針對資料庫的資訊安全,庫柏資訊研發DBAegis,是由3個模組架構而成,分別是:稽核管理中心SecuCenter、監控與收集資料庫存取活動的SecuFort及記錄使用者透過應用程式存取資料的SecuEyes等。
這套產品本身是硬體結合軟體的資訊安全解決方案,採用封閉的系統是為了符合稽核獨立性的原則,此外它記錄的資訊也都加密,以避免內容被有心人士竊取或修改。目前支援的資料庫包括Informix及Oracle資料庫,根據庫柏資訊的說法,將在第三季支援SQL Server,第四季支援DB2。
DBAegis的特色,在於導入該方案不需要修改現有應用程式,即可監控存取資料的人、事、時、地、物,並予以記錄,若發現異常的存取行為,可即時發布警示,透過郵件或簡訊通知管理者,甚至可設定規則直接阻擋(Block)可疑的存取或查詢行為。
建置時,企業可依安全需求選擇部分模組。若希望監控資料庫的運作狀況,及記錄包括管理者在內的所有人,直接連線資料庫異動的內容,則搭配SecuFort模組;而SecuEyes則是比對網路上傳遞資料內容的模組,所以若是主從式或集中式(Centralized)架構的應用程式,則不必選購此模組。
設定介面力求簡單,讓非IT人士也能使用
DBAegis支援正體中文、簡體中文及英文等三種語系,由於產品定位是給稽核人員使用,以避免資料庫管理者身兼球員及裁判等多重角色,可能造成弊端。因此DBAgeis設定介面力求簡單,希望不具資料庫專業的人士也可以使用。基本的設定包括監控的資料庫、資料表及記錄內容,可以選擇只記錄SQL指令就好,或者連同資料內容也一併記錄。
進一步需要設定的是監控的規則。透過獨立的資料庫安全監控產品,好處在於可以設定規則,針對各類狀況制定不同的作法。
制定規則是一件複雜的工作,所以DBAegis預設了基本規則,稽核人員可就此加以編修。此外,DBAegis也強化設定工作的簡單性,只需要依步驟點選或打勾即可完成。
除了監控規則的預設及自定,系統也內建自動稽核功能
系統提供常用的規則,如設定上下班時間──針對下班時間的資料存取行為,加以記錄並發出警告;或者,若偵測到不合常理的資料存取量,便視為異常──像是一般的存取量是200筆資料,而某個使用者查詢了上千筆資料,或者某個IP發出瞬間大量的Request,便視為異常行為。除此之外,也可以設定黑名單,監控特定帳號的存取行為。
其他設定如偵測未經認可的程式有存取資料庫的行為,這有可能是工程師開發了新程式,也可能有駭客植入後門程式,若設定發出警訊,便可提醒負責人員追查原因。
透過規則的制定,DBAegis可以做到事前、事中及事後的稽核,一旦有異常狀況發生,馬上提出告警(Alert),甚至阻擋(Block)存取行為。不過定義規則對於IT或稽核人員而言,可能有些許難度,所以DBAegis也內建一套機制,會根據資料的使用狀況,彙整使用者行為,一旦發現有異於平常的操作,便自動發出警訊。
這套機制可以在初期輔助資訊安全的負責人員制定規則,此外,也幫助發現不容易察覺的異常行為。例如高階主管通常擁有存取系統較大的權限,但他們平常會存取的報表及功能其實很固定,所以一旦DBAegis偵測到高階主管的帳號,突然執行了過去從來沒有使用過的功能,即使他擁有存取權限,也視為異常現象,將主動通知相關人員。
以SecuFort模組強化資料庫本身的安全防護
針對資料庫端的資料編修及系統設定行為,過去最大的控管問題在於資料庫管理者具有最大的權限,在球員兼裁判的情況下,這個角色可以直接進入資料修改的資料或者日誌檔,而且無法被稽核,因此成為資訊安全的漏洞。
而SecuFort是針對資料庫設計的模組,原廠建議安裝在資料庫的伺服器中,隨資料庫而啟動與關閉,完整記錄所有人對資料庫的操作行為。
