1、以色列的Imperva,該系統功能還是滿強大的,通過IDP探針,串聯部署,阻斷數據庫數據安全威脅。但國內用戶使用由於全英文界面,加上配置數據庫安全策略很復雜,非專業數據庫DAB操作起來很困難。更重要的是國內使用該產品,其技術手段需要依靠合作的數據庫廠商來做支持。
2、IBM的Guardium:該系統強過國內的大部分產品,但由於其設計思路的原因,部署上需要在數據庫服務器端安裝“S-TAP” 輕量級系統探針;分級部署時需在數據庫服務器端安裝“S-GATE”,在總控服務器安裝“Z-TAP”。該系統按照國外的審計需求,只針對滿足國外需求的審計數據進行審計。過濾了大部分可能對國內用戶有實用價值的審計信息。也是全英文界面,數據庫安全審計策略配置很復雜,非專業數據庫DAB操作起來很困難。
以上兩個產品是國外的主流產品,國內市場上基本數據高端專業客戶使用,價格很高。對國內絕大多數用戶來說,具有有用性,但缺乏實用性,操作維護困難。只記錄“關註”事件,逃避“IO”,失去“事後”追蹤有用性, 增加“事前”管理和使用難度。 國內數據庫產品主要廠商:
1、上訊信息——數據庫安全審計系統;
2、北京安信通——數據庫審計系統;
3、北京國都興業——慧眼數據庫審計系統;
4、深圳昂楷科技——數據庫多重審計系統AAS;
5、安華金和——數據庫監控與審計系統;
6、安恒信息——明禦數據庫審計和風險控制系統;
7、北京天融信——網絡衛士數據庫審計系統TopAudit-DB (簡稱 TA-DB)
8、北京啟明星辰——天玥網絡安全審計系統
9、北京萊克斯科技——ClearNet DBA數據庫審計系統
10、杭州思福迪——LOGBASE業務數據庫審計系統
11、杭州帕拉迪——DBxpert數據庫審計系統
12、福建海峽信息——黑盾數據庫安全審計系統
主要分為:國內原先具有網絡審計產品的廠商,在網絡審計產品的基礎上經過簡單包裝,推出的數據庫審計產品;國內廠商專門針對數據庫通訊協議的特點,開發出專門的數據庫審計產品;國外的數據庫審計產品;OEM第三方的數據庫審計產品,OEM對象可能是國內的產品,也可能是國外的產品。
區分這些數據庫安全審計產品可以從幾個方面來測試:
1、雙向審計:只能實現單包返回狀態分析,不能實現對查詢結果進行分析。
2、長SQL語句漏審:超長SQL語句無法解析記錄,提供逃避審計通道;
3、完全協議解析:解析協議解碼不完全(無會話技術就不可能完全解碼);
4、參數值與SQL語句匹配:變量綁定不支持或不完整(審計素材有用性缺失);
5、海量數據分析:無法全部存儲分析審計數據,記錄之後,不能查詢;
6、海量存儲:無法記錄下原始數據包,缺乏最原始的審計依據;
7、及時警告:事後報警,做不到事前防範,事中報警;
8、多語句無法有效分割:長會話記錄分散記錄,審計困難;
9、客戶影響:部分產品需要改變網絡拓撲,甚至需要在數據庫服務器上安裝采集器,易造成安全漏洞。
10、應用用戶關聯:三層應用用戶關聯有20%以上會出現漏審和錯審,尤其在高並發下更是如此。
這裏重點評價壹下好的數據庫審計系統要求:能展現數據庫完整會話操作的系統。采用數據庫訪問協議完全解析技術,能實現對超過1460字節長度的SQL語句完整解析。除了能解析數據庫綁定變量,還能解析該綁定變量的值。能完整記錄SQL語句的返回結果集。同時由於是國內廠家自主知識產權,技術支持也比國外產品更直接、更有效。
如果說好的數據庫審計系統的特征如下:
1、能展現數據庫完整會話操作;
2、具備對超過1460字節長度的SQL語句完整解析;
3、具備解析數據庫綁定變量和該綁定變量的值;
4、能完整記錄SELECT語句的返回結果集; 上市公司:薩班斯法案的要求
電信、軍工、煙草、電力等行業需求
等級保護、分級保護的要求