數(shù)據(jù)安全稽核是安全管理部門的重要職責,以此保障數(shù)據(jù)安全治理的策略和規(guī)范被有效執(zhí)行和落地�����,以確���?焖侔l(fā)現(xiàn)潛在的風險和行為��。但數(shù)據(jù)稽核在大型企業(yè)或機構(gòu)超大規(guī)模的數(shù)據(jù)流量�、龐大的數(shù)據(jù)管理系統(tǒng)和業(yè)務(wù)系統(tǒng)數(shù)量面前���,也面臨著很大的技術(shù)挑戰(zhàn)�����。
數(shù)據(jù)所面臨的威脅與風險是動態(tài)變化的過程��,入侵環(huán)節(jié)�����、入侵方式��、入侵目標均隨著時間不斷演進���。這也就要求我們的防護體系��、治理思路不能墨守成規(guī),更不能一成不變�����。所以數(shù)據(jù)安全治理的過程中我們始終要具備一項關(guān)鍵能力--完善的審計與稽核能力����。通過審計與稽核的能力來幫助我們掌握威脅與風險的變化,明確我們的防護方向,進而調(diào)整我們的防護體系�,優(yōu)化防御策略,補足防御薄弱點��,使防護體系具備動態(tài)適應(yīng)能力���,真正實現(xiàn)數(shù)據(jù)安全防護�����。
組成����,分別是“行為審計與分析”���、“權(quán)限變化監(jiān)控”�����、“異常行為分析”�。
數(shù)據(jù)的安全審計和稽核機制由三個環(huán)節(jié)
行為審計與分析
在數(shù)據(jù)安全治理的思路下�����,我們建設(shè)數(shù)據(jù)安全防護體系時必須具備審計能力。利用數(shù)據(jù)庫協(xié)議分析技術(shù)將所有訪問和使用數(shù)據(jù)的行為全部記錄下來�����,包括賬號�����、時間��、IP���、會話�����、操作�、對象�、耗時、結(jié)果等等內(nèi)容����。一套完善的審計機制能夠為數(shù)據(jù)安全帶來兩個價值:
1�、事中告警
數(shù)據(jù)的訪問����、使用�����、流轉(zhuǎn)過程中一旦出現(xiàn)可能導(dǎo)致數(shù)據(jù)外泄����、受損的惡意行為時,審計機制可以第一時間發(fā)出威脅告警�,通知管理人員。管理人員在第一時間掌握威脅信息后���,可以針對性的阻止該威脅�,從而降低或避免損失�����。所以��,審計機制必須具備告警能力���,可以通過郵件�����、短信等方式發(fā)出告警通知���。
為實現(xiàn)事中告警能力��,審計系統(tǒng)需要能夠有效識別風險威脅��,需要具備下列技術(shù):
漏洞攻擊檢測技術(shù):針對CVE公布的漏洞庫��,提供漏洞特征檢測技術(shù)��;
SQL注入監(jiān)控技術(shù):提供SQL注入特征庫����;
口令攻擊監(jiān)控:針對指定周期內(nèi)風險客戶端IP和用戶的頻次性登錄失敗行為監(jiān)控��;
高危訪問監(jiān)控技術(shù):在指定時間周期內(nèi)��,根據(jù)不同的訪問來源���,如:客戶單IP���、數(shù)據(jù)庫用戶、MAC地址�����、操作系統(tǒng)�、主機名,以及應(yīng)用關(guān)聯(lián)的用戶�����、IP等元素設(shè)置訪問策略�����;
高危操作控制技術(shù):針對不同訪問來源���,提供對數(shù)據(jù)庫表�����、字段���、函數(shù)、存儲過程等對象的高危操作行為監(jiān)控���,并且根據(jù)關(guān)聯(lián)表個數(shù)�����、執(zhí)行時長���、錯誤代碼���、關(guān)鍵字等元素進行限制;
返回行超標監(jiān)控技術(shù):提供對敏感表的返回行數(shù)監(jiān)控�����;
SQL例外規(guī)則:根據(jù)不同的訪問來源��,結(jié)合指定的非法SQL語句模板添加例外規(guī)則��,以補充風險規(guī)則的不足���,形成完善的審計策略����。
