• 西安外事学院在省茶艺大赛中创多项佳绩西安外事学院-陕西教育新闻 2019-10-25
  • 人民网评:让军人成为全社会最尊崇的职业 2019-10-17
  • 新规:续航150公里以下新能源车取消补贴 2019-10-11
  • 法国革命时代,女人流行穿什么 2019-10-11
  • 黑龙江省县(市、区)委统战部长培训班举办 2019-10-06
  • “夏季第一瓜”竟是它! 2019-10-06
  • 《阿古顿巴》藏语版在藏语卫视首播 2019-09-06
  • 晋中市“三同步”推动互联网治理创新 2019-08-27
  • 法媒:研究称美国人常用药物或增加抑郁风险 2019-08-27
  • 宝贝是地名,你能想到这么浪漫的地名在哪儿吗? 2019-08-15
  • 何树山副省长到方圆机电调研指导工作 2019-08-15
  • 广西快乐双彩今晚中奖详情:使用S-GATE拦截策略建立解决方案?;な菘獍踩?/h1>

    来源:本网整理
    所以在数据库非法操作将要发生时,从数据库本身或者网络层就阻止并拦截该数据库操作,将避免数据库遭受巨大的损失。IBM Infosphere Guardium 中的 S-GATE 提供了一套完整的数据库活动实时监控拦截策略,并通过防火墙开启模式和防火墙关闭模式有针对性的对数据库会话实行监控,并有效的降低了实时监控所带来的负 载。本文将结合企业级数据库实时监控治理的实际应用场景,讲述如何使用 S-GATE 的拦截策略建立解决方案来?;な菘獾陌踩?。

    彩票双色球历史开奖结果 www.s9h6.com 在数据快速增长,迅速庞大,且数据库平台越来越多样性,对特权用户管理十分繁杂,数据库安全事故频频发生的时代,如何使用较低的成本做好数据库系统的风险 控制,敏感和隐私数据的?;?,监管?;だ醋云笠的诓亢屯獠康耐?,同时做好合规性审计,对于大多数企业来说变得越来越重要,需求越来越迫切。

    S-GATE

    S-GATE 通过一组不同粒度的策略,在不影响应用访问和不对数据库做任何配置更改的前提下,加强对多种数据库平台的管理,以及数据隐私法规职责的划分。S-GATE 是一种跨多数据库管理平台的管理技术,阻止特权用户(如:DBA,开发人员,外包人员,和其他超级管理员)的访问和对敏感数据的更改。S-GATE 监控所有的类型的数据库连接,包含远程数据库访问,如 TCP,TLI 等;和本地数据库访问,如 Oracle Bequeath,DB2 Shared memory,TLI,IPC 等。

    数据库活动实时监控和拦截

    实时监控是数据库安全?;ぶ械囊恢稚畈悴呗?,主要提供探测控制,但是仅仅凭借监控无法阻止某些针对数据库的非法行为,如:

    查询敏感数据库表

    修改敏感数据

    创建或删除关键数据库表

    创建新用户,和给用户赋予权限

    而 S-GATE 恰恰可以阻止上述行为真实发生,同时使用非侵入的方式,在不对数据库和应用本身做任何修改,就能提供一套完整数据库非法事件拦截的解决方案。这里需要提到 InfoSphere Guardium STAP,一个安装在数据库服务器上的轻量级软件代理,STAP 提供对数据库的实时监控能力,同时也提供拦截非法数据操作的能力。STAP 在进行实时监控的同时,会询问部署在 Guardium appliance(G-machine)上的 S-GATE 策略,有针对性的拦截非法数据库操作。

    S-GATE 功能详细介绍

    S-GATE 的工作原理

    在对 G-GATE 功能进行详细介绍之前,让我们通过一个 S-GATE 部署在生产环境中的工作流程图,来快速了解一下 S-GATE 的工作原理。如图所示,上半部分是一个典型的应用系统架构,应用服务器通过 TCP 协议直接访问数据库。下半部分,后端特权用户可以直接登录到数据库服务器访问数据。Infosphere Guardium 会部署一个 STAP 在数据库服务器上,其中包含了 S-GATE,同时在网络上部署着一台 G-machine, 用于接收 STAP 传递回来的信息,S-GATE 相关策略也安装在在该 G-machine 中。

