SIEM採用資料庫的方式儲存時，到底如何做到不可否認性
 

不知道有沒有這方面的高手可以解說一下？
就我所知道的
SIEM儲存的方式可以分成兩種
存plain text：佔空間，查詢速度慢
存在SQL裡面：空間小，查詢速度佳

但是我搞不懂SQL不都是一個大檔案頂多再加上交易檔？而且資料庫的內容不是經常在變動？那要怎麼做到不可否認性？
一般做不可否認性不是都把檔案加上HASH得出運算的結果，原始值與運算值經過公式運算兩相比較之後完全相同，那你可以說這個檔案沒有變過。
可是SQL經常在變動啊?那要怎樣證明當初的狀態是如何？

Dump to WORM tape

小弟隨便回答，說錯了莫怪!
每筆由終端設備產生的交易資料需多加一個欄位存放認證碼，
認證碼由每個終端設備內擺放的金鑰產生，
當資料回到DB後，該認證碼可搭配設備特徵資料來驗證資料是否正確，
因此資料自然有不可否認性。

所以用只能寫一次的磁帶來做儲存，那要分析資料的時候怎麼達到速度可接受的程度？
還有要怎麼證明當初寫入的時候沒有先遭到竄改再寫入？

請問有可以參考的產品名稱還是型號嗎?

你們去色情版好不好... :laugh: :laugh: :laugh:

小弟說的跟金融業的東西比較相關，
真正要實作的話，每台設備都得加裝一塊SAM與SAM讀取模組，
資料庫端則得加裝HSM(Hardware Security Module)，
SAM的內部資料由HSM依據設備特徵來寫入，因此經由SAM
加密產生的交易資料只有HSM可以驗證。
您可以將下面資料提到的金融卡視為SAM，原理應該不會差太多!
(存檔時記得將副檔名存成pdf)
http://www.twisc.ntust.edu.tw/twisc...asp?medi_id=255