国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

數(shù)據(jù)庫審計系統(tǒng)是客戶信息保護的利器

2014-08-08 15:45:37王彥文
無線互聯(lián)科技 2014年6期
關(guān)鍵詞:日志解析定義

王彥文

摘要:隨著客戶信息保護的國家法律出臺,電信運營商均致力于對客戶信息泄露的防范,但對于如何實時掌握敏感信息的操作行為,及時發(fā)現(xiàn)違規(guī)風(fēng)險則是客戶信息保護的重點和難點。本文通過分析,對如何解決繞行訪問,竊取客戶信息的問題進行了說明,并通過對技術(shù)手段的分析,研究如何使用網(wǎng)絡(luò)流量抓包方式,更好的保護客戶信息安全。

關(guān)鍵詞:數(shù)據(jù)庫審計;客戶信息保護;安全監(jiān)控中國移動歷來重視客戶信息保護工作,從2009年開始發(fā)布規(guī)范,建設(shè)4A系統(tǒng),對系統(tǒng)操作進行控制和記錄。經(jīng)過4年4A管理平臺的建設(shè),實現(xiàn)了帳號、認證、授權(quán)和審計的統(tǒng)一管理。應(yīng)用、系統(tǒng)管理人員已經(jīng)能夠通過4A管理平臺對支撐系統(tǒng)的用戶和各種資源進行集中管理、集中權(quán)限分配、統(tǒng)一認證和集中審計,從技術(shù)上保證了安全策略的實施,提升了業(yè)務(wù)支撐網(wǎng)的整體安全水平。

1系統(tǒng)建設(shè)背景

核心數(shù)據(jù)庫在審計方面還存在一些問題和風(fēng)險:

1.1 終端采用未知協(xié)議和端口或使用未知客戶端直接訪問數(shù)據(jù)庫

如果終端使用了未知協(xié)議和端口或使用未知客戶端對數(shù)據(jù)庫進行訪問,將無法在技術(shù)上強制要求通過4A系統(tǒng)和堡壘機操作,也就無法記錄操作日志,對這類操作無法進行審計及危險操作的實時告警和阻斷。

1.2 利用應(yīng)用系統(tǒng)的未知漏洞直接訪問數(shù)據(jù)庫無法記錄完整操作日志

個別應(yīng)用系統(tǒng)在上線后可能存在未知的風(fēng)險漏洞,破壞分子可能利用這些漏洞直接訪問和使用數(shù)據(jù)庫,但應(yīng)用系統(tǒng)操作日志均通過對界面點擊按鈕的解析完成記錄,通過漏洞對數(shù)據(jù)庫操作將無法記錄操作日志。

1.3 外圍系統(tǒng)直接對數(shù)據(jù)庫的訪問

圍了業(yè)務(wù)發(fā)展,部分外圍系統(tǒng)需要通過接口使用中國移動的客戶信息和消費數(shù)據(jù),但外圍系統(tǒng)對數(shù)據(jù)的操作無法記錄和審計。

1.4 個別應(yīng)用系統(tǒng)未作審計或?qū)徲嫻δ懿煌晟?/p>

個別老舊系統(tǒng)由于日志記錄對系統(tǒng)性能重大影響的原因,或在建設(shè)時未考慮日志記錄的安全設(shè)計,導(dǎo)致操作日志記。

2客戶信息保護的目標(biāo)

為了防范用戶通過合法或者非法的方式登錄數(shù)據(jù)庫主機之后,在本地執(zhí)行違規(guī)的數(shù)據(jù)庫操作,增強客戶信息保護能力,實現(xiàn)監(jiān)控的規(guī)范化,審計分析的可靠化。提出建設(shè)目標(biāo):

2.1 防護不再有遺漏

能夠?qū)?shù)據(jù)庫訪問的行為進行全面監(jiān)控,對使用原手段未進行記錄的敏感操作進行日志記錄。

2.2 安全分析及時高效

能監(jiān)控數(shù)據(jù)庫里面的各類訪問和操作,用戶在數(shù)據(jù)庫中做什么操作,對于數(shù)據(jù)庫可用性和數(shù)據(jù)安全產(chǎn)生何種風(fēng)險。

2.3 違規(guī)操作及時阻斷

對于數(shù)據(jù)庫的違規(guī)訪問、操作和導(dǎo)出(下載)行為進行控制,阻止偽用戶的登錄,防止用戶惡意的破壞和導(dǎo)出(下載),防止用戶誤操作。

2.4 定位準(zhǔn)確,解決思路明確

發(fā)生了數(shù)據(jù)安全和泄漏問題后,能夠協(xié)助定位原因和用戶,及時制定解決方案。

3客戶信息保護原則

為了完善客戶信息保護能力的需要,確定數(shù)據(jù)庫操作的事前事中事后原則。

3.1 事前規(guī)范

具備業(yè)務(wù)行為發(fā)生前的行為規(guī)范策略制定功能。

能夠?qū)I(yè)務(wù)行為中各步驟的動作作出定義,能夠?qū)I(yè)務(wù)行為中步驟、分枝和流向作出定義。從而形成完整的規(guī)范的業(yè)務(wù)行為策略。

