在醫院數據庫系統運行期間,需要對現有的數據庫進行審計,確保對現有數據庫系統的敏感操作都有記錄。為了保證審計系統的正常高效運行,數據庫審計系統的日常運維工作是必不可少的。
因為所有的數據操作都是在數據庫中進行的,所以要想審計業務操作的具體情況,必須做數據庫層面的操作審計。常用的數據庫審計系統有兩類:
(一)數據庫內置的審計功能
這種審計系統利用數據庫本身內置的審計功能,能夠審計絕大多數數據庫操作。但是審計的細粒度很低,而且也很難還原SQL操作本身。比如:對于一個數據刪除操作:delete
FROM EMP where
DEPTNO=10;假設表EMP滿足條件DEPTNO=10的記錄數有100條,那么在數據庫審計系統中會有100條delete操作,而不是真正的SQL語句:delete
FROM EMP where DEPTNO=10。并且大多數現有的數據庫無法準確審計DDL語句,如:ALTER TABLE XXX ADD
(col...),個別數據庫產品可以審計DDL語句,但是那都是靠創建數據庫級別的觸發器實現的。
總之,這類基于數據庫產品本身的審計功能的審計系統的審計顆粒度和準確性都有限。而且由于數據庫產品本身的審計功能是基于數據庫引擎之上的,所以會消耗生產數據庫系統本身的資源。如果全部打開所有會話的所有數據庫操作審計,其生產數據庫系統的CPU資源會有15%
~ 30%的額外消耗。所以,如果是使用這類數據庫審計系統,通常只是有目的地針對個別數據或操作進行審計,不會審計整個業務數據庫中所有的操作。
(二)外置旁路模式的數據庫審計系統
外置旁聽模式的數據庫審計系統是一個獨立于生產數據庫的系統,其工作原理是通過網絡旁聽模式監聽并收集所有客戶端發送到生產數據庫中的網絡包,然后在審計系統內部將這些網絡包進行解包還原里面的操作命令(即SQL語句)。將SQL語句捕獲下來后,存入到數據庫審計系統中,然后再根據用戶設置條件進行告警或生成報告。相對于基于數據庫產品自帶的審計功能,外置旁聽模式的數據庫審計系統有以下幾點優勢:不占用生產系統的任何系統資源,由于是基于網絡旁聽的模式,所有的審計操作均是在審計系統上進行的,所以不會占用生產數據庫系統的系統資源;能夠準確還原SQL語句,因為所有的從客戶端發往數據庫服務器的SQL語句都是通過TCP/IP網絡發出的,如果把這些TCP/IP網絡包捕獲下來,按照相應的數據庫產品網絡包格式進行解析,原則上可以得到所有的SQL語句代碼。所以,網絡旁聽模式的數據庫審計產品不僅能夠審計DML操作,還能夠很好地審計數據查詢操作以及DDL操作;有良好的用戶界面,能夠根據用戶需求定制告警條件,并且可以通過黑白名單方式減少日常告警數量。
目前,在醫院信息系統中,多數使用的是這類網絡旁聽模式的數據庫審計產品。不過,需要注意的是,如果用戶直接登錄上數據庫系統所在的操作系統,或者直接在數據庫系統主機的控制臺上進行數據庫操作的話,是不會產生數據庫網絡包的,此類網絡旁聽模式的數據庫審計系統是無法審計這些數據庫操作的。因此,如果要很好地針對生產數據庫做全面的審計,不僅要部署網絡旁聽模式的審計系統,還要結合堡壘機系統、桌面管理系統等。
雖然內置式的數據庫審計系統存在諸多不足,但是對于一些特定場景,比如:僅僅監控數據庫超級管理員的操作,或只想審計某個數據庫對象(表、序列號等)的使用情況時,還是可以開啟數據庫產品內置的審計功能的。對于內置式數據庫審計系統,要做好審計策略、審計對象、審計操作、審計范圍的取舍,確保在不影響系統性能的前提下實現審計目標。在日常運維時需要定期查詢審計結果,及時發現敏感操作。
