其他
实用 | 数据库审计产品关键指标与选型建议
正确的产品选型,意味着什么?
技术指标一:准确性
1
会影响数据库审计准确性的因素
· 业务系统使用数据库技术的复杂性以银行为例,其业务系统通常由很多参数化语句组成,且每个参数化语句对应一个SQL游标(又称SQL句柄),并使用SQL游标和参数绑定来执行命令;在这种情况下,审计产品必须准确还原数据库通讯协议包中的SQL游标和Bind Variable的值,同时将SQL游标和参数化SQL语句准确关联还原,才能够实现准确的审计;否则,会因为无法识别通讯协议导致数据漏审,而一旦出现审计数据的大量漏审,那么审计工作的价值便无从谈起了,就连合规监测也会受到严重影响。
2
有效验证审计产品准确性的方法
技术指标二:性能
1
性能瓶颈下的“错觉”
对此,安华金和建议通过以下两种方法进行测试:· 测试方法一使用从生产系统通过流量复制获得的基准压力测试流量包,并通过不同的压力进行流量包重放,以观察审计产品在何种的压力下会出现较大规模的审计数据丢失情况。· 测试方式二在相同压力下,对多个审计产品进行对比测试;通过对比审计量,可较为清晰地看出不同审计产品的能力水平。
2
不应缺失的“超限告警”
技术指标三:探针
1
探针的流量采集性能
部署探针后,可通过压力测试,检测其在审计流量发生较大规模丢失时的性能表现。
2
探针的资源可调能力
· 探针支持自我调节能力,可最大限度减少对数据库服务器的影响;可提供CPU、MEM、带宽等多种压力识别检测手段,从而动态调整对数据库流量采集的配置参数;· 可根据动态阈值检测机制调整探针工作状态,通过对不同级别限速(动态限速)或休眠主动挂起以降低对网络带宽的占用,从而保证业务的正常进行;· 具有探针状态监控、远程控制启停等管理功能,从而在大规模、分布式项目部署大量探针的情况下,能够实现集中监测与管理。
技术指标四:灵活性
(2)如果需要根据用户需求及其数据资产的重要性、访问边界或区域等进行有选择性的审计工作,则需要产品具备灵活的审计策略配置能力。例如:可针对登录行为(会话规则)和操作行为(操作规则)配置审计/不审计的规则;可支持包括访问来源、常用操作、指定对象操作在内的丰富的规则项等;
(3)当有人在运维区“批量查询手机号”时,需要数据库审计产品能够识别这一“风险操作”,并实现对个人信息的访问追溯和监测——记录下进行风险操作人员的信息及其查询过的全部手机号,便于事后追溯及追责、定责;但是,如果审计产品仅具备面向全局的“结果集审计”功能,则会“无选择性”地记录所有SQL语句的结果集,从而造成用户存储空间的极大浪费,并严重干扰审计工作的成效。因此,审计产品需要具备“按规则进行结果集审计”的能力,即支持设定“被规则条件命中后“再执行结果集审计动作的功能,而其他未被规则命中的SQL操作则不执行。
【了解更多】