常见问题

使用B/S或C/S的三层,COM组件系统,能否找到最终的访问者?

能找到最终的访问者,这里就要谈到三层架构审计,所谓三层架构审计,是将应用层区域的审计数据与数据库层区域的审计数据综合起来进行“关联分析”,从而将应用层操作准确对应到数据库层的操作。当发生安全事件时,根据关联审计记录的日志信息,可快速定位到网络中的责任人。所以,通过三层审计即可实现应用与数据库的有效关联,追踪到最终用户端。正常情况下,应用层跑的是URL行为,在数据库层则走的是数据库命令,两者的表现形式截然不同,但有了“关联分析”,就可以从技术上穿透两个区域,从而将访问的应用层帐号和相关的数据库操作关联起来,从而能够追查到真正的访问者。三层审计是数据库审计领域的业界难题之一,难点在于审计技术的选择,业界传统的做法是采取“时间戳”方法来实现“关联,这种做法的优点可以应用于任何的三层架构审计,缺点也很显示,在高并发时会造成业务用户与SQL语句的错误关联。昂楷从开始做数据库审计系统这个产品,就不断研究针对“三层架构审计”的最佳解决方案,目前已率先取得了重大的突破,针对采取“COM/DCOM/COM+ ”等组件的三层架构体系,昂楷科技独创组件穿透技术,可规避时间系列的干扰,在任何情况下都能精确审计,定位到人,创新性地解决了“三层+COM 组件审计”这个困扰客户及众多友商多年的业界难题,并在北京中医药大学东直门医院得到了实际的应用检验。当然,三层架构体系的复杂性决定了,我们只是取得了阶段性的“胜利”,要取得全面“胜利”,还需要继续努力。

数据库审计设备怎么接入网络的?我的服务器在不同的网段,跨网段…

问题:数据库审计设备怎么接入网络的?我的服务器在不同的网段,跨网段能够在一台设备里面支持吗?

回答:数据库审计是采用旁路镜像的方式接入网络,对网络不造成任何影响,工作原理是用户访问数据库时流量会经过交换机,我们把经过交换机的流量复制一份到我们的设备,通过DPI、DFI技术进行语义级识别,然后进行安全规则匹配,如果触发规则就采取相应的安全措施。

跨网段主要还是看服务器所在网络的具体情况,如果服务器都会经过同一台交换机在这台交换机上做一个镜像就可以了;如果服务器流量不能经过同一台交换机,我们就分别在服务器流量经过的交换机上做镜像(当然前提是交换机之间协议能够互通,最好是统一品牌),我们设备默认可支持5个千兆审计口,而且还可以增加,只要设备性能足够,一台设备就可以;如果数据库审计系统单一,我们可以考虑远程端口镜像的方式将数据复制后传到指定的端口,当然这个要根据咱们的网络交换机型号和配置进行具体的判断。


数据库审计只能是事后审计,价值不大?

1、我们谈安全防范有几个关键概念,事前是指预防,事中是指正在发生过程中的管控、事后是指事后的追溯取证;

2、所以审计不等于只是事后,而是事中的的一种监控;人们往往有误区,认为不能阻止,就不是事中,更不是事前;

3、数据库审计其实是可以做到事前预防、事中监控、事后追溯三位一体的功能的。譬如通过监控异常IP、进程、多次反复的登录系统,可以帮助我们预防非法访问、暴力破解等问题;事中我们通过监控所有对数据库的各种访问行为,并且通过预设的规则,可以智能实时的发现问题,通过告警平台,短信,邮件等,及时进行干预,事前事中的控制,不阻断,只是因为不合适采用此种模式;事后可以通过告警凭条、时间平台、日志平台分析定位问题。

有了WAF,还需要数据库审计吗?

