數(shù)據(jù)庫審計方案

數(shù)據(jù)庫審計(shěnjì)與風險掌握解決方案概述(ɡàishù)(ānquán)挑戰(zhàn)要的商業(yè)伙伴和客戶信息，這些信息需要被保護起來，以防止競爭者和其他非法者獵取。互聯(lián)網(wǎng)的急速進展使得(shǐde)企業(yè)的數(shù)據(jù)庫信息價值及可訪問性得到了提升，同時，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴峻的挑戰(zhàn)，概括起來主要表現(xiàn)在以下三個層面：有待標準(guīfàn)，第三方維護人員的操作監(jiān)控失效等等，致使安全大事發(fā)生時，無法追溯并定位真實的操作者。技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任何安全工具等)來阻擋內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機密信息等行為。審計層面：現(xiàn)有的依靠于數(shù)據(jù)庫日志文件的審計方法，存在諸多的弊端,數(shù)據(jù)庫審計功能的開啟會影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文件本身存在被篡改的風險，難于表達審計信息的真實性。部的安全風險大大增加，如違規(guī)越權(quán)操作、惡意入侵導致機密信息竊取泄漏，但事后卻無法有效追溯和審計。數(shù)據(jù)庫審計的客觀需求完整性;二是讓治理者全面了解數(shù)據(jù)庫實際發(fā)生的狀況;三是在可疑行為發(fā)生時可以自動啟動預先設(shè)置的告警流程，防范數(shù)據(jù)庫風險的發(fā)生。因此，如何實行100%捕獲是極為重要的，任何一種遺漏關(guān)鍵活動的行為，都會導致數(shù)據(jù)庫安全上的錯誤推斷，并且干擾數(shù)據(jù)庫在運行時的性能。只有充分理解企業(yè)對數(shù)據(jù)庫安全審計的客觀需求，才能夠給出行之有效的解決方案：(shíjiān)、以什么方式、只要數(shù)據(jù)被修改或查看了就需要自動對其進展追蹤;“數(shù)據(jù)庫表構(gòu)造、掌握數(shù)據(jù)訪問的權(quán)限和數(shù)據(jù)庫配置模式(móshì)”等發(fā)生變化時，需要進展自動追蹤;略，以便(yǐbiàn)數(shù)據(jù)庫安全治理員準時實行有效應(yīng)對措施，對于嚴峻影響業(yè)務(wù)運行的高風險行為甚至可以馬上阻斷;器的審計形式、具體說明關(guān)注的活動(huódòng)以及風險降臨時實行的動作;審計記錄的治理：將從多個層面追蹤到的信息自動整合到一個便于治理(dúlì)于被審計數(shù)據(jù)庫本身;示、打印和傳輸;現(xiàn)有的數(shù)據(jù)庫審計解決方案的缺乏傳統(tǒng)的審計方案，或多或少存在一些缺陷，主要表現(xiàn)在以下幾個方面：(IPS)，在網(wǎng)絡(luò)IP地址、端口及協(xié)議的訪問掌握，無法識別特定用戶的具體數(shù)據(jù)庫活動(比方：某個用戶使用數(shù)據(jù)庫客戶端刪除某張數(shù)據(jù)庫表);IPS雖然可以依靠特征庫有限阻擋數(shù)據(jù)庫軟件漏洞的攻擊，但他同樣無法判別具體的數(shù)據(jù)庫用戶活動，更談IPS都不能解決數(shù)據(jù)庫特權(quán)濫用等問題。系統(tǒng)日志信息的方法形成審計報告，這樣的審計方案受限于數(shù)據(jù)庫的審計日志功能和訪問掌握功能，在審計深度、審計響應(yīng)的實時性方面都難以獲得很好的審計效果。同時，開啟數(shù)據(jù)庫審計功能，一方面會增加數(shù)據(jù)庫效勞器的資源消耗，嚴峻影響數(shù)據(jù)庫性能;另一方面審計信息的真實性、完整性也無法保證。只能記錄有限的信息，更加無法供給細料度的數(shù)據(jù)庫操作審計。本方案解決的數(shù)據(jù)庫安全問題及審計需求，杭州安恒信息技術(shù)依靠其對入侵檢測技術(shù)的深入爭論及安全效勞團隊積存的數(shù)據(jù)庫安全學問(zhīshi)，研制并成功推出了全球領(lǐng)先的、面對企業(yè)核心數(shù)據(jù)庫的、集“全方位的風險評估、多視角的訪問掌握、深層次的審計報告”于一體的數(shù)據(jù)庫審計與風險掌握設(shè)備，即明御數(shù)據(jù)庫審計與風險掌握系統(tǒng)，為企業(yè)核心數(shù)據(jù)庫供給全方位安全防護。