数据库审计如何选择?

2021-07-08

各政企单位随着安全防御建设由防外为主逐渐转向以防内为主,内外兼顾,对于安全审计的需求会越来越多。再有随着国家、社会对信息保护的愈加重视,各行业对审计要求愈加严格,可以看出未来几年对数据库审计产品的需求会越来越多。那么政企单位如何选择一款好的数据库审计产品呢?


首先,我们要看清未来数据库审计在技术层面的发展趋势,选择一款具有领先技术理念的产品。(1)由于大企业、金融和电信客户需求走强,审计的范围和规模越来越大,对审计产品的处理性能提出了更好的要求。因此,未来高性能审计技术是发展的必然,例如高性能的日志采集技术、海量日志存储技术、借助硬件加速的高性能网络协议分析功能。(2)未来的审计产品会有两种发展发向,单一审计产品会更加精细化,并满足特定行业用户的特定需求;综合审计产品将能够同时审计多种对象、多种协议。(3)从审计的实效性上,当前的安全审计产品偏重于事中、事后审计,未来将会出现针对事前的产品,例如配置基线审核、系统策略稽核等。(4)安全审计与一体化安全集中管理产品的融合。对于较大规模的客户而言,未来大型客户的安全审计系统将逐步与企业的一体化安全集中管理系统融合,成为管理系统的一个组成部门。选择未来的数据库审计产品,安华金和数据安全专家建议优选数据库访问协议解析准、大规模日志采集和海量存储技术强、有行业用户特定功能、有大数据传输支持的kafka功能,同时具备数据安全管控运营平台进行多台数据库审计产品配置和管理的厂商。


再有,选择什么样的数据库审计,要透过产品功能看合规本质,数据库审计产品在国内标准合规性方面是很关键的能力,2019年12月1日等保2.0正式实施,GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》中对数据库安全审计做出的要求是政客户选择的关键视角。(1)审计范围应覆盖到服务器的每个数据库用户;(2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全相关事件;(3)审计记录应包括事件的日期、时间、类型、主体标识(账号)、客体标识(数据库表级、数据库字段级)和结果等;(4)应能够根据记录数据进行分析,并生成审计报表;(5)应保护审计进程,避免未受到未预期的中断;(6)应保护审计记录,避免受到未预期的删除、修改或覆盖等;选择合规的数据库审计产品,安华金和数据安全专家建议优选在合规性遵从方面产品细节做得更好的厂商,比如:应对第(5)条,产品里实现了一个功能,当数据库审计产品出现断网的时候,立即发出告警记录,这样事后可以查到何时出现了断网以便进行追责定责。应对第(6)条,数据库审计产品可以设计更好的存储管理方式,在线记录库存储近期审计下来的数据库操作语句,超过一段时间的语句存储到历史分析库,长期日志采用文件压缩存储,更久的压缩文件可以备份到FTP服务器上等等。


最后,越来越多的中国企业走向国际,选择什么样的数据库审计,要从国际法律法规遵从的视角来选择。国际信息系统审计与控制协会ISACA制定和颁布了信息及其相关技术控制目标(Control Objectives for Information and related Technology,COBIT),在SOX法案中,依据COBIT建立企业信息技术内部控制,其中对数据库安全审计做出了明确的要求:(1)对企业内部敏感数据的存取行为审计;(2)对数据的DML操作行为审计;(3)对数据表的DDL操作行为审计;(4)出现的账号登录失败、SQL访问关键错误等异常情况审计;(5)对账号和角色的操作行为,例如Grant、Revoke等命令的审计。选择国际化的数据库审计产品,安华金和数据安全专家建议,首先要对数据进行分级分类,发现和梳理企业内部敏感数据,然后针对敏感数据的存储行为进行审计。比如:之前我们做过的全国保险公司排名前十的客户,提出保险客户的个人隐私信息在所有保险相关系统(车险、财险、寿险等)中都是敏感数据,要配置审计策略,对这些数据的存取行为要进行审计,那就意味着要对审计的400-500个数据库配置这个安全策略,这里数据安全运营管控平台就能发挥重要作用,先通过数据资产梳理系统做好敏感数据发现,然后在这些审计数据库统一配置有针对性的安全策略。

总之,选择什么样的数据库审计产品,需要从未来技术发展趋势、产品合规遵从细节设计和国际法律法规遵从能力三个方面进行选择,只有这样,政企客户才能采购到更高性价比的数据库审计产品。


本网站由阿里云提供云计算及安全服务