WAF只监控通过HTTP方式来的数据,而数据库的访问源头却多种多样,如以下几种数据库访问方式:

1、组织内其他应用系统能访问数据库:比如在电子商务系统里,价格和库存可能会用一些自动化的脚本来定时更新。

2、一些内部管理程序可以访问系统,也可能是一些接口,方便雇员添加信息或者发送信息给客户。

3、数据库 DBA,IT 经理,QA,开发人员等等内部人员通过数据库管理工具可以访问数据库。

这些潜在的数据库访问源头WAF是毫不知情的,来自内部的攻击则更为可怕!当数据的价值越来越高,数据库成为“攻击”目标时,仅依靠 WAF的防护显得有些捉襟见肘。

数据库审计系统一方面可对数据的访问操作行为做一个完整的记录,以备违反安全规则的事件发生后,能有效的追查责任和分析原因,必要时还可以为惩罚恶意攻击行为提供必要的证据。

另一方面,实施审计准则之后,审计线索会指出特定人员没有违反规程,也没有破坏性行为,对合法用户是一种良好的保护。

从信息安全的角度上看,审计是安全的数据库系统不可缺少的一部分,也是数据库的最后一道重要的安全防线。


web应用防火墙(WAF)能全面防范对数据库的攻击吗?

WAF现在已经成为许多商业Web 网站与系统的基本保护措施,它的确在防范许多针对Web系统的安全攻击方面卓有成效。但WAF只监控通过HTTP方式来的数据,而数据库的访问源头却多种多样,譬如以下几种数据库访问方式,WAF并不一定能全面防范对数据库展开的攻击。

1、组织内其他应用系统能访问数据库:比如在电子商务系统里,价格和库存可能会用一些自动化的脚本来定时更新。

2、一些内部管理程序可以访问系统,也可能是一些接口,方便雇员添加信息或者发送信息给客户。

3、数据库 DBAIT 经理,QA,开发人员等等内部人员通过数据库管理工具可以访问数据库。

这些潜在的数据库访问源头WAF是毫不知情的,来自内部的攻击则更为可怕!数据库暴露的访问点多种多样,仅仅依靠单一的防护手段是不够的,需要不同的技术手段加以防护。审计是安全的数据库系统不可缺少的一部分,因此,建议将web应用防火墙与数据库审计系统配合使用,对数据库的防护效果加倍。


为什么说数据库审计是是数据库安全行业的核心产品?

  备份、漏扫、安全加固等产品,更多的是间接保护数据库的安全,无法实现对数据库的实时在线监控;数据库的安全产品,如数据库防火墙、数据库漏扫等,目前还不成熟,这是经过行业内的客户验证的。

  基于以上两个理由,目前市场上最为成熟的就是数据库审计了!

  数据安全市场的产品很多,这里就不一一列举了。但是,备份、漏扫、安全加固等产品,更多的是间接保护数据库的安全,无法实现对数据库的实时在线监控;而数据库的安全产品,如数据库防火墙、数据库漏扫等,目前还不成熟,没有哪家能给出一个完善的方案,这是经过行业内基本达成共识的。在目前看来,市场上最为成熟的就是数据库审计了!你说数据库审计是不是核心?


为什么数据库审计系统大都无法精确审计到人?

  一般来说,业务人员可以通过CRM、ERP、电子政务等软件,正常的登录到系统中访问数据库,但从监管层面讲,第一要知道业务员是否有不该做的操作;第二要及时接到通知以便做出反应;第三则要能够溯源追踪,知道谁在什么时间做了什么。

  由于涉及到软件架构、三层架构——客户端、应用服务器端,中间的中间件以及复杂的应用服务器组件,再到数据库,这三者之间并没有穿透,因此通常只知道前端某个应用服务器在做坏事,但不知道这个人是谁。这也是数据库安全行业的一个行业难题。

  目前,这个问题已经解决了。昂楷独创的“六元组”解决了在复杂环境下难以定位到人的问题,代替了行业内一般只能支持到“五元组”的做法。昂楷数据库审计系统支持B/S、C/S,以及带COM/DCOM/COM+组件方式的三层审计。针对普通的三层架构,可获取到xml返回内容信息,针对采取COM/DCOM/COM+组件的三层架构,昂楷科技独创组件穿透技术,可提取工号(账号),详细定位到人。如果不支持COM组件,只能审计到用户的登入登出,无法做到对用户具体行为的审计。


有了防统方系统,还需要数据库审计吗?

  简单来说,防统方系统的主要作用就是避免人为对医院药品数据库信息的数据进行非法的统计和提取,避免医院内部的违法交易,因此,防统方系统内置的通用规则库,具有较强的针对性,涵盖非法统方操作可涉及的各种规则,细致、有针对性的为医院提供防统方服务。

  但除了医药信息,医院还存储着如医疗影像信息、患者就医信息等等重要数据。这些数据如果出现非授权的增删改查,防统方系统无法进行告警。

  这时就需要数据库审计系统。


400-622-8990