数据库审计系统技术方案
数据库审计系统技术方案
随着信息和网络技术的普及,政府和企事业单位的核心业务信息系统不断的网络化,随之而来的就是面临的信息安全风险日益增加。而这些安全风险中,来自部的违规操作和信息泄漏最为突出。
由于政府和企事业单位的核心业务系统(例如数据库系统、核心业务主机系统)都实现了网络化访问,部用户可以方便地利用部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。同时,一些部授权用户由于对系统不熟悉而导致的误操作也时常给业务系统造成难以恢复的损失。此外,对于使用IT外包和代维的大型机构而言,如何限制外部人员对核心业务系统的访问权限也是一个难题,外包方的技术工程师可能在开发业务系统的时候留下后门或者幽灵,为将来侵入核心业务系统埋下隐患。
另一方面,为了加强控,国家强制机关和行业的主管部门相继颁布了各种合规和控方面的法律法规和指引,例如《企业部控制基本规》、《银行业信息科技风险管理指引》、《证券公司部控制指引》、《保险公司风险管理指引(试行)》等。而在国际上,美国政府针对上市公司的萨班斯(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准(PCI DSS)都对控提出了严格的要求。这些控条例和指引都要求对网络中的重要业务系统进行专门的安全审计。
可以说,随着安全需求的不断提升,网络安全已经从以防外部入侵和攻击为主逐渐转变为以防止部违规和信息泄漏为主了。
在这种情况下,政府和企事业单位迫切需要一款专门针对网络中业务信息系统进行全方位审计的系统。网御神州借助多年在安全管理领域的积累,推出了SecFox-NBA网络行为审计系统(业务审计型)产品,很好地满足了客户的安全审计需求。
网御神州SecFox-NBA(Network Behavior Analysis for Business Audit)网络行为审计系统(业务审计型)采用旁路侦听的方式对通过网络连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户访问业务系统的状态,记录各种访问行为,发现并及时制止用户的误操作、违规访问或者可疑行为。产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。
SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查
看业务网络中各个设备和整个业务网络的事件和告警信息。
SecFox-NBA网络行为审计系统(业务审计型)能够对业务环境下的网络操作行为进行细粒度审计。系统通过制定符合业务网的审计策略,对符合策略的网络操作行为进行解析、分析、记录、汇报,以帮助用户事前规划预防,事中实时监控、违规行为响应,事后合规报告、事故追踪回放,帮助用户加强外部网络行为监管、避免核心资产(数据库、网络服务器等)损失、保障业务系统的正常运营。
SecFox-NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。
SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。
1产品特点
SecFox-NBA 网络行为审计系统(业务审计型)的主要特点包括:
1)旁路侦听的工作模式和简洁的部署方式
2)全方位的数据库审计
3)面向业务的安全审计
4)业务操作实时监控、过程回放
5)快速响应和跨设备协同防御
6)事后分析、调查取证
7)安全审计报表报告
8)置防攻击策略
1.1旁路侦听的工作模式和简洁的部署方式
SecFox-NBA(业务审计型)采用旁路侦听的方式进行工作,对业务网络中的数据包进行应用层协议和流量分析与审计,就像真实世界的摄像机。利用网御神州先进的业务协议检测技术(Business Protocol Inspection Technology),SecFox-NBA(业务审计型)能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议,以及其它20多种应用层协议,经过审计系统的智能分析,发现网络入侵和操作违规行为。同时,借助网御神州先进的业务流量
监测技术(Business Flow Inspection Technology),SecFox-NBA(业务审计型)识别网络中各种应用层协议的流量,及时发现流量违规和异常。
SecFox-NBA(业务审计型)部署十分方便,即插即用,不必对业务网络结构做任何更改,对业务网络没有任何影响。SecFox-NBA(业务审计型)可以同时审计多个不同的网段;多个系统可以级联,实现分布式部署,实现对大规模业务网络的审计。
系统部署后立竿见影,当即可自动发现所侦听网络中的数据库访问行为。
1.2全方位的数据库审计
SecFox-NBA(业务审计型)产品能够对多种操作系统平台(Windows、Linux、HP-UX、Solaris、AIX)下各个版本的SQL Server、Oracle、DB2、Sybase、MySQL 等数据库进行审计。审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。
操作行为容和描述
用户认证数据库用户的登录、注销
库表操作CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、
索引、视图、存储过程、触发器、域,等等)的SQL指令记录操作SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL
指令
权限管理GRANT,REVOKE等定义数据库用户的权限的SQL指令
其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令
SecFox-NBA(业务审计型)能够对各种访问数据库的途径进行监控和审计。
如上图Oracle数据库审计所示,无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问,还是通过第三方的Quest TOAD(Tool for Oracle Application Developers)
工具访问,抑或通过中间件、浏览器、客户端程序/代理方式访问,等等,SecFox-NBA(业务审计型)都能够进行审计。
