資料庫安全可從防禦外部攻擊威脅的機密性、以及內部管理需求的完整性與可用性等面向來評估需求與解決方案,玄力科技業務副總顏良修認為,在這當中,機密性必須由資料庫加密機制來達成,而至於完整性與可用性方面,則可由資料庫稽核來解決。「資料庫稽核可協助企業從log記錄確認資料庫存取權限以及使用行為,由於資料庫架構複雜,大多數企業往往提供使用者較大的存取使用權限,也因此記錄稽核機制更顯得重要。」
網路型稽核 協助資產管理
資料庫稽核解決方案較常見的部署方式包括資料庫內建工具、本機型代理程式以及網路型稽核系統,顏良修說,透過資料庫內建工具進行稽核工作,雖然不須另外部署建置管理稽核設備,但較可能影響資料庫系統本身的運作效能,另外資料庫管理人員也可關閉或變更記錄內容,其所產出的稽核資料難以做為法律證據,「此外像是儲存與再利用的困難性、缺乏政策機制來執行即時監控與檢視、僅支援該原生資料庫系統等等,都是資料庫內建工具的瓶頸。」
|
▲玄力科技業務副總顏良修認為,從管理面著手的資料庫稽核方案,可確保資料庫安全的完整性與可用性,同時強化資料庫管理能力。 |
顏良修進一步表示,本機型代理程式同樣有著影響資料庫系統資源以及缺乏獨立性管理等疑慮,「因此最合適的稽核方式還是網路型稽核系統,較能在不影響網路架構與資料庫系統效能的情況下,協助企業達到獨立稽核的目的。」
有鑑於此,玄力科技即以網路型稽核系統作為資料庫稽核機制,顏良修強調,玄力科技的優勢在於可處理大量log記錄,並以資產管理的角度協助企業進行資產盤點與資料管理,「舉例來說,如果企業誤刪資料,玄力的解決方案可協助找出誤刪的時間點,IT人員便能夠還原最接近誤刪時間點的資料。」
顏良修指出,資料庫稽核的第一步便是資產盤點,包括多少使用者存取資料、多少資料會被存取、哪些資料與使用者需要受到什麼樣的控管等等,接著針對使用者以及資料標定風險值與分組,最後才是依照企業需求套用資安管理政策。
「資料庫稽核是一道長期過程,需要長時間觀察與調整系統,才能提高稽核準確性與完整性。」此外,玄力的資料庫稽核設備還可以使用者為導向,針對特定使用者行為追蹤與分析。「玄力科技希望資料庫稽核設備能成為資料庫管理人員的管理工具,畢竟相較於遭受攻擊,因資料管理疏失所造成的資料外洩或遺失的發生機率更高。」