    图 1. S-GATE 原理

    S-GATE 原理

    当授权用户与数据库建立会话连接,发送有威胁的 SQL 语句到数据库时,S-GATE 会在用户请求到达数据库之前暂时拦截这条 SQL 语句,同时 S-GATE 会迅速询问定义在 G-machine 中的策略当前 SQL 是否合法,如果请求合法会立即放行让其进入 DB 中执行,如果请求非法 S-GATE 会果断丢弃这条 SQL,阻止它进入 DB 执行,并中断当前用户的数据库会话连接。

    S-GATE 的模式

    当 S-GATE 存在时,所有数据库连接(会话)都被评估,Guardium 会将其标记为以下模式的其中一种进行监控。

    Attached(S-GATE 开启)

    当会话处于 Attached 状态,既 S-GATE 开启模式下,STAP 处于当前会话的防火墙模式,它会暂时阻挡正在进入数据库的请求,并通过 S-GATE 事先定义在 G-machine 上的策略裁决该请求的合法性,再决定对当前会话请求采取放行或者拦截的措施。在这种模式下会有延迟,但 Attached 可以确保对所有非法请求的有效拦截。

    Detached(S-GATE 关闭)

    当会话处于 Detached 状态,既 S-GATE 关闭模式下,STAP 处于当前会话的普通模式下,当前会话下的任何数据库请求将直接访问到数据库,没有任何延时。S-GATE 在此模式下不会对用户行为做任何干预。

    S-GATE 操作

    S-GATE 的策略中提供是三种操作方式:Attach(开启),Detach(关闭),Terminate(中断)。用户可以根据自己的业务逻辑,灵活选择适当的条件(包括数据库访问信息,会话信息,数据库信息,表信息,返回值信息,错误信息等),并添加适当的操作类型,来完成符合生成环境需求的策略,有效的杜绝数据库威胁事件的发生。

    S-GATE ATTACH:

    对特定数据库会话,将 S-GATE 设置成 Attached 模式(开启模式),其目的是当用户的操作满足某个特定条件时,当前会话上的请求和返回将被加以紧密的监测,并随需要拦截并中断会话。

    S-GATE DETACH:

    对特定数据库会话,将 S-GATE 设置成 Detached 模式(关闭模式),其目的是当用户的操作满足某个特定条件时,当前会话会被认为是安全的会话,或者是不能容忍任何等待时间的会话。此会话上的任何请求将不会被 S-GATE 严密监控。

    S-GATE TERMINATE:

    S-GATE Terminate(中断)只对 S-GATE 开启模式下的数据库会话有效,即只对 Attached 状态下的会话生效,对 Detached 状态下的会话无效。当有恶意请求满足当前的策略条件,该请求会被丢弃,其返回数据会被删除,且数据库上的当前会话将被中断,之后 S-GATE 也将不再观察该会话,同时一条违规信息会被记录在 G-machine 上。

    S-GATE 配置

    需要使用 S-GATE,必须在 STAP 上配置开启(安装)S-GATE,才能使 S-GATE 工作。在 STAP 的配置文件 guard_tap.ini 中可以找到 S-GATE 的配置参数,可以通过命令行或者 GIM(Guardium Installation Manager)对其进行配置。(在配置文件和某些地方 S-GATE 也被称为 Firewall)

    firewall_installed

    这个参数决定了是否使用 S-GATE,设置的值可以为 1 或者 0,默认值为 0。将该值设置为 1 表示使用 S-GATE,这时 S-GATE 才会与 G-machine 上定义的 S-GATE 策略联合工作,与 S-GATE 相关的功能才能生效;设置为 0 表示不使用 S-GATE,任何与 S-GATE 相关的功能将都不生效,该参数是 S-GATE 的总开关,如果为 0 即关闭则后续所有参数的设置都将失效

    firewall_default_state

    这个参数确定了 S-GATE 的初始模式,设置的值可以为 1 或者 0,默认值为 0。将该值设置为 1 表示 S-GATE 开启后初始为防火墙开启模式(Attached),即对当前 STAP 监控的所有数据库访问,都采取默认 Attached 模式,保持密切的监控;将该值设置为 0 表示初始为普通模式,即对当前 STAP 监控的所有数据库访问,都采取 Detached 模式。注意只有在设置 firewall_installed=1 的时候 firewall_default_state 配置才能生效。