針對標(biāo)準(zhǔn)的業(yè)務(wù)行為提供“開箱即用”的動作規(guī)范處理,針對非標(biāo)準(zhǔn)的業(yè)務(wù)行為在提供最佳實踐定義,針對特殊業(yè)務(wù)行為允許用戶自定義規(guī)范。通過這些規(guī)范定義,能夠為業(yè)務(wù)的正常執(zhí)行提供防護。

3.2 事中記錄、阻斷

具備對各業(yè)務(wù)行為的操作主體、操作動作以及操作客體進行記錄的功能。

能夠?qū)崟r對業(yè)務(wù)行為進行合法性判定并在發(fā)現(xiàn)有不符合行為規(guī)范策略的動作發(fā)生時,阻斷行為動作,并發(fā)出告警。

針對惡意用戶對數(shù)據(jù)庫的違規(guī)操作,能夠采用強制手段直接斷開會話,并產(chǎn)生完整的審計記錄。

3.3 事后回顧

具備對業(yè)務(wù)行為進行統(tǒng)計、分析并以報表形式展現(xiàn)的功能。發(fā)生了數(shù)據(jù)安全和泄漏問題后,能夠協(xié)助定位原因和用戶,及時制定解決方案。

4實施方法

通過技術(shù)手段建設(shè),實現(xiàn)客戶信息保護的目的。

4.1業(yè)務(wù)行為定義

定義規(guī)范的業(yè)務(wù)行為,其中包括業(yè)務(wù)行為動作定義、業(yè)務(wù)行為分枝定義、業(yè)務(wù)行為合法流向定義和業(yè)務(wù)行為操作客體定義。

4.2業(yè)務(wù)行為授權(quán)

將規(guī)范的業(yè)務(wù)行為授權(quán)給合法的主體,例如,授權(quán)給某些應(yīng)用系統(tǒng)用戶名或數(shù)據(jù)庫帳戶。該類主體除可以采用用戶名和/或帳戶外,還可以采用其它屬性(例如IP地址/MAC地址/IP地址段等參數(shù))作為識別條件。

4.3 業(yè)務(wù)行為采集

對主體正在進行中的業(yè)務(wù)行為實現(xiàn)采集,采集的數(shù)據(jù)有行為主體、操作動作、操作客體。

包括:源IP,源MAC,源端口,目標(biāo)IP,目標(biāo)MAC,目標(biāo)端口,用戶賬號,用戶名,連接數(shù)據(jù)庫名,數(shù)據(jù)庫對象,操作表名,操作時間,操作SQL語句及詳細內(nèi)容(存儲過程需要解析開)。考慮不同的SQL語句種類。

4.4 違規(guī)行為阻斷

對試圖進行不符合業(yè)務(wù)行為定義的操作動作實現(xiàn)阻斷,提示操作者操作不合法。

4.5 違規(guī)行為告警

對試圖進行不符合業(yè)務(wù)行為定義的操作動作實現(xiàn)阻斷的同時,不僅提示操作者操作不合法,且發(fā)出違規(guī)行為告警。告警可以以郵件報表等方式發(fā)送。

4.6 多維度分析、多角度展示

業(yè)務(wù)行為統(tǒng)計、分析及報表展現(xiàn)對業(yè)務(wù)行為實現(xiàn)按業(yè)務(wù)執(zhí)行主體、執(zhí)行類型等維度進行行為的多層次分析,并能以餅圖、直方圖、趨勢圖等圖標(biāo)形式展現(xiàn)分析。提供模板化的展示形式(如發(fā)生在特定IP或IP段的行為記錄、特定執(zhí)行主體的業(yè)務(wù)行為記錄等)

5技術(shù)實現(xiàn)

審計系統(tǒng)主要依靠網(wǎng)絡(luò)旁路偵聽的手段,對引自應(yīng)用層和數(shù)據(jù)庫層的網(wǎng)絡(luò)流量進行解包分析,抓取原始的數(shù)據(jù)庫操作行為,并根據(jù)預(yù)定義或數(shù)據(jù)庫安全評估(靜態(tài)審計)產(chǎn)生的安全策略和審計規(guī)則,進行各種類型的告警或阻斷,同時通過安全事件回放和審計報表提供針對身份(Who)、時間(When)、地點(Where)、內(nèi)容(What)等關(guān)鍵要素的審計。其系統(tǒng)功能示意如下圖:

