資料庫安全稽核產品｜庫柏DBAegis 2.2 設定介面力求簡單 讓非IT人士也能使用

針對資料庫的資訊安全，庫柏資訊研發DBAegis，是由3個模組架構而成，分別是：稽核管理中心SecuCenter、監控與收集資料庫存取活動的SecuFort及記錄使用者透過應用程式存取資料的SecuEyes等。

這套產品本身是硬體結合軟體的資訊安全解決方案，採用封閉的系統是為了符合稽核獨立性的原則，此外它記錄的資訊也都加密，以避免內容被有心人士竊取或修改。目前支援的資料庫包括Informix及Oracle資料庫，根據庫柏資訊的說法，將在第三季支援SQL Server，第四季支援DB2。

DBAegis的特色，在於導入該方案不需要修改現有應用程式，即可監控存取資料的人、事、時、地、物，並予以記錄，若發現異常的存取行為，可即時發布警示，透過郵件或簡訊通知管理者，甚至可設定規則直接阻擋（Block）可疑的存取或查詢行為。

建置時，企業可依安全需求選擇部分模組。若希望監控資料庫的運作狀況，及記錄包括管理者在內的所有人，直接連線資料庫異動的內容，則搭配SecuFort模組；而SecuEyes則是比對網路上傳遞資料內容的模組，所以若是主從式或集中式（Centralized）架構的應用程式，則不必選購此模組。

設定介面力求簡單，讓非IT人士也能使用

DBAegis支援正體中文、簡體中文及英文等三種語系，由於產品定位是給稽核人員使用，以避免資料庫管理者身兼球員及裁判等多重角色，可能造成弊端。因此DBAgeis設定介面力求簡單，希望不具資料庫專業的人士也可以使用。基本的設定包括監控的資料庫、資料表及記錄內容，可以選擇只記錄SQL指令就好，或者連同資料內容也一併記錄。

進一步需要設定的是監控的規則。透過獨立的資料庫安全監控產品，好處在於可以設定規則，針對各類狀況制定不同的作法。

制定規則是一件複雜的工作，所以DBAegis預設了基本規則，稽核人員可就此加以編修。此外，DBAegis也強化設定工作的簡單性，只需要依步驟點選或打勾即可完成。

除了監控規則的預設及自定，系統也內建自動稽核功能

系統提供常用的規則，如設定上下班時間──針對下班時間的資料存取行為，加以記錄並發出警告；或者，若偵測到不合常理的資料存取量，便視為異常──像是一般的存取量是200筆資料，而某個使用者查詢了上千筆資料，或者某個IP發出瞬間大量的Request，便視為異常行為。除此之外，也可以設定黑名單，監控特定帳號的存取行為。

其他設定如偵測未經認可的程式有存取資料庫的行為，這有可能是工程師開發了新程式，也可能有駭客植入後門程式，若設定發出警訊，便可提醒負責人員追查原因。

透過規則的制定，DBAegis可以做到事前、事中及事後的稽核，一旦有異常狀況發生，馬上提出告警（Alert），甚至阻擋（Block）存取行為。不過定義規則對於IT或稽核人員而言，可能有些許難度，所以DBAegis也內建一套機制，會根據資料的使用狀況，彙整使用者行為，一旦發現有異於平常的操作，便自動發出警訊。

這套機制可以在初期輔助資訊安全的負責人員制定規則，此外，也幫助發現不容易察覺的異常行為。例如高階主管通常擁有存取系統較大的權限，但他們平常會存取的報表及功能其實很固定，所以一旦DBAegis偵測到高階主管的帳號，突然執行了過去從來沒有使用過的功能，即使他擁有存取權限，也視為異常現象，將主動通知相關人員。

以SecuFort模組強化資料庫本身的安全防護

針對資料庫端的資料編修及系統設定行為，過去最大的控管問題在於資料庫管理者具有最大的權限，在球員兼裁判的情況下，這個角色可以直接進入資料修改的資料或者日誌檔，而且無法被稽核，因此成為資訊安全的漏洞。

而SecuFort是針對資料庫設計的模組，原廠建議安裝在資料庫的伺服器中，隨資料庫而啟動與關閉，完整記錄所有人對資料庫的操作行為。

只要資料庫的結構、權限、參數……等有任何改變，例如多出一個資料表、預存程序（Stored Procedure）或者增刪資料，都會被SecuFort記錄下來。

透過SecuEyes模組比對網路資料，幫助找到真正的不法者

DBAegis的另一個模組是SecuEyes，主要是針對三層式（Three Tier）或多層式（N-Tier）架構的應用程式，於網路監控存取資料庫的行為。由於應用程式存取資料庫往往採取共用帳號的作法，所以一旦發生資料外洩的情況，企業很難追查到是哪一個使用者有不法行為。

而SecuEyes的作法是分為兩個感測器：DBAegis SecuEyes for Web架在瀏覽器與應用伺服器之間，當使用者透過瀏覽器發出Request的時候，它解讀網路封包的內容，取得來源IP、MAC位址及使用者帳號……等資訊；而另一端DBAegis SecuEyes for SQL的建置位置，則介於應用伺服器及資料庫之間，截取使用者帳號存取資料庫的SQL指令、Session等，兩端的資料加以彙整與比對之後，便可確認是哪一位使用者存取了哪些資料。

報表可層層下掘，稽核者能夠以人追物或以物追人

SecuEyes及SecuFort所記錄的資料，都加密儲存於DBAegis的稽核管理中心SecuCenter中，有心人士就算竊取了硬碟，也無法解讀內容。

SecuCenter所留存的資料庫存取記錄，除了針對異常發出警訊，也提供報表及圖形化的儀表板。針對國內外的法規，例如Payment Card Industry Data Security Standard（PCI DSS）的規範，便提供制式的報表，除此之外，系統也有報表設定介面，使用者只需要依循步驟操作，即可新增一張新的報表，或者也可修改既有報表的格式或欄位，另存成一份新報表。

DBAegis的報表檢視，有層層下探（Drill-Down）的功能，強調「以人追物，以物追人」的概念。也就是說，使用者可以點選任一筆使用者資料，按右鍵檢視此人執行過哪些Web頁面、抓取多少資料及執行的SQL指令。

針對機密性的資料，使用者可在SecuCenter中將該欄位設為敏感性資料，如此一來，報表部分，將透過遮罩（Mask）技術，來隱藏資料的部分內容，避免變成資料外洩的管道。

管理者也可以更進一步設定是否記錄敏感資料的異動內容。例如針對查詢行為，可檢視哪位使用者曾經查詢的資料，若是執行「Update」指令，則會帶出修改前及修改後的資料內容。

如果使用者不確定機密資料在資料庫中遍布的範圍，擔心漏掉某個資料表而造成資料外洩，可在系統中輸入資料的編碼模式，例如身分證字號的模式是首字英文，後接9碼為數字。

這些規則定義出來之後，系統將分析資料庫的內容，協助使用者找到符合此模式的資料中，包括哪些欄位，因此便可以更精確地找到並定義敏感性資料。

報表具層層下掘功能

管理者可在報表中，點選特定資料，按右鍵追查該筆使用者曾經點選的網頁、網頁執行參數、SQL述句及被存取的敏感性資料。反過來，以資料逆向追查使用者也是可以的。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】