特約通訊員王蔚斯

Sent ri go公司的H edgehog是一種優(yōu)秀的數(shù)據(jù)庫(kù)安全軟件解決方案。它是一個(gè)實(shí)時(shí)監(jiān)控所有數(shù)據(jù)庫(kù)活動(dòng)的系統(tǒng)，它基于已定義的策略規(guī)則，對(duì)可疑活動(dòng)進(jìn)行警告，并在需要時(shí)阻止其發(fā)生，保護(hù)用戶敏感數(shù)據(jù)遠(yuǎn)離外部和內(nèi)部惡意用戶的攻擊。

在數(shù)字信息飛速發(fā)展的今天，數(shù)據(jù)庫(kù)技術(shù)已經(jīng)深入各行各業(yè)，隨之而來(lái)的數(shù)據(jù)安全問(wèn)題也越來(lái)越受到人們的關(guān)注。各種應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)通常存儲(chǔ)著大量敏感、高價(jià)值的數(shù)據(jù)，其中包括客戶資料、財(cái)務(wù)狀況、人事資源等。為了保證這些敏感數(shù)據(jù)的安全性，同時(shí)又兼顧商業(yè)訪問(wèn)的需求，數(shù)據(jù)庫(kù)的安全問(wèn)題成為管理系統(tǒng)部署的重點(diǎn)。傳統(tǒng)的系統(tǒng)周邊防護(hù)和網(wǎng)絡(luò)安全措施在一定程度上可以保障數(shù)據(jù)庫(kù)免受某些侵襲，但對(duì)于那些專(zhuān)門(mén)針對(duì)數(shù)據(jù)庫(kù)特有的易損性和數(shù)據(jù)庫(kù)內(nèi)部基本無(wú)防護(hù)狀態(tài)而發(fā)起的數(shù)據(jù)庫(kù)入侵行動(dòng)而言，這些保護(hù)措施卻是有心無(wú)力。更多優(yōu)秀的數(shù)據(jù)庫(kù)安全保障技術(shù)應(yīng)運(yùn)而生，本文介紹的Sentrigo公司正是新一代數(shù)據(jù)庫(kù)安全解決方案供應(yīng)商中的佼佼者，是新一代的數(shù)據(jù)安全衛(wèi)士。

在數(shù)據(jù)安全解決方案上，Sentrigo是公認(rèn)的革新者，它提供了一整套的數(shù)據(jù)安全產(chǎn)品，包括數(shù)據(jù)易損性評(píng)估、虛擬補(bǔ)丁、數(shù)據(jù)活動(dòng)監(jiān)測(cè)等，可應(yīng)用于包括Oracle、SQL Server、Sybase在內(nèi)的眾多數(shù)據(jù)庫(kù)。公司的旗艦產(chǎn)品Hedgehog提供了數(shù)據(jù)活動(dòng)監(jiān)測(cè)（DAM）和實(shí)時(shí)入侵預(yù)防功能，保護(hù)用戶敏感數(shù)據(jù)遠(yuǎn)離外部和內(nèi)部惡意用戶攻擊。

Sent ri go：為數(shù)據(jù)安全保駕護(hù)航

Sentrigo公司認(rèn)為，提高數(shù)據(jù)庫(kù)的安全性不僅包括完善現(xiàn)有數(shù)據(jù)庫(kù)的運(yùn)行環(huán)境，更應(yīng)該能兼容到將來(lái)數(shù)據(jù)庫(kù)升級(jí)后的新環(huán)境。它主推的Hedgehog系列軟件產(chǎn)品，應(yīng)用監(jiān)測(cè)防護(hù)技術(shù)全方位滿足了用戶的安全需求。Hedgehog系列軟件主要從內(nèi)部和外部?jī)蓚€(gè)角度監(jiān)測(cè)數(shù)據(jù)庫(kù)活動(dòng)，通過(guò)部署在每個(gè)數(shù)據(jù)庫(kù)服務(wù)器上的基于內(nèi)存的軟件型傳感器和集中管理控制臺(tái)來(lái)構(gòu)建數(shù)據(jù)庫(kù)的安全策略。用戶不管是在數(shù)據(jù)中心虛擬化架構(gòu)上部署數(shù)據(jù)庫(kù)還是將數(shù)據(jù)庫(kù)轉(zhuǎn)移到云架構(gòu)，都能夠?qū)崟r(shí)保障數(shù)據(jù)安全。