5.1 采集解析

采集解析模塊是數(shù)據(jù)庫審計系統(tǒng)的數(shù)據(jù)來源,主要包括流量采集和協(xié)議解析兩個子模塊。

5.1.1 流量采集

流量采集子模塊主要完成數(shù)據(jù)流量的采集功能,根據(jù)網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)庫接入方式不同,有多種流量采集方式,包括旁路鏡像模式、分流器模式和TAP模式(分流器和TAP是一種專用的流量采集工具,可以串聯(lián)在網(wǎng)絡(luò)中,實現(xiàn)流量的復(fù)制)。

5.1.2 協(xié)議解析

協(xié)議解析子模塊主要是完成數(shù)據(jù)庫流量的協(xié)議還原,識別包括Oracle、SQL Server、DB2、Informix、MYSQL等主流數(shù)據(jù)庫的所有行為動作,實時記錄各類數(shù)據(jù)庫DDL/DML操作,還原存儲過程、綁定變量的實際內(nèi)容,還原數(shù)據(jù)庫響應(yīng)內(nèi)容和數(shù)據(jù)庫批量導(dǎo)入導(dǎo)出操作,并將不同數(shù)據(jù)庫的行為記錄以一種統(tǒng)一的、標(biāo)準(zhǔn)的、易懂的格式進行保存。解析的內(nèi)容要包括數(shù)據(jù)庫的原始SQL語句、SQL語句的執(zhí)行結(jié)果、執(zhí)行時間、返回內(nèi)容、客戶端工具、操作系統(tǒng)用戶名、源IP地址、數(shù)據(jù)庫用戶名、實例名等詳細的信息。

協(xié)議分析子模塊還用來進行應(yīng)用層流量的協(xié)議還原(http協(xié)議),并將應(yīng)用層行為統(tǒng)一記錄保存。解析的內(nèi)容包括Web用戶名、用戶源IP、發(fā)起數(shù)據(jù)庫操作的URL、http請求類型、請求時間、向數(shù)據(jù)庫服務(wù)器傳遞的請求參數(shù)、返回結(jié)果等詳細的信息。

5.2 審計分析

審計分析模塊是數(shù)據(jù)庫審計系統(tǒng)的核心模塊,主要包括事前安全評估、事中實施監(jiān)控、事中雙向?qū)徲?、事中Web業(yè)務(wù)審計、事中三層審計、事中告警方式豐富、事后回放追溯、高效行為檢測、細粒度審計規(guī)則等子模塊。

5.3 報表展現(xiàn)

報表展示模塊是數(shù)據(jù)庫審計系統(tǒng)分析結(jié)果的展示模塊,主要包括綜合視圖、審計報表、模型分析共三個子模塊。

5.4 網(wǎng)絡(luò)部署思路

數(shù)據(jù)庫審計設(shè)備采用選取兩個節(jié)點,分布式部署采集機,統(tǒng)一建設(shè)服務(wù)器。網(wǎng)絡(luò)部署圖如下所示:

6主要技術(shù)和管理創(chuàng)新點

⑴對客戶信息保護保護工作提出了新的解決思路,通過數(shù)據(jù)庫操作分析告警機制,及時發(fā)現(xiàn)泄露風(fēng)險加以處理。

⑵通過網(wǎng)絡(luò)流量鏡像和數(shù)據(jù)包解析整合手段,解決了操作日志難以記錄和難以定位操作人員的問題。

⑶通過定期操作分析和通報考核,強化了人員安全風(fēng)險意識,很大程度上避免了主動泄露客戶信息的風(fēng)險。

[參考文獻]

[1]陳煒.基于網(wǎng)絡(luò)的數(shù)據(jù)庫審計和風(fēng)險控制研究.

[2]李晶媛.網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)審計跟蹤研究.

猜你喜歡
日志解析定義
一名老黨員的工作日志
華人時刊(2021年13期)2021-11-27 09:19:02
三角函數(shù)解析式中ω的幾種求法
扶貧日志
心聲歌刊(2020年4期)2020-09-07 06:37:14
睡夢解析儀
游學(xué)日志
電競初解析
商周刊(2017年12期)2017-06-22 12:02:01
相機解析
成功的定義
山東青年(2016年1期)2016-02-28 14:25:25
一種基于粗集和SVM的Web日志挖掘模型
修辭學(xué)的重大定義
团风县| 元谋县| 酒泉市| 石林| 双柏县| 平湖市| 华阴市| 永年县| 通城县| 稻城县| 图木舒克市| 衡南县| 钟山县| 阿坝县| 观塘区| 林周县| 南木林县| 清水县| 彭阳县| 镇康县| 望城县| 巴彦县| 新宾| 菏泽市| 南汇区| 达州市| 北票市| 乐至县| 普兰店市| 乐都县| 浙江省| 夏邑县| 库车县| 高淳县| 苍梧县| 富蕴县| 克拉玛依市| 南汇区| 临澧县| 无锡市| 洛南县|