各产品均已实现业务审核。而商业审计主要依靠三层关连审计,即人-应用-数据库三层访问
链接关连,深化定位源访问信息。三级审计的实现思路主要有两类。一个是基于web通信流和
数据库通信流,它们分别从操作语句特征、访问时间戳等方面进行匹配;该方法在高并发性时
精度较低,基本上不能匹配。另外,hook的底层jdbc访问层利用JAVA的特性,基于agent方法
,实现web信息和数据库信息的自动关连。把数据日志传输到统一的数据库审核系统中进行存
储和显示。此实现方式精确度高,基本不漏报,对于业务方也不用做网络改造和业务改造。但
需要在应用系统中加载插件,共享一个进程,就会产生性能损失和稳定性风险。该方法也不为
用户所接受。因此现在虽然说三层关连,但真正能产生价值的并不多。
数据库审计技术的新技术思想。
经过上述分析,我们总结出一些技术要点,使数据库审计在数据安全时代发挥更大的作用。
突出数据审核。
数据库审计下行通信中含有大量敏感信息。在数据分类分级管理的基础上,建立一套成熟而有
效的更新机制,对敏感的数据库表、字段进行重点审计。构建一套依赖于AI能力的数据基准,
从用户账号、获取敏感数据量、执行时间、流量等各维度对异常进行综合判断。实际上,存
储容量是有限的,因此,应该根据分类分级字段列表,选择存储关键表、关键字段。
效的更新机制,对敏感的数据库表、字段进行重点审计。构建一套依赖于AI能力的数据基准,
从用户账号、获取敏感数据量、执行时间、流量等各维度对异常进行综合判断。实际上,存
储容量是有限的,因此,应该根据分类分级字段列表,选择存储关键表、关键字段。
完全接受商业审计。
商业关连有助于提升审计的整体价值,追踪到真实的人。正如前面提到的,两种主流实现方法
各有缺点。假如我们从数据本身出发,不再追求操作行为的一致性,这个问题似乎可以得到很
好的解决。例如:用户通过浏览器发起请求,返回一系列手机号码的列表,同时在后台数据库
中发生查询事件,返回一系列手机号码的列表。虽然两者在内部业务实现逻辑上不一致,但通
过判断两者数据的强相关性,自动将访问信息与数据库操作行为相关联。连续地对两者返回的
数据进行模式匹配,不再基于时间戳和访问特征的匹配,准确性将大大提高,真正做到了业务
关连审计。
各有缺点。假如我们从数据本身出发,不再追求操作行为的一致性,这个问题似乎可以得到很
好的解决。例如:用户通过浏览器发起请求,返回一系列手机号码的列表,同时在后台数据库
中发生查询事件,返回一系列手机号码的列表。虽然两者在内部业务实现逻辑上不一致,但通
过判断两者数据的强相关性,自动将访问信息与数据库操作行为相关联。连续地对两者返回的
数据进行模式匹配,不再基于时间戳和访问特征的匹配,准确性将大大提高,真正做到了业务
关连审计。
