- 技術支援
- 常見問題
常見問題
資料庫安全
- 1.為何需要稽核資料庫?
- 任何稽核工作(包含資料庫稽核)之主要目的就是要瞭解,實際執行運作、處理程序是否與政策、規定相符,是否一切都依照規範要求在進行。資料庫儲存最多機敏性資料,外洩的衝擊也最大;為避免資料外洩,資料庫活動的監控是必要的。若利用資料庫管理系統本身的日誌功能,其限制如下:
- 資料庫管理員可以輕易銷毀日誌紀錄
- 資料庫伺服器硬碟儲存空間有限
- 不易獲取資料庫使用異常的資訊,例如:異常、入侵、錯誤、政策違反
- 沒記錄登入失敗次數,也不清楚應用程式使用者身分
- 因產生日誌或查詢事件資訊而影響資料庫效能 - 2.常見的資料庫的存取監控與稽核範圍有哪些?
- 目前已經制定出的且廣為政府與大型機構所採用的安全規範規格大概有:
PCI-DSS、SOX、HIPAA等等,依據不同產業的特性與需求來設計規劃稽核資料庫存取活動的範圍:
- 稽核資料庫的登入/登出
- 稽核資料庫DDL、DML、DCL等行為
- 稽核對於敏感性資料存取的用戶真實身份
- 稽核資料庫敏感性資料的改變
- 稽核資料庫的權限、結構、Store Procedure、Trigger等的變動
- 稽核異常事件並串聯相關的人、事、時、地、物 - 3.為何不使用資料庫系統內建的Log功能來稽核資料庫?
- 開啟資料庫系統Audit Trail(審計軌跡)功能,除了無法滿足「稽核獨立」的原則外,對於資料庫系統效能的影響劇大,甚至有可能導致資料庫無法維持正常運作。即使企業不計成本地啟動Audit Trail,但複雜且數量龐大的原始日誌資料,儘管IT人員投入大量人力及時間成本整合出的相關報表,所呈現的紀錄資訊對非資料庫專業領域的稽核人員來說,其可讀性也是非常低的,易造成稽核上的重大盲點。
- 4.dbAegis帶給客戶好處為何?
- dbAegis在兼顧資料庫系統效能且無需修改任何應用程式碼的前提下,提供下列主要價值:
- 架構彈性:無論企業應用系統之架構是Centralize、Client-Server或Web-based N-tier,針對使用者存取敏感性資料做自動監控及分析。
- 中央監控:以單一中央控管介面來監控所有非法或可疑的行為動作,提供事件追蹤、稽核報表、違規告警等機制。
- 主動管理:動態制定稽核政策,提前掌握資料庫存取異常行為,並採取應變管理措施。
- 法規遵循:提供符合資料庫安全稽核管理規章之報表與圖表,落實個人隱私保護相關法規與企業現行政策之符合性,提高嚇阻效用及降低管理成本。
- 5.dbAegis的主要功能為何?
- dbAegis針對資料庫系統提供資料存取全程監控,除了有效嚇阻資料外洩外,進而防止合法授權者非法存取資料之弊端,同時以提供事前/事中/事後完整稽核管理機制,將企業稽核管理自動化,並提供各種稽核報表以滿足法規與內部/外部稽核的需求。
- 6.dbAegis是否內建法規的報表?客戶是否需自行製作報表?
- dbAegis除了從各項角度預設企業常用稽核報表,及遵從多種法規與標準規範內建法規遵循報表外,客戶可依據dbAegis提供多樣的範本透過簡易的界面加以彈性客制化,製作出符合企業需求的報表與圖表。
- 7.dbAegis是否可同時監控多臺異質資料庫嗎?
- 同一台dbAegis可以同時監控同質與異質的資料庫活動。
- 8.dbAegis發現異常情況,會有什麼通知方式?
- 偵測到異常事件,即根據已設定的警示機制,透過email或簡訊發送至被通知對象。
- 9.若dbAegis硬體故障,是否會影響公司其他系統的運作?
- dbAegis的設計與佈署不因硬體故障而影響到公司其他系統的運作。
- 10.報表派送或備份資料時是否會有安全性的疑慮??
- 內含敏感性資料的內容皆會加以遮罩,備份傳輸的過程中,資料已用演算法加密過。
資料庫效能與穩定性管理
- 1.請問新版的dbSonar6.5與舊版的dbSonar5.2的差別在哪裡?
- 版本除了在功能方面有不少加強之外,主要是在架構上有突破性的演進。在舊版本當中,dbSonar監控目標資料庫和作業系統所收集取樣的資料,是與目標資料庫放在同一個資料庫伺服器裡。
但在新版本裡,這些取樣資料所存放的資料貯存庫卻是獨立在另一外台伺服器上,這樣的架構除了可避免佔據目標資料庫伺服器的儲存空間之外,在同時監控多部資料庫伺服器的環境下,於個別獨立的貯存庫中進行歷史資料的儲存和擷取,可避免目標資料庫伺服器的負載過重。
- 2.請問新版本dbSonar6.5的硬體與作業系統需求為何?