特别地,如果被审计的数据库网络数据被加密处理了,SecFox-NBA(业务审计型)为用户提供了一个通用日志采集器模块,借助该模块,系统能够自动的采集被审计数据库的日志信息,并在审计中心对其进行归一化和关联分析。
此外,SecFox-NBA(业务审计型)还能够监测数据库系统所在主机的网络通讯,对该主机的FTP、文件共享等协议进行审计,确保数据库系统上的数据安全。
1.3面向业务的安全审计
对于用户而言,要保护核心数据,仅仅依靠对数据库的审计是不够的。部人员违规操作的途径有很多,有的是直接违规访问数据库,有的是登录到数据库所在的主机服务器上,有的是透过FTP去下载数据库所在主机的重要数据文件,还有的是透过其他程序或者中间件系统访问数据库。所以,必须对数据库、主机、HTTP协议、TELNET、FTP协议,网络流量、中间件系统都进行审计,才能更加全面的发现违规、防止信息泄漏。这就是面向业务的安全审计。
业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在的多种IT资源有机组合而成的。因此,面向业务的审计就要对构成业务系统的各个IT资源之间的访问行为以及业务系统之间的操作的审计,这样才能真正反映出业务系统的安全状态。网神SecFox-NBA网络行为审计系统(业务审计型)就是这样一个集成了数据库审计、主机审计、应用审计和网络流量审计的面向业务的综合安全审计系统。
1.3.1以业务系统的数据保护和操作合规为目标
SecFox-NBA(业务审计型)产品的核心目标就是保障客户业务信息系统网络中数据安全和操作合规,具体包括:
1)数据访问审计:记录所有对保护数据的访问信息,包括主机访问,文件操作,数据库执
行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入
侵访问和部人员非法获取敏感信息。
2)数据变更审计:审计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、
关键数据文件的修改操作,等等,防止外部和部人员非法篡改重要的业务数据。
3)用户操作审计:统计和查询所有用户的主机、数据库和应用系统的登录成功记录和登录
失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可以用于
事故和故障的追踪和诊断。
4)违规访问行为审计:记录和发现用户违规访问。系统可以设定用户黑白,以及定义复杂
的合规规则(例如定义合法的访问时间段、合法的源IP地址库、合法的用户账号库),
可以设置合理的审计策略进行告警和阻断。
5)恶意攻击审计:记录和发现利用主机,数据库的漏洞对资源的攻击行为,例如主机扫描、
DoS/DDoS攻击、ARP欺骗和攻击等,并可以对攻击行为进行告警和阻断。
1.3.2以业务系统为审计对象
SecFox-NBA(业务审计型)产品采用多种方式来更深入具体地分析业务系统:
1)多业务网络:根据实际网络情况,系统管理员可以定义多个业务网络。
2)业务网络拓扑:系统能够记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,根据业务网络的变化可以快速查看业务网络中各个设备和整个业务网络的事件和
告警信息。
3)行为分析:通过可视化的行为分析,可以清晰地定位访问源、访问目标服务器、应用协议及其操作容。
4)业务流量分析:系统能够展示出业务网络中各个节点(包括主机、无IP设备)在网络中的应用层的流量分布情况,管理员可以根据业务网络流量优化业务网络。
5)三层架构的业务审计:现行的很多业务系统都是基于客户端/浏览器、应用服务器和数据库的三层架构。单纯审计数据库,可能获取的用户名称和访问地址都是中间件的用户和
地址,难于定位访问源。采用基于业务的审计就可能化解这个问题,系统可以将客户端
访问的服务,中间件,数据库建立一个审计的业务,利用访问时间作为关联条件,将客
户端访问和数据库访问关联,通过可视化的行为分析,定位访问源。
1.3.3面向业务的审计策略
网神SecFox-NBA(业务审计型)是一个策略驱动的审计系统。借助网御神州独有的面向业务的审计策略(Business-oriented Audit Policy,简称BAP)技术,用户可以在一个策略中对某业务所包含的主机,数据库,主机进行综合设定,实现对该业务的精确审计,从而及时发现该业务
的安全隐患。例如,用户下发一条审计策略就能够审计出哪些非法主机在尝试访问业务系统,哪些主机在非法的时间段访问业务,哪些用户在业务中执行非法数据库操作,评估业务中各个主机和数据库的访问量,通过关键字审计被保护业务系统中的重要数据和敏感数据,等等。
用户通过操作SecFox-NBA (业务审计型)的web管理页面能够实时地配置符合业务保护要求的审计策略,无须重启设备、中断网络会话采集,策略下发成功后,立即生效。
用户在制定审计策略的时候可以按照审计要求随意设置审计时间段。
用户可以按照业务要求设置一个或者多个保护对象;对符合业审计务策略要求的事件可以阻断和记录。
1.3.4二次审计与实时关联分析
传统的单纯数据库审计产品都只能做基于审计策略的分析,用户在指定审计策略的时候,可以指定审计对象的五元组(源地址、时间、途径、目的地址、操作),以及触发策略后的响应动作。这种审计称作“操作审计”(Record Audit),即审计用户的违规数据库操作。传统的数据库审计产品会将所有符合审计策略的操作信息都记录到自带的数据库系统中,供审计人员进行查找。此时,对于审计人员而言,操作审计就意味着通过输入基于SQL的查询条件从大量的操作信息中去筛选出真正违规的信息。面对大量的操作记录,审计员的工作无异于大海捞针,效率十分低下。
SecFox-NBA(业务审计型)产品在“操作审计”的基础上还提供了二次审计功能:将数据库审计记录与主机、服务和应用的审计记录整合到一起,通过网御神州获得发明专利的实时关联分析引擎进行跨事件关联分析,进一步帮助用户进行违规行为的定位。这种二次审计称作“行为审计”(Behavior Audit),即审计用户的违规行为。通过关联规则,系统能够实时、自动地将违规行为以告警的形式发送出来,主动提醒审计人员,并能够采取多种方式进行自动响应。
需要指出的是,二次关联审计是在存中进行中,不依赖于数据库存储系统。
