伴隨互聯網、大數據的高速發展,全球信息化建設不斷深入,數據庫安全問題現已成為政府、企事業單位用戶關注的焦點。當前市面單是數據庫審計產品就多達幾十種,可大致分為四種類型:
第一種:由各大網絡安全廠商,在其既有網絡審計產品的基礎之上,經過簡單包裝推出的數據庫審計產品;
第二種:由安華金和等國內細分領域安全廠商,針對數據庫通訊協議特點開發出的,專門的數據庫審計產品;
第三種:Imperva、Guardium等國外數據庫審計產品;
第四種:韓國的DBInsight等國內外第三方OEM的數據庫審計產品。
作為專業的數據庫安全廠商,安華金和梳理、總結了國產數據庫審計產品常見的八類缺陷:
1、長SQL語句漏審
漏審是因為長SQL語句(比如超過2K)被分配到了多個通訊包中,而相關產品對跨通訊包的協議解析并未進行精細化的處理,該錯誤會造成全部或局部漏審,極易被攻擊者利用。
2、多語句無法有效分割
像SQL Server數據庫支持多語句同時發送,但語句間缺乏明確的分割標識;而數據庫審計產品大多基于正則表達式,無法有效分割SQL語句,造成SQL語句的審計解析錯誤——無法正確捕獲SQL語句的類型、操作對象等。
3、復雜語句對象解析錯誤
SQL語句由于要表達各種復雜的檢索條件和統計分析情況,語法非常復雜,數據庫系統需要借助Yacc&Lex這樣的詞法和語法解析工具進行語句解析;而數據庫審計產品大多采用正則匹配技術,若語句中具有子查詢或關聯查詢等情況便無法準確獲取多層對象,尤其當SQL語句中使用別名時,常導致錯誤的數據庫對象記錄。
4、參數值與SQL語句匹配錯誤
為了提升SQL語句處理的效率,大多數應用軟件會利用數據庫編程的語句預編譯(Prepare)和參數綁定(bind)等機制實現高效處理。這種機制本質上是通過句柄追蹤機制完成的,大多數數據庫審計產品能夠處理簡單的預編譯與參數綁定情況;但當預編譯與參數綁定達到幾十條時,調用情況開始變得復雜起來,就可能發生大量參數值與語句的錯誤搭配,從而造成大量錯審。
5、錯誤的應答結果,特別是影響行數解析不正確
數據庫審計的基本需求看得是對于SQL語句操作是否成功,而用戶的實際需求看得是對于數據庫的操作讀取或影響了多少行。但SQL語句操作成功與否的準確記錄,需要依托SQL語句的合理切割、句柄的準確追蹤以及對返回結果集的完全解析,大多數數據庫審計產品在多語句或通過FETCH操作批量獲取等情況下,無法準確獲得查詢執行的正確性以及影響行數。
6、充滿失真率的應用用戶關聯
市場上的數據庫審計產品大多數都宣傳支持三層關聯審計,實現SQL語句與業務用戶的關聯。這種基于三層關聯審計的技術屬于模糊匹配,是通過http協議中的參數與SQL語句中的參數以及時間進行匹配完成的。這種方法在http參數經過加工后,或基于邏輯判斷后再發出SQL語句(即SQL語句的參數與http參數沒有直接的匹配關系)時將完全失效;而在高并發時更是一個災難,準確率往往很難超過80%。
7、未專業化的審計界面
基于網絡審計發展而來的數據庫審計產品,由于其在設計之初就不是專門面向數據庫用戶,因而并未按照數據庫的訪問類別、會話追蹤、對象層次進行界面組織,導致此類產品的界面不專業、不易用。
8、過度冗余的審計信息存儲
很多應用系統會采用動態拼接SQL語句的方式來實現對數據庫的訪問,然而這會造成大量SQL語句的語法形式相同、僅其中的參數值不同,如果數據庫審計產品將這些語句做重復記錄和存儲,便會導致審計效率低下和存儲設備的浪費,對SQL語句的分析和排查效率也會造成嚴重影響。
安華金和數據庫安全審計系統可以有效避免以上八類缺陷,為廣大用戶提供專業、高效、安全、可靠的數據庫安全防護與管控支撐,讓數據使用更安全。
產品咨詢:4000 258 365 
