小編就信息安全內(nèi)控與數(shù)據(jù)安全領(lǐng)域的兩款明星產(chǎn)品“堡壘機”與“數(shù)據(jù)庫審計系統(tǒng)”進行梳理歸納,希望能夠?qū)V大IT運維工程師進行產(chǎn)品選型提供幫助。
堡壘機
在了解堡壘機前,先扒一扒信息系統(tǒng)運維中存在的一些問題,偉大的創(chuàng)新并非突發(fā)奇想,往往來源于我們亟待解決之問題。
信息系統(tǒng)運維中的問題
1.一個用戶使用多個賬號
由于信息系統(tǒng)龐大,擁有少則數(shù)十臺,多則上百臺的服務(wù)器,而維護人員又極其有限,單個工程師維護多套系統(tǒng)的現(xiàn)象普遍存在。伴隨而來就是工程師記事簿上密密麻麻的賬號密碼,同時在多套主機系統(tǒng)之間切換,其工作量和復(fù)雜度成倍增加,直接導致的后果就是工作效率低下,操作繁瑣容易出現(xiàn)誤操作,影響系統(tǒng)正常運行。
2.權(quán)限分配粗放,缺乏細粒度
大多數(shù)的系統(tǒng)授權(quán)是采用操作系統(tǒng)自身的授權(quán)系統(tǒng),授權(quán)功能分散在各個設(shè)備和系統(tǒng)中,缺乏統(tǒng)一的運維操作授權(quán)策略,授權(quán)顆粒度粗,無法基于最小權(quán)限分配原則管理用戶權(quán)限,因此,出現(xiàn)運維人員權(quán)限過大和內(nèi)部操作權(quán)限濫用等問題。
3.第三方代維人員的操作行為缺乏有效監(jiān)控
隨著企業(yè)信息化建設(shè)的快速發(fā)展,為緩解企業(yè)IT人員不足的壓力,越來越多的企業(yè)系統(tǒng)運維工作轉(zhuǎn)交給系統(tǒng)供應(yīng)商或第三方代維商,企業(yè)既解決了人員不足的問題,又解決了招聘新人的技能培訓問題。但是在享受便利的同時,由于涉及提供商,代維商過多,人員復(fù)雜流動性又大,對操作行為缺少監(jiān)控帶來的風險日益凸現(xiàn),因此,需要通過嚴格的權(quán)限控制和操作行為審計。
針對上述問題,相信廣大運維工程師都有“搔頭不知癢處”的苦惱。不用急,這個時候我們的堡壘機登場了。
堡壘機的審計過程
堡壘機又名運維安全審計系統(tǒng),首先他將服務(wù)器群的訪問限定單一入口,所有用戶均不能直接訪問服務(wù)器,需通過堡壘機中轉(zhuǎn),這樣就有條件對整個流量進行監(jiān)控,對風險操作進行記錄報警,對用戶進行集中地細粒度權(quán)限管理。再在堡壘機中集成單點登錄(SSO)功能,用戶只需登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)解決單用戶多賬號問題;再就協(xié)議代理,通過截獲HTTP、ftp、ssh、rdp、vnc通信協(xié)議內(nèi)容,解析并記錄IT運維人員的操作過程。
堡壘機的核心技術(shù)協(xié)議代理,由于協(xié)議對應(yīng)的SOCKET端口對于服務(wù)器來說是唯一的,意味著堡壘機在給IT運維人員授權(quán)時,只能允許或禁止使用某服務(wù)器的某知名協(xié)議。假設(shè)授權(quán)給甲S服務(wù)器的RDP協(xié)議,就相當于S服務(wù)器上的所有IT資源授權(quán)給了甲。授權(quán)顆粒度一般是以服務(wù)器為單位。再一個對于RDP和VNC操作過程只能進行錄屏,對于風險過程無法快速智能識別,只能事后通過記錄慢慢甄別,時效性較差。待基于應(yīng)用代理的堡壘機技術(shù)成熟后,應(yīng)該有很大改進。
數(shù)據(jù)庫審計系統(tǒng)
數(shù)據(jù)庫審計系統(tǒng)在當下信息安全領(lǐng)域絕對算得上明星產(chǎn)品,一是因為信息化時代,數(shù)據(jù)庫作為企事業(yè)單位的戰(zhàn)略性資產(chǎn),必須進行嚴格防范,以防被非法獲取;二是《薩班斯法案》、《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理技術(shù)要求》等相關(guān)規(guī)范性法案及要求對企業(yè)內(nèi)控與審計進行了合規(guī)性要求。更深刻的原因在于,數(shù)據(jù)庫面臨的眾多安全風險亟待解決。
數(shù)據(jù)庫面臨的安全風險
一、管理風險
內(nèi)部員工及第三方維護人員的權(quán)限分配粗放,導致權(quán)限濫用且無有效手段監(jiān)控操作,致使安全事件發(fā)生時不能及時告警且無法追溯并定位真實的操作者,數(shù)據(jù)流向失控。上文提到堡壘機雖說也有一定的審計功能,但無法達到應(yīng)用級。
二、技術(shù)風險