正是由于网御神州SecFox-NBA(业务审计型)产品业界独有的二次关联分析技术,使得其真正成为一块面向业务的网络安全审计系统。因为,只有通过关联分析技术,才能够将与业务相关的数据库操作事件、主机访问事件、中间件访问事件等有机地联系起来。
1.3.5可视化的业务审计
SecFox-NBA(业务审计型)系统为用户提供了简介易用的操作界面,使得普通管理员就能够对复杂的业务系统进行审计。系统提供了多种可视化的审计手段,包括:
1.智能监控频道
智能监控频道为用户提供了一个从总体上把握企业和组织整体安全情况的界面。每个频道包括多个监控窗口,可以显示多方面的安全信息,窗口可以缩放、可以移动换位、可以更换布局、可以调台,显示管理员想看的容。SecFox-NBA(业务审计型)提供丰富的频道切换器,用户可以在不同的频道间切换。同时,用户也可以自定义频道,包括自定义布局和展示容。
2.业务拓扑图
通过网御神州独有的业务拓扑功能,可将业务系统中相关的数据库、主机、服务等对象以拓扑图的方式展现出来。通过业务拓扑,用户能够直观地看到该业务系统的组成,并方便地查看业务系统的告警信息和流量信息。
3.行为分析图
用户可以对一段历史事件进行事件行为分析(Event Behavior Analysis,简称EBA)。EBA将一段时间的事件按照不同的属性进行排列和连接,形象地展示在坐标轴上,让管理员一目了然的看到事件所代表的用户(IP)行为。
1.4业务操作实时监控、过程回放
SecFox-NBA(业务审计型)对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。
传统的数据库或者网络审计系统都采用基于指令的操作分析(Command-based Record Analysis)技术,可以显示出所有与数据库主机相关的操作,但是这些操作都是一条条孤立的指令,无法体现这些操作之间的关联,例如是否是同一用户的操作、以及操作的时间先后,审计员被迫从大量的操作记录中自行寻找蛛丝马迹,效率低下。借助网御神州独有的基于会话的行为分
析(Session-based Behavior Analysis)技术,审计员可以对当前网络中所有访问者进行基于时间的审查,了解每个访问者任意一段时间先后进行了什么操作,并支持访问过程回放。SecFox-NBA (业务审计型)真正实现了对“谁、什么时间段、对什么(数据)、进行了哪些操作、结果如何”的全程审计。
1.5快速响应和跨设备协同防御
SecFox-NBA (业务审计型)在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。
SecFox-NBA(业务审计型)能够对业务网中所有IP的流量进行分析,因而能够更为精确地定位安全威胁,并对符合策略的告警事件进行阻断,实时自动阻止可疑行为。
在发生告警后,SecFox-NBA(业务审计型)可以通过电子、SNMP Trap等方式对外发出通告,能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。
SecFox-NBA(业务审计型)可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正在进行的攻击。SecFox-NBA(业务审计型)可以与众多第三方网络设备、安全设备进行联动。例如,在发现攻击后,阻断网络交换机的端口,或者更改防火墙和入侵检测系统的安全规则,阻止攻击的扩散和恶化。SecFox-NBA(业务审计型)支持与市场上大部分安全设备和网络设备之间的策略联动。
此外,通过SecFox-NBA(业务审计型)与网御神州其他SecFox安全管理产品的综合使用,可以实现完整的从安全风险监控、分析到决策的安全管理流程的闭环。
1.6事后分析、调查取证
SecFox-NBA(业务审计型)可以将采集到的所有数据包和告警信息统一存储起来,建立一个
企业和组织的集中事件存储系统,实现了国家标准和法律法规中对于事件存储的强制性要求,为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。
SecFox-NBA(业务审计型)具有海量事件处理和存储的能力。单个SecFox-NBA(业务审计型)系统能够以每秒2000个事务1到6000个事务的规模接收数据包,能够在线存储10亿到40亿条事件记录。加上系统的数据归档与离线存储功能,SecFox-NBA(业务审计型)能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。
SecFox-NBA(业务审计型)具有极强的存储扩展能力,产品自带500GB~2TB的存储空间,用户亦可以在后期通过热插入硬盘的方式进行容量扩展,或者直接外接存储设备。
SecFox-NBA(业务审计型)在进行数据管理的时候,对数据存储算法进行了充分优化,使得使用小型数据库的情况下就达到了上述性能。此外,用户在使用本系统的时候,无需购买额外的数据库管理系统和许可,也不必花费专门的精力去维护数据库,这些都大大降低了用户的总拥有成本。
SecFox-NBA(业务审计型)提供多种事件存储策略,能够方便地进行事件备份和恢复。
SecFox-NBA(业务审计型)为管理员提供了强大的事后分析工具,使得管理员能够最大限度地对这些事件进行深度挖掘,寻找潜在的安全威胁。
事后分析和实时分析相对。实时分析强调安全事件的事中处理,针对较短的一段时间的事件进行审计;而事后分析则注重对大规模历史事件的审计。一方面,事后分析可以帮助安全管理员找到造成违规操作,获得检测和预防同类事故再犯的手段和措施,作为下一轮安全防御的预警;另一方面,通过对海量事件的数据挖掘,尤其是基于较长时间段的数据分析,可以帮助管理员发现IT计算环境中存在的安全隐患。
此外,SecFox-NBA(业务审计型)的事后分析功能可以协助管理员进行计算机取证分析,收集外部入侵或者部违规的证据。
1.7安全审计报表报告
SecFox-NBA(业务审计型)具有强大的报表分析功能。系统的报表分析引擎能从多种角度多种维度对数据进行分析;能提供实时分析、历史分析等分析手段;能对比统计的结果,分析数据的发展趋势;能将结果以图形方式(柱图、饼图、曲线图等)显示、打印;报告可用PDF、HTML、Excel或RTF等格式存档。
1事务的定义:一个事务是指一次针对业务系统的FTP指令操作,一次TELNET下的命令行语句的执行操作,或者一次SQL语句操作。SecFox-NBA(业务审计型)对每个事务记录一条事件(Event)。