在企業(yè)(qǐyè)業(yè)務(wù)支撐網(wǎng)絡(luò)中部署了明御數(shù)據(jù)庫審計與風險掌握系統(tǒng)，可“系統(tǒng)運行可視化、日常操作可跟蹤、安全大事可鑒險,以滿足企業(yè)的不斷增長的業(yè)務(wù)需要。明御數(shù)據(jù)庫審計與風險掌握系統(tǒng)對于企業(yè)數(shù)據(jù)庫的安全防護功能，概括起來表達在以下三個方面：“網(wǎng)絡(luò)抓包、本地操作(cāozuò)審計”組合工作模式，結(jié)合安恒專用的硬件加速卡，確保數(shù)據(jù)庫訪問的100%完整記錄，為后續(xù)的日常操作跟蹤、安全大事鑒定奠定了根底。利用數(shù)據(jù)庫安全爭論團隊多年(duōnián)積存的安全學問庫，防止無意的危急誤操作，阻擋數(shù)據(jù)庫軟件漏洞引起的惡意攻擊;另一方面，依靠智能自學習過程中動態(tài)創(chuàng)立的安全模型與特別引擎相結(jié)合，有效掌握越權(quán)操作、違規(guī)操作程中動態(tài)創(chuàng)立的安全模型與特別引擎相結(jié)合，有效掌握越權(quán)操作、違規(guī)操作等特別操作行為。(如操作命令、數(shù)據(jù)庫對象、業(yè)務(wù)操作過程)實現(xiàn)細料度的安全審計，并依據(jù)事先設(shè)置的安全策略實行諸如產(chǎn)生告警記錄、發(fā)送(或短信)、提升風險等級、參加黑名單、馬上(lìjí)阻斷等響應(yīng)。同時，明御數(shù)據(jù)庫審計與風險掌握系統(tǒng)可以供給多視角的審計報告，即依據(jù)實時記錄的網(wǎng)絡(luò)訪問狀況，供給多種安全審計報告，更清楚地了解系統(tǒng)的使用狀況以及安全大事的發(fā)生狀況，并可依據(jù)這些安全審計報告進一步修改和完善數(shù)據(jù)庫安全策略庫。2方案總體構(gòu)造2方案總體構(gòu)造2.1主要功能如以下圖所示，數(shù)據(jù)庫審計與風險掌握系統(tǒng)主要的功能模塊包括“靜態(tài)審(dòngtài)審計(全方位、細粒度)、審計報表、”幾個局部。(jìngtài)審計,預防安全大事的發(fā)生。數(shù)護與審計的安全策略設(shè)置(shèzhì)供給有力的依據(jù)。實時監(jiān)控(jiānkònɡ)與風險掌握濫用、漏洞攻擊(gōngjī)、人為失誤等等的侵害。當用戶與數(shù)據(jù)庫進展交互時，數(shù)據(jù)庫審計與風險掌握系統(tǒng)會自動依據(jù)預設(shè)置的風險掌握策略，結(jié)合對數(shù)據(jù)庫活動的實時監(jiān)控信息，進展特征檢測及審計規(guī)章檢測，任何嘗試的攻擊或違反審計規(guī)章的操作都會被檢測到并實時阻斷或告警。(dòngtài)審計數(shù)據(jù)庫審計與風險掌握系統(tǒng)(xìtǒng)基于“數(shù)據(jù)捕獲→應(yīng)用層數(shù)據(jù)分析→監(jiān)控、審計和響應(yīng)的模式供給各項安全功能，使得它的審計功能大大優(yōu)于基于日志收集的審計系統(tǒng)，通過收集一系列極其豐富的審計數(shù)據(jù)，結(jié)合細粒度的審計規(guī)章、以滿足對敏感信息的特別保護需求。數(shù)據(jù)庫動態(tài)審計可以徹底擺脫數(shù)據(jù)庫的黑匣子狀態(tài)，供給4W(who/when/where/what)審計數(shù)據(jù)。通過實時監(jiān)測并智能地分析、復原各種數(shù)據(jù)庫操作，解析數(shù)據(jù)庫的登錄、注銷、插入、刪除、存儲過程的執(zhí)行等操跟蹤數(shù)據(jù)庫訪問過程中的全部細節(jié)，包括用戶名、數(shù)據(jù)庫操作類型、所訪問的數(shù)據(jù)庫表名、字段名、操作執(zhí)行結(jié)果(jiēguǒ)、數(shù)據(jù)庫操作的內(nèi)容取值等。全方位的數(shù)據(jù)庫活動審計：實時監(jiān)控來自各個層面的全部數(shù)據(jù)庫活動。(qǐngqiú)、來自數(shù)據(jù)庫客戶端工具的操作懇求、來自數(shù)據(jù)庫治理人員遠程登錄數(shù)據(jù)庫效勞器產(chǎn)生的操作懇求等。