【数据库安全侦察兵】监测数据安全 洞察数据风险
数据作为最具时代特征的新生产要素,通过与其他要素优化配置,正成为社会经济各领域创新发展的关键动力。随着海量数据日志的年化指数级暴增,保障重要数据安全以及数据库正常运转成为重中之重,亟需数据库安全审计产品作为数据库安全的侦察兵守卫,监测数据安全,洞察数据风险,帮助用户完成安全合规、用户行为分析、运维监控、风险审计、事件追溯等需求场景的安全审计。
政策驱动:合规建设不可或缺
《数据安全法》:要求建立数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作;
《个人信息保护法》:要求定期对其处理个人信息遵守法律、行业规则的情况进行合规审查;
等保2.0:明确提出对数据库进行安全审计,网络运营商必须根据要求引进合适的设备。
风险驱动:遏制数据泄露有效手段
安华金和数据库安全审计系统(DAS)
数据库审计“要义”——精确审计
精确审计是数据库审计产品的“第一要义”,不能做到精确审计也就没有办法做到“应审尽审”,即使审计产品有再完备的功能,无法解决数据泄露识别以及安全监测需求已是华而不实,终将被市场抛弃。安华金和数据库安全审计系统能做到在任何访问行为以及复杂的业务环境下,均可以做到精确审计。
1►
海量数据库协议精准解析
数据库网站 DB-Engines中 有统计的数据库类型高达357个,如何能够切合市场需求实现海量数据库通信协议精准解析,始终是众多厂商面临的基础问题。
安华金和具备大型数据库内核产品研发基础及国际水平的数据库攻防实验室 ,并结合在项目中的不断实践积累,打造了基于精准数据库协议分析和语法解析技术的数据库安全审计产品。
安华金和数据库安全审计产品13年来通过对数据库通讯协议的不断深入研究,实现对国际主流、国产主流以及大数据库组件相关数据库协议做到精准解析,包括但不仅限于如下数据库类型:
2►
关键业务“应审尽审”
业务场景下通常都是由很多参数化语言构成,且每个参数化语句对应一个SQL游标,并使用SQL游标和参数绑定来执行命令,这种情况下,审计产品必须准确还原数据库通讯协议包中的SQL游标和Bind Variable的值,才能做到精准审计,否则将出现大量漏审问题。
安华金和的数据库通讯解析和语法解析可不受执行方式、语句长度及复杂度的影响,做到应审流量全面识别,精确审计。在众多关键业务系统重放审计基准流量包测试中,精准度高达99.999%。
3►
IPC访问本地审计
运维人员通过登录到数据库服务器后的直连数据库行为,数据不经过网卡,无法通过数据库自身审计或流量采集的方式进行审计,是目前国内厂商难以突破的难题。
安华金和数据库安全审计系统于业界创新性地采用在客户端程序通讯过程中,部署插件获取IPC(进程间通信)的数据内容,可有效避免漏审和被绕过的情况发生,另基于精确协议解析对获取的通讯包流量解析,完成精确本地审计功能。
安华金和的本地审计技术是在用户态完成,不涉及驱动层,有别于操作系统驱动层面的实现方式,避免了操作系统宕机的风险。同时,其可以作用于客户端,保证对数据库服务器没有影响。
4►
海量流量完整审计
审计产品若采用旁路部署的方式,会在审计流量超限时,保护性地丢弃无法处理的流量,将会导致审计不完整。
安华金和可靠的审计引擎,保障业务高峰、并发高压下,风险命中依然快速及时、审计数据依然准确全面。系统具有自我监测和告警能力,监控审计是否丢包、 高压下会话、SQL语句是否超限,帮助用户实时掌握当前压力状况,及时调整或进行扩容。
数据库审计“原则”——对业务无影响
审计产品的部署应该是在保障数据库业务正常运行的前提下进行的。随着云和虚拟化环境的广泛应用,许多情况下需要通过部署探针来进行流量的采集。
安华金和数据库安全审计系统部署的Agent探针,对数据库服务器的性能影响可控,包括CPU、内存使用率等;在数据库服务器或Agent自身性能超出阈值后,Agent可以自动熔断,以保障数据库业务正常运行;同时可以对Agent占用的带宽资源进行限制。
数据库审计立足“标志”——市场认可
未来,安华金和将持续以产品为抓手,以用户为中心,全方位帮助用户构建更加全方位多层次的数据安全防护体系,助力数据安全产业稳健发展。
往期推荐