    firewall_fail_close

    firewall_fail_close 和 firewall_timeout 需同时配置才能生效,处理在数据库会话中 STAP 长时间无法得到 G-machine 上 S-GATE 策略判断响应的情况下,采取继续阻挡数据库请求,或放行数据库请求措施。设置的值可以为 1 或者 0,默认值为 0。将该值设置为 1 表示当 STAP 无法得到 G-machine 响应超时,或者已经可以确定 G-machine 已无法连接时,为了安全起见,S-GATE 会果断阻止数据库请求进入数据库,并直接断开当前会话的数据库连接,确保符合条件的数据库会话都必须在 S-GATE 的监管下进行访问;设置为 0 表示当 STAP 无法得到 G-machine 响应并超时时,或者已经可以确定 G-machine 已无法连接时,直接放行数据库请求进入数据库,保证数据库的正常访问。注意只有在当前数据库会话处于防火墙模式下的时候 firewall_fail_close 配置才能生效。

    firewall_timeout

    设置 firewall_fail_close 的超时时间,设置的值可以为任意正整数或者 0,默认值为 10,所设置的值即为超时的时间值,单位为秒。

    firewall_force_watch

    该参数用于默认使用普通模式(Detached)监控的设置中,对某些网络 IP 段上的数据库会话连接强制开启防火墙模式。设置的值可以为一组以逗号分隔的 IP/MASK 段或者 NULL,默认值为 NULL。仅当 S-GATE 开启且 firewall_default_state=0 时,可以通过设置一组 IP/MASK 段,可强制对通过这些 IP 段的 TCP 数据库访问会话开启防火墙模式。如:1.1.1.1/1.1.1.1,2.2.2.2/2.2.2.2。此设置不影响其他 IP 段和本地数据库连接的监控模式和设置。将参数设置为 NULL,此功能将不生效。

    firewall_force_unwatch

    该参数用于默认使用防火墙模式(Attached)监控的设置中,对某些网络 IP 段上的数据库会话连接强制关闭防火墙模式。设置的值可以为一组以逗号分隔的 IP/MASK 段或者 NULL,默认值为 NULL。仅当 S-GATE 开启且 firewall_default_state=1 时,可以通过设置一组 IP/MASK 段,可强制对通过这些 IP 段的 TCP 数据库访问会话关闭防火墙模式,使用普通模式。如:1.1.1.1/1.1.1.1,2.2.2.2/2.2.2.2。此设置不影响其他 IP 段和本地数据库连接的监控模式和设置。将参数设置为 NULL,此功能将不生效。

    商业应用场景

    企业中我们是否经?;嵊龅秸庑┦菘庵卫淼奈侍?,如何利用 S-GATE 实时监控并?;な菘獾陌踩?? 如何在提高监控和拦截的精准度的同时,兼顾数据库服务器的高性能? 如何在复杂的企业应用部署中灵活的配置安全策略? 接下来将使用几个商业应用场景解析这些问题, 并实际应用 S-GATE 的基本模式,操作和配置。

    在讲解过程中我们将会涉及到如下信息:

    数据库服务器:AIX

    数据库:Oracle

    表:EMP

    普通用户:scott

    管理员用户:sysdba

    工作时间:9:00-18:00

    工作场所 IP 段:9.181.*.*

    场景 1. 制定不同用户对表的操作权限。

    需求

    两个 Oracle 用户 PM 和 HR 分别管理不同的业务分支,HR 下有一个员工信息表 EMPLOYEES 用于管理员工信息。在数据库本身 PM 对 HR.EMPLOYEES 表有着和 HR 一样的操作权限。我们需要通过 Guardium S-GATE 对两个用户的权限做以下管理。

    数据库操作 用户 PM 用户 HR
    查询员工信息 允许 允许
    修改员工信息 不允许 允许

    需求分析

    需要使用 Guardium 对数据库的监控做集中的管理,我们可以使用 S-GATE 来阻止用户的不当或非法操作。HR 用户对 EMPLOYEES 表有绝对的管理权限,不受任何限制,为了降低 S-GATE 对数据库系统的影响,我们可以不用对 HR 用户建立的数据库会话加以监控和开启 S-GATE。而 PM 用户不允许修改员工信息,我们需要对其建立的数据库会话开启 S-GATE,并当遇到 PM 修改员工信息的时候拦截其操作。

    设计

    在 STAP 端,我们需要安装 S-GATE,并保持默认不开启 S-GATE 状态;

    在 G-machine 上我们要建立以下 S-GATE 策略:

