一般而言，數(shù)據(jù)庫(kù)安全技術(shù)，除了數(shù)據(jù)庫(kù)產(chǎn)品本身自帶的安全功能，就是從外部做保護(hù)和監(jiān)控。后者無(wú)外乎漏洞管理、防火墻、審計(jì)、加密和脫敏等幾種技術(shù)產(chǎn)品。

數(shù)據(jù)庫(kù)自帶的安全功能，其問(wèn)題在于性能非常差，訪(fǎng)問(wèn)量稍微一大數(shù)據(jù)庫(kù)的響應(yīng)就會(huì)很慢，因此并不實(shí)用。典型的如Oracle自身的審計(jì)功能。

數(shù)據(jù)庫(kù)防火墻的最大問(wèn)題在于內(nèi)部威脅

在外部保護(hù)技術(shù)中，數(shù)據(jù)庫(kù)防火墻主要是由基于網(wǎng)絡(luò)的設(shè)備，基于策略規(guī)則分析網(wǎng)絡(luò)流量中的SQL語(yǔ)句，發(fā)現(xiàn)非法訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)和攻擊時(shí)，產(chǎn)生警報(bào)。

這種監(jiān)控?cái)?shù)據(jù)庫(kù)的方式，其問(wèn)題在于，具有本地訪(fǎng)問(wèn)權(quán)限或能夠繞過(guò)設(shè)備的內(nèi)部人員可以輕松攻擊數(shù)據(jù)庫(kù)。同時(shí)也無(wú)法很好的解決數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)流量的加密問(wèn)題。許多數(shù)據(jù)庫(kù)安全廠商只能憑著自己的經(jīng)驗(yàn)去解密，不僅效果不好，還要疲于應(yīng)付各種版本的升級(jí)和更新問(wèn)題。

此外，隨著監(jiān)控范圍的擴(kuò)大，必須在訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)上的多個(gè)節(jié)點(diǎn)部署設(shè)備，以構(gòu)建全方位的數(shù)據(jù)庫(kù)監(jiān)控層。因此，成本會(huì)很高。

本地?cái)?shù)據(jù)庫(kù)審計(jì)只能做到事后取證

本地?cái)?shù)據(jù)庫(kù)審計(jì)產(chǎn)品可以提供細(xì)化的審計(jì)跟蹤和數(shù)據(jù)庫(kù)活動(dòng)的取證，但細(xì)化會(huì)影響數(shù)據(jù)庫(kù)性能，而且僅提供事后取證，無(wú)法做到預(yù)防。

此外，對(duì)于監(jiān)控DBA本身以及擁有DBMS特權(quán)訪(fǎng)問(wèn)權(quán)限的其他用戶(hù)，審計(jì)不是一個(gè)可行的解決方案，因?yàn)檫@些人員可以隨意打開(kāi)和關(guān)閉審計(jì)，或在事后篡改日志。

針對(duì)以上問(wèn)題，一種基于主機(jī)的輕代理解決方案逐漸受到用戶(hù)的認(rèn)可。

數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控技術(shù)——DAM

邁克菲于2011年收購(gòu)了一家名為Sentrigo的公司，這是一家在數(shù)據(jù)庫(kù)安全領(lǐng)域處于領(lǐng)先地位的廠商。針對(duì)數(shù)據(jù)庫(kù)安全，Sentrigo的做法是，在數(shù)據(jù)庫(kù)主機(jī)服務(wù)器上安裝能夠監(jiān)控所有數(shù)據(jù)庫(kù)活動(dòng)的軟件代理和傳感器(Sensor)，通過(guò)讀取數(shù)據(jù)庫(kù)的共享內(nèi)存，來(lái)達(dá)到實(shí)時(shí)監(jiān)控、阻斷、審計(jì)等功能。

傳感器可以自動(dòng)識(shí)別主機(jī)上的所有實(shí)例，甚至可監(jiān)控同一主機(jī)不同數(shù)據(jù)庫(kù)類(lèi)型的多個(gè)實(shí)例。而且對(duì)主機(jī)性能影響非常小，大約占CPU資源的5%，100多兆內(nèi)存。因此可稱(chēng)之為輕代理。

其運(yùn)行原理為，傳感器通過(guò)只讀機(jī)制和API連接到SQL緩存區(qū)的實(shí)例內(nèi)存，并通過(guò)內(nèi)存采樣開(kāi)始監(jiān)控循環(huán)輪詢(xún)。對(duì)于每個(gè)采樣周期，傳感器會(huì)根據(jù)從服務(wù)器收到的預(yù)定義策略，分析數(shù)據(jù)庫(kù)實(shí)例中每個(gè)會(huì)話(huà)當(dāng)前正在運(yùn)行的語(yǔ)句和上一個(gè)語(yǔ)句，并確定應(yīng)對(duì)哪些語(yǔ)句發(fā)出警報(bào)或予以阻止。

傳感器還可配置為針對(duì)特定違規(guī)行為終止會(huì)話(huà)，并隔離用 戶(hù)。這些預(yù)防功能，均通過(guò)本地?cái)?shù)據(jù)庫(kù)API實(shí)現(xiàn)，在不對(duì)數(shù)據(jù)完整性造成任何風(fēng)險(xiǎn)的情況下終止數(shù)據(jù)庫(kù)會(huì)話(huà)。

邁克菲目前的數(shù)據(jù)庫(kù)安全套裝為三個(gè)模塊，第一個(gè)為上面介紹的輕代理DAM，也是整套產(chǎn)品中的核心技術(shù)。第二個(gè)是VM，漏洞管理。第三個(gè)是VP，虛擬補(bǔ)丁。解決了從事前到事中再到事后的整個(gè)數(shù)據(jù)訪(fǎng)問(wèn)流程中的安全問(wèn)題。

安全牛評(píng)

除上文中介紹的內(nèi)容以外，這種軟件代理的數(shù)據(jù)庫(kù)安全技術(shù)還有一大優(yōu)勢(shì)，云上部署。因?yàn)樵谠粕嫌绕涫枪性粕希诰W(wǎng)絡(luò)的數(shù)據(jù)庫(kù)安全設(shè)備面臨無(wú)處可部署的難題。而基于主機(jī)的系統(tǒng)，則很好的解決了這種問(wèn)題，部署起來(lái)非常簡(jiǎn)單。因?yàn)槭羌冘浖男问剑瑹o(wú)需關(guān)心環(huán)境中的網(wǎng)絡(luò)拓?fù)浼軜?gòu)。