随着“云”时代的到来,人们的部分数据开始逐渐存放到“云”中,即把数据存放到了“云”服务的数据库中,“云”用户一般会通过客户端或代理去获取存放在“云”中的数据,如提供“云”服务的Web界面、QQ、迅雷等;“云”提供给用户很大的便利,但复杂的网络给了黑客可利用的入侵接口。 当用户通过Web界面去读取“云”服务中的数据时,Web服务器需要调用数据库中的数据,产生的HTTP事件与数据库事件被网络中部署的审计产品审计到,而普通的安全审计产品审计到的是Web服务器去调用数据库产生数据库事件,无法审计到隐藏在Web服务器背后的真正访问者,这样就存在了一个不安全的因素,对审计产品来说也是一个审计难题。 基于以上难题,国内领先的安全厂商“天融信”推出的TA-NET/DB安全审计产品3.1.002版本中提供了业务关联功能,通过把原始访问者、Web服务器、数据库服务器三者之间的行为关联起来,达到能审计出数据库事件的真实源用户、并能直接追溯到引起数据库事件的原始事件的效果。 在并配置了业务关联功能后,TA-NET/DB审计产品会根据业务关联配置过滤出需要处理的数据,从而进行事件关联。 当访问者登录应用服务器成功后,对Web服务器进行操作、Web服务器去调用数据库中的数据时产生数据库事件和HTTP事件,TA-NET/DB审计产品根据业务关联配置确定这两个事件是否存在关联,如果存在关联则把访问者登录信息、原始HTTP事件ID关联到数据库事件中并进行发布,这样网络审计员就可看出数据库事件的原始访问者信息。 目前天融信TA-NET/DB安全审计产品3.1.002版本中提供的业务关联功能关联成功率已能达到95%以上,属于较高水准。 为了达到更加精确的关联效果,TA-NET/DB审计产品还提供了业务关联自学习功能和严格匹配功能,业务关联在此基础上的关联精确度达到了95%以上,有效解决了关联精确度的问题。在自学习功能中,业务关联基于历史事件挖掘出哪些HTTP事件会引起数据库事件,从而建立关联规则,网络审计员确认并启用学习到的关联规则之后,TA-NET/DB审计产品会根据自学习规则进行关联处理。 在基于业务关联的数据库审计结果中,网络审计员可直观的看到访问数据库的原始访问者信息,如发现异常可直接追溯到原始应用事件、找出者的手段、发现系统漏洞从而进行弥补;并可根据业务关联结果添加潜在危害分析报警规则,若特定时间内某用户产生过多的数据库事件时则进行报警,以此审计潜在的数据库。 天融信TA-NET/DB审计产品业务关联功能在性能、精确度方面已能满足用户的使用,但在大数据时代即将到来之际,还需要在处理速度、关联精确度、兼容不同客户方面继续提高,以提供给客户更加稳定、精确的业务关联功能,真正完善客户的安全审计。
|