縱论数据库安全审计产品的三代演进.docxVIP

纵论数据库安全审计产品的三代演进安华金和 刘晓韬当前数据库审计产品，无疑已成为政企事业单位在信息安全方面的新宠，信息安全建设的标配，几乎所有的安全集成中都有它的身影。需求起来了，市场上各种数据库安全审计产品品牌也如雨后春笋般冒了出来，仿佛这种产品早已压好了箱底，随时等着客户召唤，大量投放到市场；亦或厂商随便招几个工程师，也能迅速地将产品推出上市。而用户呢，也被这种情况搞得眼花缭乱、烦躁不安、无所适从。在现有的安全市场环境下，笔者为帮助用户有效梳理数据库审计产品的渊源和发展，更好地对这种产品进行理解和价值点确定，从而为用户产品选型来评估做基础，撰写此文，分享大家。从现有市场上数据库安全审计产品的来源来看，大家可以参考我在此前分享的一篇文章《数据库审计产品常见缺陷》，当前在市面上存在着几十种数据库审计产品，这些产品集中起来大约可分四种类型：在网络审计产品的基础上经过简单包装推出数据库审计产品的既有网络审计产品厂商，比如国内几大安全厂商推出的数据库审计产品，安全圈都知道，不再例举；针对数据库通讯协议的特点开发出专门的数据库审计产品的国内细分领域安全厂商，比如安华金和、思福迪、国都兴业、帕拉迪等；国外的数据库审计产品，比如Imperva、Guardium等；OEM第三方的数据库审计产品，OEM对象可能来自国内，也可能来自国外，比如Imperva或韩国的DBInsight。由于国家的自主安全可控政策，无论是国外的数据库安全审计产品，还是OEM国外的数据库安全审计产品，如果面向政府和央企行业用户售卖，随着国家开始推行去IOE政策，潜在安全风险非常高，这类数据库安全审计产品，注定不会成为市场的主流。追溯渊源，我们可以把数据库安全审计产品划为三代：第一代是入门级数据库安全审计，这代产品解决的是有和无的问题；第二代是专业型数据库安全审计，这代产品解决的是准确性和易用性问题；第三代是业务型数据库安全审计，这代产品解决的是数据价值问题；一代数据库安全审计产品：我们将一代定义成入门级，这是在数据库安全审计产品在国外取得成功、外商进入中国推行这个概念之后，一些传统网络安全企业迅速跟进，基于传统的网络审计产品简单改造或产品都未经改造只是概念包装后就推向市场的产品。这一代产品的典型特征为“三不管”：不管审的准不准，先审下来再说；不管审的全不全，先有了再说；（3）不管好不好理解，有数据即可；这一代产品的本质就是使用传统的网络审计能力，再加上一些正则匹配能力，一些简单的特征追踪，基本上数据库安全审计的管理就是融入到原有的网络管理界面中。这一代产品基本上具备《数据库审计产品常见缺陷》中的大部分缺陷，简单列出如下：1：长SQL语句漏审2：多语句无法有效分割3：复杂语句对象解析错误4：参数值与SQL语句匹配错误5：错误的应答结果，特别是影响行数解析不正确6：充满失真率的应用用户关联7、未专业化的审计界面8、过度冗余的审计信息存储（注：更多具体原因了解，可以从网上搜索文章原文，我曾经就数据库安全审计缺陷分享过一系列文章，包括测试用例，会有更清晰的解释。）其中以上缺陷的前6条都是与准确性和全面性有关的，用户很难进行验证；要判断是否属于这种产品，一般可以通过两个简单的方式进行判定：一个方法就是界面。如果在界面上有很多种协议，数据库只是其中一种，往往就是网络审计改过来挂羊头卖狗肉的了；另一个方法就是招标参数。现在一个很奇怪的现象就是，招数据库安全审计产品，结果列出一堆网络审计产品要求。以下是一个典型招标案例：“支持TNS、TDS、HTTP、POP/POP3、SMTP、TELNET、FTP等；”这些协议与数据库几乎没有什么关联，显而易见是传统网络厂商进行项目操作时的控标项。第一代产品的典型厂商代表如启明星辰、天融信，这两个大厂的产品界面还是沿用网络审计产品的风格，审下来的数据与数据库关联度不够高，用户要找数据库的审计信息仿佛进行‘发现之旅’一般。但这两个大厂的销售体系着实厉害，因此从市场占有率来看，还不算低。二代是专业型数据库安全审计产品：第二代数据库安全审计产品主要是由新兴安全厂商研发的；这些厂商没有多少历史包袱，又没有现成的产品基础，只能从头研发；研发的时候，多少会参考一些国外数据库安全产品的设计理念、产品界面，再加上自己的创新，生产出一款纯粹的数据库安全审计产品。这一代产品的典型特征有三个：（1）产品概念高度聚焦产品替除传统网络审计的概念，不会出现类似于MAIL、FTP、Telnet等协议，用户很容易地找到数据库审计信息； （2）数据库包深度解析（DDPI: Deep Databse Packet Inspection）和SQL语法解析数据库没有标准通讯协议，各安全厂商的包非常复杂，为了优化和兼容，需要大量的句柄、参数、压缩等处理；传统的网络安全厂商不擅长数据库包的解析