Database activity monitoring Database Management System Privileged User Controls Web Application Firewall iMPERVA SecureSphere Microsoft SQL Server IBM Guardium Data Masking Sniffing 資料庫活動監控 McAfee Oracle Sessi 資料庫安全 DBMS DAM 亞利安 甲骨文 WAF

因應DB交易全記錄需求 效能與完整性兩全其美

2014-05-09
以純軟體式監控資料庫活動的IBM InfoSphere Guardium,難免會遇到用戶擔心影響線上資料庫運行效能。對此台灣IBM軟體事業處資深技術顧問張寅建說明,其實Guardium特別之處是不耗用資料庫系統資源,因為其架構是將耗用資源的工作交由另一台控管伺服器來執行,資料庫系統上則是安裝S-TAP代理程式,負責擷取資料庫系統記錄傳送到控管伺服器,需佔用的資源並不多。其他像是資料分析、查找、儲存、報表產出等執行動作,都是在控管伺服器上執行,跟線上資料庫系統可說完全區隔。
且Guardium為了進一步提升處理Log效能,現行的新版已可運行在64位元作業系統環境。「通常我們會建議用戶先定義敏感性資料,或者是針對擁有可存取機密資料的帳號執行記錄,才能更精準也不致讓資料量過大。」張寅建說。但台灣企業卻是傾向建置全記錄,如今控管伺服器搭配64位元作業系統,可依據處理器運算效能、記憶體擴充能力,調配同時間處理的執行緒數量,更加提升全記錄的運行效能。

▲台灣IBM軟體事業處資深技術顧問張寅建提醒,只要企業內部資料庫系統內存放足以影響營運的機敏資料,不論是否屬於個資,皆應正視活動記錄機制的必要性,萬一不幸遇到訴訟案件時才可為佐證依據。
他表示,近來甚至有已建置資料庫活動監控機制的客戶,除了稽核之用外,還從中發現更多應用價值。由於交易活動記錄內包含SQL陳述式,這些描述指令其實可以反應程式碼撰寫的方式,是否會造成效能瓶頸等問題,亦可藉由記錄來找出潛在因素,供效能調校參考。

近來資料外洩新聞事件持續爆發,的確讓企業提高對於高權限用戶的警覺心,但張寅建認為,處理方式絕非採以阻斷限制,而是必須更加著重於完整性記錄。「存取資料庫的特權使用者行為,必須採用『監看』而非『身分控制』,此時協助記錄的機制就得以發揮功效,不論帳號權限高與低,皆能詳加記錄,如此才能綜觀資料庫的所有行為。」

如同個資法中提及「必要的組織、必要的管理」,資料庫控管的下一步勢必會朝向職責分離(Separation of duties)發展,而非讓資料庫管理者掌握所有最高權限。例如取消執行Select指令的相關工作,只有程式開發者平日須進行功能驗證測試,才有需要開放該指令以查看資料內容。儘管如此,程式開發者也不該觸及線上真實的資料,應該是經過轉譯後的非正式資料。只要依據工作者所屬職責開放所需的權限,如此才能在不影響正常工作前提下,杜絕特權用戶濫權執行的狀況發生。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!