SecFox-NBA(业务审计型)的报表报告生成系统灵活易用。它提供大量预定义的报表模板,用户可使用预定义的报表模板生成报表。
SecFox-NBA(业务审计型)具备强大的自定义报表功能。用户可以通过报表编辑器,只需4步,即可方便地自己定义各种复杂的报表,包括报表的容、布局,以及运行调度设置,满足企业和组织自身不断业务发展的需要。
SecFox-NBA(业务审计型)允许用户对报表生成进行日程规划,定期自动生成审计报表,提供打印、导出以及送达等服务,并根据计划归档报告,归档之后发送通知。
SecFox-NBA(业务审计型)支持审计主机用户和数据库用户的行为趋势报表,可以生成指定时间段用户行为趋势报表,包含用户的操作行为曲线,可以审计和分析用户的行为特点,为决策分析和调查取证提供数据支持。
1.8置防攻击策略
SecFox-NBA(业务审计型)置抗攻击策略,在识别出对业务网中的数据库服务器进行攻击时记录相关操作。用户可以手动设置报警,以便及时进行相应。典型的置防攻击策略包括:?SQL insert 注入攻击
?SQL exec 注入攻击
?SQL update 注入攻击
?IBM DB2数据库xmlquery缓冲区溢出尝试
?Oracle安全备份命令exec_qr注入攻击
?Oracle BEA WebLogic Apache连接器HTTP版本拒绝服务攻击
?Oracle安全备份POST exec_qr注入攻击
?Oracle安全备份msgid 0x901用户名字段缓冲区溢出尝试
2产品简介
2.1产品组成
SecFox-NBA(业务审计型)产品仅包括硬件形态的审计器和可选的日志采集器两个部分。产品采用B/S架构,管理员无需安装任何客户端软件,通过IE浏览器登录审计器即可进行各种操作。管理员也可以将分布在网络上的多个审计器的信息统一发送到SecFox安全管理中心,通过IE浏览器登录SecFox安全管理中心进行集中审计。
?SecFox-NBA(业务审计型)审计器
?通用日志采集器(可选)
通用日志采集器运行在安装了Windows系列操作系统的主机和服务器上,能够主动的收集数据库管理系统产生的日志和告警信息,例如Oracle、SQL Server等数据库日志,等等。
?Web控制台
2.2功能列表
2.3性能指标
●WEB控制台登录到审计器的用户最大并发连接数:50个
●旁路监听方式,事务处理性能根据硬件配置从2000TPS到6000TPS ●事务存储量根据硬件配置从10亿条到40亿条
2.4部署方式
2.4.1单一部署(Stand-Alone)
SecFox-NBA(业务审计型)可应用于大中小各类型企业,用于保护业务网中的数据库和网络主机,一般部署于被保护数据源的附近,通过端口镜像或者TAP方式连接到网络中。
典型地,SecFox-NBA(业务审计型)审计器放置在业务服务器集中的交换机上,对交换机的端口做镜像,接到SecFox-NBA(业务审计型)审计器中。管理员通过浏览器可以从任何位置登录SecFox-NBA(业务审计型)审计器,进行各项操作,如下图所示:
用户部署SecFox-NBA(业务审计型)系统无需对现有网络结构做任何改动,用户也不会有任何察觉。而且SecFox-NBA(业务审计型)设备自身的可用性也不会对整个网络可用性造成任何影响。
特别地,借助SecFox-NBA(业务审计型)产品独有的多端口侦听(Multi-Port Detection)技术,系统支持同时侦听多个不同网段的网络通讯。这种部署方式适用于对分散在不同交换机上的多个数据库系统进行审计,或者是对在物理或逻辑上隔离的多个网络进行审计。
2.4.2主从部署(Master-Slave)
对于多审计区域的、大型的、全国性的、分级的网络环境,SecFox-NBA(业务审计型)可以进行级联部署,多个SecFox-NBA(业务审计型)管理分支可以统一接入到一个主SecFox-NBA(业务审计型)管理服务器,进行全局的审计。
2.5系统自身安全性保证
作为一款安全管理类产品,SecFox-NBA产品自身具备完善的安全性保证,包括:
●产品部的各个组件之间通信都支持加密传输,例如浏览器访问管理中心支持HTTPS、通用
日志采集器(GLC)与审计器之间采用加密压缩协议进行传输、多级管理中心之间采用加密协议进行传输,等等,保证网络通讯的性。
●产品对采集到的信息都进行了加密存储,保证数据的完整性和性。
●产品具备自身运行健康状态监视功能,存储的数据支持自动备份和恢复,保证系统的可
用性。
●产品底层的操作系统是安全操作系统。
3产品价值和优势
3.1产品价值
对于业务系统的管理审计人员和高层管理者而言,SecFox-NBA(业务审计型)具有以下价值:
●保障核心业务正常运行
●审计核心业务的网络访问行为,及时发现误操作、数据篡改和信息泄漏
●协助企业进行合规审计,符合国家风险、控指引的要求
3.2产品优势
SecFox-NBA(业务审计型)作为一款网络安全审计产品,与同类产品相比具有很强的优势:1.真正以业务审计为核心的网络安全审计系统,超越了传统的数据库审计产品
SecFox-NBA(业务审计型)是国第一款真正以业务为审计对象的网络安全审计系统。该产品集成了数据库审计、主机审计、应用审计和流量审计等功能,并且通过形象直观的业务视图将这些原本孤立的审计功能有机地融合到一起,借助业务审计策略和关联分析引擎真正实现对各种业务访问行为的综合性审计。
2.部署方便、即插即用、维护简单、操作简洁
SecFox-NBA(业务审计型)部署十分方便,不必对业务网络结构做任何更改,对业务网络没有任何影响。SecFox-NBA(业务审计型)可以同时审计多个不同的网段;多个系统可以级联,实现分布式部署,实现对大规模业务网络的审计。系统即插即用,安装完毕后运行即可自动发现所侦听网络中的数据库访问行为。
3.独特的二次审计和关联分析功能,使得审计效果更佳
SecFox-NBA(业务审计型)产品在传统数据库审计产品的操作审计功能的基础上还提供了二次行为审计功能:将数据库审计记录与主机、服务和应用的审计记录整合到一起,通过实时关联分析引擎进行跨事件关联分析,进一步帮助用户进行违规行为的定位。通过关联规则,系统能够实时、自动地将违规行为以告警的形式发送出来,主动提醒审计人员,并能够采取多种方式进行自动响应。
4关于网御神州
网御神州安全管理团队根据长期以来在安全管理领域的深入研究,结合来自客户的需求与市场的现状,提出了具有完全自主知识产权的网神SecFox安全管理产品理念,尤其强调网络管理、