2、事后溯源
數(shù)據(jù)的訪問�����、使用過程出現(xiàn)信息安全事件之后���,可以通過審計機制對該事件進行追蹤溯源,確定事件發(fā)生的源頭(誰做的��?什么時間做的�����?什么地點做的�����?)���,還原事件的發(fā)生過程��,分析事件造成的損失�����。不但能夠?qū)`規(guī)人員實現(xiàn)追責和定責��,還為調(diào)整防御策略提供非常必要的參考���。所以���,審計機制必須具備豐富的檢索能力,可以將全要素作為檢索條件的查詢功能��,方便事后溯源定位��。
一套完善的審計機制是基于敏感數(shù)據(jù)�����、策略�����、數(shù)據(jù)流轉(zhuǎn)基線等多個維度的集合體��,對數(shù)據(jù)的生產(chǎn)流轉(zhuǎn)�����,數(shù)據(jù)操作進行監(jiān)控、審計��、分析����,及時發(fā)現(xiàn)異常數(shù)據(jù)流向、異常數(shù)據(jù)操作行為�,并進行告警,輸出報告��。
權(quán)限變化監(jiān)控
賬號和權(quán)限總是動態(tài)被維護的��,在成千上萬的數(shù)據(jù)賬號和權(quán)限下�����,如何快速了解在已經(jīng)完成的賬號和權(quán)限基線上增加了哪些賬號�,賬號的權(quán)限是否變化了��,這些變化是否遵循了合規(guī)性保證�����。需要通過靜態(tài)的掃描技術(shù)和可視化技術(shù)幫助信息安全管理部門完成這種賬號和權(quán)限的變化稽核�。
權(quán)限變化監(jiān)控是指監(jiān)控所有賬號權(quán)限的變化情況,包括賬號的增加和減少�,權(quán)限的提高和降低����,是數(shù)據(jù)安全稽核的重要一環(huán)��。對權(quán)限變化進行監(jiān)控��,對抵御外部提權(quán)攻擊��,對抵御內(nèi)部人員私自調(diào)整賬號權(quán)限進行違規(guī)操作均是必不可少的關(guān)鍵能力����。
權(quán)限變化監(jiān)控能力的建立分為兩個階段,第一是權(quán)限梳理�����,第二是權(quán)限監(jiān)控����。
1�����、權(quán)限梳理
結(jié)合人工和靜態(tài)掃描技術(shù),對現(xiàn)有賬號情況進行詳細梳理�,梳理結(jié)果形成賬號和權(quán)限基線��,該基線的調(diào)整必須遵循規(guī)章制度的合規(guī)性保障���。通過可視化技術(shù)幫助管理人員直觀掌握環(huán)境中所有賬號及對應(yīng)的權(quán)限情況���。
2�����、權(quán)限監(jiān)控
賬號和權(quán)限基線一旦形成�����,即可通過掃描技術(shù)對所有賬號及權(quán)限進行變化監(jiān)控�。監(jiān)控結(jié)果與基線進行對比�����,一旦出現(xiàn)違規(guī)變化(未遵循規(guī)章制度的私自調(diào)整權(quán)限)會通過可視化技術(shù)和告警技術(shù)確保管理人員第一時間可以得到通知。
異常行為分析
在安全稽核過程中��,除了明顯的數(shù)據(jù)攻擊行為和違規(guī)的數(shù)據(jù)訪問行為外���,很多的數(shù)據(jù)入侵和非法訪問是掩蓋在合理的授權(quán)下的��,這就需要通過一些數(shù)據(jù)分析技術(shù)��,對異常性的行為進行發(fā)現(xiàn)和定義����,這些行為往往從單個的個體來看是合法的����。
對于異常行為,可以通過兩種方式�,一種是通過人工的分析完成異常行為的定義;一種是對日常行為進行動態(tài)的學習和建模����,對于不符合日常建模的行為進行告警。
下表是列舉幾種異常行為的定義:
異常行為分析機制的建立對分析����、尋找“好人中的壞人”非常關(guān)鍵,同時也是防御體系����、防御策略調(diào)整的重要參考內(nèi)容。
產(chǎn)品咨詢:4000 258 365 