目前，正在使用的數(shù)據(jù)安全保護(hù)技術(shù)有多種，例如：身份管理和訪問(wèn)控制，本地?cái)?shù)據(jù)庫(kù)審計(jì)工具，利用網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控等。但是，傳統(tǒng)的這些方案都存在著一定的局限性。由于訪問(wèn)權(quán)限過(guò)低，極易受到黑客攻擊，授權(quán)用戶也可隨意控制；非完全的分布模式使得系統(tǒng)需要配置單獨(dú)的網(wǎng)絡(luò)服務(wù)器用于分析本地服務(wù)器上傳的數(shù)據(jù)操作，導(dǎo)致在操作頻繁的系統(tǒng)中占用了大量帶寬用于信息的傳送；同時(shí)，由于本地計(jì)算機(jī)不具備獨(dú)立的分析能力，只能事后論證，沒(méi)有防御能力，無(wú)法及時(shí)對(duì)數(shù)據(jù)入侵操作進(jìn)行堵截和報(bào)警。

相比傳統(tǒng)方案，S e n t r i g o公司提供的數(shù)據(jù)安全解決方案擁有以下優(yōu)勢(shì)：

更好地適應(yīng)了當(dāng)今的IT架構(gòu)：整個(gè)Hedgehog的產(chǎn)品線都為軟件形式，用戶可從Sentrigo公司網(wǎng)站下載，且安裝簡(jiǎn)單。它包含了一個(gè)基于網(wǎng)絡(luò)管理控制臺(tái)的服務(wù)器應(yīng)用和安裝于被監(jiān)視的數(shù)據(jù)庫(kù)主機(jī)上的微型傳感器構(gòu)件。安裝程序帶有向?qū)Чδ?，用戶可以在幾分鐘?nèi)輕松地完成整個(gè)軟件的安裝。一旦安裝，Hedgehog擁有的一系列自帶的集成工具，可以讓用戶在任何一個(gè)地方得到關(guān)于數(shù)據(jù)庫(kù)的警報(bào)信息，并為數(shù)據(jù)審計(jì)建立工作日志。相比之下，其它數(shù)據(jù)庫(kù)安全系統(tǒng)需要幾個(gè)月才能完成的部署，Hedgehog只需幾周甚至幾天時(shí)間就可啟動(dòng)和運(yùn)行。

分布式的軟件模式，節(jié)約時(shí)間和成本：通過(guò)給每個(gè)數(shù)據(jù)庫(kù)管理器上的傳感器分配不同的安全策略，Sentrigo的架構(gòu)可以被直接部署在大型系統(tǒng)中而無(wú)需另加網(wǎng)絡(luò)服務(wù)器。服務(wù)器和傳感器之間的所有傳送信息都是被加密和壓縮的，傳感器發(fā)送的信息被限制為簡(jiǎn)單的安全策略管理和警報(bào)信息，服務(wù)器也僅在必要情況下向傳感器發(fā)送更新的安全策略，警報(bào)信息和安全事件只占用極少量的帶寬（一般只占用服務(wù)器CPU的2%-5%）。對(duì)帶寬的有效利用使Sentrigo解決方案可應(yīng)用于廣域網(wǎng)（WAN）拓?fù)浣Y(jié)構(gòu)。

H edgehog ：實(shí)時(shí)數(shù)據(jù)庫(kù)監(jiān)視和入侵防御

Sentrigo公司的主打產(chǎn)品Hedgehog是一個(gè)基于主機(jī)的數(shù)據(jù)庫(kù)安全軟件解決方案，可實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)活動(dòng)監(jiān)測(cè)、數(shù)據(jù)庫(kù)審計(jì)和預(yù)防入侵。Hedgehog可以在幾天內(nèi)部署完成上千個(gè)數(shù)據(jù)庫(kù)，且對(duì)數(shù)據(jù)庫(kù)性能的影響很小，即使在操作頻度極高的系統(tǒng)中也不會(huì)影響數(shù)據(jù)庫(kù)的日常運(yùn)作。它完美地整合了用戶已有的安全構(gòu)架、IT管理，可用于部署企業(yè)級(jí)數(shù)據(jù)庫(kù)。對(duì)于那些要求數(shù)據(jù)庫(kù)操作監(jiān)控、入侵預(yù)警、目標(biāo)用戶鑒別和虛擬補(bǔ)丁的用戶而言無(wú)疑是最佳選擇。

