服务器端审计工具与所谓非侵入性审计工具的比较

 

        www.InnovateDigital.com 整理

     
  1. 服务器端的审计是完成审计数据库服务器活动,每一个协议和任何用户访问的数据库类型的唯一方式,不论无论用户是否基于网络或本地到服务器。服务器端审计是监测访问服务器和数据的每一种类型的后门的唯一的解决方案。
  2. 服务器端部署审计时对任何现有应用程序和系统不会改变和牺牲功能。无论您使用或想要使用任何应用程序或数据库访问方法都不会有任何改变或限制。运行常规的数据库管理工具,数据加载工具,如SQL * Loader, DTS,LOAD TABLE等其他直接运行在服务器上的工具,当使用它们时,阅读下面文章找出多少种不同的方法可用于所有主流的数据库系统来存取数据库中的数据。

 
以网络为基础的审计工具的不足

     
  1. 有很多数据库提供的通信协议。TCP是其中一个。您的供应商可以处理非TCP协议吗?
  2. 数据库通讯可以而且应该加密。当通讯加密,网络工具和黑客无法看到在您的应用程序和数据库服务器之间网络上的成行的数据。
  3. 本地数据库访问使用IPC或共享存储的方法不能被本地系统外部审核 。几乎每一个数据库管理员以及许多特权用户使用这种数据库访问方法!
  4. 不能从外部嗅探或审计数据库内部活动和数据关系,例如,可以通过视图B访问A表,并且视图B被视图C,D和F引用,每个视图都有一些连接和数据过滤(Where或Having子句)。如果用户从不在他们的SQL中引用A表,你怎么才能知道A表被真正访问到了和访问了哪一部分?基于网络的SQL嗅探在这里起不到任何作用。
  5. 脱离网络的SQL嗅探,它解析不带物理数据库连接的网络数据和数据库内部不可靠的的用户会话。只考虑用户的行为,数据库视图的使用,对象的别名和能够预防用户直接访问底层数据的其它数据库对象。
  6. 基于网络的审计工具不能告诉你,用户执行数据库操作时真正使用了什么权限。
  7. 不能关联或者查看每个SQL的真实的影响和数据访问结果。例如,一个黑客发送了一个命令到数据库,这个命令调度了一个在午夜时保存职员数据到一个文件的自动化任务。数据没有被那个命令更新或检索,而且,这次敏感数据的泄露甚至没有发生在同一个用户会话或同一时间。黑客稍后不用再次访问数据库就可以从操作系统取出所创建的文件。基于事务日志的审计工具并不能告诉你这些。

 
基于事件日志的审计工具的不足

     
  1. 在事务日志里只跟踪了用户活动的一个小的子集。公平地说,通常这些日志只记录了少于10%的数据操作。事务日志只包括了数据库更新,但是SELECT,EXECUTET和其它常用于访问数据的命令怎么样呢?
  2. 事务日志通常不会包括未被授权活动的任何信息,这使得无法跟踪任何未被授权的访问和更新。对安全违反和其它相关的事件的审计是任何遵循SOX方案和其它政府法规的系统所必须具备的。
  3. 在数据更新失败的情况下,数据库系统会回滚所有中间的改变,结果,相关的日志数据也全部从事务日志里消失了。
  4. 事务日志的大小会受到限制。许多数据库系统在备份时使用日志旋转或消除,在这种情况下,记录的事务数据就会从事务日志中消失。结果,在回溯历史活动和模拟精确的用户活动时,事务日志变得不可用。