本文讲的是没有审计系统就没有数据库安全,数据库系统作为三大基础软件之一并不是在计算机诞生的时候就同时产生的,随着信息技术的发展,用户对数据的共享提出了越来越高的要求,传统文件系统已经不能满足人们的需要,1961年,美国通用电气公司成功开发了世界上第一个数据库系统IDS(Integrated Data Store),奠定了数据库的基础,并在当时得到了广泛的发行和应用。经过几十年的发展和实际应用,技术越来越成熟和完善,代表产品有甲骨文公司的Oracle、IBM公司的DB2、微软公司的MS-SQL Server等等。
数据库系统在企业管理等领域具有广泛的应用,如ERP系统、计费系统、经分系统等等,数据库系统作为应用系统的核心,承载了企业运营的关键数据,是企业核心IT资产之一。长期以来,在保障业务连续性和性能的前提下,最大限度的保障数据库安全一直是数据库管理人员、安全管理人员孜孜不倦追求的安全目标。
数据库安全涉及入侵防御、账号管理、访问控制、安全审计、防病毒、评估加固等多个方面,常见的安全产品如UTM、入侵检测、漏洞扫描等产品得到了广泛的应用,为保障数据库系统的正常运行起到了重要作用。但是,通过对安全事件的处理分析,调查人员发现企业内部人员造成的违规事件占了较大比例,究其原因,主要是这些违规行为与传统的攻击行为不同,无法利用攻击机理和漏洞机理进行分析,这导致了这些抵御外部入侵的产品无用武之地,要防止内部的违规行为,就需要在内部建设审计系统,通过对操作行为的分析,实现对违规行为的及时响应和追溯。
根据Verizon 2009调查报告(基于对2亿8500万次累计破坏行为数据进行分析),数据破坏情况如图一所示:
▲Verizon数据破坏调查表
从上图可以看到对数据库系统的尝试破坏行为占比在75%左右,为什么针对数据库系统的破坏行为占比最高,主要原因在于:一方面由于数据库系统往往承载关键业务数据,而这些数据牵涉到企业各个方面的信息,从政治、经济而言都具备重要的价值;另一方面由于数据库系统通常比较复杂以及其对连续性、稳定性的高标准要求,安全管理人员在缺乏相关知识的情况下,往往出现想不到、不敢想、不敢动的状况,导致数据库安全管理工作滞后于业务需求的满足。
实际上,关于数据库系统的安全事件层出不穷,而且有愈演愈烈之势,远有某市双色球开奖数据库被篡改,3305万巨奖险被冒领的案件,近的更有,汇丰银行2.4万账号数据被盗的例子。这些情况,国家相关部门也非常重视,在《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全保护等级基本要求》等相关政策中,对于审计系统也有明确的要求:
· 应制定能够确保系统安全审计策略正确实施的规章制度及措施
· 应对重要服务器的访问行为进行审计
· 应包括事件的日期、时间、类型、主体标识、客体标识和结果等
· 应定期对审计记录进行审查分析,对可疑行为及违规操作,采取相应的措施,并及时报告
作者:马骏
来源:it168网站
原文标题:没有审计系统就没有数据库安全