技术动态 > 正文
安全审计技术与大数据安全
2019/5/13 11:42:00   中国安防行业网      关键字:安全审计,技术,大数据安全      浏览量:
在数据安全治理的思路下,我们建设数据安全防护体系时必须具备审计能力。利用数据库协议分析技术将所有访问和使用数据的行为全部记录下来,包括账号、时间、IP、会话、操作、对象、耗时、结果等等内容。一套完善的审计机制能够为数据安全带来两个价值:
  安全审计是指在信息系统的运行过程中,对正常流程、异常状态和安全事件等进行记录和监管的安全控制手段,防止违反信息安全策略的情况发生,也可用于责任认定、性能调优和安全评估等目的。安全审计的载体和对象一般是系统中各类组件产生的日志,格式多样化的日志数据经规范化、清洗和分析后形成有意义的审计信息,辅助管理者形成对系统运行情况的有效认知。
  按照审计对象的不同,安全审计分为系统级审计、应用级审计、用户级审计及物理访问审计四类。
  在数据安全治理的思路下,我们建设数据安全防护体系时必须具备审计能力。利用数据库协议分析技术将所有访问和使用数据的行为全部记录下来,包括账号、时间、IP、会话、操作、对象、耗时、结果等等内容。一套完善的审计机制能够为数据安全带来两个价值:
  一、事中告警
  数据的访问、使用、流转过程中一旦出现可能导致数据外泄、受损的恶意行为时,审计机制可以第一时间发出威胁告警,通知管理人员。管理人员在第一时间掌握威胁信息后,可以针对性的阻止该威胁,从而降低或避免损失。所以,审计机制必须具备告警能力,可以通过邮件、短信等方式发出告警通知。
  为实现事中告警能力,审计系统需要能够有效识别风险威胁,需要具备下列技术:
  漏洞攻击检测技术:针对CVE公布的漏洞库,提供漏洞特征检测技术;
  SQL注入监控技术:提供SQL注入特征库;
  口令攻击监控:针对指定周期内风险客户端IP和用户的频次性登录失败行为监控;
  高危访问监控技术:在指定时间周期内,根据不同的访问来源,如:客户单IP、数据库用户、MAC地址、操作系统、主机名,以及应用关联的用户、IP等元素设置访问策略;
  高危操作控制技术:针对不同访问来源,提供对数据库表、字段、函数、存储过程等对象的高危操作行为监控,并且根据关联表个数、执行时长、错误代码、关键字等元素进行限制;
  返回行超标监控技术:提供对敏感表的返回行数监控;
  SQL例外规则:根据不同的访问来源,结合指定的非法SQL语句模板添加例外规则,以补充风险规则的不足,形成完善的审计策略。
  二、事后溯源
  数据的访问、使用过程出现信息安全事件之后,可以通过审计机制对该事件进行追踪溯源,确定事件发生的源头(谁做的?什么时间做的?什么地点做的?),还原事件的发生过程,分析事件造成的损失。不但能够对违规人员实现追责和定责,还为调整防御策略提供非常必要的参考。所以,审计机制必须具备丰富的检索能力,可以将全要素作为检索条件的查询功能,方便事后溯源定位。
  一套完善的审计机制是基于敏感数据、策略、数据流转基线等多个维度的集合体,对数据的生产流转,数据操作进行监控、审计、分析,及时发现异常数据流向、异常数据操作行为,并进行告警,输出报告。
  在大数据环境中,设备类型众多,网络环境复杂,审计信息海量,传统的安全审计技术和已有的安全审计产品难以快速准确地进行审计信息的收集、处理和分析,难以全方位地对大数据环境中的各个设备、用户操作、系统性能进行实时动态监视及实时报警。