,单纯审计后端数据库帐号的数据库行为意义已经不大(因为无法定位到前端具体是哪个用户在操作),必须考虑一种技术手段将应用系统帐号的操作和后端数据库的行为关联起来,这样的审计才有意义,你觉得呢?

我觉得,1、中间层->数据层,审计记录的准确性和完整性是关键,否则一切以此为基础的告警、查询、报表均不可靠。2、用户层->中间层,N-1的数据库访问模式,通过前端分析和后端审计进行关联技术难度很大。
其他解决方案来讲,中间层加入用户名、ip地址等信息访问数据库,后端进行关联审计应该准确,但中间层做改变难度比较大。总而言之,审计记录准确性和完整性第一位,分析和展现第二位。但目前国内数据库审计产品准确性和完整性能够做好的看不到。多数忽悠,安全行业没有打假队,所以很多产品横行:)。求是,厂家见谅!


可以问问厂家具体的实现方式,有一种是前后抓包靠算法匹配,这种准确率在90%左右,不能算十分精确,有一种通过插件的方式实现,可以100%精确~国内厂家~!!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-06 14:58 
离线
高级用户

关注按钮

注册: 2009-10-22 16:14
最近: 2014-09-22 21:17
拥有: 1,788.00 安全币

奖励: 1634 安全币
在线: 5455 点
帖子: 281
用过一些审计产品,也遇到过不少客户应用系统是三层(客户端--中间件--数据库)结构的情况。个人认为对这个问题的认识和解决存在误区,单纯依赖外加设备手段,却忽视信息系统本身的特点,颇有些本末倒置的味道。从应用场景来分析,三层架构的系统审计,应以业务系统自身审计实现为主,网络和数据库审计产品为辅助!

上面有兄弟分析的很具体透彻,一般来说三层架构的业务系统关注两个过程关联,即“客户端-->中间件”和“中间件-->数据库”。必须在中间件服务器上部署监控插件,才有可能实现同一用户会话(session)在两个访问过程之间的关联。但这个难度可想而知,首先涉及到多种类型的中间件,web访问的如weblogic、websphere、tomcat等等,其他如依赖于系统或厂商的,甚至还有私有开发或封装的。如果有产品号称能够跨平台、跨类型,支持各种业务平台,想必也是忽悠!

现在我们换一个思路,从信息系统本身出发去分析。一个合理的业务系统设计,必然考虑到实现用户操作权限的合理划分,实现用户身份、权限和操作的规范集合。例如,普通非授权用户仅可以查询指定的信息(对应到数据库操作,就是select指定表名、字段);授权实名用户可以查询、修改与自己相关的信息(对应update、select);管理用户可以查询、修改、删除等(update、insert、delete)。在此基础上,信息系统功能也应包含对各个用户的操作的完整记录。例如登录操作,要符合等保或公安部产品许可要求的鉴别处置要求,鉴别后的操作也要有日志留存。

当然,大多数的软件系统开发经常忽视安全设计,往往到部署的时候才想起来需要安全保障,把自身的安全问题推到别处,像WAF产品一时火热,恐怕就是类似现象的缩影吧。所以要做好业务信息系统的安全审计工作,还是全面分析、立体保障的好!


--------本帖迄今已累计获得51安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-07 23:28 
离线
高级用户

关注按钮

注册: 2009-03-01 21:40
最近: 2015-12-04 01:56
拥有: 3,704.10 安全币

奖励: 80 安全币
在线: 3765 点
帖子: 217
地址: http://weibo.com/zengzujian1976
审计原因:1. 数据库的CIA的监控或分析,以提取违规访问从而最终评定对业务是否造成威胁,来决定是否有安全控制上的缺失;2. 对数据库攻击进行审计与分析。

关键技术:1. 包嗅探分析; 2. 利用DB自身产生的审计日志,使用日志分析工具进行收集,合并,分析出违规的访问或攻击事件;3. 利用IPS进行监测,但该种方案效果并不理想;