    策略:SGATE_FOR_USER_PM

    规则名:SGATE_USER_PM_ATTACH

    条件: DB User=PM

    操作: S-GATE ATTACH

    规则名:SGATE_USER_PM_UPDATE_EMP_TERMINATE

    条件: DB User=PM,Object=HR.EMPLOYEES,Command=update

    操作: S-GATE TERMINATE

    实施

    配置 STAP 参数,在 guard_tap.ini 文件夹中修改以下参数,并重启 STAP 使配置生效;

    firewall_installed=1

    firewall_default_state=0

    firewall_installed 设置为 1 表示启用 S-GATE,如果为 0,则任何 S-GATE 相关的功能将都不生效。为了让数据库系统得到最大的访问性能,我们没有吧 firewall_default_state 设置为 1,因为并不是所有的数据库会话我们都需要紧密关注,在这里我们只需要关注 PM 用户建立的数据库会话,可以是用 Attach 策略动态的对其会话设置 S-GATE 开启模式,其它用户的请求将不被 S-GATE 关注,当然用户的访问也不会有任何的延时。

    1. 在 G-machine 上建立策略

    如图,登录 Guardium 的管理界面,选择选项卡中的“Tools”,在左边窗口选择“Config Control”中的“Policy Builder”,会出现 Policy 的管理界面,单击“New”进入策略定义界面。

    图 2. 建立策略

    建立策略

    如图,在“Policy description”中填入我们事先设计好的策略名称“SGATE_FOR_USER_PM”,单击“Apply”提交定义。

    图 3. 建立策略

    建立策略

    如图,在定义好策略后,系统会进入到当前策略的管理界面,点击“Edit Rules”可以进入到策略规则的管理界面。

    图 4. 建立策略

    建立策略

    如图,单击“Add Access Rule”新建一个访问规则。

    图 5. 建立策略

    建立策略

    如图,在访问规则定义界面中,我们根据之前的设计,分别在条件中设置“Description”为“”,设置“DB User”为“PM”,增加 S-GATE ATTACH 操作,同时选中“Cont. to next rule”。点击“Apply”保存。

    图 6. 建立策略

    建立策略

    按照同样的方法我们建立另外一个策略规则,如图,在访问策略定义界面中,我们设置条件名称为 “SGATE_USER_PM_UPDATE_EMP_TERMINATE”,设置“DB User”为“PM”,“Object”为“HR.EMPLOYEES”,“Command”为“update”,增加 S-GATE TERMINATE 操作。点击“Apply”保存。

    图 7. 安装策略

    安装策略

    2. 在 G-machine 上安装策略,完成以上步骤,我们新建的策略并没有生效,我们需要对策略进行安装。如图在选项卡上选择“Administration Console”,在左边菜单中选择“Configuration”中的“Policy Installation”。在右边我们会看到策略的安装界面,在“Policy Installer”的列表中找到我们刚刚定义的策略“SGATE_FOR_USER_PM”,单击选中,在其下方的下拉框中选中“Install Override”安装策略,这里我们可以根据业务的需要选择不同的安装方式,多个策略可以按照不同的顺序进行安装,其顺序也决定了策略裁决的顺序。

    图 8. 安装策略

    安装策略

    如图,在安装成功后,我们可以在“Currently Installed Policies”中看到我们刚刚安装好的策略。

    图 9. 安装策略

    安装策略

    至此我们在 G-machine 的配置也已经完成。

    测试

    在数据库服务器上使用以下四个测试用例,对部署好的 S-GATE 进行一个测试。

    测试用例:

    使用 PM 用户登录,查询 HR.EMPLOYEES 表;

    使用 PM 用户登录,修改 HR.EMPLOYEES 表;

    使用 HR 用户登录,查询 HR.EMPLOYEES 表;

    使用 HR 用户登录,修改 HR.EMPLOYEES 表;

    执行测试用例:

    清单 1. 1. 使用 PM 用户登录,查询 HR.EMPLOYEES 表;

     -bash-3.2$ sqlplus PM/pwd123 
    
     SQL*Plus: Release 11.2.0.1.0 Production on Sun Apr 7 14:56:59 2013 
    
     Copyright (c) 1982, 2009, Oracle.  All rights reserved. 
    