安全管理与运维管理的一体化,为政府、军队、公安、税务、电力、保险、电信、金融、交通、制造等各个领域的客户提供全面的安全运营保障平台。网御神州建立了专门的安全管理研发和实施队伍——SOC事业部,在国市场突飞猛进,取得了令人瞩目的市场成就。在CCID2008年和2009年《中国信息安全产品市场研究年度报告》中网御神州连续两年位居安全管理(SOC)市场第一名,成为了中全管理市场的领导厂商之一。
产品参数
主要功能
5-企业案例-网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
数据库安全审计解决方案
一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题,企业常常要面对一下问题: 数据库被恶意访问、攻击甚至数据偷窃,而企业无法及时发现、追踪并阻截这些恶意的行为。 数据库遭受恶意访问、攻击后,不能追踪到足够的证据。 不了解数据使用者对数据库访问的细节,从而无法保证数据安全,特别是敏感数据的管理。 来自内部的威胁:特权用户随意修改配置、改变或盗取数据,没有明确职责分工。 针对数据库、应用系统日志的审计只能做事后分析,周期长,且无法进行持续性审计。 审计缺乏规范性,无法有效成为公司的安全管理规范且满足外部审计需求。 人工审计面对海量数据,无法满足可见性,造成审计不完整。 权责未完全区分开,导致审计效果问题。 二、企业数据管理综合解决方案 提供的一组集成模块,使用一个统一的控制台和后端数据存储,管理整个数据库的安全与合规周期。通过,现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库,又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越,而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零,无需对数据库作任何变更,甚至不依赖本地数据库日志或审计工具。 三、通过管理数据安全 发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策
略。 评估加固漏洞、配置和行为评估,锁定与追踪 的数据库安全评估功能会扫描整个数据库架构,查找漏洞,并使用实时和历史数据提供持续的数据库安全状态评估。它预先配置了一个综合测试库,建立在特定平台漏洞和业界最佳实践案例的基础之上,可以通过的订阅服务得到定期更新。也可以自定义测试,以满足特定的要求。评估模块还会标记与合规相关的漏洞,如遵从和法规提供非法访问和数据表的行为。 监控¥执行—可视性,监控和执行各项策略,主动实时安全通过定制细粒化的实时策略来防止特权用户进行非法或可疑的行 为,同时抵挡欺诈用户或外来者的攻击。 审计报表—细粒度审计追踪,合规工作流自动化 创建一个覆盖所有数据库活动的连续、详细的追踪记录,并实时的语境分析和过滤,从而实现主动控制,生成需要的具体信息。生成的结果报表使所有数据库活动详细可见。 四、数据库安全审计解决方案的突出特点和优势: .可以同时支持监控管理多种数据库()的各种版本; .同时支持多种企业级应用()、应用服务器中间件服务器();.非入侵式部署,不影响网络、数据库服务器现有运行方式及状况,对用户、网络、服务器透明,不在数据库内安装,不需要数据库建立用户;.具有实时阻断非法访问,抵御攻击能力; .可以实现从用户、应用服务器到数据库的全程跟踪即可记录; .可以实现全方位准确监控(来自网络的访问和本地登录访问); .具备分布式部署和分层架构能力,支持企业级不同地域、多种数据库的应用; .部署容易简单; .独特跟踪下钻()功能,追查问题可以一步步到最底层; .多行业、众多客户成功应用案例的证明; .对、、等法律遵从性的良好支持; .国际著名审计公司的认同、认可; .第三方国际著名咨询评测机构的认可和赞赏; .支持多种异构操作系统; .记录的日志不可更改,完全符合法律要求;
数据库安全审计解决实施方案
数据库安全审计解决方案
————————————————————————————————作者:————————————————————————————————日期: 2
一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题,企业常常要面对一下问题: ?数据库被恶意访问、攻击甚至数据偷窃,而企业无法及时发现、追踪并阻截这些恶意的行为。 ?数据库遭受恶意访问、攻击后,不能追踪到足够的证据。 ?不了解数据使用者对数据库访问的细节,从而无法保证数据安全,特别是敏感数据的管理。 ?来自内部的威胁:特权用户随意修改配置、改变或盗取数据,没有明确职责分工。 ?针对数据库、应用系统日志的审计只能做事后分析,周期长,且无法进行持续性审计。 ?审计缺乏规范性,无法有效成为公司的安全管理规范且满足外部审计需求。 ?人工审计面对海量数据,无法满足100%可见性,造成审计不完整。?DBA权责未完全区分开,导致审计效果问题。 二、Guardium企业数据管理综合解决方案 InfoSphere Guardium提供的一组集成模块,使用一个统一的控制台和后端数据存储,管理整个数据库的安全与合规周期。通过Guardium,IBM 现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库,又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越,而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零,无需对数据库作任何变更,甚至不依赖本地数据库日志或审计工具。 三、通过Guardium管理数据安全 ?发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策
数据库审计系统_技术白皮书V1.0
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
数据库审计方案
