1、什么叫三层架构?
所谓三层体系结构,是在客户端与数据库之间加入了一个“中间层”,也叫组件层。三层架构隔离出两块区域,客户端到组件层之间称为应用层区域,组件层到数据库之间称为数据库层区域。
这里所说的三层体系,不是指物理上的三层,不是简单地放置三台机器就是三层体系结构,也不仅仅有B/S应用才是三层体系结构,三层是指逻辑上的三层,即把这三个层放置到一台机器上。
三层体系的应用程序将业务规则、数据访问、合法性校验等工作放到了中间层进行处理。通常情况下,客户端不直接与数据库进行交互,而是通过COM/DCOM通讯与中间层建立连接,再经由中间层与数据库进行交互。
2、什么叫三层审计?
三层审计是数据库审计领域的业界难题之一。
所谓三层审计,是将应用层区域的审计数据与数据库层区域的审计数据综合起来进行“关联分析”,从而将应用层操作准确对应到数据库层的操作。当发生安全事件时,根据关联审计记录的日志信息,可快速定位到网络中的责任人。所以,通过三层审计即可实现应用与数据库的有效关联,追踪到最终用户端。
正常情况下,应用层跑的是URL行为,在数据库层则走的是数据库命令,两者的表现形式截然不同,但有了“关联分析”,就可以从技术上穿透两个区域,从而将访问的资源帐号和相关的数据库操作关联起来,从而能够追查到真正的访问者。
3、三层审计的难点在哪?
三层审计的难点在于审计技术的选择。
业界传统的做法是采取“模糊匹配”方法来实现“关联分析”,即:审计系统首先分别审计出浏览器到Web服务器,Web服务器到数据库服务器两类的事件,前者是HTTP事件,后者是SQL事件,然后需将这两条事件关联起来,进行时间系列方面的“模糊匹配”,从而将访问的资源帐号和相关的数据库操作关联起来。
这种传统做法的优缺点是:
优点:可以应用于任何的三层架构审计;
缺点:在高并发时简直是一个灾难,有20%的失真率,造成业务用户与SQL语句的错误关联。
为了规避这个缺点,IBM公司也尝试了几年试图解决,但是一直没有寻找到良好的解决方案,国内众多数据安全厂商至今也是束手无策。
4、三层审计真的无解吗?
昂楷科技从开始做数据库审计系统这个产品,就不断研究针对“三层审计” 的最佳解决方案,目前已率先取得了重大的突破:针对采取“COM/DCOM/COM+ ”等组件的三层架构体系,昂楷科技独创组件穿透技术,可规避时间系列的 干扰,在任何情况下都能精确审计,定位到人,创新性地解决了“三层+COM 组件审计”这个困扰客户及众多友商多年的业界难题,并在北京中医药大学东直门医院得到了实际的应用检验。
当然,三层架构体系的复杂性决定了,我们只是取得了阶段性的“胜利”, 要取得全面“胜利”,还需要继续努力。关于更多数据库审计,详见“商业新知-数据库审计” 图谱标签
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。