數(shù)據(jù)庫(kù)活動(dòng)監(jiān)測(cè)（D A M）

Hedgehog高效的數(shù)據(jù)監(jiān)視器和日志功能可以記錄所有對(duì)敏感信息的操作記錄（也包括數(shù)據(jù)定義和設(shè)置），同時(shí)保證零操作延時(shí)。系統(tǒng)警報(bào)信息被保存在管理服務(wù)器上，僅可被擁有Hedgehog軟件許可的用戶訪問(wèn)，有效地實(shí)現(xiàn)了許多規(guī)范中要求的“職責(zé)分離”。它主要有如下特征：

·獨(dú)立監(jiān)測(cè)和審計(jì)所有數(shù)據(jù)活動(dòng)，包括管理員操作、所有一般操作

·在數(shù)據(jù)庫(kù)外安全的存儲(chǔ)操作日志

·整合多個(gè)異構(gòu)數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）操作并且將不同DBMS操作規(guī)范化

·執(zhí)行系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、信息安全人員和合規(guī)人員的責(zé)任分離制

實(shí)時(shí)堵截入侵

通過(guò)查閱日志文件，及時(shí)發(fā)現(xiàn)威脅數(shù)據(jù)庫(kù)的罪魁禍?zhǔn)资且环矫?，在入侵發(fā)生的第一時(shí)間堵截，保證數(shù)據(jù)庫(kù)安全又是另一重要保護(hù)措施。當(dāng)Hedgehog Enterprise監(jiān)測(cè)到數(shù)據(jù)庫(kù)安全受到威脅時(shí)，向管理控制臺(tái)或第三方事件監(jiān)測(cè)工具發(fā)布實(shí)時(shí)警報(bào)。而對(duì)于高危攻擊，通過(guò)適當(dāng)?shù)呐渲?，Hedgehog Enterprise可立即終止入侵操作，并在一段時(shí)間內(nèi)隔離可疑用戶，同時(shí)升級(jí)防火墻阻止該可疑IP的重新接入。Hedgehog Enterprise主要有以下特點(diǎn)：

非入侵式數(shù)據(jù)操作：對(duì)于應(yīng)用實(shí)時(shí)入侵防御系統(tǒng)（IPS）的數(shù)據(jù)而言，一項(xiàng)關(guān)鍵的技術(shù)難題是避免增加操作延時(shí)和引起新的單點(diǎn)故障。Sentrigo獨(dú)特的分布式構(gòu)架使每個(gè)數(shù)據(jù)服務(wù)器上傳感器擁有自主操縱權(quán)，相互獨(dú)立地運(yùn)行。一旦接收到來(lái)自管理服務(wù)器的安全警報(bào)，各個(gè)傳感器都進(jìn)行單獨(dú)評(píng)估，任何進(jìn)行中的侵害行為都將被立即停止。Sentrigo方案為內(nèi)存掃描模式，因此安全策略不會(huì)增加數(shù)據(jù)操作延時(shí)，即使某個(gè)安全構(gòu)件失效也不會(huì)影響前端數(shù)據(jù)庫(kù)的使用。

自由配置：使用Sentrigo獨(dú)創(chuàng)的專(zhuān)利技術(shù)，Hedgehog監(jiān)控器可實(shí)時(shí)地監(jiān)測(cè)所有數(shù)據(jù)操作，包括：存儲(chǔ)操作、觸發(fā)服務(wù)、構(gòu)件視圖、數(shù)據(jù)加密等?；诟叨褥`活的軟件策略，通過(guò)配置，系統(tǒng)可記錄低優(yōu)先級(jí)活動(dòng)并對(duì)最高危行為發(fā)出警報(bào)并終止操作。配置可以被選擇應(yīng)用于所有數(shù)據(jù)庫(kù)，或者用戶自定義的需要對(duì)敏感數(shù)據(jù)執(zhí)行最嚴(yán)格的監(jiān)控的數(shù)據(jù)庫(kù)。

虛擬補(bǔ)丁：正規(guī)的補(bǔ)丁通常要經(jīng)過(guò)某些IT標(biāo)準(zhǔn)或內(nèi)部政策的審核，等到正式發(fā)布通常要幾個(gè)月甚至幾年。這期間公司數(shù)據(jù)庫(kù)都處在未打補(bǔ)丁的不安全狀態(tài)，容易使關(guān)鍵數(shù)據(jù)庫(kù)受到侵襲，導(dǎo)致數(shù)據(jù)丟失、隱私被竊。Hedgehog的虛擬補(bǔ)丁（Hedgehog vPathc）為未打補(bǔ)丁的DBMS內(nèi)核提供保護(hù)，通過(guò)在數(shù)據(jù)庫(kù)周?chē)鷺?gòu)建安全層，使數(shù)據(jù)庫(kù)免受侵?jǐn)_，同時(shí)可阻隔來(lái)自黑客的一般入侵，而且它無(wú)需停機(jī)時(shí)間或者應(yīng)用測(cè)試。

