网络安全 频道

数据库审计系统:用户自己的福尔摩斯

        【IT168 案例】“叮铃铃、叮铃铃……”,“这大早上的,谁呀?”,周一的早上,信息处安全室的廖明前脚刚跨进办公室,桌上的电话铃声就急促的响了起来。小廖嘴里嘟囔着,边放下双肩包和手上的三明治,边拿起话筒,还没等小廖发问,电话那头一个严厉的声音将廖明的神经绷成了180度,“这个月有笔已报销的财务报销单的状态被修改成了未报销,你马上过来一下”,是张处长,随之电话挂断了。

  张处长的话语少见的严厉,紧张的廖明边走边琢磨,改了状态?看起来不是个小事。当廖明进到处长办公室的时候,惊讶的发现信息处网络管理员李敏、财务部王霞、信息处数据库管理员魏强几名主管正围坐在一起。张处长见廖明进来了,指了指旁边的椅子,示意廖明坐下。但廖明在路上已经想好了办法,准备先显示一下自己的专业性,所以没等别人说话,马上抢着说:“各位,我马上去数据库审计系统里查找证据,各位不要着急。”说完看了下处长,意思是领导您看呢?张处长犹豫了一下,说道:“小廖,这个事情很严重。这笔报销单的金额较大,背后可能隐含未知的经济利益方面的安全事件,刚刚魏强在数据库服务器上没有查到任何线索,我们现在把希望都放在了你这,希望能够通过数据库审计系统找出相关人员和证据。”

  “小廖,我也查了一早上,就是在数据库审计系统里面查的,没有查到有价值的信息,只查到了修改这个报销单状态的数据库语句,但操作者是报销系统和数据库之间交互的一个公共账户,没有实际价值,背后的操作者应该是通过某种手段进入了报销系统,然后通过报销系统进行的修改,在我的数据库审计系统里面查询不到这个背后的操作者”,数据库管理员魏强此时接着说了一句。由于公司需要,廖明所在的公司引进了两套异构的数据库审计系统,一套是某公司的,另一套是启明星辰公司提供的。魏强和廖明都是审计管理员,魏强是某公司数据库审计系统的管理员,也负责审计工作。廖明是启明星辰天玥数据库审计系统的审计管理员,系统管理员由其他管理人员负责,廖明只负责审计。

  “这样的话,是要好好分析一下了。”廖明听完,觉得这件事情不是简单的一件对数据库进行修改的事件,脑海里随之想起来启明星辰数据库安全专家在培训时讲到的“业务系统对数据库的访问,目前应用最为广泛,也是大量数据库操作的来源。一般来说,虽然用户采用不同的账户访问Web中间件,但是中间件对数据库的操作却是通过某一内置的固定账号进行的,如果单纯审计Web中间件对数据库的操作,就无法将数据库行为对应到具体业务用户,单纯审计业务用户对中间件的操作,又无法得知这些操作带来的数据库改变。目前业内的数据库安全审计产品审计到的绝大部分是Web中间件去调用数据库产生的数据库事件,无法审计到隐藏在Web中间件背后的真正操作者。启明星辰天玥数据库审计产品采用独有的专利技术——CN101388899 一种Web服务器前后台关联审计方法及系统,通过前后台关联,完美的解决了这一难题,实现了数据库操作(SQL)至具体用户(HTTP-USER、HTTP-URL、HTTP-IP)的100%精确的关联,并且是实时的关联,不需手工二次操作,直接在SQL事件中体现。该项功能是启明星辰数据库审计产品区别于其它同类产品功能的特色之处。”

  “好的,我马上就查,大家跟我来。”说完廖明带领着大家来到工位,打开启明星辰天玥数据库审计系统的审计查询界面,通过数据库管理员魏强提供的数据库表结构信息和财务部王霞提供的关于报销单的单据信息,开始在启明星辰天玥数据库审计系统里面寻找证据。

  功夫不负有心人,廖明通过启明星辰天玥数据库审计产品提供的业务关联审计功能,成功的将幕后的操作者在报销系统中的修改证据查找了出来,其所用报销系统的账号是“xugou”,其在报销系统中体现的客户端IP是“192.168.57.8”,时间是“XXXX/XX/XX 02:18:27”,其修改报销单状态的URL部分内容是Http://192.168.0.27/baoxiaodan-modify.do? 1' or (update baoxiao set state=false where user='xugou')?????????

  小廖把此条信息从启明星辰数据库审计系统中导出来后,打印出来摆在了大家面前。网络管理员李敏拿起来看了看,思索了一下,然后肯定的说:“嗯,这个xugou应该是在凌晨2点多钟,从某个地方登录了我们公司的VPN,看,这个客户端IP是公司VPN的IP,然后使用VPN的跳转功能登录到报销系统中,并在浏览器中直接输入了这个修改报销单状态的URL,这不仅导致在报销系统中没有留下证据,在某公司的数据库审计系统中也没有留下证据。但天网恢恢疏而不漏,他没想到启明星辰的数据库审计系统把他的作案过程完整的记录了下来,嗯,真是好样的。”李敏拍了拍廖明的肩膀,然后对信息处张处长说:“处长,剩下的事情就交给我吧。”

  张处长用赞许的眼神看了看廖明,然后对李敏说到:“好,希望你能再接再厉,把元凶缉拿到案。”

  事情到此,廖明终于算松了一口气。看来,当初力排众议,坚决选用启明星辰的天玥数据库审计系统进行异构,是非常明智和正确的选择。

1
相关文章