細(xì)說堡壘機(jī)與數(shù)據(jù)庫(kù)審計(jì)

小編就信息安全內(nèi)控與數(shù)據(jù)安全領(lǐng)域的兩款明星產(chǎn)品“堡壘機(jī)”與“數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)”進(jìn)行梳理歸納，希望能夠?qū)V大IT運(yùn)維工程師進(jìn)行產(chǎn)品選型提供幫助。

堡壘機(jī)

在了解堡壘機(jī)前，先扒一扒信息系統(tǒng)運(yùn)維中存在的一些問題，偉大的創(chuàng)新并非突發(fā)奇想，往往來源于我們亟待解決之問題。

信息系統(tǒng)運(yùn)維中的問題

1.一個(gè)用戶使用多個(gè)賬號(hào)

由于信息系統(tǒng)龐大，擁有少則數(shù)十臺(tái)，多則上百臺(tái)的服務(wù)器，而維護(hù)人員又極其有限，單個(gè)工程師維護(hù)多套系統(tǒng)的現(xiàn)象普遍存在。伴隨而來就是工程師記事簿上密密麻麻的賬號(hào)密碼，同時(shí)在多套主機(jī)系統(tǒng)之間切換，其工作量和復(fù)雜度成倍增加，直接導(dǎo)致的后果就是工作效率低下，操作繁瑣容易出現(xiàn)誤操作，影響系統(tǒng)正常運(yùn)行。

2.權(quán)限分配粗放，缺乏細(xì)粒度

大多數(shù)的系統(tǒng)授權(quán)是采用操作系統(tǒng)自身的授權(quán)系統(tǒng)，授權(quán)功能分散在各個(gè)設(shè)備和系統(tǒng)中，缺乏統(tǒng)一的運(yùn)維操作授權(quán)策略，授權(quán)顆粒度粗，無(wú)法基于最小權(quán)限分配原則管理用戶權(quán)限，因此，出現(xiàn)運(yùn)維人員權(quán)限過大和內(nèi)部操作權(quán)限濫用等問題。

3.第三方代維人員的操作行為缺乏有效監(jiān)控

隨著企業(yè)信息化建設(shè)的快速發(fā)展，為緩解企業(yè)IT人員不足的壓力，越來越多的企業(yè)系統(tǒng)運(yùn)維工作轉(zhuǎn)交給系統(tǒng)供應(yīng)商或第三方代維商，企業(yè)既解決了人員不足的問題，又解決了招聘新人的技能培訓(xùn)問題。但是在享受便利的同時(shí)，由于涉及提供商，代維商過多，人員復(fù)雜流動(dòng)性又大，對(duì)操作行為缺少監(jiān)控帶來的風(fēng)險(xiǎn)日益凸現(xiàn)，因此，需要通過嚴(yán)格的權(quán)限控制和操作行為審計(jì)。

針對(duì)上述問題，相信廣大運(yùn)維工程師都有“搔頭不知癢處”的苦惱。不用急，這個(gè)時(shí)候我們的堡壘機(jī)登場(chǎng)了。

堡壘機(jī)的審計(jì)過程

堡壘機(jī)又名運(yùn)維安全審計(jì)系統(tǒng)，首先他將服務(wù)器群的訪問限定單一入口，所有用戶均不能直接訪問服務(wù)器，需通過堡壘機(jī)中轉(zhuǎn)，這樣就有條件對(duì)整個(gè)流量進(jìn)行監(jiān)控，對(duì)風(fēng)險(xiǎn)操作進(jìn)行記錄報(bào)警，對(duì)用戶進(jìn)行集中地細(xì)粒度權(quán)限管理。再在堡壘機(jī)中集成單點(diǎn)登錄(SSO)功能，用戶只需登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)解決單用戶多賬號(hào)問題;再就協(xié)議代理，通過截獲HTTP、ftp、ssh、rdp、vnc通信協(xié)議內(nèi)容，解析并記錄IT運(yùn)維人員的操作過程。

堡壘機(jī)的核心技術(shù)協(xié)議代理，由于協(xié)議對(duì)應(yīng)的SOCKET端口對(duì)于服務(wù)器來說是唯一的，意味著堡壘機(jī)在給IT運(yùn)維人員授權(quán)時(shí)，只能允許或禁止使用某服務(wù)器的某知名協(xié)議。假設(shè)授權(quán)給甲S服務(wù)器的RDP協(xié)議，就相當(dāng)于S服務(wù)器上的所有IT資源授權(quán)給了甲。授權(quán)顆粒度一般是以服務(wù)器為單位。再一個(gè)對(duì)于RDP和VNC操作過程只能進(jìn)行錄屏，對(duì)于風(fēng)險(xiǎn)過程無(wú)法快速智能識(shí)別，只能事后通過記錄慢慢甄別，時(shí)效性較差。待基于應(yīng)用代理的堡壘機(jī)技術(shù)成熟后，應(yīng)該有很大改進(jìn)。

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)在當(dāng)下信息安全領(lǐng)域絕對(duì)算得上明星產(chǎn)品，一是因?yàn)樾畔⒒瘯r(shí)代，數(shù)據(jù)庫(kù)作為企事業(yè)單位的戰(zhàn)略性資產(chǎn)，必須進(jìn)行嚴(yán)格防范，以防被非法獲取;二是《薩班斯法案》、《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理技術(shù)要求》等相關(guān)規(guī)范性法案及要求對(duì)企業(yè)內(nèi)控與審計(jì)進(jìn)行了合規(guī)性要求。更深刻的原因在于，數(shù)據(jù)庫(kù)面臨的眾多安全風(fēng)險(xiǎn)亟待解決。