完整的雙向?qū)徲?shěnì實時監(jiān)控全部懇求操作后數(shù)據(jù)庫的回應(yīng)信息，如命令執(zhí)行狀況，錯誤信息等。DDL類操作、DML類操作的重要審計功能，重要審計規(guī)章的審計要素可以包括：用戶、源IP地址、操作時間(任意天、一天中的時間、星期中的天數(shù)、月中的天數(shù))SQL操作類型(Select/Delete/Drop/Insert/Update)。當某個數(shù)據(jù)庫活動匹配了事先定義的重要審計規(guī)章時，一條報警將被記錄以進展審計。重要審計規(guī)章設(shè)置：審計結(jié)果展現(xiàn)：到字段及記錄內(nèi)容的細粒度審計功能。自定義的審計要素包括登錄用戶、源IP地址、數(shù)據(jù)庫對象(分為數(shù)據(jù)庫用戶、表、字段)、操作時間段(本日、本三十天、任意(rènyì)時間段)SQL操作類型(select/delete/drop/insert/update/create/turncate)、記錄內(nèi)容。(jìlù)內(nèi)容進展細粒度審計：ftpftp命令進展實時監(jiān)控、審計及回放。審計的要素包括：ftp用戶(yònghù)、ftpIP地址、命令執(zhí)行時間段(本日、本周、本月、最近三小時、最近十二小時、最近二十四小時、最近七天、最近三十天、任意時間段)ftp命令(get/put/ls等等)。ftp操作(cāozuò)審計：ftp審計結(jié)果(jiēguǒ)展現(xiàn)：ftp回放(huífànɡ)：telnetTelnet命令進展實時監(jiān)控、審計及回放。審計的要素(yàosù)包括：telnet用戶、telnet客戶端IP地址、命令執(zhí)行時間段(本日、本周、本月、最近三小時、最近十二小時、)、telnet登錄后執(zhí)行的系統(tǒng)命令(login/pwd/root等等)。telnet操作(cāozuò)審計：telnet操作審計結(jié)果(jiēguǒ)展現(xiàn)：(Sql操作、ftp命令、telnet命令)還缺乏于了解用戶的真實意圖，一連串的操作所組成的一個完整會話呈現(xiàn)，可以更加清楚地推斷用戶的意圖(違規(guī)(wéiɡuī)的\馬虎的\惡意的)。Telent操作審計(shěnjì)會話查看：審計(shěnjì)報表數(shù)據(jù)庫審計與風險掌握系統(tǒng)內(nèi)嵌了功能強大的報表模塊，除了按安全閱歷(xūqiú)分類的預定義固定格式報表外，治理員還可以利用報表Word、Excel、PowerPoint、Pdf格式的數(shù)據(jù)導出。系統(tǒng)缺省供給以下報表：(gōngjī)源統(tǒng)計示意圖：數(shù)據(jù)庫操作審計(shěnjì)示意：(bàobiǎo)功能，可以便利的依據(jù)業(yè)務(wù)規(guī)律來動態(tài)CSS的設(shè)計人員來說，可以設(shè)計出相當精彩的報表樣式。安全大事回放(huífànɡ)當時的完整操作過程，便于(biànyú)分析和追溯系統(tǒng)安全問題。(fāshēng)一段時間后才引發(fā)相應(yīng)的人工處理,這個時候,作為獨立審計的數(shù)據(jù)庫審計與風險掌握系統(tǒng)就發(fā)揮特別的作用FTP、telnet、客戶端連接等大事都保存后臺(包括相關(guān)的告警對相關(guān)的大事做定位查詢，縮小范圍，使得追溯變得簡潔;同時由于這是獨立監(jiān)控審計模式,使得相關(guān)的證據(jù)更具有公證性。Sql操作(cāozuò)回放示意圖：telnet命令(mìnglìng)回放示意圖：治理WEB-base的治理頁面，數(shù)據(jù)庫安全治理員在不需要安裝任何客戶端軟件的狀況下，基于標準的掃瞄器即可完成對數(shù)據(jù)庫審計與風險掌握系統(tǒng)的相關(guān)配置治理，主要包括“審計對象管理、系統(tǒng)治理、用戶治理、功能配置、風險查詢”等。以下圖為審計(shěnjì)對象配置示意圖：以下圖為系統(tǒng)配置示意圖：(fēngxiǎn)查詢示意圖：審計(shěnjì)流程(fēngxiǎn)掌握系統(tǒng)數(shù)據(jù)庫審計流程如以下圖所示：(shùjù)采集(cǎijí)的方式包括：網(wǎng)絡(luò)抓包、本地操作審計，采集的內(nèi)容主要包括：(cǎijí)對賬號登錄動作的審計。