    
     Connected to: 
     Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production 
     With the Partitioning, OLAP, Data Mining and Real Application Testing options 
    
     SQL> SELECT employee_id, first_name, salary 
    	 FROM HR.employees where first_name='Charles'; 
    
     EMPLOYEE_ID FIRST_NAME               SALARY 
     ----------- -------------------- ---------- 
            179 Charles                   11111

    清单 2. 2. 使用 PM 用户登录,修改 HR.EMPLOYEES 表;

     -bash-3.2$ sqlplus PM/pwd123 
    
     SQL*Plus: Release 11.2.0.1.0 Production on Sun Apr 7 14:58:17 2013 
    
     Copyright (c) 1982, 2009, Oracle.  All rights reserved. 
    
    
     Connected to: 
     Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production 
     With the Partitioning, OLAP, Data Mining and Real Application Testing options 
    
     SQL> UPDATE HR.employees SET salary=50000 where employee_id=179; 
     UPDATE HR.employees SET salary=50000 where employee_id=179 
     * 
     ERROR at line 1: 
     ORA-03113: end-of-file on communication channel 
     Process ID: 12451872 
     Session ID: 98 Serial number: 942

    清单 3. 3. 使用 HR 用户登录,查询 HR.EMPLOYEES 表;

     -bash-3.2$ sqlplus HR/pwd123 
    
     SQL*Plus: Release 11.2.0.1.0 Production on Sun Apr 7 14:59:33 2013 
    
     Copyright (c) 1982, 2009, Oracle.  All rights reserved. 
    
    
     Connected to: 
     Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production 
     With the Partitioning, OLAP, Data Mining and Real Application Testing options 
    
     SQL> SELECT employee_id, first_name, salary 
         FROM HR.employees where first_name='Charles'; 
    
     EMPLOYEE_ID FIRST_NAME               SALARY 
     ----------- -------------------- ---------- 
            179 Charles                   11111

    清单 4. 4. 使用 HR 用户登录,修改 HR.EMPLOYEES 表;

     -bash-3.2$ sqlplus HR/pwd123 
    
     SQL*Plus: Release 11.2.0.1.0 Production on Sun Apr 7 15:00:15 2013 
    
     Copyright (c) 1982, 2009, Oracle.  All rights reserved. 
    
    
     Connected to: 
     Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production 
     With the Partitioning, OLAP, Data Mining and Real Application Testing options 
    
     SQL> UPDATE HR.employees SET salary=15000 where employee_id=179; 
    
     1 row updated. 
    
     SQL> commit; 
    
     Commit complete. 
    
     SQL> SELECT employee_id, first_name, salary 
         FROM HR.employees where first_name='Charles'; 
    
     EMPLOYEE_ID FIRST_NAME               SALARY 
     ----------- -------------------- ---------- 
            179 Charles                   15000

    从测试结果中我们可以看出,PM 用户可以正常查询员工信息,但是无法修改员工信息;HR 用户可以正常查询和修改员工信息。同时我们可以在“Incident Management”中看到一条对应的策略违规信息,如图。

    图 10. 图 7. 安装策略

    图 7. 安装策略

    可以看到我们所部属的 S-GATE 策略已经生效,且当中我们没有做过任何数据库层面上的修改,完全由 S-GATE 对不正常数据库操作进行了有效的拦截。设想如果该场景中的权限设置需求需要配置在多台分布在不同地域的数据库上,传统的配置方法我们需要到每台 DB 上都重新配置相应的权限,而且不能动态的更改权限限制。而用 Guardium 我们可以统一的治理多类型多版本多地域的数据库。

    场景 2. 限制不同地域访问数据库的权限。

    很多数据库安全事件都发生在非工作场所,拥有特权账号的用户可以远程的访问数据库服务器,这样他们可以很便利的查询和修改敏感信息,如何针对这类数据库安全问题部署 S-GATE 呢?让我们用下面这个场景了解具体的部署步骤。

    需求

    在场景 1 中,HR 用户是可以在任何地域对员工信息进行查询和修改的。为了预防数据库安全事件的发生,我们希望让 HR 用户只能在工作地点修改员工的信息,

    数据库操作 用户 HR
    在工作地点查询员工信息 允许
    在工作地点修改员工信息 允许
    在非工作地点查询员工信息 允许
    在非工作地点修改员工信息 不允许

    需求分析

    针对 HR 用户,当其在工作地点登陆时,S-GATE 为关闭模式 Detached;当其在非工作地点登录时,S-GATE 开始设置为开启模式 Attached。这样可以使工作地点对数据库的访问没有任何延时,而不漏掉非工作地点的任何非法操作。同时我们需要定义一个策略防止 HR 用户在通过非工作地点的访问修改员工信息。