易損性評(píng)估

Sentrigo公司的易損性評(píng)估解決方案（Hedgehog DBscanner）能夠?yàn)橛脩羧罢宫F(xiàn)當(dāng)前數(shù)據(jù)庫(kù)的安全狀況，包括正在運(yùn)行的每個(gè)數(shù)據(jù)庫(kù)的補(bǔ)丁版本、密碼強(qiáng)度等超過(guò)3000項(xiàng)的檢測(cè)結(jié)果?？蓲呙鐿racle,Microsoft SQL Server,IBM DB2 and MySQL數(shù)據(jù)庫(kù)和應(yīng)用程序，DBscanner是最全面的數(shù)據(jù)庫(kù)易損性評(píng)估解決方案。DBscanner的掃描結(jié)果可以從Hedgehog控制臺(tái)獲取，可快速、簡(jiǎn)便地整合進(jìn)Hedgehog Enterprise，自動(dòng)保護(hù)系統(tǒng)免于最新發(fā)現(xiàn)的入侵行為。

云時(shí)代的數(shù)據(jù)安全保障

云計(jì)算是IT業(yè)最熱門(mén)的話題，相對(duì)于傳統(tǒng)的軟件構(gòu)架，低成本、高效率的特點(diǎn)使其發(fā)展迅速。然而，將用戶的敏感數(shù)據(jù)信息轉(zhuǎn)移到云中，對(duì)數(shù)據(jù)庫(kù)的安全保障提出了重大挑戰(zhàn)。相比傳統(tǒng)軟件，由于云計(jì)算的特點(diǎn)，用戶數(shù)據(jù)分散存儲(chǔ)，外部訪問(wèn)者擁有內(nèi)部接入權(quán)，傳統(tǒng)的數(shù)據(jù)監(jiān)視變得形同虛設(shè)。此時(shí)，Sentrigo基于內(nèi)存掃描的傳感器架構(gòu)凸顯優(yōu)勢(shì)，它使云架構(gòu)下的數(shù)據(jù)庫(kù)安全管理如同本地?cái)?shù)據(jù)庫(kù)一樣容易且安全。

遠(yuǎn)程監(jiān)控?cái)?shù)據(jù)庫(kù)安全

在虛擬化和云計(jì)算的環(huán)境中，客戶通常需要考慮很多關(guān)鍵性的因素。首先，由于數(shù)據(jù)庫(kù)服務(wù)器不屬于用戶私有網(wǎng)絡(luò)，這給傳統(tǒng)的基于網(wǎng)絡(luò)的數(shù)據(jù)監(jiān)測(cè)解決方案帶來(lái)了不可逾越的障礙。另外，系統(tǒng)環(huán)境的動(dòng)態(tài)特性意味著服務(wù)器需要頻繁對(duì)資源進(jìn)行預(yù)分配和再分配以保證資源的最大利用率。由于服務(wù)器動(dòng)態(tài)配置的特性（用戶不能確定需要監(jiān)控哪臺(tái)服務(wù)器）導(dǎo)致簡(jiǎn)單地將監(jiān)視器程序安裝在目標(biāo)數(shù)據(jù)庫(kù)的做法不可行。

Sentrigo公司的Hedgehog方案依托可自主運(yùn)作的傳感器架構(gòu)，在分布式的環(huán)境中也可以很好地運(yùn)作。系統(tǒng)中安裝Hedgehog后，無(wú)需任何配置，Hedgehog將立即與管理服務(wù)器建立聯(lián)系。在Hedgehog中，所有管理服務(wù)器之間的有關(guān)設(shè)置策略和收發(fā)警報(bào)的信息都是被加密、壓縮過(guò)的，避免任何相關(guān)的網(wǎng)絡(luò)安全問(wèn)題。此外，由于傳感器是本地自主運(yùn)作的，云中的資源可以免除各種攻擊就如同數(shù)據(jù)存儲(chǔ)在用戶的本地系統(tǒng)中。

