精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    細(xì)說堡壘機(jī)與數(shù)據(jù)庫審計(jì)

    大數(shù)據(jù)

    小編就信息安全內(nèi)控與數(shù)據(jù)安全領(lǐng)域的兩款明星產(chǎn)品“堡壘機(jī)”與“數(shù)據(jù)庫審計(jì)系統(tǒng)”進(jìn)行梳理歸納,希望能夠?qū)V大IT運(yùn)維工程師進(jìn)行產(chǎn)品選型提供幫助。

    堡壘機(jī)

    在了解堡壘機(jī)前,先扒一扒信息系統(tǒng)運(yùn)維中存在的一些問題,偉大的創(chuàng)新并非突發(fā)奇想,往往來源于我們亟待解決之問題。

    信息系統(tǒng)運(yùn)維中的問題

    1.一個(gè)用戶使用多個(gè)賬號(hào)

    由于信息系統(tǒng)龐大,擁有少則數(shù)十臺(tái),多則上百臺(tái)的服務(wù)器,而維護(hù)人員又極其有限,單個(gè)工程師維護(hù)多套系統(tǒng)的現(xiàn)象普遍存在。伴隨而來就是工程師記事簿上密密麻麻的賬號(hào)密碼,同時(shí)在多套主機(jī)系統(tǒng)之間切換,其工作量和復(fù)雜度成倍增加,直接導(dǎo)致的后果就是工作效率低下,操作繁瑣容易出現(xiàn)誤操作,影響系統(tǒng)正常運(yùn)行。

    2.權(quán)限分配粗放,缺乏細(xì)粒度

    大多數(shù)的系統(tǒng)授權(quán)是采用操作系統(tǒng)自身的授權(quán)系統(tǒng),授權(quán)功能分散在各個(gè)設(shè)備和系統(tǒng)中,缺乏統(tǒng)一的運(yùn)維操作授權(quán)策略,授權(quán)顆粒度粗,無法基于最小權(quán)限分配原則管理用戶權(quán)限,因此,出現(xiàn)運(yùn)維人員權(quán)限過大和內(nèi)部操作權(quán)限濫用等問題。

    3.第三方代維人員的操作行為缺乏有效監(jiān)控

    隨著企業(yè)信息化建設(shè)的快速發(fā)展,為緩解企業(yè)IT人員不足的壓力,越來越多的企業(yè)系統(tǒng)運(yùn)維工作轉(zhuǎn)交給系統(tǒng)供應(yīng)商或第三方代維商,企業(yè)既解決了人員不足的問題,又解決了招聘新人的技能培訓(xùn)問題。但是在享受便利的同時(shí),由于涉及提供商,代維商過多,人員復(fù)雜流動(dòng)性又大,對(duì)操作行為缺少監(jiān)控帶來的風(fēng)險(xiǎn)日益凸現(xiàn),因此,需要通過嚴(yán)格的權(quán)限控制和操作行為審計(jì)。

    針對(duì)上述問題,相信廣大運(yùn)維工程師都有“搔頭不知癢處”的苦惱。不用急,這個(gè)時(shí)候我們的堡壘機(jī)登場了。

    堡壘機(jī)的審計(jì)過程

    堡壘機(jī)又名運(yùn)維安全審計(jì)系統(tǒng),首先他將服務(wù)器群的訪問限定單一入口,所有用戶均不能直接訪問服務(wù)器,需通過堡壘機(jī)中轉(zhuǎn),這樣就有條件對(duì)整個(gè)流量進(jìn)行監(jiān)控,對(duì)風(fēng)險(xiǎn)操作進(jìn)行記錄報(bào)警,對(duì)用戶進(jìn)行集中地細(xì)粒度權(quán)限管理。再在堡壘機(jī)中集成單點(diǎn)登錄(SSO)功能,用戶只需登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)解決單用戶多賬號(hào)問題;再就協(xié)議代理,通過截獲HTTP、ftp、ssh、rdp、vnc通信協(xié)議內(nèi)容,解析并記錄IT運(yùn)維人員的操作過程。

