数据库安全监控最佳实践:使用DAM工具

很少有比保护数据库及其存储的数据更加严峻的IT安全挑战了,尤其是针对最常用的数据库和Web应用程序的攻击:SQL注入。尽管关系型数据库管理系统(RDBMS)供应商、IT安全专家和应用程序开发人员都意识到了此类攻击,但问题依然存在,因为在不影响商业运作的前提下,这类攻击难以检测和阻止。

更严重的是,SQL注入是攻击者能够完全控制关系型数据库的攻击手段之一。关系型数据库结构复杂,允许多种应用程序同时读取或写入数据——每一种应用程序都支持多种业务功能——这使得我们难以比较关系型数据库的优劣。当攻击看起来就像是正常的数据库命令时,你需要做的就不仅仅是随意检查一下数据库操作事件了。

对于可能不熟悉这项技术的人来说,数据库活动检测(DAM)系统就是检测关系型数据库滥用的高级安全平台。DAM系统技术独特,能以近乎实时的速度分析数据库查询,区分正常的操作和攻击。DAM系统收集不同来源的信息,提供多种形式的高级分析和警告,甚至能直接中断恶意活动。没有其它的安全产品能以这种方式监测数据库的活动,或者提供DAM式的细化检查水平。

确定数据、事务的保护优先级

部署DAM的第一步是决定你想保护的内容。监测数据库有很多种方式,对每个事件都进行检测是不现实的,因为这样一来监测系统将比保护对象更加庞大。你需要了解什么样的数据或事务是重要的。有三种方法可以助你了解:

1、访问建立数据库的数据库管理员和应用程序开发者,因为他们通常都知道敏感数据的保存位置,也知道哪一类数据库支持关键业务功能。

2、使用数据发现和数据库检索器调查数据库内容。监测器最起码能够监测数据的写入和读取。作为附带功能,一些供应商还提供能够搜寻数据库内容的检索器。这些检测工具能够通过元数据和内容分析技术定位敏感数据,确定需要保护的数据。

3、观察SQL语句和数据库事务。大多数DAM系统在最开始的几周都是以“独立监测”(monitor-only)的模式运行的,因此公司能够逐渐了解数据库的运行状况。从本质上讲,你要给出应用程序使用数据库和常见查询样式的大概轮廓。然后你可以定义策略和实现方式,检测数据库滥用。

基于你的发现,你可以定义相关规则,允许哪些活动,并对可疑活动产生警告。

如何捕获数据库事件

现在你知道了何种事务是重要的,接下来你需要决定如何收集数据库事件。每一种数据库检测器都提供了多种收集数据的方法,每一种方法都各有优劣。

在数据库平台上安装代理很常见,因为代理能捕获所有SQL活动,在不影响数据库性能的前提下,有助于理解某次查询是否是恶意的。

本地审计功能可收集事件,但却不一定能收集到原始的SQL查询,开销也要大很多,影响数据库性能。

网络收集器则提供了一种更快更容易的收集SQL活动的方法,但会丢失管理员通过控制台进行的事务和活动。

代理是关键数据库事实上的安全工具。本地审计和网络监控则在非关键数据库上比较常见,但在特殊情况下使用得更多。

数据库安全的基本定义

现在,你已经在从关键数据库系统中收集事件,下一步是实现你的安全策略。DAM的工作方式是分析数据库查询,你可以通过很多选项设置对哪些语句进行检查,以及如何检查。数据库活动检测工具提供的基本功能有:

监测和查找

警告和报告

工作次序验证

捕获数据库滥用

SQL捕获(用于审计)

大多数政策执行的是数据库查询属性检查:用户是谁、用户正在浏览哪一列、用户使用何种应用程序、用户接触到的数据、操作时间等,这些通常都被用于定义安全策略。你为每一个属性分配特定值,当用户超过这些预定义的阈值时,监测系统就会产生警告。例如,你可能会想对这些情况产生警告:所有午夜之后的查询、三次失败的登录尝试、任何对信用卡资料的访问。

高级监控

数据库活动监测系统的能力在过去的几年里得到了极大的提高。过去只是纯粹的监测和警示,现在已经提供了一套可靠的阻止攻击、主动抵制滥用的方法。大多数DAM产品具有的高级功能有:

SQL注入监测

攻击阻止和虚拟补丁

特定应用程序用户认证

会话终止

行为监控和内部威胁检测



原文:http://www.hh010.com/database/html/33-3/3983.htm

温度模块驱动,2009/01/04 V6.20 更新DLL(MZG) 2009/02/03 V6.21 更新DLL(MZG)高级程序(LYB) 2009/03/16 V6.22 更新DLL(LYB)高级程序(LYB)添加VB简易程序 2009/03/26 V6.23 添加用户向导(MZG) 2009/04/14 V6.24 修改VC高级程序(LYB) 2009/04/24 V6.25 修改VC高级程序、添加Delphi简易程序(LYB) 2009/05/12 V6.26 添加DAM3058AH模块(LYB) 2009/05/22 V6.27 修改VC高级程序(LYB) 2009/07/09 V6.28 修改VC高级程序(LYB) 2009/07/11 V6.29 修改VC高级程序、DLL(LYB) 2009/07/23 V6.30 修改VC高级程序(LYB) 2009/08/22 V6.31 修改VC高级程序(LYB) 2009/12/07 V6.32 修改VC高级程序(LYB)、DLL(HY) 2009/12/12 V6.33 修改VC高级程序(QH) 2010/01/06 V6.34 添加VB.NET简易程序(TW) 2010/03/08 V6.35 改为IIS11.5安装包(LYB) 2010/03/015 V6.36 添加DAM3029模块(LXY) 2010/03/017 V6.37 修改DAM3052界面上的错别字(LXY) 2010/03/24 V6.38 添加C++Builder简易程序、更新VC简易程序头文件(LYB) 2010/04/23 V6.39 更新VB简易程序(LYB) 2010/05/11 V6.40 添加C#简易程序,DAM3039和DAM3058的VC程序增加存盘功能(TW) 2010/05/29 V6.41 修改VC程序(TW) 2010/06/22 V6.42 安装时注册控件,添加LabView程序(LYB) 2010/06/22 V6.43 修改LabView的AD程序(TW) 2010/09/14 V6.44 修改VC的高级程序(TW) 2010/10/19 V6.45 修改VC的高级程序,添加DAM3230安装驱动功能(LYB) 2010/11/30 V6.46 修改VC的高级程序,修改3504,添加DO、DI功能(LYB) 2010/12/28 V6.47 更新DAM3000MS.pdf,解决乱码问题(LYB) 2011/04/22 V6.48 添加Delphi的AD通用简易程序(TW) 2011/04/26 V6.49 添加VB的Energy(电量模块)通用简易程序(TW) 2011/04/29 V6.50 修改VB DIO简易程序创建设备失败问题(LYB) 2011/07/01 V6.51 增加DAM3506模块程序(HY) 2011/08/03 V6.52 去掉DAM3000MH.pdf,DAM3000MS.pdf,DAM-3000用户向导.pdf(TW)(董传阳要求) 2011/09/17 V6.53 添加VC的CNT简易程序(ZHL) 2011/11/10 V6.54 添加DAM3920模块程序(LHL) 2011/11/14 V6.55 重新打包 解决部分模块显示不了模块信息问题 (ZHL) 2012/03/05 V6.56 修改VC高级程序 (TW)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值