數(shù)據(jù)庫(kù)面臨的安全風(fēng)險(xiǎn)

一、管理風(fēng)險(xiǎn)

內(nèi)部員工及第三方維護(hù)人員的權(quán)限分配粗放，導(dǎo)致權(quán)限濫用且無(wú)有效手段監(jiān)控操作，致使安全事件發(fā)生時(shí)不能及時(shí)告警且無(wú)法追溯并定位真實(shí)的操作者，數(shù)據(jù)流向失控。上文提到堡壘機(jī)雖說也有一定的審計(jì)功能，但無(wú)法達(dá)到應(yīng)用級(jí)。

二、技術(shù)風(fēng)險(xiǎn)

ORALCE、SQL SERVER等數(shù)據(jù)庫(kù)系統(tǒng)是一個(gè)龐大而復(fù)雜的系統(tǒng)，加之其承載的高價(jià)值數(shù)據(jù)庫(kù)，無(wú)數(shù)黑客對(duì)其趨之若鶩，致使其漏洞層出不窮，而補(bǔ)丁往往跟進(jìn)非常延后(有時(shí)打補(bǔ)丁風(fēng)險(xiǎn)不比黑客小)，另外基于應(yīng)用層的注入攻擊更是難于防范。

三、審計(jì)層面

傳統(tǒng)的依賴于日志審計(jì)的方法，存在諸多弊端，如：數(shù)據(jù)庫(kù)審計(jì)功能開啟會(huì)影響數(shù)據(jù)庫(kù)本身的運(yùn)行，原本海量的數(shù)據(jù)檢索已讓數(shù)據(jù)庫(kù)不堪重負(fù);數(shù)據(jù)庫(kù)日志文件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息公正性和有效性;對(duì)于國(guó)內(nèi)應(yīng)用軟件的功能性開發(fā)模式，日志更是流于表面無(wú)實(shí)質(zhì)價(jià)值。

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的運(yùn)行流程

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)通過監(jiān)控所有出入數(shù)據(jù)庫(kù)的報(bào)文，通過深度的報(bào)文解析和重組技術(shù)將散列的報(bào)文還原成完整數(shù)據(jù)庫(kù)語(yǔ)句，如select、delete、alter、grant等，再根據(jù)相應(yīng)的規(guī)則對(duì)其進(jìn)行匹配并根據(jù)相應(yīng)的風(fēng)險(xiǎn)等級(jí)實(shí)時(shí)告警。

舉個(gè)例子：某用戶A僅限于訪問數(shù)據(jù)庫(kù)中的A表權(quán)限，黑客利用數(shù)據(jù)庫(kù)的漏洞將用戶A進(jìn)行提權(quán)后，可以去訪問B表，但是數(shù)據(jù)庫(kù)本身的權(quán)限機(jī)制已被攻破，因此用戶A訪問B表暢通無(wú)阻。如果在數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)規(guī)則中限定B表的訪問權(quán)限，通過對(duì)于底層報(bào)文解析重組后分析發(fā)現(xiàn)A用戶在訪問B表，促發(fā)了風(fēng)險(xiǎn)規(guī)則，此時(shí)系統(tǒng)會(huì)產(chǎn)生高風(fēng)險(xiǎn)告警，并通過郵件、短信等方式告知審計(jì)人員實(shí)時(shí)處理，同時(shí)對(duì)事件進(jìn)行記錄存檔用于事后的追溯。

獨(dú)立、公正的數(shù)據(jù)庫(kù)審計(jì)平臺(tái)

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)為第三方的獨(dú)立審計(jì)平臺(tái)，且自身進(jìn)行了分權(quán)處理，因此，對(duì)于審計(jì)的獨(dú)立性與公正性得到了有效的保證。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)通過底層直接抓取報(bào)文解析重組的方式進(jìn)行審計(jì)，黑客缺乏有效的手段規(guī)避審計(jì)。

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的不足在于其設(shè)計(jì)局限于數(shù)據(jù)庫(kù)，對(duì)于網(wǎng)絡(luò)協(xié)議這一塊的審計(jì)還有欠缺。不過現(xiàn)在的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)也開始加強(qiáng)對(duì)協(xié)議方面的審計(jì)能力，昂楷AAS數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)目前支持國(guó)內(nèi)國(guó)外主流數(shù)據(jù)庫(kù)進(jìn)行審計(jì)的同時(shí)，也支持常用的http、ftp、telnet、smtp、pop3等網(wǎng)絡(luò)協(xié)議的審計(jì)，更可喜的是其在hadoop大數(shù)據(jù)架構(gòu)、云計(jì)算、工控等領(lǐng)域也取得成功的商用。

數(shù)據(jù)庫(kù)審計(jì)和堡壘機(jī)都是目前有效實(shí)現(xiàn)信息化內(nèi)控，滿足合規(guī)性的重要有效手段，區(qū)別在于堡壘機(jī)側(cè)重于對(duì)第三方維護(hù)人員行為的規(guī)范與控制，而數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)側(cè)重于數(shù)據(jù)庫(kù)本身的安全以及對(duì)數(shù)據(jù)庫(kù)資源訪問的合規(guī)性控制與審計(jì)。因此，如何進(jìn)行產(chǎn)品選型取決于當(dāng)前所需迫切解決的問題，產(chǎn)品本身并無(wú)優(yōu)劣之分，不同側(cè)重點(diǎn)不可被銷售代表的大嘴無(wú)所不能的忽悠。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。