常見問題

使用B/S或C/S的三層,COM組件系統,能否找到最終的訪問者?

能找到最終的訪問者,這里就要談到三層架構審計,所謂三層架構審計,是將應用層區域的審計數據與數據庫層區域的審計數據綜合起來進行“關聯分析”,從而將應用層操作準確對應到數據庫層的操作。當發生安全事件時,根據關聯審計記錄的日志信息,可快速定位到網絡中的責任人。所以,通過三層審計即可實現應用與數據庫的有效關聯,追蹤到最終用戶端。正常情況下,應用層跑的是URL行為,在數據庫層則走的是數據庫命令,兩者的表現形式截然不同,但有了“關聯分析”,就可以從技術上穿透兩個區域,從而將訪問的應用層帳號和相關的數據庫操作關聯起來,從而能夠追查到真正的訪問者。三層審計是數據庫審計領域的業界難題之一,難點在于審計技術的選擇,業界傳統的做法是采取“時間戳”方法來實現“關聯,這種做法的優點可以應用于任何的三層架構審計,缺點也很顯示,在高并發時會造成業務用戶與SQL語句的錯誤關聯。昂楷從開始做數據庫審計系統這個產品,就不斷研究針對“三層架構審計”的最佳解決方案,目前已率先取得了重大的突破,針對采取“COM/DCOM/COM+ ”等組件的三層架構體系,昂楷科技獨創組件穿透技術,可規避時間系列的干擾,在任何情況下都能精確審計,定位到人,創新性地解決了“三層+COM 組件審計”這個困擾客戶及眾多友商多年的業界難題,并在北京中醫藥大學東直門醫院得到了實際的應用檢驗。當然,三層架構體系的復雜性決定了,我們只是取得了階段性的“勝利”,要取得全面“勝利”,還需要繼續努力。

數據庫審計設備怎么接入網絡的?我的服務器在不同的網段,跨網段…

問題:數據庫審計設備怎么接入網絡的?我的服務器在不同的網段,跨網段能夠在一臺設備里面支持嗎?

回答:數據庫審計是采用旁路鏡像的方式接入網絡,對網絡不造成任何影響,工作原理是用戶訪問數據庫時流量會經過交換機,我們把經過交換機的流量復制一份到我們的設備,通過DPI、DFI技術進行語義級識別,然后進行安全規則匹配,如果觸發規則就采取相應的安全措施。

跨網段主要還是看服務器所在網絡的具體情況,如果服務器都會經過同一臺交換機在這臺交換機上做一個鏡像就可以了;如果服務器流量不能經過同一臺交換機,我們就分別在服務器流量經過的交換機上做鏡像(當然前提是交換機之間協議能夠互通,最好是統一品牌),我們設備默認可支持5個千兆審計口,而且還可以增加,只要設備性能足夠,一臺設備就可以;如果數據庫審計系統單一,我們可以考慮遠程端口鏡像的方式將數據復制后傳到指定的端口,當然這個要根據咱們的網絡交換機型號和配置進行具體的判斷。


數據庫審計只能是事后審計,價值不大?

1、我們談安全防范有幾個關鍵概念,事前是指預防,事中是指正在發生過程中的管控、事后是指事后的追溯取證;

2、所以審計不等于只是事后,而是事中的的一種監控;人們往往有誤區,認為不能阻止,就不是事中,更不是事前;

3、數據庫審計其實是可以做到事前預防、事中監控、事后追溯三位一體的功能的。譬如通過監控異常IP、進程、多次反復的登錄系統,可以幫助我們預防非法訪問、暴力破解等問題;事中我們通過監控所有對數據庫的各種訪問行為,并且通過預設的規則,可以智能實時的發現問題,通過告警平臺,短信,郵件等,及時進行干預,事前事中的控制,不阻斷,只是因為不合適采用此種模式;事后可以通過告警憑條、時間平臺、日志平臺分析定位問題。

有了WAF,還需要數據庫審計嗎?

WAF只監控通過HTTP方式來的數據,而數據庫的訪問源頭卻多種多樣,如以下幾種數據庫訪問方式:

1、組織內其他應用系統能訪問數據庫:比如在電子商務系統里,價格和庫存可能會用一些自動化的腳本來定時更新。

2、一些內部管理程序可以訪問系統,也可能是一些接口,方便雇員添加信息或者發送信息給客戶。

3、數據庫 DBA,IT 經理,QA,開發人員等等內部人員通過數據庫管理工具可以訪問數據庫。

這些潛在的數據庫訪問源頭WAF是毫不知情的,來自內部的攻擊則更為可怕!當數據的價值越來越高,數據庫成為“攻擊”目標時,僅依靠 WAF的防護顯得有些捉襟見肘。

數據庫審計系統一方面可對數據的訪問操作行為做一個完整的記錄,以備違反安全規則的事件發生后,能有效的追查責任和分析原因,必要時還可以為懲罰惡意攻擊行為提供必要的證據。

另一方面,實施審計準則之后,審計線索會指出特定人員沒有違反規程,也沒有破壞性行為,對合法用戶是一種良好的保護。

從信息安全的角度上看,審計是安全的數據庫系統不可缺少的一部分,也是數據庫的最后一道重要的安全防線。


web應用防火墻(WAF)能全面防范對數據庫的攻擊嗎?