审计分类:实时审计与事后审计

审计价值:1. 利用审计手段,分析出DB中的业务数据,DB系统本身的安全状况,以REVIEW安全控制上的缺失并提出改善建议;2. 内审或外审对DB审计之依据;3. 满足法规要求


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-07 23:32 
离线
高级用户

关注按钮

注册: 2009-03-01 21:40
最近: 2015-12-04 01:56
拥有: 3,704.10 安全币

奖励: 80 安全币
在线: 3765 点
帖子: 217
地址: http://weibo.com/zengzujian1976
pfmnpa 写道:
用过一些审计产品,也遇到过不少客户应用系统是三层(客户端--中间件--数据库)结构的情况。个人认为对这个问题的认识和解决存在误区,单纯依赖外加设备手段,却忽视信息系统本身的特点,颇有些本末倒置的味道。从应用场景来分析,三层架构的系统审计,应以业务系统自身审计实现为主,网络和数据库审计产品为辅助!

上面有兄弟分析的很具体透彻,一般来说三层架构的业务系统关注两个过程关联,即“客户端-->中间件”和“中间件-->数据库”。必须在中间件服务器上部署监控插件,才有可能实现同一用户会话(session)在两个访问过程之间的关联。但这个难度可想而知,首先涉及到多种类型的中间件,web访问的如weblogic、websphere、tomcat等等,其他如依赖于系统或厂商的,甚至还有私有开发或封装的。如果有产品号称能够跨平台、跨类型,支持各种业务平台,想必也是忽悠!

现在我们换一个思路,从信息系统本身出发去分析。一个合理的业务系统设计,必然考虑到实现用户操作权限的合理划分,实现用户身份、权限和操作的规范集合。例如,普通非授权用户仅可以查询指定的信息(对应到数据库操作,就是select指定表名、字段);授权实名用户可以查询、修改与自己相关的信息(对应update、select);管理用户可以查询、修改、删除等(update、insert、delete)。在此基础上,信息系统功能也应包含对各个用户的操作的完整记录。例如登录操作,要符合等保或公安部产品许可要求的鉴别处置要求,鉴别后的操作也要有日志留存。

当然,大多数的软件系统开发经常忽视安全设计,往往到部署的时候才想起来需要安全保障,把自身的安全问题推到别处,像WAF产品一时火热,恐怕就是类似现象的缩影吧。所以要做好业务信息系统的安全审计工作,还是全面分析、立体保障的好!


楼主讲得很好,要治标治本,追本塑源,但有一个问题是,无论是从外加安全控制还是从应用开发过程中去加强软件本身的安全控制,这些都是安全控制,如何监控安全控制的有效性? 答案是: 审计!


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-08 12:01 
离线
新手

注册: 2011-01-14 16:32
最近: 2015-05-11 10:03
拥有: 218.00 安全币

奖励: 0 安全币
在线: 193 点
帖子: 4
数据库审计的关键技术:
1 网络嗅探,完成常用数据库的协议解析
问题:1)性能:可能存在丢包;2)能力:支持数据库list有限;3)内容:由于是基于网络嗅探,如果是在数据库主机上对数据的操作可能审计不到。
2 开启数据库自身审计功能,但是会影像数据效率
3 在数据库宿主机上安装代理,能解网络嗅探方式存在的所有问题,并且可以基于合规要求进行操作阻断,但是入侵性较高,大的公司可能不会采用。

数据库审计的价值:
大多数的就不说了,主要提两点:
1 可以进行敏感数据(需要定义,例如特定库,表视图,字段)的访问审计
2 特定终端,人和帐号的行为监控(例如,程序帐号的违规使用)


--------本帖迄今已累计获得43安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-09 11:10 
离线
新手

注册: 2011-05-09 09:16
最近: 2013-03-02 16:30
拥有: 225.00 安全币

奖励: 0 安全币
在线: 101 点
帖子: 4
处理性能、日志存储和搜索查询是有所关联的。

目前,国内外的数据库安全审计系统一般有4种类型:
1、一体机;
2、一体机+安装数据库代理;
3、结构分离式(引擎+审计服务器软件);
4、结构分离式(引擎+审计服务器软件)+安装数据库代理。