` 目 录 1 数据库安全现状 ......................................................... 2 数据泄密途径及原因分析 ................................................. 3 数据库审计系统概述 ..................................................... 4 数据库审计基本要求 ..................................................... 4.1 全面的数据库审计 .................................................. 4.2 简易部署 .......................................................... 4.3 业务操作实时监控回放 .............................................. 5 数据库审计系统主要功能 ................................................. 5.1 全方位的数据库审计 ................................................ 5.1.1 ................................... 多数据库系统及运行平台支持 5.1.2 ......................................... 细粒度数据库操作审计 5.2 实时回放数据库操作 ................................................ 5.3 事件精准定位 ...................................................... 5.4 事件关联分析 ...................................................... 5.5 访问工具监控 ...................................................... 5. 6 黑白名单审计 ...................................................... 5. 7 变量审计 .......................................................... 数据库审计 解决方案
数据库审计系统白皮书
360数据库审计系统产品白皮书
目录 1.产品概述 (3) 2.产品特点 (3) 2.1专业的数据库审计 (3) 2.2业务操作实时回放 (3) 2.3事件精准定位 (4) 2.4事件关联分析 (4) 2.5访问工具监控 (4) 2.6黑白名单审计 (5) 2.7变量审计 (5) 2.8关注字段值提取 (5) 2.9丰富完善的报表报告 (5) 3.产品价值 (5) 3.1未知数据库资产发现 (5) 3.2敏感数据信息管理 (6) 3.3数据库安全事件预警 (6) 3.4数据库安全事件追溯 (6) 3.5辅助用户数据库访问策略制定 (6) 3.6满足用户合规需求 (6) 4.主要功能 (6)
1.产品概述 360数据库审计系统是针对网络访问数据库的操作行为进行细粒度分析的安全设备,它可提供实时监控、违规响应、历史行为回溯等操作分析功能,是满 足数据库风险管理和内控要求、提升内部安全监管,保障数据库安全的有效手段。 2.产品特点 2.1专业的数据库审计 360数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计,具体包括: 1)数据访问审计:记录所有对保护数据的访问信息,包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息 2)数据变更审计:统计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作等等,防止外部和内部人员非法篡改重要的业务数据 3)用户操作审计:统计和查询所有用户的登录成功和失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可用于事故和故障的追踪和诊断 4)违规访问行为审计:记录和发现用户违规访问。支持设定用户黑白名单,以及定义复杂的合规规则,支持告警 2.2业务操作实时回放 360数据库审计系统产品能对访问数据库操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。
市财政信息系统 数据库监控与审计解决方案
市财政信息系统 数据库监控与审计解决方案 https://www.360docs.net/doc/c017490349.html, 1、概述 当前市财政局各类信息系统中,数据密级度较高的系统包括预算编制系统、决算系统、国库支付、政府采购系统等,后台数据库中存储的敏感数据一旦发生泄漏或者被非法篡改,都将是责任重大的信息安全事故。 为了在发生疑似影响数据安全操作的时候,能及时告警并记入审计日志以便事后追责,市财政局应从技术和管理手段上采取相应的措施提高敏感数据的安全性。技术上采用数据库监控与审计设备记录敏感数据的操作,对批量的数据导出和针对数据库的恶意攻击及时告警;管理上引入定期安全巡检、对告警信息及时处理,让安全管理员切实管好敏感信息不泄漏,出现数据泄漏和篡改等问题能准确追责和定责。 2、需求分析 2.1、数据安全风险显著 省财政数据中心当前主要面临如下三类数据安全风险: ●财政敏感信息的泄密风险 在当前的管理平台系统中,有宏观财政指标参数、行业领域预算信息、项目详细预算和决算数据,同时政府采购项目相关的招标项目信息、产品报价、中标结果信息等敏感信息,程序开发人员、信息中心人员有数据库的账户,都有机会利用数据库存在的漏洞以及自身拥有的高权限,直接获取敏感信息的风险。 ●财政敏感信息被非法篡改风险 当前的管理平台系统中,有国库支付相关的预算单位信息、预算科目、会计科目、计划金额、用款金额等敏感信息,财政信息系统往往是局方内部人员、厂商程序开发人员和实施
