· 网络安全全国
堡垒机的审计过程
堡垒机又名运维安全审计系统,首先他将服务器群的访问限定单一入口,所有用户均不能直接访问服务器,需通过堡垒机中转,这样就有条件对整个流量进行监控,对风险操作进行记录报警,对用户进行集中地细粒度权限管理。再在堡垒机中集成单点登录(SSO)功能,用户只需登录一次就可以访问所有相互信任的应用系统解决单用户多账号问题;再就协议代理,通过截获HTTP、ftp、ssh、rdp、vnc通信协议内容,解析并记录IT运维人员的操作过程。
堡垒机的核心技术协议代理,由于协议对应的SOCKET端口对于服务器来说是唯一的,意味着堡垒机在给IT运维人员授权时,只能允许或禁止使用某服务器的某知名协议。假设授权给甲S服务器的RDP协议,就相当于S服务器上的所有IT资源授权给了甲。授权颗粒度一般是以服务器为单位。再一个对于RDP和VNC操作过程只能进行录屏,对于风险过程无法快速智能识别,只能事后通过记录慢慢甄别,时效性较差。待基于应用代理的堡垒机技术成熟后,应该有很大改进。
数据库审计系统
数据库审计系统在当下信息安全领域绝对算得上明星产品,一是因为信息化时代,数据库作为企事业单位的战略性资产,必须进行严格防范,以防被非法获取;二是《萨班斯法案》、《计算机信息系统安全等级保护数据库管理技术要求》等相关规范性法案及要求对企业内控与审计进行了合规性要求。更深刻的原因在于,数据库面临的众多安全风险亟待解决。
数据库面临的安全风险
内部员工及第三方维护人员的权限分配粗放,导致权限滥用且无有效手段监控操作,致使安全事件发生时不能及时告警且无法追溯并定位真实的操作者,数据流向失控。上文提到堡垒机虽说也有一定的审计功能,但无法达到应用级。
ORALCE、SQL SERVER等数据库系统是一个庞大而复杂的系统,加之其承载的高价值数据库,无数黑客对其趋之若鹜,致使其漏洞层出不穷,而补丁往往跟进非常延后(有时打补丁风险不比黑客小),另外基于应用层的注入攻击更是难于防范。
传统的依赖于日志审计的方法,存在诸多弊端,如:数据库审计功能开启会影响数据库本身的运行,原本海量的数据检索已让数据库不堪重负;数据库日志文件本身存在被篡改的风险,难于体现审计信息公正性和有效性;对于国内应用软件的功能性开发模式,日志更是流于表面无实质价值。