    堡壘機(jī)的核心技術(shù)協(xié)議代理,由于協(xié)議對(duì)應(yīng)的SOCKET端口對(duì)于服務(wù)器來說是唯一的,意味著堡壘機(jī)在給IT運(yùn)維人員授權(quán)時(shí),只能允許或禁止使用某服務(wù)器的某知名協(xié)議。假設(shè)授權(quán)給甲S服務(wù)器的RDP協(xié)議,就相當(dāng)于S服務(wù)器上的所有IT資源授權(quán)給了甲。授權(quán)顆粒度一般是以服務(wù)器為單位。再一個(gè)對(duì)于RDP和VNC操作過程只能進(jìn)行錄屏,對(duì)于風(fēng)險(xiǎn)過程無法快速智能識(shí)別,只能事后通過記錄慢慢甄別,時(shí)效性較差。待基于應(yīng)用代理的堡壘機(jī)技術(shù)成熟后,應(yīng)該有很大改進(jìn)。

    數(shù)據(jù)庫審計(jì)系統(tǒng)

    數(shù)據(jù)庫審計(jì)系統(tǒng)在當(dāng)下信息安全領(lǐng)域絕對(duì)算得上明星產(chǎn)品,一是因?yàn)樾畔⒒瘯r(shí)代,數(shù)據(jù)庫作為企事業(yè)單位的戰(zhàn)略性資產(chǎn),必須進(jìn)行嚴(yán)格防范,以防被非法獲取;二是《薩班斯法案》、《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理技術(shù)要求》等相關(guān)規(guī)范性法案及要求對(duì)企業(yè)內(nèi)控與審計(jì)進(jìn)行了合規(guī)性要求。更深刻的原因在于,數(shù)據(jù)庫面臨的眾多安全風(fēng)險(xiǎn)亟待解決。

    數(shù)據(jù)庫面臨的安全風(fēng)險(xiǎn)

    一、管理風(fēng)險(xiǎn)

    內(nèi)部員工及第三方維護(hù)人員的權(quán)限分配粗放,導(dǎo)致權(quán)限濫用且無有效手段監(jiān)控操作,致使安全事件發(fā)生時(shí)不能及時(shí)告警且無法追溯并定位真實(shí)的操作者,數(shù)據(jù)流向失控。上文提到堡壘機(jī)雖說也有一定的審計(jì)功能,但無法達(dá)到應(yīng)用級(jí)。

    二、技術(shù)風(fēng)險(xiǎn)

    ORALCE、SQL SERVER等數(shù)據(jù)庫系統(tǒng)是一個(gè)龐大而復(fù)雜的系統(tǒng),加之其承載的高價(jià)值數(shù)據(jù)庫,無數(shù)黑客對(duì)其趨之若鶩,致使其漏洞層出不窮,而補(bǔ)丁往往跟進(jìn)非常延后(有時(shí)打補(bǔ)丁風(fēng)險(xiǎn)不比黑客小),另外基于應(yīng)用層的注入攻擊更是難于防范。

    三、審計(jì)層面

    傳統(tǒng)的依賴于日志審計(jì)的方法,存在諸多弊端,如:數(shù)據(jù)庫審計(jì)功能開啟會(huì)影響數(shù)據(jù)庫本身的運(yùn)行,原本海量的數(shù)據(jù)檢索已讓數(shù)據(jù)庫不堪重負(fù);數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險(xiǎn),難于體現(xiàn)審計(jì)信息公正性和有效性;對(duì)于國內(nèi)應(yīng)用軟件的功能性開發(fā)模式,日志更是流于表面無實(shí)質(zhì)價(jià)值。

    數(shù)據(jù)庫審計(jì)系統(tǒng)的運(yùn)行流程

    數(shù)據(jù)庫審計(jì)系統(tǒng)通過監(jiān)控所有出入數(shù)據(jù)庫的報(bào)文,通過深度的報(bào)文解析和重組技術(shù)將散列的報(bào)文還原成完整數(shù)據(jù)庫語句,如select、delete、alter、grant等,再根據(jù)相應(yīng)的規(guī)則對(duì)其進(jìn)行匹配并根據(jù)相應(yīng)的風(fēng)險(xiǎn)等級(jí)實(shí)時(shí)告警。