人员共同维护数据。一旦发生了违规的数据篡改行为,也无法有效界定到底是哪方人员造成的信息安全事故。 ●缺乏有效追踪排查手段 如果缺乏独立和有效的数据库操作审计日志,就不可能对可疑的违规操作及时进行分析,包括对违规篡改操作发生的时间、地址、操作者、数据修改值等信息项,当前都缺乏有效手段进行追踪。 2.2、政策要求安全审计 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度,提出"抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南"。 2004年9月发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号")进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。这些文件以意见的形式提出对网络行为进行实时记录并保存相关各类日志。 政府单位更多的寻求技术手段完善政府单位网络安全防护体系,充分满足国家对信息系统的等级保护要求和对涉密网的分级保护要求,对数据库审计的具体安全要求:每个用户的行为、各种可疑操作并进行告警通知,能对操作记录进行全面的分析,提供自身审计进程的监控,审计记录防止恶意删除,同时具备自动归档能力。 3、解决方案 3.1、防护目标 本方案的目标是市财政局信息中心数据库形成以监控与审计为主的安全防护,重点解决敏感信息泄密和数据非法篡改的及时告警和事后审计问题。 数据库监控与审计的防护目标概括来说主要是三个方面: 一是确保数据的完整性;
数据库审计解决方案
数据库审计方案建议书
1综述--------------------------------------------------------------------------- 3 1.1方案背景 ----------------------------------------------------------------- 3 1.1.1数据库安全风险 ----------------------------------------------------- 3 1.2方案目标及实现原则 ------------------------------------------------------- 3 1.2.1实现的目标 --------------------------------------------------------- 3 1.2.2遵循的原则 --------------------------------------------------------- 4 2数据库审计系统产品简介 --------------------------------------------------------- 4 2.1产品定位 ----------------------------------------------------------------- 4 2.2功能简介 ----------------------------------------------------------------- 4 2.3产品特色 ----------------------------------------------------------------- 5 2.4功能特点 ----------------------------------------------------------------- 6 2.4.1强审计能力 --------------------------------------------------------- 6 2.4.2可灵活配置的审计规则 ----------------------------------------------- 6 2.4.3强大的搜索引擎 ----------------------------------------------------- 6 2.4.4丰富的审计报表 ----------------------------------------------------- 6 2.4.5自身安全性保护 ----------------------------------------------------- 6 3数据库审计系统部署 ------------------------------------------------------------- 7 4日志服务器集成 ----------------------------------------------------------------- 8 4.1 整体实施效果---------------------------------------------------------------- 8 5神码安全IDM产品结合数据库审计系统方案 ----------------------------------------- 9 5.1产品部署图和流程分析 ----------------------------------------------------- 9 6总结--------------------------------------------------------------------------- 9
国都兴业慧眼数据库审计系统产品白皮书 v3.0
慧眼数据库审计系统产品白皮书(V3.0) 国都兴业信息审计系统技术(北京)有限公司 二〇一四年
版权声明 本技术白皮书是对国都兴业信息审计系统技术(北京)有限公司慧眼数据库审计系统产品的描述。与内容相关的权利归国都兴业信息审计系统技术(北京)有限公司所有。白皮书中的任何内容未经本公司许可,不得转印、复制。本资料将定期更新,如欲索取最新资料,请访问本公司网站:https://www.360docs.net/doc/c017490349.html, 您的意见或建议请发至:china@https://www.360docs.net/doc/c017490349.html, 公司联系方式: 国都兴业信息审计系统技术(北京)有限公司 北京市海淀区东北旺西路8号中关村软件园10号楼106室 邮政编码100193 106 Great Road Building, Zhongguancun Software Park, 8 Dongbeiwang Western RD, Haidian District, Beijing 100193, P.R.China 电话(Tel): +86-10-82585166 传真(Fax): +86-10-82825363 电子信箱: china@https://www.360docs.net/doc/c017490349.html,
