如果說數(shù)據(jù)庫安全審計(jì)已成為數(shù)據(jù)庫安全領(lǐng)域應(yīng)用十分廣泛���,用戶接受度很高的產(chǎn)品�,應(yīng)該沒有人會(huì)否認(rèn)。目前�,市場上的數(shù)據(jù)庫審計(jì)產(chǎn)品多以旁路鏡像部署方式為主,但也有廠商采用植入式部署的方式�����,雖然兩者都可以對數(shù)據(jù)庫訪問行為進(jìn)行審計(jì)�����,但在審計(jì)效果和用戶體驗(yàn)上卻存在顯著差異��。安華金和建議廣大用戶:在產(chǎn)品選型時(shí),應(yīng)更加關(guān)注產(chǎn)品的核心技術(shù)路線���,選擇更適合的產(chǎn)品����。
安華金和在下文將通過對數(shù)據(jù)庫審計(jì)市場上兩類技術(shù)路線的對比分析����,分從審計(jì)結(jié)果全面性、審計(jì)結(jié)果準(zhǔn)確性����、檢索及入庫速度����、對存儲(chǔ)空間占用、產(chǎn)品的易用性五個(gè)衡量維度����,呈現(xiàn)產(chǎn)品的功能和價(jià)值,為廣大用戶提供產(chǎn)品選型的參考依據(jù):
【三個(gè)方式上的不同】
【五個(gè)維度上的差異】
維度一:審計(jì)結(jié)果全面性
1.旁路式:通過鏡像流量或探針的方式進(jìn)行全流量采集�,基于全量數(shù)據(jù)庫流量進(jìn)行語句和會(huì)話分析,再通過對sql語句的協(xié)議解析�����,能夠?qū)徲?jì)到客戶端信息,返回結(jié)果集��。這種采集方式首先對數(shù)據(jù)庫類型不挑剔����,均可支持,并且能夠?qū)徲?jì)到普通用戶和超級用戶的訪問行為���。
2.植入式:屬于注冊代理程序的“侵入式”審計(jì)�����,利用數(shù)據(jù)庫的自審計(jì)插件(如Oracle的FGAC插件)��,讀取數(shù)據(jù)庫自審計(jì)日志���,依賴的是數(shù)據(jù)庫自身審計(jì)能力。如果數(shù)據(jù)庫自身不具備審計(jì)能力����,那么這類數(shù)據(jù)庫審計(jì)產(chǎn)品就無法支持對此類型數(shù)據(jù)庫的審計(jì);而且數(shù)據(jù)庫自身審計(jì)功能一般只提供增����、刪���、改、查語句和部分?jǐn)?shù)據(jù)定義語句�����,無法提供全操作類型的審計(jì)����,也無法完整審計(jì)結(jié)果集。
維度二:審計(jì)結(jié)果準(zhǔn)確性
1.旁路式:由于是基于全流量的審計(jì)���,如果能配合sql語句的協(xié)議解析和特征捕獲等技術(shù)�����,可以準(zhǔn)確關(guān)聯(lián)語句和會(huì)話,進(jìn)行精確的審計(jì)結(jié)果查詢分析能力�;準(zhǔn)確關(guān)聯(lián)應(yīng)用用戶與SQL語句,實(shí)現(xiàn)對業(yè)務(wù)行為的審計(jì)�����。在此基礎(chǔ)上形成的規(guī)則庫,能夠更準(zhǔn)確的識別風(fēng)險(xiǎn)訪問及漏洞攻擊行為�。
2.植入式:由于是基于正則表達(dá)式完成SQL語句規(guī)則,無法基于通訊協(xié)議解析命中語句規(guī)則����,在實(shí)際工作中,會(huì)導(dǎo)致語句和會(huì)話無法關(guān)聯(lián)����,不能按照會(huì)話進(jìn)行語句梳理匯總,那么會(huì)缺乏連貫分析能力�����;并且�����,由于不是基于流量和協(xié)議的SQL語句解析�����,對于目前用戶普遍要求的應(yīng)用關(guān)聯(lián)審計(jì)����,也無法實(shí)現(xiàn)���。