处理性能一般包括如下几个方面:
1、抓包解析
2、分析入库
3、日志查询

最常见的一体机型数据库审计系统,虽然支持外接存储,但支持的存储类型和效果都不好。
因此,一体机型数据库审计系统,更多的使用自带硬盘存储。
考虑到存储容量的限制,同时为了保证审计日志查询展示的速度,国内大部分厂商都对日志存储量做了限定,比如仅保存10亿条日志在审计系统数据库实例中,其他的日志可能都被归档或删除。


--------本帖迄今已累计获得7安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-09 11:35 
离线
新手

注册: 2011-05-09 09:16
最近: 2013-03-02 16:30
拥有: 225.00 安全币

奖励: 0 安全币
在线: 101 点
帖子: 4
我认为数据库审计最重要的作用是:事中预警和事后审计。
那么,事中预警的准确性、及时性和预警方式多样性,事后审计的可读性、完整性和速度应该是最关键的要素。
1、事中预警:
a)准确性:
1) 内置常见敏感操作特征库,指的是业务无关的 SQL特权敏感操作(增删改等)、数据库特有操作(如Oracle特有操作)的定义,这是大部分厂商都能做到的;
2) 内置业务相关的敏感操作定义,如医院HIS的统方操作语句特征;
3) 内置SQL 入侵检测特征库协助检测;
4) 三层架构系统环境,目前关联分析做得最好的恐怕是利用Cookies关联的技术。
业务相关敏感操作、三层架构架构、入侵检测这3种的预警,误报漏报率肯定是很高的。
业务相关,实际上就是要内置行业专版特征库;数据库入侵检测的预警我估计国内比较有可能做得最好的就安恒、绿盟和启明。

b)及时性:都差不多吧。
c)预警方式:
syslog、snmp、邮件预警应该是最常见的,短信预警的受限于审计系统对短信网关和短信猫的支持情况。
如果审计系统能访问互联网,可以利用邮件告警,通过手机邮箱告警。

2、事后审计:
a)可读性:
会话关联情况、中间件关联情况、SQL语句翻译(中文翻译是否有必要?)是否做好;
厂家的产品UC、用户体验和UI是否有做好咯;

b)完整性:
如果不是全审计产品,审计日志肯定有所缺失的;

c)查询速度:
如果是前10亿条记录,大厂家的产品查询速度是不多的,有的可能几分钟就能查完吧。


--------本帖迄今已累计获得43安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-10 07:54 
离线
中级用户

关注按钮

注册: 2010-05-28 16:55
最近: 2017-07-04 14:17
拥有: 829.00 安全币

奖励: 136 安全币
在线: 3309 点
帖子: 80
地址: 北京
科来回溯分析系统,这种具备回溯,有一定分析能力,性能足够,并结合协议自定义+定制开发等功能 的国内自主研发产品,也许 是一个不错的选择


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-10 10:34 
离线
中级用户

关注按钮

注册: 2012-10-30 17:50
最近: 2014-12-24 10:31
拥有: 2,649.00 安全币

奖励: 0 安全币
在线: 1825 点
帖子: 107
Tiger_Lee 写道:
我认为数据库审计最重要的作用是:事中预警和事后审计。
那么,事中预警的准确性、及时性和预警方式多样性,事后审计的可读性、完整性和速度应该是最关键的要素。
1、事中预警:
a)准确性:
1) 内置常见敏感操作特征库,指的是业务无关的 SQL特权敏感操作(增删改等)、数据库特有操作(如Oracle特有操作)的定义,这是大部分厂商都能做到的;
2) 内置业务相关的敏感操作定义,如医院HIS的统方操作语句特征;
3) 内置SQL 入侵检测特征库协助检测;
4) 三层架构系统环境,目前关联分析做得最好的恐怕是利用Cookies关联的技术。
业务相关敏感操作、三层架构架构、入侵检测这3种的预警,误报漏报率肯定是很高的。
业务相关,实际上就是要内置行业专版特征库;数据库入侵检测的预警我估计国内比较有可能做得最好的就安恒、绿盟和启明。

b)及时性:都差不多吧。
c)预警方式:
syslog、snmp、邮件预警应该是最常见的,短信预警的受限于审计系统对短信网关和短信猫的支持情况。
如果审计系统能访问互联网,可以利用邮件告警,通过手机邮箱告警。

