目前位置: 新聞總覽 -> 技術開講 -> 資訊安全必要措施 --資料庫安全與稽核--

2012年10月07日

資訊安全必要措施 --資料庫安全與稽核--

DAM的重要性     

2007年爆發美國零售業龍頭TJX信用卡資料外洩事件，駭客在該公司的系統中至少潛伏了一年多，盜取超過四千五百萬筆信用卡資料。我們可以相信TJX的倉庫一定有門禁系統記錄著每日進出的人與事由，然而他們卻沒有掌握了解在自己機敏資料庫進出的人與原因。這如同有個小偷偷走了你金庫的鑰匙後，開始陸續搬走你的貨物長達一年的時間而沒被發現，因為你進出貨品是沒有監督與記錄的。

2008年新年前夕，台灣知名電信業者遭到委外服務廠商的員工惡意破壞易付卡門號資料庫，發生嚴重的當機事件，系統停擺約五個小時，近三百萬用戶受到影響，警方調查9個月後才破案。這就好像你的金庫被離職員工用原來的鑰匙入侵，不為錢財只以破壞為目的，讓你的客戶沒辦法從金庫拿出東西也無法放進去。事情的根本原因是弄不清楚到底有多少人有金庫的鑰匙。

何謂DAM

資料庫活動監視 (Database activity Monitoring, DAM) 即是在此需求下所研發出的產品，另一個常見的名稱為「資料庫稽核工具」。簡言之，DAM是專門為資料庫設置、能解決內部威脅問題並遵循法規的解決方案。根據資安訓練與認證公司SANS Institute於2008年所公佈的一份報告”Understanding and Selecting a Database Activity Monitoring Solution”中的定義，資料庫活動監控係「即時地擷取包含資料庫   管理人員在內，所有資料庫語法(SQL)活動，並且支援多種資料庫平台，可以針對違反政策的行為發出警示」。

DAM的五大基本功能

以往的某些工具可以監控不同程度的資料庫活動，在實務的需求上所謂的DAM必須提供以下五種功能：
1.獨立於資料庫外監控與稽核包含資料庫管理人員在內的所有資料庫行為，包括帳戶設立與授權、資料庫/資料表的定義、控制、新增、修改、刪除等行為 (i.e. Account, DDL, DCL, and DML) 。
2.能在資料庫外部安全地存放資料庫存取活動稽核紀錄。
3.可以整合多個關聯式資料庫系統的稽核紀錄，並對應多種資料庫將存取紀錄的”人事時地物”與SQL語法標準化。
4. 可實現資料庫管理人員的權責分離 (separation of duties)，稽核程序必須涵蓋對資料庫管理人員的行為及資料庫所有的活動，並且有效防止資料庫管理人員更動稽核紀錄的機制。
5.可針對違反稽核政策或行為模式的資料庫存取發出及時警示，該工具不僅可以完整記錄資料庫活動，而且是即時性的監控，並且有可設定規則的警示機制。
簡而言之，DAM產品能完全監控資料庫所有活動行為，包含對於管理者的監察，資料資產的保護，它能檢查控制是否合宜，可以稽核資料庫存取以及偵測惡意攻擊。然而，資料庫內建工具並不符合DAM的產品定義，因為違反權責分離與稽核獨立性，並且對資料庫運作效能有頗大的影響。
目前常見的DAM產品有分為「網路型」與「本機型代理程式」，優缺點各不相同。網路型DAM對資料庫系統完全無影響，可以經由所有網路封包的監控來稽核資料庫存取活動，但是無法稽核本機登入行為。而本機型代理程式雖然可以稽核本機登入行為，卻必須借用資料庫伺服器的硬體資源來運行，並且會在屬於資料庫存取的網段中產生大量的稽核資料傳輸，尚未安裝代理程式的資料庫伺服器也無從貫徹稽核政策。有越來越多的國際專家都開始提出「混合型DAM」的概念，讓網路型DAM監控所有網路來源的資料庫存取活動，搭配代理程式監控本機的資料庫存取活動，才是最完善的解決方案。

高效能的DAM佈署架構

標籤 : Chalet, DAM, phitech, 懇懋科技