    舉個(gè)例子:某用戶A僅限于訪問數(shù)據(jù)庫中的A表權(quán)限,黑客利用數(shù)據(jù)庫的漏洞將用戶A進(jìn)行提權(quán)后,可以去訪問B表,但是數(shù)據(jù)庫本身的權(quán)限機(jī)制已被攻破,因此用戶A訪問B表暢通無阻。如果在數(shù)據(jù)庫審計(jì)系統(tǒng)規(guī)則中限定B表的訪問權(quán)限,通過對(duì)于底層報(bào)文解析重組后分析發(fā)現(xiàn)A用戶在訪問B表,促發(fā)了風(fēng)險(xiǎn)規(guī)則,此時(shí)系統(tǒng)會(huì)產(chǎn)生高風(fēng)險(xiǎn)告警,并通過郵件、短信等方式告知審計(jì)人員實(shí)時(shí)處理,同時(shí)對(duì)事件進(jìn)行記錄存檔用于事后的追溯。

    獨(dú)立、公正的數(shù)據(jù)庫審計(jì)平臺(tái)

    數(shù)據(jù)庫審計(jì)系統(tǒng)為第三方的獨(dú)立審計(jì)平臺(tái),且自身進(jìn)行了分權(quán)處理,因此,對(duì)于審計(jì)的獨(dú)立性與公正性得到了有效的保證。數(shù)據(jù)庫審計(jì)系統(tǒng)通過底層直接抓取報(bào)文解析重組的方式進(jìn)行審計(jì),黑客缺乏有效的手段規(guī)避審計(jì)。

    數(shù)據(jù)庫審計(jì)系統(tǒng)的不足在于其設(shè)計(jì)局限于數(shù)據(jù)庫,對(duì)于網(wǎng)絡(luò)協(xié)議這一塊的審計(jì)還有欠缺。不過現(xiàn)在的數(shù)據(jù)庫審計(jì)系統(tǒng)也開始加強(qiáng)對(duì)協(xié)議方面的審計(jì)能力,昂楷AAS數(shù)據(jù)庫審計(jì)系統(tǒng)目前支持國內(nèi)國外主流數(shù)據(jù)庫進(jìn)行審計(jì)的同時(shí),也支持常用的http、ftp、telnet、smtp、pop3等網(wǎng)絡(luò)協(xié)議的審計(jì),更可喜的是其在hadoop大數(shù)據(jù)架構(gòu)、云計(jì)算、工控等領(lǐng)域也取得成功的商用。

    數(shù)據(jù)庫審計(jì)和堡壘機(jī)都是目前有效實(shí)現(xiàn)信息化內(nèi)控,滿足合規(guī)性的重要有效手段,區(qū)別在于堡壘機(jī)側(cè)重于對(duì)第三方維護(hù)人員行為的規(guī)范與控制,而數(shù)據(jù)庫審計(jì)系統(tǒng)側(cè)重于數(shù)據(jù)庫本身的安全以及對(duì)數(shù)據(jù)庫資源訪問的合規(guī)性控制與審計(jì)。因此,如何進(jìn)行產(chǎn)品選型取決于當(dāng)前所需迫切解決的問題,產(chǎn)品本身并無優(yōu)劣之分,不同側(cè)重點(diǎn)不可被銷售代表的大嘴無所不能的忽悠。

    極客網(wǎng)企業(yè)會(huì)員

    免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

    2017-11-09
    細(xì)說堡壘機(jī)與數(shù)據(jù)庫審計(jì)
    小編就信息安全內(nèi)控與數(shù)據(jù)安全領(lǐng)域的兩款明星產(chǎn)品“堡壘機(jī)”與“數(shù)據(jù)庫審計(jì)系統(tǒng)”進(jìn)行梳理歸納,希望能夠?qū)V大IT運(yùn)維工程師進(jìn)行產(chǎn)品選型提供幫助。 堡壘機(jī) 在了解

    長按掃碼 閱讀全文