2017年6月1日《中华人民共和国网络安全发》的正式施行,极大促进了信息安全等级保护工作的建设。而由于信息安全等级保护三级对内控与审计方面的要求,市面上的各种审计产品如雨后春笋般涌现,用户难免会被市面上众说纷纭的解说所误导,对产品的认识可能产生偏差。

小编使尽浑身解数查阅相关资料,阅读相关技术标准文档(RFC),对日志审计与数据库审计两款产品做一次完整的剖析,希望对朋友们对这两种产品的认识上有所裨益。


要讲清日志审计与数据库审计,还得从它们的发展历程说起。小编认为,任何事物的发展必然遵循其发展规律,非凭空而来,亦非突发奇想,当我们捋清事物的发展历程后,会发现很多伟大的构想来自于事物发展到一定程度的水到渠成。因此此文也将从技术发展的不同阶段来阐述日志审计与数据库审计两种产品的异同。

系统日志

系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查系统错误的发生原因,同时也可以利用它来查询系统违规操作或者受到攻击时留下的痕迹。这就是为什么IT工程师排查系统故障时经常说到的一句口头禅:“查查系统日志,看有什么错误信息”。

基于日志对系统事件过程记录的完整性特点,理论上讲系统日志应该是作为审计过程中的最有力依据,那为何还需开发独立的审计系统呢?这还得从审计的重要特性说起。

审计的本质特性是独立性。系统日志由系统生成,与系统本身为一体,主要用来帮助维护人员进行故障排查与定位。如果要篡改日志,轻而易举。因此系统日志自身无法达到审计的最基本条件,其公正性、权威性更无从谈起。

日志审计系统

严格来讲,对于“日志审计系统”这个名词,小编是持怀疑态度的,翻阅了大量的资料也无法为其找到有力佐证。基于以下两点,小编认为,称其为“综合日志分析管理平台”更切合实际。

1、日志审计系统发展于日志服务器,其本质并未有革命性的改变与革新。

2、其原始信息仍来源于系统日志,并未解决审议对于独立性的根本要求。

日志服务器的产生源自于信息技术发展的一定程度后,所面对的信息系统已经不再以个位计算,而是十位、百位,甚至千位。基于传统的单系统日志排查方式来检查系统运行的状态已捉襟见肘。如若能对所有系统的日志进行统一集中管理,并对其进行归类、分析、抽取,按照不同的风险级别通过可视化的图形方式展现,并实现实时的智能告警,将极大提高系统运维的效率。为解决此类问题,syslog日志协议被广泛应用,并由此产生了基于syslog协议的日志服务器用于日志的集中管理与分析。

Syslog存在的主要问题

长期以来,syslog没有一个标准来对其格式进行规范,导致syslog的格式比较随意,极端情况下可能没有任何格式,程序不能对syslog消息进行解析。在2001年定义的rfc3164中,对syslog协议进行了描述,不过这个规范很多内容并非强制性,常常以“建议”或者“约定”出现,再一个该协议使用UDP协议(无连接协议)在网络中传输,内容的完整性与可靠性得不到有效保障。对于系统的运维来讲,syslog已足够满足需求,却不能满足审计需要。

当我们分析过日志服务器(syslog)后,再要去理解日志审计就不是什么难事,无非就是在日志服务的基础上再增加SNMP(简单网管协议)使其能对路由器、交换机等网络设备的运行状况也能进行管理,再增加一些个性化报表功能,使展现出的效果更佳美观,便成了日志审计系统,但其本质还是脱离不了日志服务器。

数据库审计系统

数据库审计系统最初的设计目的便是为了解决核心数据的内控与审计需求,之所以不采用数据库系统自带日志进行审计工作,基于如下两点原因:

1、数据库系统自身日志易被篡改,缺乏独立性与公正性;

2、数据库访问的实时性要求极高,而庞大的数据库事务日志会消耗大量系统资源,严重影响数据库的性能,往往并不开启,仅保留错误日志以便于系统排障。

数据库审计系统的技术特点

数据库审计系统的技术实现,借鉴了防火墙的报文解析与重组技术(DPI/DFI),通过在底层传输过程中截取报文流,并将其深度解析重组为完整的数据流,再利用语法解析与词法(YACC+LEX)解析技术解析成我们可识别的数据库操作语言,整个过程完全独立于数据库,且不会对数据库有任何影响,其设计天生便是为审计而生。

数据库审计技术的难点

数据库审计系统的技术主要难点在于数据库种类繁多,数据结构多样,协议复杂,很难完整支持。目前深圳昂楷科技有限公司的AAS数据审计系统支持市面主流的关系型数据库系统,同时是后关系型数据库cache数据库的唯一全面支持者,率先支持IP21工业实时数据库的厂家。在大数据与云计算领域,昂楷相关的数据库审计系统也已成功商用,领先于行业。

结论

日志审计系统是在原有日志服务器基础上进一步发展与加强,很好的实现了日志的统一管理与分析,有效的提升的系统故障的检测与排查效率,但其设计的初衷与技术手段决定了其无法适用于审计要求。数据库审计系统的设计初衷便基于数据库内控与审计要求,规避了日志与数据库本身一些不足与缺陷。