2、事后审计:
a)可读性:
会话关联情况、中间件关联情况、SQL语句翻译(中文翻译是否有必要?)是否做好;
厂家的产品UC、用户体验和UI是否有做好咯;

b)完整性:
如果不是全审计产品,审计日志肯定有所缺失的;

c)查询速度:
如果是前10亿条记录,大厂家的产品查询速度是不多的,有的可能几分钟就能查完吧。

-------------------------------------------

可审计性的更重要的作用是 能够事前威慑。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-11 20:20 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,372.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
2005年,老东家就在卖数据库审计,也算是八年抗战了……说一点点感想:

在不算久远的过去,那时候应用基本都是C/S模式,数据库审计非常简单
客户端→数据库服务器
只需要把流量镜像过来就OK了
无非就是审计源和目的IP、源和目的MAC、登录账号、数据库名、表名、语句、返回值

渐渐的,三层架构的业务系统开始增多,包括:
1、网站模式
2、中间件模式
或者说,IIS、Apache、Nginx也算一种中间件,其实对数据库审计而言,一样

这个时候,数据库如果在同一台机器上,则几乎没办法
当然,可以装客户端的方式来解决,但是大型客户一定不会同意
——以前有一家做软件数据库审计的,一家关门大吉了

那么,如果不在服务器上不输任何客户端,则通过旁路的方式,客户最能接受
其实中间还有一个折中,就是管理员访问数据库的时候,通过堡垒机的方式实现
这样的方式,可以设定阻断策略,对管理员的操作进行数据库操作阻断

但是,多数客户依然会选择旁路的方案,并且,不想在中间件安装客户端
所以,只剩下了:
1、镜像“浏览器客户端→中间件或服务器”流量
2、镜像“中间件或服务器→数据库服务器”流量
然后,二者进行关联……
理所当然的,如各位所考虑的,做不到百分之百的准确
甚至,有一次测试,去了4家,其中3家都说百分之五六十、六七十的准确性
客户放弃了!我们去的比较晚,所以我也没机会亲自测试到底准确性有多少

各类语句,包括select、delete、insert、update等都没问题
登录操作、退出操作等,也没有问题,这一点,无需多虑

性能上,如果单台搞不定,通过“agent+host”的方式,部署多台agent
在agent上对数据库日志进行压缩、归并,然后发送到host,这不是问题

公司以前是纯粹的做数据库审计,后来推出了业务数据库审计,比以前强很多
可以定义特定操作进行报警,可以针对操作频率报警,也可以阻断非合规客户端
不但像以前那样可以审计到计算机(IP),也可以抓到多人一机的帐号
(三班倒的情况,多人共用一台计算机,并且是B/S模式)

关于存储,我们做到12TB了……好像也不是大的问题,并且可以直接存到存储上去

告警方式,如上面网友所言:邮件、snmp trap、短信、syslog,不建议短信,烦死
SQL语句翻译,做了,但是……还得看理解。

我倒是建议数据库审计、网络审计一起部署,网络审计可以做数据库审计的有益补充
同时,针对管理员的操作,部署堡垒机,基本算是比较完善的解决方案了

华安论坛贴图相当不方便,来个贴图版:
http://www.youxia.org/application-datab ... t-my-idea/


--------本帖迄今已累计获得42安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库审计关键技术和价值讨论!
帖子发表于 : 2012-12-11 22:55 
离线
高级用户

注册: 2009-07-22 17:30
最近: 2015-01-09 11:04
拥有: 2,757.00 安全币

奖励: 415 安全币
在线: 4677 点
帖子: 283
现在CMCC,都上4A系统了。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 22 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012