只要資料庫的結構、權限、參數……等有任何改變,例如多出一個資料表、預存程序(Stored Procedure)或者增刪資料,都會被SecuFort記錄下來。
透過SecuEyes模組比對網路資料,幫助找到真正的不法者
DBAegis的另一個模組是SecuEyes,主要是針對三層式(Three Tier)或多層式(N-Tier)架構的應用程式,於網路監控存取資料庫的行為。由於應用程式存取資料庫往往採取共用帳號的作法,所以一旦發生資料外洩的情況,企業很難追查到是哪一個使用者有不法行為。
而SecuEyes的作法是分為兩個感測器:DBAegis SecuEyes for Web架在瀏覽器與應用伺服器之間,當使用者透過瀏覽器發出Request的時候,它解讀網路封包的內容,取得來源IP、MAC位址及使用者帳號……等資訊;而另一端DBAegis SecuEyes for SQL的建置位置,則介於應用伺服器及資料庫之間,截取使用者帳號存取資料庫的SQL指令、Session等,兩端的資料加以彙整與比對之後,便可確認是哪一位使用者存取了哪些資料。
報表可層層下掘,稽核者能夠以人追物或以物追人
SecuEyes及SecuFort所記錄的資料,都加密儲存於DBAegis的稽核管理中心SecuCenter中,有心人士就算竊取了硬碟,也無法解讀內容。
SecuCenter所留存的資料庫存取記錄,除了針對異常發出警訊,也提供報表及圖形化的儀表板。針對國內外的法規,例如Payment Card Industry Data Security Standard(PCI DSS)的規範,便提供制式的報表,除此之外,系統也有報表設定介面,使用者只需要依循步驟操作,即可新增一張新的報表,或者也可修改既有報表的格式或欄位,另存成一份新報表。
DBAegis的報表檢視,有層層下探(Drill-Down)的功能,強調「以人追物,以物追人」的概念。也就是說,使用者可以點選任一筆使用者資料,按右鍵檢視此人執行過哪些Web頁面、抓取多少資料及執行的SQL指令。
針對機密性的資料,使用者可在SecuCenter中將該欄位設為敏感性資料,如此一來,報表部分,將透過遮罩(Mask)技術,來隱藏資料的部分內容,避免變成資料外洩的管道。
管理者也可以更進一步設定是否記錄敏感資料的異動內容。例如針對查詢行為,可檢視哪位使用者曾經查詢的資料,若是執行「Update」指令,則會帶出修改前及修改後的資料內容。
如果使用者不確定機密資料在資料庫中遍布的範圍,擔心漏掉某個資料表而造成資料外洩,可在系統中輸入資料的編碼模式,例如身分證字號的模式是首字英文,後接9碼為數字。
這些規則定義出來之後,系統將分析資料庫的內容,協助使用者找到符合此模式的資料中,包括哪些欄位,因此便可以更精確地找到並定義敏感性資料。
報表具層層下掘功能
管理者可在報表中,點選特定資料,按右鍵追查該筆使用者曾經點選的網頁、網頁執行參數、SQL述句及被存取的敏感性資料。反過來,以資料逆向追查使用者也是可以的。
產品資訊
|
建議售價●廠商未提供ˉ廠商●庫柏資訊ˉ電話●(02)8792-9969ˉ網址●www.cobrasonic.comˉ可監控的資料庫類型●Informix、Oracleˉ支援的法規報表●ISO 27001、新巴塞爾協定(Basel II)、個人資料保護法、沙賓法案(SOX)、支付卡產業資料安全標準(PCI-DSS)、健康保險流通與責任法案(HIPAA)
|
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】
熱門新聞
2024-11-25
2024-11-25
2024-11-22
2024-11-24
2024-11-25
2024-11-25