- dbSonar6.5分為兩個主要元件:dbSonar Monitored Server是放置於目標資料庫同一台伺服器上,用來蒐集目標資料庫與系統狀態資料;dbSonar Control Center是放在另一台獨立的伺服器上,主要是用來存放dbSonar Monitored Server所收集的資料。
dbSonar Monitored Server硬體與作業系統需求如下:
OS:
-Solaris 8/9/10
-HPUX 11i PA-RISC
-HP-UX 11I Itanium
-IBM AIX 5.x/6.x
-32-/64-bit Linux Kernel 2.6
磁碟空間:
150MB以上
dbSonar Control Center硬體與作業系統需求如下:
OS:32-/64-bit Linux Kernel 2.6
磁碟空間:5GB以上
- 3.請問informix資料庫在11.10版本之後有提供一個web UI的管理介面OAT(Open Admin Tools),這套軟體與dbSonar在功能上面有何不同?
- 首先,dbSonar在6.5版也支援web UI的介面,並提供給使用者更方便且美觀的操作介面。
而就OAT而言,它只是一個讓DBA人員更容易管理資料庫的操作介面,DBA人員不再需要強記指令,只需要透過OAT webUI的操作即可完成日常的資料庫管理工作。
但dbSonar定位為資料庫效能監控與調教的工具,除了日常不斷地做資料庫監控之外,當資料庫有效能問題發生時,即可透過最快速且直覺的webUI介面,由上而下逐層分析找到最底層的原因以排除效能問題。
且除了即時監控分析之外,由於dbSonar不斷地收集目標資料庫與系統狀態的資料於獨立的資料貯存庫裡,所以若要查詢過去某個特定時間點的資料庫效能問題,也可不費吹灰之力地找出異常狀態及其可能形成的原因和影響。
資料庫高可用性
- 1.請問貴公司的Smart Extender與一般硬體廠商所提供的HA產品(如HP、MC/ServiceGuard或IBM HACMP)有何差別?
- 因為硬體廠商所提供的HA產品,主要以硬體為監控目標,而非以資料庫運作狀況為監控目標,所以往往會因為硬體都正常時,卻因資料庫異常無法提供系統服務,這樣的情形下,硬體廠商的HA機制就往往無法全面監控到。而庫柏資訊所研發的Smart Extender完全從硬體,資料庫,應用程式,網路異常全方面的監控,所以是最適合資料庫主機使用的一套備援監控軟體。
- 2.請問貴公司的Smart Extender是否有一些硬體規格需求,如有些廠商需要備援主機必須與原主機規格相同,購買相同規格的磁碟陣列….等,Smart Extender的備援機是否也有相同要求?
- 因為Smart Extender的監控及資料複製技術都是透過軟體控制,所以對硬體並沒有特殊需求,只要兩台主機有相同的作業系統版本及資料庫版本,就可以運作。所以可以使用公司淘汰下來的舊主機,或者拿目前使用率較少的應用程式主機,都可以來當作備援主機。甚至沒有磁碟陣列的系統,只要空間大小可以與原主機相同,都可以拿來使用。所以對於公司內部的資源使用做了最大的發揮。
- 3.我們已經購買了磁碟陣列廠商的HA Solution,他們的技術已經可以將資料異動快速的複製到備援主機,甚至遠端備援主機。那請問Smart Extender在這樣的架構下,有何優勢?
- 硬體廠商的複製技術,是將所有主系統上的異動全部抄寫到備援端,但就資料庫的角度來看,很多異動的資料可能只是Temp Data, 在資料庫處理過程中會有很多Order by或Group by使用的暫存資料。可能異動了50GB的資料但到最後的transaction只會有一個Update Data(100MB)。所以Disk Copy時因為不懂資料庫內部運作機制,會將50GB的資料全部抄寫到異地端,造成系統的繁忙及頻寬的不足。但Smart Extender會以資料庫的角度只將異動的100MB Transaction複製到備援端。在複製的效能及頻寬的節省下,就有相當的優勢。
- 4.我們HA機制除了要監控資料庫運作狀況外,是否可以額外客製監控目標,比方說我的應用程式運作也納入監控與切換考量因素?
- 由於我們的Smart Extender完全可以客製化,依照客戶的需求,採模組方式將客戶想要被監控的任何一個應用程式,當任何一個足以影響系統運作的點,包含資料庫,網路運作,應用程式任何一個有異常時,都可以進行自動修復,若修復失敗時,才決定自動切換到備援主機。