核心应用安全审计
在搭建数据库审计环境中,通过部署DB2 Audit Management Expert for z(AME),实施针对子系统级的审计解决方案。AME提供了有效的方法来跟踪数据变化,及时发现谁在什么时间什么地点作了哪些操作,同时生成规范的审计报告。更理想的是AME能从多个角度对审计数据进行分析,能够随时追溯以往的审计报告或审计数据,维护相对独立的审计系统,而不对生产环境造成过多的影响,保证对系统资源的消耗为最小。
AME通过客户端/服务器模式进行工作,这包括一个AME服务器、AME代理和客户端。根据具体的审计需求来确定开启和关闭相应Agent的时间段或周期,以及收集什么样的信息,根据这些审计规范在AME的客户端定制profile,这样Agent将按照事先定义好的profile自动开启,收集信息和关闭。
针对T银行生产环境的特点,理清和规划业务安全审计的具体需求如下:确定什么时间进行哪些不同内容的审计;针对哪些用户或组进行审计;不同时间区间可能发生的审计事件是什么;对审计人员的审计权限和范围界定;对那些关键性目标表进行审计;针对哪些操作实施审计;是否具有时间上周期性审计的特点;对于临时性审计工作的具体范围;审计报告的管理。
在完整定义生产环境基本审计规范的基础上,AME进行自动化的工作,审计人员可以在事后追溯任何审计时间点的审计事件,同时生成相应的审计报告。
关注审计细节
在T银行搭建数据库审计环境中,通过部署DB2 Audit Management Expert for Z(AME),实施针对子系统级的审计解决方案。AME提供了有效的方法来跟踪数据变化,不仅能够进行准确的信息追踪,而且可以生成规范的审计报告,而这一切都可以自动地进行。
目前来看,AME支持的、针对不同活动的审计包括:
● 因授权不足的DB2访问请求
● 显性的授权和撤销操作(GRANT and REVOKE)
● 创建、修改、删除表的操作(表属性为Audit all)
● 一个UOR内的首次修改审计对象,包括(SQL INSERT、UPDATE、DELETE)
● 一个UOR内的首次读操作(SQL SELECT)
● 修改授权ID
● DB2 Utilities
● DB2命令
五大技术要点
第一,关于审计报告生成。
安全审计工具的日志分析功能提供了分析报告生成功能,同时分为一般性报告和详细报告两种类型,非指定的默认状态为生成一般性报告。
一般性的审计可以直接通过客户端查看是否有系统报警信息,如果发生报警,可追溯查看详细的审计事件,直接生成和导出详细审计报告。详细审计报告以Excel的方式保存在审计人员自己的文件管理系统中作为存档,也可以和用户自定义的审计管理系统连接。
第二,审计数据源维护工作。
在安全审计实施规划阶段,根据审计业务的需求,审计数据量级以及系统存储资源情况,确定审计数据库的大小。因为安全审计工具维护自己的审计数据库,不会对系统其他数据库造成影响。
在确定审计数据库大小的基础上,可以规划以半年或更长的时间段为周期,对审计数据库做备份,如System Backup、IMGCopy等。同时根据审计业务的需求,定期对审计数据库做清理。审计数据库的维护工作可以和其他系统维护工作相配合,以满足审计业务的需求为准,进行合理的规划和实施。
第三,审计人员权限管理。
根据内部和外部审计的不同业务需求,建议区分内部和外部审计,对审计人员进行相应的权限分配,防止审计人员的误操作对系统可能带来的影响。比如一般性审计人员建议不授予审计日志分析的权限,防止非正常操作占用系统资源等。
第四,安全审计性能相关。
因为安全审计工具通过DB2 Trace或数据库日志获取审计信息,为了避免不必要的系统资源消耗,建议在制定审计规则Profile的同时,考虑针对不同的时间段,应用不同的审计Profile。在生产系统高峰时间段,最小化不必要的审计工作,在非高峰时间或有内部人员对系统操作时间段,应用级别更高的审计Profile, 而审计报告建议选择在系统非高峰的时间进行生成操作。
在安全审计软件的是运行期间,建议记录INFO级别的日志信息,而确定稳定运行后,建议修改为记录错误日志信息级别。
另外在日志分析功能模块中,工具除了提供一般的分析报告外,为了满足特殊详细的审计需求,可以选择生成详细审计报告。如果没有特殊审计分析需求,建议生成一般性日志分析报告,以节约系统资源消耗。同时可以完全满足日常的日志分析需要。在使用日志分析功能的时候,请先通过日常审计报告,确定需要作分析的具体时间段。指定时间区间越短,对系统资源的消耗越少。
第五,方案实施问题。
定义好审计规则的Profile后,在实施步骤上,建议先在测试环境下部署运行,评估相关的系统开销,根据实际情况调整Profile的规则,稳定运行后再在生产环境上实施部署正式上线。
综合以上及其他具体审计需求,指定审计工作实施方案。可以利用DB2 AME有效而灵活地支持针对不同审计需求的定义和配置,能够更好地节约系统资源,通过合理地切换和激活AME Agent,可以自动实施不同时间段的审计内容,控制审计的工作量,以保障对系统资源占用降到最低。
<<上一页
1
2
3
下一页>>
