中國信息通信研究院今年發(fā)布的《數(shù)據(jù)安全治理實踐指南(2.0)》顯示，2022年已經(jīng)披露的數(shù)據(jù)泄漏事件，不論從規(guī)模上，還是從平均對每個單位造成的損失上來看，都已創(chuàng)新高。報告援引的一項調查顯示，2022年數(shù)據(jù)泄漏事件的平均成本高達435萬美元，83%的受訪組織已經(jīng)不是第一次發(fā)生數(shù)據(jù)泄漏事件。

數(shù)據(jù)泄漏事件頻發(fā)，數(shù)據(jù)庫作為用戶網(wǎng)絡中的重要資產(chǎn)，保存著最具價值的數(shù)據(jù)信息。在諸多導致數(shù)據(jù)泄漏的原因中，對數(shù)據(jù)庫的異常操作行為雖然占比不大，卻極難發(fā)現(xiàn)，同時破壞力極強。

異常操作行為包括對數(shù)據(jù)庫的錯誤配置、越權行為、內鬼的數(shù)據(jù)竊取篡改等。這些異常操作大多不包含攻擊威脅特征，因此無法被防火墻、入侵檢測這樣的檢測類設備識別到。面對以上風險，如何在海量的行為事件中高效準確地發(fā)現(xiàn)異常事件并溯源取證？且看天融信數(shù)據(jù)庫審計系統(tǒng)如何刨根起底尋“蛛絲”。

傳統(tǒng)數(shù)據(jù)庫審計產(chǎn)品痛點

傳統(tǒng)數(shù)據(jù)庫審計往往囿于事先預設，無法隨業(yè)務環(huán)境靈活變化，同時也欠缺及時判斷、響應并還原安全事件全貌的能力，大大影響了數(shù)據(jù)庫的安全防護。

01 傳統(tǒng)的數(shù)據(jù)庫審計依托于預設的安全策略進行匹配，然而實際業(yè)務復雜度高，并且需要根據(jù)業(yè)務變化及時進行審計策略的調整，應變靈活度低，審計結果往往差強人意。

02 安全事件發(fā)生后，往往只有一條日志，取證不足。無法把日志前后的行為、后果組合起來還原事件全貌，無法做到有力的溯源取證。

03 行為類型很難界定，例如“將某個文件分割多次進行導出”的行為，處于危害行為和正常行為之間的灰色地帶，因此不能及時預警。

04 對于異常事件，更快的響應速度就意味著更小的損失。傳統(tǒng)的數(shù)據(jù)庫審計在大流量環(huán)境下，解析性能不足，從發(fā)現(xiàn)異常事件再到行為響應，往往為時已晚。

天融信數(shù)據(jù)庫審計系統(tǒng)

1、行為基線—動態(tài)感知異常行為

場景

用戶業(yè)務不斷變化，安全場景不斷更迭，靜態(tài)配置審計策略也需隨業(yè)務改變，不僅繁瑣，而且還易出錯，很難滿足業(yè)務連續(xù)性管理審計的需求。

應對

天融信數(shù)據(jù)庫審計系統(tǒng)通過機器深度學習用戶訪問行為，用戶行為模型可隨審計業(yè)務靈活變化，從而實現(xiàn)對偏離基線的行為進行異常告警，極大地降低了人工配置策略和分析審計日志的工作量。

2、關聯(lián)分析—多角度組合分析異常行為

場景

復雜事件由多種事件片段組合而成，很難單一界定是危害行為還是正常行為，易出現(xiàn)誤判。

應對

天融信數(shù)據(jù)庫審計系統(tǒng)利用先進的關聯(lián)分析引擎，可將某個時間段內的所有滿足條件的有關事件片段提取并組合起來，并結合安全場景關聯(lián)分析，有效檢測潛在的異常行為。

3、會話回放—由點及面還原異常事件全貌

場景

對某一個點日志進行分析，很難還原事件全貌，溯源取證極為困難。

應對

天融信數(shù)據(jù)庫審計系統(tǒng)可回放從開始登錄到會話結束的事件完整過程，從而把所有片段組合成一個完整的全景拼圖，便于分析和追溯系統(tǒng)安全問題，幫助客戶了解事件全貌。

4、高性能解析—大流量場景快速響應異常

場景

大流量審計解析場景中，解析性能不足，異常行為發(fā)現(xiàn)及響應不夠迅速，解析結果不能快速可視化展示。

應對

天融信數(shù)據(jù)庫審計系統(tǒng)采用數(shù)管分離技術，利用環(huán)形無鎖隊列及內存池預分配機制，可提供更高的解析和入庫性能，幫助客戶輕松應對大流量場景下的數(shù)據(jù)解析，解析結果即查即統(tǒng)，為用戶展示可視化統(tǒng)計結果。

某高校案例

為優(yōu)化“互聯(lián)網(wǎng)+監(jiān)管”工作，某高校教育部一體化在線政務服務平臺二期建設亟需完善數(shù)據(jù)庫審計系統(tǒng)。針對該校近500個業(yè)務系統(tǒng)及后端數(shù)據(jù)庫交互數(shù)據(jù)，包括學生一卡通信息、飯卡充值繳費等數(shù)據(jù)操作行為，天融信通過部署數(shù)據(jù)庫審計系統(tǒng)，完整審計各校區(qū)數(shù)據(jù)庫數(shù)據(jù)變化，對于異常數(shù)據(jù)操作行為及時告警，解決了該校信息頻繁泄漏、危害行為告警不及時等問題，幫助客戶實現(xiàn)了數(shù)據(jù)庫資產(chǎn)的有效監(jiān)控，保障了業(yè)務系統(tǒng)的數(shù)據(jù)通信安全。

某運營商案例

在某運營商項目建設中，數(shù)據(jù)庫審計承擔著數(shù)據(jù)操作行為審計及風險識別的重任，需針對數(shù)據(jù)庫操作行為進行全記錄，對于違反策略的異常行為進行多形式告警。天融信幫助客戶將日志統(tǒng)一匯總至數(shù)據(jù)安全管理平臺，從而進行統(tǒng)計分析，最終在態(tài)勢感知平臺展示安全態(tài)勢，實時監(jiān)測業(yè)務數(shù)據(jù)，在滿足合規(guī)需求的同時進一步增強了客戶的數(shù)據(jù)安全綜合分析能力。

作為率先提出“以數(shù)據(jù)為中心的安全建設體系”建設思路的網(wǎng)絡安全專業(yè)廠商，天融信已構建數(shù)據(jù)全生命周期的產(chǎn)品與服務體系，并相繼推出了網(wǎng)絡數(shù)據(jù)防泄漏、終端數(shù)據(jù)防泄漏、數(shù)據(jù)庫安全網(wǎng)關、數(shù)據(jù)庫審計、網(wǎng)絡審計、備份一體機、數(shù)據(jù)安全管控平臺等一系列數(shù)據(jù)安全產(chǎn)品，持續(xù)賦能客戶數(shù)字化轉型，為數(shù)字中國建設保駕護航！