基于數(shù)據(jù)監(jiān)測(cè)，由旁路監(jiān)測(cè)，分析 網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)包檢測(cè)，適用于公共網(wǎng)絡(luò)出口。旁路驗(yàn)證原理旁路驗(yàn)證原理:旁路該模式相當(dāng)于道路上安裝了一個(gè)電子眼，采集檢測(cè)所有過(guò)往車(chē)輛(數(shù)據(jù)包)，不會(huì)妨礙交通(。

Isosecurity 2.0對(duì)于安全區(qū)域邊界的技術(shù)標(biāo)準(zhǔn)有四個(gè)具體項(xiàng):1。邊境保護(hù)；2.訪問(wèn)控制；3.入侵防御；4.安全審計(jì)。1.邊保辦要有有效可控的訪問(wèn)控制措施，控制粒度和力度要在等保1.0的基礎(chǔ)上升級(jí)。2.訪問(wèn)控制應(yīng)該能夠判斷三個(gè)非法邊界(非法訪問(wèn)、非法外聯(lián)和無(wú)線使用)進(jìn)行有效控制。3、入侵防御四級(jí)系統(tǒng)要使用協(xié)議轉(zhuǎn)換和隔離措施。

主要的檢查點(diǎn)邊界保護(hù)，其實(shí)按照以前的老標(biāo)準(zhǔn)，這個(gè)控制項(xiàng)的一部分還是屬于網(wǎng)絡(luò) safety的范疇。在現(xiàn)行的平等保護(hù)2.0標(biāo)準(zhǔn)中，由于其重要性，單獨(dú)提出并結(jié)合一些新的要求，形成了安全區(qū)域邊界等控制項(xiàng)?；跀?shù)據(jù)監(jiān)測(cè)，由旁路監(jiān)測(cè)，分析 網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)包檢測(cè)，適用于公共網(wǎng)絡(luò)出口。

(一)數(shù)據(jù)庫(kù)的內(nèi)置審計(jì)功能該審計(jì)系統(tǒng)利用數(shù)據(jù)庫(kù)本身的內(nèi)置審計(jì)功能來(lái)審計(jì)大部分?jǐn)?shù)據(jù)庫(kù)操作。但是審計(jì)的細(xì)粒度級(jí)別很低，很難恢復(fù)SQL操作本身。例如，對(duì)于數(shù)據(jù)刪除操作:從EMP中刪除，其中DEPTNO10假設(shè)EMP表中有100條記錄滿足條件DEPTNO10，那么數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)中就會(huì)有100條刪除操作，而不是真正的SQL語(yǔ)句:delete from EMP，其中DEPTNO10。

總之，這種基于數(shù)據(jù)庫(kù)產(chǎn)品本身審計(jì)功能的審計(jì)系統(tǒng)的審計(jì)粒度和準(zhǔn)確性是有限的。而且由于數(shù)據(jù)庫(kù)產(chǎn)品本身的審計(jì)功能是基于數(shù)據(jù)庫(kù)引擎的，消耗了生產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)本身的資源。如果打開(kāi)所有會(huì)話的所有數(shù)據(jù)庫(kù)操作審計(jì)，生產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)的CPU資源將消耗15%~30%。因此，如果使用這樣的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，通常只會(huì)有目的地審計(jì)單個(gè)數(shù)據(jù)或操作，而不會(huì)審計(jì)整個(gè)業(yè)務(wù)數(shù)據(jù)庫(kù)中的所有操作。

我們都知道騰訊之前和JD.COM建立了戰(zhàn)略合作關(guān)系，很多人會(huì)選擇JD.COM購(gòu)買(mǎi)一些電器。我在逛JD的時(shí)候發(fā)現(xiàn)的。有一天在家里瀏覽COM的主頁(yè)，我突然驚訝地發(fā)現(xiàn)瀏覽器突然跳轉(zhuǎn)到一個(gè)第三方網(wǎng)站，然后又回到了JD.COM。這是一種典型的病毒。就算有這種事，也要把木馬拆了。調(diào)查原因是在重現(xiàn)的情況下先搶包，JD.COM官網(wǎng)確實(shí)回了一個(gè)JavaScript讓瀏覽器跳轉(zhuǎn)到y(tǒng)iqifa.com。

根據(jù)我的經(jīng)驗(yàn)，這種情況很可能是鏈路上的流量劫持攻擊。當(dāng)然，我們不能排除JD.COM的服務(wù)器被黑了。繼續(xù)調(diào)查。應(yīng)用層不再工作，所以我們需要使用Wireshark來(lái)捕獲網(wǎng)絡(luò) layer的數(shù)據(jù)包。從Wireshark的結(jié)果可以看出，在網(wǎng)絡(luò)上有兩個(gè)來(lái)自JD.COM的HTTP響應(yīng)。第一個(gè)先到，于是瀏覽器里的JavaScript代碼被轉(zhuǎn)移到了yiqifa.com；第二個(gè)HTTP響應(yīng)被系統(tǒng)忽略，因?yàn)樗竭_(dá)較晚(Wireshark將其識(shí)別為無(wú)序)。