细说堡垒机与数据库审计

【.com稿件】随着企业规模不断发展壮大，为提升企业运行效率，降低运营成本，企业信息化系统也在日益壮大，运维问题也日趋复杂，企业核心数据资源的安全无法进行有效管控，为企业健康发展埋下隐患。

基于此原因，企业信息化建设需在满足业务运行的前提下，加强内控与安全审计力度，切实保障信息系统安全运行，满足企业内控管理的合规要求。

[[209093]]

小编就信息安全内控与数据安全领域的两款明星产品“堡垒机”与“数据库审计系统”进行梳理归纳，希望能够对广大IT运维工程师进行产品选型提供帮助。

堡垒机

在了解堡垒机前，先扒一扒信息系统运维中存在的一些问题，伟大的创新并非突发奇想，往往来源于我们亟待解决之问题。

信息系统运维中的问题

1.一个用户使用多个账号

由于信息系统庞大，拥有少则数十台，多则上百台的服务器，而维护人员又极其有限，单个工程师维护多套系统的现象普遍存在。伴随而来就是工程师记事簿上密密麻麻的账号密码，同时在多套主机系统之间切换，其工作量和复杂度成倍增加，直接导致的后果就是工作效率低下，操作繁琐容易出现误操作，影响系统正常运行。

2.权限分配粗放，缺乏细粒度

大多数的系统授权是采用操作系统自身的授权系统，授权功能分散在各个设备和系统中，缺乏统一的运维操作授权策略，授权颗粒度粗，无法基于最小权限分配原则管理用户权限，因此，出现运维人员权限过大和内部操作权限滥用等问题。

3.第三方代维人员的操作行为缺乏有效监控

随着企业信息化建设的快速发展，为缓解企业IT人员不足的压力，越来越多的企业系统运维工作转交给系统供应商或第三方代维商，企业既解决了人员不足的问题，又解决了招聘新人的技能培训问题。但是在享受便利的同时，由于涉及提供商，代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸现，因此，需要通过严格的权限控制和操作行为审计。

针对上述问题，相信广大运维工程师都有“搔头不知痒处”的苦恼。不用急，这个时候我们的堡垒机登场了。

堡垒机的审计过程

堡垒机又名运维安全审计系统，首先他将服务器群的访问限定单一入口，所有用户均不能直接访问服务器，需通过堡垒机中转，这样就有条件对整个流量进行监控，对风险操作进行记录报警，对用户进行集中地细粒度权限管理。再在堡垒机中集成单点登录(SSO)功能，用户只需登录一次就可以访问所有相互信任的应用系统解决单用户多账号问题;再就协议代理，通过截获HTTP、ftp、ssh、rdp、vnc通信协议内容，解析并记录IT运维人员的操作过程。

堡垒机的核心技术协议代理，由于协议对应的SOCKET端口对于服务器来说是唯一的，意味着堡垒机在给IT运维人员授权时，只能允许或禁止使用某服务器的某知名协议。假设授权给甲S服务器的RDP协议，就相当于S服务器上的所有IT资源授权给了甲。授权颗粒度一般是以服务器为单位。再一个对于RDP和VNC操作过程只能进行录屏，对于风险过程无法快速智能识别，只能事后通过记录慢慢甄别，时效性较差。待基于应用代理的堡垒机技术成熟后，应该有很大改进。

数据库审计系统

数据库审计系统在当下信息安全领域绝对算得上明星产品，一是因为信息化时代，数据库作为企事业单位的战略性资产，必须进行严格防范，以防被非法获取;二是《萨班斯法案》、《计算机信息系统安全等级保护数据库管理技术要求》等相关规范性法案及要求对企业内控与审计进行了合规性要求。更深刻的原因在于，数据库面临的众多安全风险亟待解决。

数据库面临的安全风险

一、管理风险

内部员工及第三方维护人员的权限分配粗放，导致权限滥用且无有效手段监控操作，致使安全事件发生时不能及时告警且无法追溯并定位真实的操作者，数据流向失控。上文提到堡垒机虽说也有一定的审计功能，但无法达到应用级。

二、技术风险

ORALCE、SQL SERVER等数据库系统是一个庞大而复杂的系统，加之其承载的高价值数据库，无数黑客对其趋之若鹜，致使其漏洞层出不穷，而补丁往往跟进非常延后(有时打补丁风险不比黑客小)，另外基于应用层的注入攻击更是难于防范。

三、审计层面

传统的依赖于日志审计的方法，存在诸多弊端，如：数据库审计功能开启会影响数据库本身的运行，原本海量的数据检索已让数据库不堪重负;数据库日志文件本身存在被篡改的风险，难于体现审计信息公正性和有效性;对于国内应用软件的功能性开发模式，日志更是流于表面无实质价值。

数据库审计系统的运行流程

数据库审计系统通过监控所有出入数据库的报文，通过深度的报文解析和重组技术将散列的报文还原成完整数据库语句，如select、delete、alter、grant等，再根据相应的规则对其进行匹配并根据相应的风险等级实时告警。

举个例子：某用户A仅限于访问数据库中的A表权限，黑客利用数据库的漏洞将用户A进行提权后，可以去访问B表，但是数据库本身的权限机制已被攻破，因此用户A访问B表畅通无阻。如果在数据库审计系统规则中限定B表的访问权限，通过对于底层报文解析重组后分析发现A用户在访问B表，促发了风险规则，此时系统会产生高风险告警，并通过邮件、短信等方式告知审计人员实时处理，同时对事件进行记录存档用于事后的追溯。

独立、公正的数据库审计平台

数据库审计系统为第三方的独立审计平台，且自身进行了分权处理，因此，对于审计的独立性与公正性得到了有效的保证。数据库审计系统通过底层直接抓取报文解析重组的方式进行审计，黑客缺乏有效的手段规避审计。

数据库审计系统的不足在于其设计局限于数据库，对于网络协议这一块的审计还有欠缺。不过现在的数据库审计系统也开始加强对协议方面的审计能力，昂楷AAS数据库审计系统目前支持国内国外主流数据库进行审计的同时，也支持常用的http、ftp、telnet、smtp、pop3等网络协议的审计，更可喜的是其在Hadoop大数据架构、云计算、工控等领域也取得成功的商用。

数据库审计和堡垒机都是目前有效实现信息化内控，满足合规性的重要有效手段，区别在于堡垒机侧重于对第三方维护人员行为的规范与控制，而数据库审计系统侧重于数据库本身的安全以及对数据库资源访问的合规性控制与审计。因此，如何进行产品选型取决于当前所需迫切解决的问题，产品本身并无优劣之分，不同侧重点不可被销售代表的大嘴无所不能的忽悠。

【稿件，合作站点转载请注明原文作者和出处为.com】