時(shí)間:2015/6/28來(lái)源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)
在部署數(shù)據(jù)庫(kù)行為監(jiān)控(DAM)系統(tǒng)時(shí)有兩個(gè)最常見(jiàn)的問(wèn)題:數(shù)據(jù)采集的準(zhǔn)確性問(wèn)題和DAM系統(tǒng)的性能問(wèn)題。這篇文章,我們將討論如何避免掉入DAM的上述陷進(jìn)中。
不當(dāng)?shù)谋O(jiān)控方式會(huì)影響審計(jì)的準(zhǔn)確性
DAM產(chǎn)品一個(gè)經(jīng)常被忽視的缺點(diǎn)就是網(wǎng)絡(luò)監(jiān)視。對(duì)于非關(guān)鍵的數(shù)據(jù)庫(kù)基礎(chǔ)設(shè)施,通過(guò)網(wǎng)絡(luò)監(jiān)視采集SQL行為是可行的。但如果出于合規(guī)需要,則最好選擇代理型的DAM產(chǎn)品。這類(lèi)產(chǎn)品通過(guò)在數(shù)據(jù)庫(kù)平臺(tái)上安裝代理來(lái)檢測(cè)所有的數(shù)據(jù)庫(kù)連接,包括管理員的行為。
上述兩種采集方式都能夠收集各種原始SQL語(yǔ)句,包括嵌入在查詢(xún)中的變量,而這是系統(tǒng)自帶的審計(jì)以及大部分其他采集方式所無(wú)法做到的。然而,對(duì)于網(wǎng)絡(luò)流量檢測(cè)和基于代理的檢測(cè)兩種部署方式而言,在數(shù)據(jù)收集的準(zhǔn)確性和完整性方面有著很大的差別。在高負(fù)載的情況下,某些方法就會(huì)丟失數(shù)據(jù)包。由于丟失查詢(xún)語(yǔ)句很少被注意到,通常不會(huì)引起什么抱怨。但是如果正在對(duì)一組事務(wù)(譯注:事務(wù)即Transaction,屬于數(shù)據(jù)庫(kù)管理系統(tǒng)的術(shù)語(yǔ),相當(dāng)于一組數(shù)據(jù)庫(kù)操作的集合)進(jìn)行SOX合規(guī)審計(jì),那么丟失的事務(wù)記錄將導(dǎo)致審計(jì)報(bào)告失效。
第二個(gè)不易察覺(jué)的嚴(yán)重問(wèn)題是DAM系統(tǒng)收集SQL語(yǔ)句返回信息的能力很弱。所有的查詢(xún)都會(huì)產(chǎn)生響應(yīng),一般是一組數(shù)據(jù),有時(shí)候則僅僅是一個(gè)標(biāo)志成功或者失敗的返回碼。如果一個(gè)查詢(xún)失敗,查詢(xún)沒(méi)有被真正執(zhí)行,這就意味著數(shù)據(jù)庫(kù)沒(méi)有發(fā)生變化。最近我做的一項(xiàng)非正式的調(diào)查顯示某個(gè)產(chǎn)品僅僅能夠收集45%的微軟sql server數(shù)據(jù)庫(kù)的返回信息,以及15%的oracle返回信息。僅僅因?yàn)橐粭l查詢(xún)請(qǐng)求被收集到了,并不意味著它就能夠成為審計(jì)線索的合法部分,還要看這個(gè)查詢(xún)請(qǐng)求的響應(yīng)信息。
正是由于這些原因,在合規(guī)審計(jì)的背景下,最好的部署方式是將網(wǎng)絡(luò)代理方式或者內(nèi)存掃描器方式與系統(tǒng)自身的審計(jì)數(shù)據(jù)收集方式結(jié)合起來(lái)。將系統(tǒng)自身的審計(jì)信息與(通過(guò)網(wǎng)絡(luò)檢測(cè)或者代理檢測(cè)等方式獲得的)包含在原始查詢(xún)中的數(shù)據(jù)結(jié)合起來(lái),提供了一種兩全其美的確保數(shù)據(jù)準(zhǔn)確性的方法。
策略過(guò)載和性能過(guò)載
性能依然是數(shù)據(jù)庫(kù)行為監(jiān)控系統(tǒng)需要關(guān)注的一個(gè)問(wèn)題。對(duì)于任何一款安全產(chǎn)品,隨著在產(chǎn)品中生效的策略數(shù)量的增長(zhǎng),行為分析所需的整體計(jì)算開(kāi)銷(xiāo)會(huì)出現(xiàn)超負(fù)荷。每條收集到的查詢(xún)語(yǔ)句或者事務(wù)執(zhí)行語(yǔ)句都要匹配所有的策略,策略數(shù)量從20條增長(zhǎng)到40條與每天分析的事務(wù)數(shù)從200萬(wàn)條到400萬(wàn)一樣,都會(huì)對(duì)性能產(chǎn)生影響。因此,DAM產(chǎn)品的性能極限既取決于分析的事務(wù)數(shù),也取決于生效的策略數(shù)。
要使得DAM產(chǎn)品性能維持在可接受的水平,可以遵循以下幾條指南:
1)行為分析策略會(huì)使得行為資料數(shù)據(jù)隨行為分析的進(jìn)行而增長(zhǎng)。應(yīng)該盡量保持行為資料數(shù)據(jù)最小化,因?yàn)閷?duì)這些資料的分析更加復(fù)雜。
2)要決定DAM系統(tǒng)何時(shí)匹配這些策略。在收集到記錄(即行為資料數(shù)據(jù))后進(jìn)行策略匹配,還是在將記錄存儲(chǔ)到DAM產(chǎn)品后再進(jìn)行策略匹配?存儲(chǔ)延遲和對(duì)收集到的記錄的再查詢(xún)都會(huì)造成額外的計(jì)算開(kāi)銷(xiāo),顯然對(duì)產(chǎn)品提供商而言不是一個(gè)好的選擇。
3)要對(duì)策略進(jìn)行優(yōu)化,盡量使得策略匹配過(guò)程中最快和最簡(jiǎn)單的部分被首先執(zhí)行。這就跟查詢(xún)語(yǔ)句的優(yōu)化是一個(gè)道理,策略的規(guī)則表達(dá)方式對(duì)于性能會(huì)產(chǎn)生戲劇性的影響。重新評(píng)估和優(yōu)化那些策略規(guī)則,同時(shí),必要的話(huà),讓DAM供應(yīng)商重寫(xiě)那些低效的規(guī)則。
關(guān)鍵詞標(biāo)簽:數(shù)據(jù)庫(kù)
相關(guān)閱讀
熱門(mén)文章 路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密Nslookup命令詳解-域名DNS診斷站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件
人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼路由器地址大全-各品牌路由設(shè)置地址騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程路由表說(shuō)明(詳解route print)網(wǎng)管員實(shí)際工作的一天用此方法讓2M帶寬下載速度達(dá)到250K/S左右網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量