隨著信息化的發(fā)展,數(shù)據(jù)庫安全問題成為當前政府和企事業(yè)單位用戶關注的焦點����,數(shù)據(jù)庫審計產品已經成為當前信息安全產品的盛寵�����。
當前在市面上存在著幾十種數(shù)據(jù)庫審計產品�,這些產品集中起來大約可分四種類型:
(1)在網絡審計產品的基礎上經過簡單包裝推出數(shù)據(jù)庫審計產品的既有網絡審計產品廠商�����,比如國內幾大安全廠商推出的數(shù)據(jù)庫審計產品�,安全圈都知道,不再例舉��;
(2)針對數(shù)據(jù)庫通訊協(xié)議的特點開發(fā)出專門的數(shù)據(jù)庫審計產品的國內細分領域安全廠商�,比如安華金和、思福迪�����、國都興業(yè)����、帕拉迪等;
(3)國外的數(shù)據(jù)庫審計產品,比如Imperva���、Guardium等��;
(4)OEM第三方的數(shù)據(jù)庫審計產品�,OEM對象可能來自國內����,也可能來自國外�,比如Imperva或韓國的DBInsight。
隨著國產化采購政策的推動�����,處于安全性的考慮����,國外數(shù)據(jù)庫審計產品,不在本文的評論范圍內���。安華金和作為國內專業(yè)的數(shù)據(jù)庫安全廠商����,為廣大用戶提供精準且性能佳的數(shù)據(jù)庫審計產品���,領先國內水平�,總結國內廠商開發(fā)的數(shù)據(jù)庫審計產品常見的八類缺陷。當然這些缺陷并不是每種產品都具備�,讀者若有興趣且條件方便,可以進行有針對性的測試:
1�、長SQL語句漏審
漏審是因為長SQL語句(比如超過2K)被分配到了多個通訊包中,而相關產品對跨通訊包的協(xié)議解析并未進行精細化的處理�,該錯誤會造成全部或局部漏審,極易被攻擊者利用��。
2�����、多語句無法有效分割
SQL Server這樣的數(shù)據(jù)庫支持多語句同時發(fā)送����,語句間缺乏明確的分割標識;由于大多的數(shù)據(jù)庫審計產品是基于正則表達式����,無法有效分割SQL語句,造成SQL語句的審計解析錯誤�����,如無法正確捕獲SQL語句的類型、操作對象等�����。
3���、復雜語句對象解析錯誤
SQL語句由于要表達各種復雜的檢索條件和統(tǒng)計分析情況�����,語法非常復雜,數(shù)據(jù)庫系統(tǒng)需要借助Yacc&Lex這樣的詞法和語法解析工具進行語句解析�。
但大多數(shù)數(shù)據(jù)庫審計產品采用的是正則匹配技術,在語句中具有子查詢�����、關聯(lián)查詢等情況時無法準確獲得多層對象����,特別是在SQL語句中使用別名的時候;這些缺陷往往會造成錯誤的數(shù)據(jù)庫對象記錄����。
4�����、參數(shù)值與SQL語句匹配錯誤
為了提升SQL處理的效率�����,大多數(shù)應用軟件會利用數(shù)據(jù)庫編程的語句預編譯(Prepare)���、參數(shù)綁定(bind)機制,以實現(xiàn)高效處理���。
這種機制本質上是通過句柄追蹤機制完成的����,大多數(shù)的數(shù)據(jù)庫審計產品能夠處理簡單的預編譯與參數(shù)綁定的情況�;但當預編譯與參數(shù)綁定達到幾十條時,調用情況稍微復雜�,就發(fā)生了大量的參數(shù)值與語句的錯誤搭配,從而造成大量錯審��。
5����、錯誤的應答結果��,特別是影響行數(shù)解析不正確
對于SQL操作是否成功�����,是數(shù)據(jù)庫審計的基本需求����;對數(shù)據(jù)庫操作讀取或影響了多少行是用戶的實際需求���。
但SQL操作成功與否的準確記錄�,需要仰仗SQL語句的合理切割和句柄的準確追蹤及對返回結果集的完全解析�����;大多數(shù)數(shù)據(jù)庫審計產品在多語句情況���,或者通過FETCH操作批量獲取等環(huán)節(jié)下,無法準確獲得查詢執(zhí)行的正確性以及影響行數(shù)�。
6、充滿失真率的應用用戶關聯(lián)
市場上的數(shù)據(jù)庫審計產品大多數(shù)都宣傳支持三層關聯(lián)審計��,實現(xiàn)SQL語句與業(yè)務用戶的關聯(lián)。這種基于三層關聯(lián)審計的技術�����,是通過http協(xié)議中的參數(shù)與SQL語句中的參數(shù)的匹配���,以及時間的匹配來完成的���,屬于模糊匹配。
這種方法在http參數(shù)經過加工后或基于邏輯判斷后再發(fā)出SQL語句�����,也即SQL語句的參數(shù)與http參數(shù)沒有直接的匹配關系時將完全失效���;在高并發(fā)時更是一個災難���。
這種方法的準確率往往很難超過80%。
7�、未專業(yè)化的審計界面
這個問題主要是針對基于網絡審計而發(fā)展來的數(shù)據(jù)庫審計產品,這種產品由于在設計之初就不是專門面向數(shù)據(jù)庫用戶的���,因此并未按照數(shù)據(jù)庫的訪問類別�����、會話追蹤����、數(shù)據(jù)庫對象層次進行界面組織,造成這類產品的界面極其不易使用��。
8�、過度冗余的審計信息存儲
很多應用系統(tǒng)會采用動態(tài)拼接SQL語句的方式來實現(xiàn)對數(shù)據(jù)庫的訪問;這會造成大量SQL語句語法形式相同而僅僅是SQL語句中的參數(shù)值不同的語句����。當前的很多審計產品將這些語句進行重復地記錄和存儲,造成了審計效率的低下���,存儲設備的浪費�,并會對SQL語句的分析和排查效率造成致命影響����。
安華金和數(shù)據(jù)庫審計產品(DBAudit)可以有效避免以上8類缺陷��,歡迎測試哦��,后續(xù)篇章,我們將具體針對每類問題進行詳盡介紹�����。
產品咨詢:4000 258 365 