維度三:檢索及入庫速度
1.旁路式:旁路鏡像流量的方式對應(yīng)用到數(shù)據(jù)庫的訪問完全透明,不會(huì)產(chǎn)生影響�����,這也是安華金和以及目前市面上大多數(shù)審計(jì)廠商選擇旁路鏡像方式�,配合精確SQL解析技術(shù)來實(shí)現(xiàn)審計(jì)高可用性的主要原因之一。
2.植入式:由于原始審計(jì)信息是記錄在數(shù)據(jù)庫中的��,需要定期獲取到審計(jì)設(shè)備上����,這其中可能產(chǎn)生較大的延遲。另一方面����,開啟數(shù)據(jù)庫自審計(jì)功能本身會(huì)占用大量內(nèi)存,如果遇到高壓力并發(fā)的情況�,會(huì)拖慢數(shù)據(jù)處理能力,連累正常業(yè)務(wù)訪問�。
維度四:對存儲(chǔ)空間占用
1.旁路式:由于是鏡像方式獲取流量�,對于審計(jì)產(chǎn)品本身的存儲(chǔ)優(yōu)化能力有一定要求,但不會(huì)影響數(shù)據(jù)庫服務(wù)器本身的存儲(chǔ)空間,需要考量對比的是產(chǎn)品本身能否提供歸一化技術(shù)和壓縮存儲(chǔ)技術(shù)�����,以節(jié)約存儲(chǔ)空間�。
2.植入式:由于需要開啟自審計(jì)功能,需要占用大量數(shù)據(jù)庫本身的存儲(chǔ)空間�����,如果同時(shí)缺乏SQL歸一技術(shù)�����,那么在大數(shù)據(jù)處理情況下�����,數(shù)據(jù)庫本身的硬盤空間就會(huì)非常緊張�����。
維度五:產(chǎn)品的易用性
1.旁路式:由于是基于數(shù)據(jù)庫流量的語句語法解析�����,可以自動(dòng)識別并添加審計(jì)數(shù)據(jù)庫;更專業(yè)的產(chǎn)品應(yīng)能夠基于解析結(jié)果����,從風(fēng)險(xiǎn)、語句����、會(huì)話三個(gè)維度進(jìn)行深度解析,維度之間相互關(guān)聯(lián)����、多重鉆取分析,這樣用戶可以對數(shù)據(jù)庫的整體安全狀態(tài)有更直觀的判斷�����。
2.植入式:數(shù)據(jù)庫審計(jì)產(chǎn)品在注冊實(shí)例的時(shí)候���,需要手工輸入IP端口數(shù)據(jù)庫實(shí)例��,還需要sys用戶及口令���,向數(shù)據(jù)庫中注冊用戶及程序。另一方面��,如果是基于正則式的規(guī)則配置,需要數(shù)據(jù)庫管理人員具備一定的技術(shù)能力�����,深度參與規(guī)則和策略的配置定義����。
安華金和在開展審計(jì)產(chǎn)品研發(fā)之初��,便已排除了類似植入式的技術(shù)路線���,并將在數(shù)據(jù)庫防火墻產(chǎn)品研發(fā)中積累的SQL語句解析能力和細(xì)粒度規(guī)則管控能力等優(yōu)勢融入審計(jì)產(chǎn)品之中����,通過與用戶的交互不斷提升產(chǎn)品的性能和易用性���,致力為用戶提供“免實(shí)施����、免維護(hù)�、免培訓(xùn)”的成熟產(chǎn)品。
目前����,數(shù)據(jù)庫安全審計(jì)系統(tǒng)已成為安華金和演進(jìn)程度最高的產(chǎn)品����,并將來自客戶的直接需求納入產(chǎn)品功能的演進(jìn)之中�����,不斷豐富數(shù)據(jù)庫審計(jì)產(chǎn)品的特性�����,為這類成熟產(chǎn)品注入新的活力�,持續(xù)提升產(chǎn)品對客戶的使用價(jià)值。
產(chǎn)品咨詢:4000 258 365 