對于內置式數據庫審計系統,由于審計結果是存放在數據庫主機中的,故需要定時清理審計結果所占用的存儲空間。這個過程容易被數據庫管理員忽視,無論是把審計記錄存放在數據庫中,還是存放在文件系統中,審計記錄占用的空間往往會比數據庫管理員預想的要大。如果把審計記錄放在文件系統中,當審計的范圍大、顆粒度小,會產生大量的審計記錄小文件。這些數以萬計的小文件會極大地影響文件系統的性能。如果對這些空間不加以清理,不僅會因為空間爆滿而不再記錄新的審計記錄,而且可能會影響生產系統的文件系統性能。所以必須定期清理存放審計記錄的空間。
1. 監控系統運行狀態 旁路數據庫審計系統是獨立于生產數據庫之外的系統,如果該審計系統出現故障,不會影響生產數據庫的正常運行,但是不會再記錄客戶端發往生產數據庫的SQL指令了。如果在此期間發生了數據庫安全事件,將無法查詢相應時間段的審計記錄。因此,要確保旁路審計系統處于正常工作狀態。按以下過程確認審計系統是正常的:
首先,登錄審計系統,檢查系統的運行情況。然后從自己的客戶端發出一條SQL指令給生產數據庫。最后檢查審計系統是否檢查并記錄下剛剛發出的測試SQL指令。如果最終能夠在審計系統上看到剛剛發出的測試用的SQL指令,說明審計系統是運行正常的。
2. 設定審計告警策略 網絡旁聽模式的審計系統會記錄所有的客戶端發往生產數據庫系統的SQL代碼,并且不會對生產數據庫產生任何影響,所以不必設定審計范圍。但是需要設定審計告警策略,即:針對哪些數據庫對象的哪些操作,審計系統會主動發出告警信息。主動發送告警信息是網絡旁聽模式數據庫審計系統的一個重要功能,這個功能使得數據庫管理員能夠在安全事件發生后較短時間內被通知。數據庫管理員需要在審計系統中設置需要對什么數據庫對象/表的何種操作(查詢、修改、刪除)進行主動告警。
另外,還需要設置主動告警的方式。一般地,審計系統提供郵件和短信告警。如果要設置郵件告警,需要在郵件系統中專門開通一個用以發送告警郵件的信箱,然后設定SMTP的各種設置:SMTP
服務器、端口以及接收方的郵件地址等。短信告警設置比較簡單,只需要把接收方的手機號碼設好即可。
3. 調整黑白名單 僅僅是設置審計告警策略還是不夠的,因為在實際運維過程中,滿足告警條件的審計記錄是非常多的。對于一個普通的三甲醫院,每天對于關鍵表的查詢操作可能有幾千條之多。這些告警信息中絕大多數都是業務程序產生的。因此,審計系統都會提供黑白名單機制以進一步縮小告警范圍。數據庫管理員需要人工鑒別哪些告警信息是屬于正常業務程序產生的,然后將其加入到白名單中。由于正常業務程序產生的數據庫操作指令雖多,但是基本上都會是重復的SQL指令。經驗表明,經過一個業務周期后,就基本上可以把正常業務程序產生的告警信息加入到白名單了。經過這樣的白名單設置后,再次出現的告警信息不僅很少了,而且都是值得關注的審計信息。如果數據庫安全管理做得完善的話,每天的告警信息應該可以被控制在10~50條之間。對于一個熟悉業務的數據庫管理員來講,每天甄別10~50條SQL語句只需要10多分鐘時間。如果確信某條SQL語句是屬于絕對違反信息安全管理規定的,可以把這類SQL語句設置到黑名單中。一旦在審計記錄中發現符合黑名單條件的,就立即告警。
4. 分析審計結果 如果發現了告警信息,應立即登錄審計系統檢查詳細的告警信息內容。經驗表明,根據告警信息里面的客戶端IP地址等信息可以很快定位到具體的終端,然后在半小時內可以找到具體的責任人。在分析審計結果的過程中,不僅要使用到審計系統本身,還需要借助終端管理工具定位到具體的物理終端。
浙公網安備 33010502006954號 