    设计

    在 STAP 端,我们需要安装 S-GATE,并保持默认不开启 S-GATE 状态;

    在 G-machine 上我们要建立以下 S-GATE 策略:

    策略:SGATE_FOR_USER_HR

    策略:SGATE_FOR_USER_HR

    条件: DB User=HR,Not Client IP=9.181.1.1/255.255.0.0

    操作: S-GATE ATTACH

    规则名:SGATE_USER_HR_UPDATE_EMP_TERMINATE

    条件: DB User=HR,Not Client IP=9.181.1.1/255.255.0.0,Object=HR.EMPLOYEES,Command=update

    操作: S-GATE TERMINATE

    实施

    1. 参照场景 1 中的步骤,依据设计,建立一个新的策略“SGATE_FOR_USER_HR”,如图。

    2. 新建策略规则“SGATE_USER_HR_ATTACH”,在条件中设置“DB User”为“HR”,设置“Client IP”为“9.181.1.1/255.255.0.0”,并勾选“Not”,表示对非此 IP 段生效。增加“S-GATE ATTACH”操作,对来自非办公地点的 HR 用户开启 S-GATE。

    3. 新建策略规则“SGATE_USER_HR_UPDATE_EMP_TERMINATE”,在条件中设置“DB User”为“HR”,设置“Client IP”为“9.181.1.1/255.255.0.0”,并勾选“Not”,表示对非此 IP 段生效,设置“Object”为“HR.EMPLOYEES”,设置“Command”为“update”。增加“S-GATE TERMINATE”操作,对来自非办公地点的 HR 用户的员工修改操作采取拦截操作。

    4. 选择“Install last”安装策略“SGATE_FOR_USER_HR”,这样场景 1 和场景 2 所涉及的策略将同时部署在 G-machine 上。

    图 11. 新建安装策略

    新建安装策略

    测试

    在数据库服务器上使用以下四个测试用例,对部署好的 S-GATE 进行一个测试。

    使用 JDBC 客户端分别从办公地点和非办公地点使用 HR 用户登录,并进行以下操作:

    1. 使用 HR 用户在工作地点登录,查询 HR.EMPLOYEES 表;

    测试结果:查询成功。

    2. 使用 HR 用户在工作地点登录,修改 HR.EMPLOYEES 表;

    测试结果:修改成功。

    3. 使用 HR 用户在非工作地点登录,查询 HR.EMPLOYEES 表;

    测试结果:查询成功。

    4. 使用 HR 用户在非工作地点登录,修改 HR.EMPLOYEES 表;

    测试结果:修改失败,如图。且数据库会话连接断开。

    图 12. 测试结果

    测试结果

    通过对以上几个商业应用场景的分析和部署,我们可以看出,S-GATE 没有改变数据库本身的任何配置,通过策略的配置,密切监控可疑的会话,同时动态控制监控粒度,在保证数据库安全的同时最大限度的降低了新能的开销。借鉴以上案例,还可以限制特权用户在非工作时间操作数据库,限制不同客户端不同 MAC 地址访问和拦截等。

    S-GATE 中断和 STAP 中断的区别

    STAP 中断

    图 13. STAP 中断

    STAP 中断

    如图,是 STAP 中断工作方式流程的示意图。

    1.(1)用户向数据库系统发送一个请求;

    2.(2a-4a)该请求到达数据库运行,并返回数据给用户,如果不涉及非法数据访问,当中将没有任何延时;

    3. (2b-4b)这是与(2a-4a)同时进行的另一个数据流,STAP 在获取到用户请求后,会去询问 G-machine(Collector 是 G-machine 多级部署架构中的子节点),然后对用户请求进行裁决,如果是非法数据库操作,STAP 将中断当前用户的会话连接。

    在使用 STAP 中断的整个过程中 STAP 不会暂时阻止用户请求访问数据库,非法裁决异步进行,数据库访问将没有任何延时,一旦一条非法访问出现,接下来的访问将完全被拦截。此中断方式适合限制来自应用用户账号带来的潜在安全漏洞,这样不会有延时产生,可以确保应用程序的高效运行,但是在中断用户会话之前可能会漏掉几条非法访问。

    S-GATE 中断

    图 14. S-GATE 中断

    S-GATE 中断

    如图,是 S-GATE 中断工作方式流程的示意图。

    1. (1)用户向数据库系统发送一个请求;

