划重点:数据库审计,一般硬件,等保合规产品,流量分析模式,查询和数据库操作相关的事件,按照数据库实例数量来卖。
数据库审计 (dbaudit)
用过3个品牌,还在用。据说安恒就是做数据库审计起家的。这种其实难度也不大,都是做流量分析的。所以,问题来了,数据库审计不是主动探测类型的,因为要分析流量吗,所以要把包含数据库操作请求(就是一些和数据库进行交互的动作,比如一些查询操作)的流量都进入到审计设备。所以,对性能是个考验,如果要在巨大的流量中去做分析,那么硬件性能还有算法就很关键,否则可能会丢失一些数据,万一丢失的数据是最重要的操作呢,是一些攻击操作呢,是一些人员的恶意操作呢。
数据有哪些操作呢,最常见的就是增,删,改,查了。数据库里有很多表,比如财务数据库,里面有人员工资表,操作人员可以给TT增加工资1K,也可以把年终奖给删除了,或者改为去掉一个0。这些操作在数据库审计设备里要求被记录,可以查询。这些记录,和日志审计一样,都是做到了异地存储,这样即使数据库被人搞了,至少在数据库审计设备上可以溯源被搞得操作,什么时间,什么身份,怎么操作的。传说中的删库跑路,没有那么容易啊。删了可以,跑不掉的。
贴几张图,给TT点感性认识。能看到其中的报文就是流量中分析出来的一些数据库操作的语句,审计设备会根据策略评估其合法性。这个咋说呢,可以看到有大量异常操作,但是也没有去理会,也没有出啥大事,所以很多时候,审计设备就是用来出问题后,备查的。
要提的一点是,很多数据库审计设备是按照实例来卖的,这个挺那个什么的。就是类似卖licens,一个审计设备,可以审计多少个数据库实例,是根据价格或型号来的。不像日志审计,通常你的硬盘够大,就可以接很多个日志源,数据库审计一般不,这个请TT注意。否则你给别人设计完整安全方案的时候,价格可能会有较大偏差。
数据库实例:在一台计算机上,可以安装多个SQL SERVER,每个SQL SERVER就可以理解为是一个实例。实例其实是个程序或者管理软件。和数据库不同。一个机器上可以有一个数据库,可以同时有多个数据库实例。比如说数据中心的建设,数据库是单独的,可能就一个数据库,但是很多个应用,不同的应用需要不同的数据库实例。我就只能表达成这个程度了。。。
最后补充一点别人专业的解释:
数据库审计:可审计用户终端信息、使用工具、数据库信息、返回结果等详细信息,全场景还原用户行为轨迹,有效追踪溯源数据库的访问行为。审计设备内置的安全规则可以对SQL注入、漏洞攻击、暴力破解、非授权访问行为等数据库攻击行为进行实时检测,及时告警,减少资产的损失并助于事后进行有效筛查追踪。
就到这里吧,觉得既然讲了,就适当把问题讲清楚,所以会新建一个分类,把安全设备都独立拎出来讲一下,希望有时间的时候能多看看,每篇文章尽量控制在上大号可以看完的时间。。。。
扫一扫
1246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
