系統與平台安全 回到資安Q&A
Q
有沒有不必改寫AP又能留存Log的方法
我們的應用系統要連結到資料庫查詢都是使用共用帳號,請問有甚麼方法可以識別是哪個使用者存取了系統個資呢?
提問時間: 10/08/2012
A
值班醫師回應

其實這部份要先從系統架構來談。


 


首先目前企業的系統幾乎都Web化了,只有極少部份的系統才是使用Client/Server架構,所以就架構來說最外一層也就是Web使用者,第二層為Web Server,第三層為AP Server,第四層才是DB Server從以前的架構設計來看,DB Server存取都是從AP Server來的,所以從Log 來看,都是同一個IP在存取,而且為了存取方便,所有的Process都是用同一個DB帳號,且又同一個IP來源,自然根本查不到是哪一個使用者存取了個資。


 


如果要根治此一問題,可能要從幾個面相來看。首先就是剛剛所提的帳號共用問題,最好能一人一帳號為原則,這樣在稽核時才能看到由哪個帳號存取DB Server,但這樣還是不夠的,因為只有一個來源還是不足的,最好在AP Server Log欄位設計時,除了帳號外,再加入登入登出時間、IP來源、電腦名稱,甚至可能連Process nameMAC Address也能加入,除了避免IP被更改盜連而影響Log的正確性,也能以多方來源驗證使用者是否為本人。


 


但要解決IP的正確性,還有一個問題要解決,那就是Web Server,因為使用者是透過瀏覽器進入系統,所以Web ServerLog才有最原始的IP來源,否則又是跟剛剛的問題一樣,AP ServerLog所記載的來源IP,皆是由Web Server而來,那就失去意義了,所以AP Server Log中所顯示的IP欄位,應考慮整合Web Server Log 中的IP欄位,這樣就能整合了,當然還有一個更省事的方法那就是Web ServerAP Server整合成一層架構即可。


 


此外在存取個資是有高風險的,然而又因為系統Web化,所以可能會有疏忽讓Internet的使用者可以使用,或者因公司因素的關係需要讓使用者在外部環境存取含有個資的系統,所以除了透過網路區隔外,禁止外部能存取,再配合透過SSL VPN方式進行存取,也能降低外洩之風險。


 


資安急診室醫師介紹
資安顧問
教育訓練中心資訊安全講師,超過100場次500小時以上資訊安全相關教育訓練講授,參與多次ISMS導入與內部稽核專案,網路弱點風險評鑑測試、評估,參與多家客戶DLP解決方案評估規劃,擁有多項安全與系統認証,包括ISO27001 LA、Checkpoint CCSE、CEH、ECSA等。
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字