    2. (2)S-GATE 暂时阻止数据库请求进入数据库,同时获取该请求,发送请求信息的消息到 G-machine;

    3. 在 G-machine 中由事先定义好的策略检查该访问的合法性,询问策略检查该请求是否合法;

    4. G-machine 将裁决的结果返回给 S-GATE;

    5. S-GATE 得到裁决结果后,如果请求非法,S-GATE 将立即丢弃该请求,并中断用户会话。如果用户请求合法,S-GATE 将释放用户的数据库请求进入到数据库;

    6. 数据库执行用户所发送的合法 SQL 请求;

    7. 数据库返回数据给用户。

    在使用 S-GATE 中断的整个过程中,S-GATE 会暂时阻止用户请求,用户的数据库访问会有延时,数据库访问和非法请求的裁决是一个同步的过程,S-GATE 不会漏掉任何一个非法请求,确保了数据库的绝对安全。适合用于监控特权用户的数据库访问,所以短暂的延时将不是很大的问题。

    通过以上对两种中断方式的分析,如果数据库访问量庞大,我们需要保证数据库访问的效率,且可以忽略相对较少的威胁请求,我们可以选择 STAP 中断。如果我们需要非常严格的控制用户的非法操作,完全确保数据库的安全性,数据库访问量不是太大,且能够接受少量访问延时,我们可以选择 S-GATE 中断,同时 S-GATE 也提供非常灵活的开关模式。针对不同的业务场景可以结合实际情况灵活的选择中断方式的选取。

    S-GATE 中断和 STAP 中断的区别

    通过以上对于 S-GATE 功能的详细介绍,以及商业应用场景实际部署案例,可以看出 S-GATE 提供了一套完备的数据库非法事件拦截的解决方案,通过非侵入式的方式,提供多种拦截方式的基础架构给企业数据库加以多重的?;?。企业用户可以灵活的使用 S-GATE 的基本功能策略,在不改变数据库系统的情况下,为企业数据库灵活的选择最佳的安全解决方案。IBM InfoSphere Guardium 给了数据库安全治理方面一个完整的解决方案,需要了解更多的特性可以访问 Guardium。

  • 本文相关:
  • 在主流应用服务器上部署安装Cognos BI 10.2组件
  • 在分布式文件系统(HDFS和GPFS)中处理大量数据
  • Shell命令详解
  • 向你讲述中间件tomcat的一些知识
  • Zim是以Perl开始的桌面Wiki项目
  • Python函数详解
  • 通过Python的re??槔词褂谜虮泶锸饺朊沤坛?/a>
  • 通过Python的re??槔词褂谜虮泶锸礁嗄J焦δ?/a>
  • 通过Python的re??槔词褂谜虮泶锸叫薷淖址?/a>
  • Java中文支持安装指南
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 彩票双色球历史开奖结果 - 频道导航
    Copyright © 2017 彩票双色球历史开奖结果 www.s9h6.com All Rights Reserved
  • 西安外事学院在省茶艺大赛中创多项佳绩西安外事学院-陕西教育新闻 2019-10-25
  • 人民网评:让军人成为全社会最尊崇的职业 2019-10-17
  • 新规:续航150公里以下新能源车取消补贴 2019-10-11
  • 法国革命时代,女人流行穿什么 2019-10-11
  • 黑龙江省县(市、区)委统战部长培训班举办 2019-10-06
  • “夏季第一瓜”竟是它! 2019-10-06
  • 《阿古顿巴》藏语版在藏语卫视首播 2019-09-06
  • 晋中市“三同步”推动互联网治理创新 2019-08-27
  • 法媒:研究称美国人常用药物或增加抑郁风险 2019-08-27
  • 宝贝是地名,你能想到这么浪漫的地名在哪儿吗? 2019-08-15
  • 何树山副省长到方圆机电调研指导工作 2019-08-15
  • 手游app下载 黑龙江时时彩500彩票网 时时彩防组三技巧 安徽快三是正规平台吗 时时彩后3大小单双16组走势图 北赛车pk10直播链接 070期2019码报图片 广东快乐十分选二计划 北京赛车开奖视频app 加拿大五分彩技巧 篮球斗牛游戏 凯8娱乐手机版 极速炸金花 11选5任四最牛玩法 黑龙江36选7历史开奖结果