具體包括：賬號名稱、登錄成功或登錄失敗、用戶終端(zhōnɡduān)IP/ID、登錄時間等;(qǐtú)IP/ID、登錄時間等;容，具體包括：對數(shù)據(jù)庫的一般操作記錄;對關(guān)鍵數(shù)據(jù)的操作記錄;數(shù)據(jù)庫特別命令的操作記錄絡(luò)獵取，由于其承受了專用硬件加速接口卡，可以(kěyǐ)在千兆環(huán)境下線速捕獲，因此保證了明御數(shù)據(jù)庫審計與風險掌握系統(tǒng)具備交換機一樣的高吞吐量和低延時、并且確保了審計信息的不會喪失。審計(shěnjì)數(shù)據(jù)標準化審計數(shù)據(jù)(shùjù)來源自多種方式采集的數(shù)據(jù)，而這些數(shù)據(jù)定義的格式不盡一樣。所以，審計數(shù)據(jù)的標準化就必需把這些不同格式的大事轉(zhuǎn)化成標準格式，然后寫入審計數(shù)據(jù)庫。在標準化的過程中，也需要對多種方式采集的數(shù)據(jù)進展排重處理。審計(shěnjì)數(shù)據(jù)歸并對于標準化處理后的審計(shěnjì)數(shù)據(jù)必需對某些數(shù)據(jù)進展歸并(會聚)。歸并規(guī)章，就是在什么狀況下，滿足什么條件，對哪些字段進展歸并。大事歸并功能可以對海量的審計數(shù)據(jù)依據(jù)歸并條件進展歸并，到達簡化審計數(shù)據(jù)，提高審計數(shù)據(jù)準確率。審計數(shù)據(jù)歸并規(guī)章包含以下屬性：歸并;歸并時間：歸并審計數(shù)據(jù)的時間窗口，指多長時間進展一次歸并;歸并數(shù)目：需要歸并大事的數(shù)量，指多少大事進展一次歸并;對被歸并審計數(shù)據(jù)的處理方式：被歸并的審計數(shù)據(jù)以何種方式進展處理;被歸并審計數(shù)據(jù)的處理方式：丟棄：直接將被歸并審計數(shù)據(jù)全部丟棄，不寫入數(shù)據(jù)庫;寫入數(shù)據(jù)庫：將被歸并審計數(shù)據(jù)全部寫入數(shù)據(jù)庫;與風險掌握系統(tǒng)供給以下預設(shè)模板：依據(jù)審計數(shù)據(jù)名稱進展歸并分析;依據(jù)審計數(shù)據(jù)的類型進展歸并分析;依據(jù)審計數(shù)據(jù)的原始時間進展歸并分析;依據(jù)受審計的設(shè)備類型進展歸并(guībìng)分析;.4安全大事關(guān)聯(lián)(guānlián)通過安全大事關(guān)聯(lián)(guānlián)功能，來深度挖掘安全隱患、推斷審計數(shù)據(jù)的嚴峻程度，包括關(guān)聯(lián)分析的類型和關(guān)聯(lián)分析規(guī)章的內(nèi)容。進展關(guān)聯(lián)。通過時序關(guān)聯(lián)，形成某一個賬號連續(xù)的登錄行為和操作行為，依據(jù)業(yè)務(wù)操作的賬號是否具有正常的登錄記錄等;用的賬號信息進展關(guān)聯(lián)，用來推斷該賬號是否正常使用;推斷該賬號是否具有該項權(quán)限(quánxiàn)所對應(yīng)的權(quán)限范圍，是否為合法用戶等等。關(guān)聯(lián)，用來審計賬號的訪問權(quán)限是否合理;查詢資源的授權(quán)訪問者，權(quán)限的安排時間、安排者等是否和審批的全都。審計結(jié)果呈現(xiàn)系統(tǒng)供給對審計數(shù)據(jù)進展實時監(jiān)控和實時呈現(xiàn)。在審計數(shù)據(jù)的呈現(xiàn)或響應(yīng)中，可以支持郵件、彈出窗口、syslog、SNMPTrap、手機信息、聲音報警等多種方式。敏捷的報告呈現(xiàn)閱歷、行業(yè)需求分類的預定義固定格式報表外，治理員還可以利用報表自定Word、Excel、PowerPoint、PdfPdf、Html、Postscript格式的數(shù)據(jù)導出。支持兩種報表生成模式，即預置固定格式的報表、用戶自定義報表：通過預置固定格式的報表：可快速查看安全告警、SOX審計、設(shè)備性能以及應(yīng)用系統(tǒng)受攻擊狀況。敏捷的條件格式定義，可以便利的依據(jù)業(yè)務(wù)規(guī)律來動態(tài)格式化報表元素，CSS的設(shè)計人員來說，可以設(shè)計出相當精彩的報表樣式。查詢：(yònghù)查詢：系統(tǒng)(xì