WAF現在已經成為許多商業Web 網站與系統的基本保護措施,它的確在防范許多針對Web系統的安全攻擊方面卓有成效。但WAF只監控通過HTTP方式來的數據,而數據庫的訪問源頭卻多種多樣,譬如以下幾種數據庫訪問方式,WAF并不一定能全面防范對數據庫展開的攻擊。

1、組織內其他應用系統能訪問數據庫:比如在電子商務系統里,價格和庫存可能會用一些自動化的腳本來定時更新。

2、一些內部管理程序可以訪問系統,也可能是一些接口,方便雇員添加信息或者發送信息給客戶。

3、數據庫 DBAIT 經理,QA,開發人員等等內部人員通過數據庫管理工具可以訪問數據庫。

這些潛在的數據庫訪問源頭WAF是毫不知情的,來自內部的攻擊則更為可怕!數據庫暴露的訪問點多種多樣,僅僅依靠單一的防護手段是不夠的,需要不同的技術手段加以防護。審計是安全的數據庫系統不可缺少的一部分,因此,建議將web應用防火墻與數據庫審計系統配合使用,對數據庫的防護效果加倍。


為什么說數據庫審計是是數據庫安全行業的核心產品?

  備份、漏掃、安全加固等產品,更多的是間接保護數據庫的安全,無法實現對數據庫的實時在線監控;數據庫的安全產品,如數據庫防火墻、數據庫漏掃等,目前還不成熟,這是經過行業內的客戶驗證的。

  基于以上兩個理由,目前市場上最為成熟的就是數據庫審計了!

  數據安全市場的產品很多,這里就不一一列舉了。但是,備份、漏掃、安全加固等產品,更多的是間接保護數據庫的安全,無法實現對數據庫的實時在線監控;而數據庫的安全產品,如數據庫防火墻、數據庫漏掃等,目前還不成熟,沒有哪家能給出一個完善的方案,這是經過行業內基本達成共識的。在目前看來,市場上最為成熟的就是數據庫審計了!你說數據庫審計是不是核心?


為什么數據庫審計系統大都無法精確審計到人?

  一般來說,業務人員可以通過CRM、ERP、電子政務等軟件,正常的登錄到系統中訪問數據庫,但從監管層面講,第一要知道業務員是否有不該做的操作;第二要及時接到通知以便做出反應;第三則要能夠溯源追蹤,知道誰在什么時間做了什么。

  由于涉及到軟件架構、三層架構——客戶端、應用服務器端,中間的中間件以及復雜的應用服務器組件,再到數據庫,這三者之間并沒有穿透,因此通常只知道前端某個應用服務器在做壞事,但不知道這個人是誰。這也是數據庫安全行業的一個行業難題。

  目前,這個問題已經解決了。昂楷獨創的“六元組”解決了在復雜環境下難以定位到人的問題,代替了行業內一般只能支持到“五元組”的做法。昂楷數據庫審計系統支持B/S、C/S,以及帶COM/DCOM/COM+組件方式的三層審計。針對普通的三層架構,可獲取到xml返回內容信息,針對采取COM/DCOM/COM+組件的三層架構,昂楷科技獨創組件穿透技術,可提取工號(賬號),詳細定位到人。如果不支持COM組件,只能審計到用戶的登入登出,無法做到對用戶具體行為的審計。


有了防統方系統,還需要數據庫審計嗎?

  簡單來說,防統方系統的主要作用就是避免人為對醫院藥品數據庫信息的數據進行非法的統計和提取,避免醫院內部的違法交易,因此,防統方系統內置的通用規則庫,具有較強的針對性,涵蓋非法統方操作可涉及的各種規則,細致、有針對性的為醫院提供防統方服務。

  但除了醫藥信息,醫院還存儲著如醫療影像信息、患者就醫信息等等重要數據。這些數據如果出現非授權的增刪改查,防統方系統無法進行告警。

  這時就需要數據庫審計系統。


400-622-8990

97久久人人超碰超碰窝窝