監(jiān)控移動(dòng)數(shù)據(jù)庫(kù)和特權(quán)用戶

利用虛擬技術(shù)，云計(jì)算架構(gòu)使計(jì)算機(jī)（虛擬機(jī)或物理機(jī)）可以利用更多的資源服務(wù)數(shù)據(jù)庫(kù)系統(tǒng)。而且數(shù)據(jù)庫(kù)可以獨(dú)自運(yùn)行，無(wú)需用戶配置機(jī)名和網(wǎng)段等。但是，許多數(shù)據(jù)庫(kù)安全方案要求用戶安裝代理，安裝代理通常需要變更內(nèi)核級(jí)別、重啟系統(tǒng)等，這些都在很大程度上影響了數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)作。此外，由于更改了管理服務(wù)器配置，使用這些安全方案后，數(shù)據(jù)庫(kù)服務(wù)器的自動(dòng)配置過(guò)程難以進(jìn)行。

監(jiān)視服務(wù)器上虛擬機(jī)間的活動(dòng)

如果用戶在部署虛擬化環(huán)境時(shí)允許各種應(yīng)用共享服務(wù)器的硬件，那么同一服務(wù)器的應(yīng)用與數(shù)據(jù)庫(kù)間的通信將僅在本機(jī)上可見(jiàn)，這將使得基于網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)安全方案難以監(jiān)控同一服務(wù)器上的數(shù)據(jù)操作。為了避免這一問(wèn)題，通常需要添加本地代理，以處理本地虛擬機(jī)間的數(shù)據(jù)活動(dòng)。然而，這些本地代理并不能像Sentrigo公司的傳感器一樣可以自動(dòng)運(yùn)作保護(hù)本地?cái)?shù)據(jù)安全。它們只能將可疑操作上傳網(wǎng)絡(luò)服務(wù)器進(jìn)行分析，這種方式不僅極大地占用系統(tǒng)資源，也難以高效地處理虛擬機(jī)間頻繁的數(shù)據(jù)活動(dòng)。

Sentrigo公司的Hedgehog依托真正的分布式構(gòu)架，使同一服務(wù)器上的多臺(tái)虛擬機(jī)可以獨(dú)立地設(shè)置安全策略，發(fā)送操作警報(bào)，全面保障本地?cái)?shù)據(jù)安全。這也使Hedgehog成為虛擬環(huán)境下最有效的數(shù)據(jù)安全解決方案。

動(dòng)態(tài)環(huán)境中監(jiān)視數(shù)據(jù)活動(dòng)

在虛擬構(gòu)架中，特別是云計(jì)算環(huán)境下，運(yùn)行數(shù)據(jù)庫(kù)的計(jì)算機(jī)經(jīng)常需要更新，每個(gè)新的虛擬機(jī)都需要被有效地監(jiān)控以確保服從整體信息安全策略的管理。這也意味著運(yùn)行數(shù)據(jù)庫(kù)的新虛擬機(jī)需要安裝必要的軟件，并且依據(jù)它承載的數(shù)據(jù)和數(shù)據(jù)安全規(guī)范對(duì)軟件進(jìn)行單獨(dú)配置。例如，許多DAM系統(tǒng)要求的代理軟件就很難在第一時(shí)間被裝入虛擬機(jī)，因?yàn)榇淼陌惭b需要更改內(nèi)核等級(jí)、重啟系統(tǒng)等等，這也導(dǎo)致了DAM系統(tǒng)不能自動(dòng)更新虛擬機(jī)。

在Sentrigo架構(gòu)下，開(kāi)機(jī)時(shí)系統(tǒng)即可監(jiān)測(cè)到新安裝的虛擬機(jī)，本地傳感器將被自動(dòng)地安裝在新的虛擬機(jī)上，并與管理服務(wù)器取得連接，以便配置虛擬機(jī)安全策略。無(wú)需手動(dòng)配置虛擬機(jī)，無(wú)需安裝復(fù)雜的代理軟件，Sentrigo使系統(tǒng)的更新更加自動(dòng)和便捷。

Sentrigo公司憑借著數(shù)據(jù)安全領(lǐng)域的領(lǐng)先技術(shù)贏得Network World、SC雜志等媒體的一致好評(píng)。最近，Sentrigo又獲得云計(jì)算世界大獎(jiǎng)賽的“最佳安全解決方案獎(jiǎng)”以及2010全球最佳產(chǎn)品獎(jiǎng)。相信在不久的將來(lái)，Sentrigo將會(huì)在數(shù)據(jù)安全領(lǐng)域貢獻(xiàn)更多新的技術(shù)與產(chǎn)品，取得更加卓越的成績(jī)！

參考資料：http://www.sentrigo.com/