数据库审计产品的新视角-应用关联审计
作者:安华金和 发布时间:2020-01-13

传统的数据库审计产品的审计结果大多以数据库为单位呈现,也就是:某个数据库被谁访问,对数据库进行了哪些操做,操作中存在哪些风险或者违规行为。

2016年安华金和在国内首先提出了数据安全治理理念,随着这一理念中以账号权限变化为核心的数据审计与稽核理念被用户接受,以应用用户为视角的谁访问了哪些数据,对这些数据进行了哪些操作,这些操作行为是否合规成为一个全新的数据库审计视角。

基于这种以应用发起者为出发点,通过哪些应用业务的请求,最终访问了哪些数据,安华金和数据库审计全新应用关联审计顺势而出。

应用审计视角下的4层应用框架结构

安华金和数据库审计产品在新的应用关联审计视角下,构建了4级应用框架结构,应用请求-应用模块-应用行为-应用:

一、应用请求:访问源对某个指定的URL发起访问请求的流水记录;

二、应用行为:针对某类相同和相似的应用请求,去除参数化的URL模板(类似于SQL语句模板概念);

三、应用模块:多个应用行为的组合,归属于一组功能模块的集合,对应应用服务器的功能菜单;

四、应用:以应用服务器IP+应用服务器端口+应用工程名定义的一个应用系统。

应用审计视角下的审计结果呈现和追溯能力

新视角下的安华金和数据库审计产品为了应对多样化的应用业务部署场景,在框架设计方面充分考虑到多个应用部署在一个应用服务器的集中部署方式,以及中大型应用系统分布在多个应用服务器上的集群架构,一旦应用的4级结构建立,即可以提供完整的基于应用访问视角的综合性统计数据呈现和正向追溯能力:

a)应用访问热度分析:接入安华金和数据库安全审计产品的多个应用根据访问频次呈现应用访问热度Top;

b)应用模块访问热度分析:不同应用的应用模块根据访问频次呈现应用模块访问热度Top;

c)应用访问源热度分析:以“客户端IP+应用用户”为组合,根据对应用访问频次呈现访问源热度Top。

应用审计视角下的分析能力

同“数据被谁访问”以数据库为单位提供全局和单库视角一样,应用审计同样提供了以应用为单位的全局和单应用视角分析,既可基于全局做整体查看,也可以针对某个应用做专项分析。

从应用行为层次,提供“应用行为-应用请求流水-应用请求详情”的正向追踪以及“应用行为-访问源”的反向追溯能力;从应用访问层次,提供“应用请求-SQL流水-SQL详情”和“应用请求-应用会话-会话下应用请求流水-SQL流水”两条下钻分析路径。

老的应用会话统计分析能力在应用审计框架建立后得到更大价值体现:应用会话将多个应用请求串接起来,使得“本次会话除了访问这些地址还干了些什么”的连锁行为分析得以落地。