返回
安华金和:数据库审计产品常见缺陷之(一)常见缺陷概述

安华金和:数据库审计产品常见缺陷之(一)常见缺陷概述

ID:33598267

大小:72.48 KB

页数:4页

时间:2019-02-27

安华金和:数据库审计产品常见缺陷之(一)常见缺陷概述_第1页
安华金和:数据库审计产品常见缺陷之(一)常见缺陷概述_第2页
安华金和:数据库审计产品常见缺陷之(一)常见缺陷概述_第3页
安华金和:数据库审计产品常见缺陷之(一)常见缺陷概述_第4页
资源描述:

《安华金和:数据库审计产品常见缺陷之(一)常见缺陷概述》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、数据库安全审计系列之(一)常见缺陷随着信息化的发展,数据库安全问题成为当前政府和企事业单位用户关注的焦点,数据库审计产品已经成为当前信息安全产品的盛宠。当前在市面上存在着几十种数据库审计产品,这些产品集中起来大约可分四种类型:在网络审计产品的基础上经过简单包装推出数据库审计产品的既有网络审计产品厂商,比如国内几大安全厂商推出的数据库审计产品,安全圈都知道,不再例举;针对数据库通讯协议的特点开发出专门的数据库审计产品的国内细分领域安全厂商,比如安华金和、思福迪、国都兴业、帕拉迪等;国外的数据库审计产品,比如Imperva、Gu

2、ardium等;OEM第三方的数据库审计产品,OEM对象可能来自国内,也可能来自国外,比如Imperva或韩国的DBInsight。随着国产化采购政策的推动,处于安全性的考虑,国外数据库审计产品,不在本文的评论范围内。安华金和作为国内专业的数据库安全厂商,为广大用户提供国内最为精确、性能最好的数据库审计产品,领先国内水平,总结国内厂商开发的数据库审计产品常见的八类缺陷。当然这些缺陷并不是每种产品都具备,读者若有兴趣且条件方便,可以进行有针对性的测试:一.长SQL语句漏审漏审是因为长SQL语句(比如超过2K)被分配到了多个通讯

3、包中,而相关产品对跨通讯包的协议解析并未进行精细化的处理,该错误会造成全部或局部漏审,极易被攻击者利用。-4-©2016安华金和www.dbsec.cn一.多语句无法有效分割SQLServer这样的数据库支持多语句同时发送,语句间缺乏明确的分割标识;由于大多的数据库审计产品是基于正则表达式,无法有效分割SQL语句,造成SQL语句的审计解析错误,如无法正确捕获SQL语句的类型、操作对象等。二.复杂语句对象解析错误SQL语句由于要表达各种复杂的检索条件和统计分析情况,语法非常复杂,数据库系统需要借助Yacc&Lex这样的词法和语

4、法解析工具进行语句解析。但大多数数据库审计产品采用的是正则匹配技术,在语句中具有子查询、关联查询等情况时无法准确获得多层对象,特别是在SQL语句中使用别名的时候;这些缺陷往往会造成错误的数据库对象记录。三.参数值与SQL语句匹配错误为了提升SQL处理的效率,大多数应用软件会利用数据库编程的语句预编译(Prepare)、参数绑定(bind)机制,以实现高效处理。这种机制本质上是通过句柄追踪机制完成的,大多数的数据库审计产品能够处理简单的预编译与参数绑定的情况;但当预编译与参数绑定达到几十条时,调用情况稍微复杂,就发生了大量的参

5、数值与语句的错误搭配,从而造成大量错审。-4-©2016安华金和www.dbsec.cn一.错误的应答结果,特别是影响行数解析不正确对于SQL操作是否成功,是数据库审计的基本需求;对数据库操作读取或影响了多少行是用户的实际需求。但SQL操作成功与否的准确记录,需要仰仗SQL语句的合理切割和句柄的准确追踪及对返回结果集的完全解析;大多数数据库审计产品在多语句情况,或者通过FETCH操作批量获取等环节下,无法准确获得查询执行的正确性以及影响行数。二.充满失真率的应用用户关联市场上的数据库审计产品大多数都宣传支持三层关联审计,实现

6、SQL语句与业务用户的关联。这种基于三层关联审计的技术,是通过http协议中的参数与SQL语句中的参数的匹配,以及时间的匹配来完成的,属于模糊匹配。这种方法在http参数经过加工后或基于逻辑判断后再发出SQL语句,也即SQL语句的参数与http参数没有直接的匹配关系时将完全失效;在高并发时更是一个灾难。这种方法的准确率往往很难超过80%。三.未专业化的审计界面这个问题主要是针对基于网络审计而发展来的数据库审计产品,这种产品由于在设计之初就不是专门面向数据库用户的,因此并未按照数据库的访问类别、会话追踪、数据库对象层次进行界面

7、组织,造成这类产品的界面极其不易使用。-4-©2016安华金和www.dbsec.cn一.过度冗余的审计信息存储很多应用系统会采用动态拼接SQL语句的方式来实现对数据库的访问;这会造成大量SQL语句语法形式相同而仅仅是SQL语句中的参数值不同的语句。当前的很多审计产品将这些语句进行重复地记录和存储,造成了审计效率的低下,存储设备的浪费,并会对SQL语句的分析和排查效率造成致命影响。安华金和数据库审计产品(DBAudit)可以有效避免以上8类缺陷,欢迎测试哦,后续篇章,我们将具体针对每类问题进行详尽介绍。关于安华金和安华金和专

8、注于数据库安全领域,由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造,是国内领先的,提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。安华金和数据库安全产品,已经广泛地应用于政府、社保、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。