纵论数据库安全审计产品三代演进.docxVIP

纵论数据库安全审计产品的三代演进作者：安华金和刘晓韬国网智研院詹雄关键词：数据库安全、数据库审计、产品演进摘要：随着用户对核心数据的防护需求，数据库审计产品已经成为信息安全建设的标配，当市场需求增大各种产品迅速进入市场，用户在选择上无所适从。笔者纵观市场，将市面上几十种数据库审计产品分为四种并追本溯源，根据数据库安全审计产品的演进过程划分为三代，更好地对数据库安全审计技术进行理解和价值阐述。正文：当前，数据库审计产品无疑已成为政企事业单位在信息安全方面的新宠，信息安全建设的标配，几乎所有的安全集成中都有它的身影。在市面上存在着几十种数据库安全审计产品，这些产品集中起来大约可分四种类型：1、在网络审计产品的基础上经过简单包装推出数据库审计产品2、针对数据库通讯协议的特点开发出专门的数据库审计产品3、国外的数据库审计产品，比如Imperva、Guardium等；4、OEM第三方的数据库审计产品，OEM对象可能来自国内，也可能来自国外，比如Imperva或韩国的DBInsight。追溯渊源，我们可以把数据库安全审计产品划为三代：第一代是入门级数据库安全审计，这代产品解决的是有和无的问题；第二代是专业型数据库安全审计，这代产品解决的是准确性和易用性问题；第三代是业务型数据库安全审计，这代产品解决的是数据价值问题。一代入门级数据库安全审计产品我们将一代定义成入门级，这是在数据库安全审计产品在国外取得成功、外商进入中国推行这个概念之后，一些传统网络安全企业迅速跟进，基于传统的网络审计产品简单改造或产品都未经改造只是概念包装后就推向市场的产品。这一代产品的典型特征为“三不管”：不管审的准不准，先审下来再说不管审的全不全，先有了再说不管好不好理解，有数据再说这一代产品本质就是使用传统的网络审计能力，再加上一些正则匹配能力，一些简单的特征追踪，基本上数据库安全审计的管理就是融入到原有的网络管理界面中。这一代产品的主要缺陷，简单列出如下：（1）长SQL语句漏审（2）多语句无法有效分割（3）复杂语句对象解析错误（4）参数值与SQL语句匹配错误（5）错误的应答结果，特别是影响行数解析不正确（6）充满失真率的应用用户关联（7）未专业化的审计界面（8）过度冗余的审计信息存储其中，以上缺陷的前六条都与准确性和全面性有关，用户很难进行验证；要判断是否属于这种产品，一般可以通过两个简单的方式进行判定：一个方法就是界面。如果在界面上有很多种协议，数据库只是其中一种，往往就是网络审计改换的产品；另一个方法就是招标参数。现在一个很奇怪的现象就是，招标数据库安全审计产品，结果列出一堆网络审计产品要求。以下是一个典型招标案例：与数据库审计产品不相干的参数二代专业型数据库安全审计产品二代数据库安全审计产品主要是由新兴安全厂商研发，在研发过程中多少会参考一些国外数据库安全产品的设计理念、产品界面，再加上自己的创新，生产出一款纯粹的数据库安全审计产品。这一代产品的典型特征有三个：（1）产品概念高度聚焦产品替除传统网络审计的概念，不会出现类似于MAIL、FTP、Telnet等协议，用户很容易地找到数据库审计信息。（2）数据库包深度解析和SQL语法解析二代数据库安全审计产品的基本功在于对数据库的包能够进行精确分析，并且根据上下文语境进行追踪（这需要模拟数据库的行为）。（3）数据库化的界面组织清晰完全采用了面向数据库化的界面组织，比如：数据库、会话、语句、表、存储过程等；这样的产品概念，对于数据库审计产品的直接使用者，一般是运维人员和安全管理人员，就很清晰，对问题的定位的线索组织也非常清晰。下面是两代数据库审计产品的一个对比：一代数据库审计产品典型界面示例1一代数据库审计产品典型界面示例2由图2.2不难看出，界面菜单组织结构中，很难找到数据库的信息，在审计记录中也很难看到数据库的SQL语句、数据库用户、数据库会话等信息。二代数据库审计的典型界面组织对比得出，二代数据库安全审计产品界面，具有强烈的数据库元素；以“数据库”为最基本信息组织单元，以“会话”、“语句”等数据库中的基本元素为线索；在审计记录中，直观的SQL语句、数据库用户、会话信息等，立刻将单调的网络协议还原为数据库信息。在第二代代产品中也有高下之分，主要体现在三个方面：(1) DDPI技术的精准度由于数据库通讯包的复杂度，即使按照一种深度包解析思路也不能保证解析的完全精准，能否对通讯包作到高精度高兼容性，这就要看各个厂商的功力了。解析不准，要么丢数据，要么审计错误。(2）协议识别的智能化正是由于这种包解析技术的复杂性，为了能准确识别协议类型，一些产品往往需要人工进行一些辅助，帮助输入说明数据库的版本、操作系统的类型、编码方式等。二代产品中，哪家厂商能够实现对数据库协议的智能化识别，将是产品易用性的另一个重要考量指标。(3)