ORALCE、SQL SERVER等數(shù)據(jù)庫系統(tǒng)是一個龐大而復(fù)雜的系統(tǒng),加之其承載的高價值數(shù)據(jù)庫,無數(shù)黑客對其趨之若鶩,致使其漏洞層出不窮,而補丁往往跟進非常延后(有時打補丁風險不比黑客小),另外基于應(yīng)用層的注入攻擊更是難于防范。
三、審計層面
傳統(tǒng)的依賴于日志審計的方法,存在諸多弊端,如:數(shù)據(jù)庫審計功能開啟會影響數(shù)據(jù)庫本身的運行,原本海量的數(shù)據(jù)檢索已讓數(shù)據(jù)庫不堪重負;數(shù)據(jù)庫日志文件本身存在被篡改的風險,難于體現(xiàn)審計信息公正性和有效性;對于國內(nèi)應(yīng)用軟件的功能性開發(fā)模式,日志更是流于表面無實質(zhì)價值。
數(shù)據(jù)庫審計系統(tǒng)的運行流程
數(shù)據(jù)庫審計系統(tǒng)通過監(jiān)控所有出入數(shù)據(jù)庫的報文,通過深度的報文解析和重組技術(shù)將散列的報文還原成完整數(shù)據(jù)庫語句,如select、delete、alter、grant等,再根據(jù)相應(yīng)的規(guī)則對其進行匹配并根據(jù)相應(yīng)的風險等級實時告警。
舉個例子:某用戶A僅限于訪問數(shù)據(jù)庫中的A表權(quán)限,黑客利用數(shù)據(jù)庫的漏洞將用戶A進行提權(quán)后,可以去訪問B表,但是數(shù)據(jù)庫本身的權(quán)限機制已被攻破,因此用戶A訪問B表暢通無阻。如果在數(shù)據(jù)庫審計系統(tǒng)規(guī)則中限定B表的訪問權(quán)限,通過對于底層報文解析重組后分析發(fā)現(xiàn)A用戶在訪問B表,促發(fā)了風險規(guī)則,此時系統(tǒng)會產(chǎn)生高風險告警,并通過郵件、短信等方式告知審計人員實時處理,同時對事件進行記錄存檔用于事后的追溯。
獨立、公正的數(shù)據(jù)庫審計平臺
數(shù)據(jù)庫審計系統(tǒng)為第三方的獨立審計平臺,且自身進行了分權(quán)處理,因此,對于審計的獨立性與公正性得到了有效的保證。數(shù)據(jù)庫審計系統(tǒng)通過底層直接抓取報文解析重組的方式進行審計,黑客缺乏有效的手段規(guī)避審計。
數(shù)據(jù)庫審計系統(tǒng)的不足在于其設(shè)計局限于數(shù)據(jù)庫,對于網(wǎng)絡(luò)協(xié)議這一塊的審計還有欠缺。不過現(xiàn)在的數(shù)據(jù)庫審計系統(tǒng)也開始加強對協(xié)議方面的審計能力,昂楷AAS數(shù)據(jù)庫審計系統(tǒng)目前支持國內(nèi)國外主流數(shù)據(jù)庫進行審計的同時,也支持常用的http、ftp、telnet、smtp、pop3等網(wǎng)絡(luò)協(xié)議的審計,更可喜的是其在hadoop大數(shù)據(jù)架構(gòu)、云計算、工控等領(lǐng)域也取得成功的商用。
數(shù)據(jù)庫審計和堡壘機都是目前有效實現(xiàn)信息化內(nèi)控,滿足合規(guī)性的重要有效手段,區(qū)別在于堡壘機側(cè)重于對第三方維護人員行為的規(guī)范與控制,而數(shù)據(jù)庫審計系統(tǒng)側(cè)重于數(shù)據(jù)庫本身的安全以及對數(shù)據(jù)庫資源訪問的合規(guī)性控制與審計。因此,如何進行產(chǎn)品選型取決于當前所需迫切解決的問題,產(chǎn)品本身并無優(yōu)劣之分,不同側(cè)重點不可被銷售代表的大嘴無所不能的忽悠。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- Fortinet李宏凱:2025年在中國大陸啟動SASE PoP節(jié)點部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 央國企采購管理升級,合合信息旗下啟信慧眼以科技破局難點
- Apache Struts重大漏洞被黑客利用,遠程代碼執(zhí)行風險加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風險投資超過26億美元
- 調(diào)查報告:AI與云重塑IT格局,77%的IT領(lǐng)導者視網(wǎng)絡(luò)安全為首要挑戰(zhàn)
- 長江存儲發(fā)布聲明:從無“借殼上市”意愿
- 泛微·數(shù)智大腦Xiaoe.AI正式發(fā)布,千人現(xiàn)場體驗數(shù)智化運營場景
- IDC:2024年第三季度北美IT分銷商收入增長至202億美元
- AI成為雙刃劍!凱捷調(diào)查:97%組織遭遇過GenAI漏洞攻擊
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。