公司简介 国都兴业信息审计系统技术(北京)有限公司创建于1998年,公司总部设立于北京中关村软件园,是最优秀的信息系统审计解决方案、产品和服务提供商,具有强大的自主研发实力,是通过ISO9001:2000质量管理体系认证的北京市高新技术企业。国都兴业致力于提升用户掌控信息系统风险的能力,在信息系统的安全性、可靠性、合规性等方面提供全面的IT审计解决方案和服务,开发和销售专业的IT审计产品,解决用户对信息系统监测、评估和控制管理等方面的各项需求。 国都兴业是国内信息系统审计领域最具技术创新和产品研发实力的企业,是国内最早研发生产网络应用监控审计类产品的知名企业。国都兴业推出的“慧眼”信息审计系列产品,能够针对IT基础设施、信息安全、网络应用、数据库应用以及业务操作等方面,提供全方位地实时监测和审计,被广泛地应用于企业内部控制、企业风险管理、信息系统安全保障等方面。“慧眼数据库审计系统”连续两年入选中央国家机关网络安全产品协议供货商名录,通过国家、公安部、涉密、军队等信息安全产品认证,并被授予“2008年度最值得信赖品牌奖”。 国都兴业拥有来自军队、科研机构、国内知名院校的专家与学者组成的研发团队,拥有与国家信息技术安全研究中心(N&A)共同组建的网络安全监控技术实验室,在为政府、军队、金融、电信、能源、医疗、教育等行业提供了完善的网络安全解决方案和服务的同时,还承担了多项国家、军队科研攻关项目的研究工作。 国都兴业以雄厚的技术实力、优秀的产品和优质的服务获得业界的广泛认可,荣获“中国信息化建设30周年杰出贡献单位奖”、“中国信息化建设30周年杰出贡献人物奖”,入选北京信息安全服务平台2008年度运维支持单位,并圆满完成2008年奥运网络安全评估与保障任务,被授予“共铸网络利剑,携手平安奥运”的嘉奖。 国都兴业将秉承“诚信、兴业、自信、创新”的企业精神,致力于成为最优秀的IT审计企业、最值得客户信赖的企业、最吸引优秀人才的企业,为“提升企业驾驭IT的能力,创造信息系统新价值”而不懈努力!
数据库审计方案
数据库审计方案
数据库审计与风险控制解决方案 1 概述 1.1 数据库面临的安全挑战 数据库是企业核心业务开展过程中最具有战略性的资产,一般都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其它非法者获取。互联网的急速发展使得企业的数据库信息价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战,概括起来主要表现在以下三个层面: 管理层面:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。 技术层面:现有的数据库内部操作不明,无法经过外部的任何安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。 审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性。
伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。 1.2 数据库审计的客观需求 数据库审计与风险控制的目的概括来说主要是三个方面:一是确保数据的完整性;二是让管理者全面了解数据库实际发生的情况;三是在可疑行为发生时能够自动启动预先设置的告警流程,防范数据库风险的发生。因此,如何采取一种可信赖的综合途径,确保数据库活动记录的100%捕获是极为重要的,任何一种遗漏关键活动的行为,都会导致数据库安全上的错误判断,而且干扰数据库在运行时的性能。只有充分理解企业对数据库安全审计的客观需求,才能够给出行之有效的解决方案: 捕捉数据访问:不论在什么时间、以什么方式、只要数据被修改或查看了就需要自动对其进行追踪; 捕捉数据库配置变化:当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时,需要进行自动追踪; 自动防御:当探测到值得注意的情况时,需要自动启动事先设置的告警策略,以便数据库安全管理员及时采取有效应对措施,对于严重影响业务运行的高风险行为甚至能够立即阻断;
数据库审计系统
数据库审计系统 项目需求书项目名称:数据库审计系统
一、系统概述 数据库审计系统主要用于监视并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,能对特定的操作进行告警,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计。 二、采购清单 本次招标采购的软硬件以及配套设备如下表:
三、系统建设目标 (一)系统目标 建设适应未来发展和管理需要的、功能完善、架构合理、技术先进的数据库审计系统,实现信息科技运行安全、数据安全,方便快捷地实现对各个数据库操作实时监控,提高运行安全性,满足监管要求。 (二)安全目标 系统安全架构和流程设计必须符合我行相关业务规范、技术规范和安全规范,符合国家密码管理局和人民银行、银保监会等监管机构的安全性要求,保证所采取的安全措施符合相关法律法规的规定。 系统应具有数据传输及存储过程中的可靠性、完整性、可用性、机密性、可审计性,确保客户信息的安全。 系统应具有完备的安全控管功能和审计功能,能够记录自身运行的日志信息,能够对系统操作员的操作记录进行审计。 四、功能需求 (一)总体要求 数据库审计系统建设应遵循以下原则进行设计和实现: 1.系统化:系统功能全面、完善,各个环节应有机结合形成统一的整体。 2.成熟性:选用成熟的系统,能够满足大部分的技术要求,结合监管、审计以及我行实际的需求形成完善的数据库审计系统。 3.稳定性:系统各项功能模块运行应稳定可靠,各项流程模块、报告的结果及时准确无误,用户操作流畅,与被监控的第三方系统不产生负面影响。 4.可配置:运维服务的流程简易功能以及报表等均可由用户自行设置。 5.可扩展、易集成:系统的功能和部署范围应具有根据招标方需求进行扩展的能力。 6.安全性:系统的安全性应达到招标方安全管理的规范要求,并在实施过程中做好安全保障措施和应急准备,确保方案优良和建设过程顺利。 7.自动化:能自动发现现有数据库的信息,能自动监控数据库操作,自动推
数据库审计产品测试方案
。 北京中船信息科技有限公司 北京思福迪信息技术有限公司 2011年03月05日 数据库审计产品 测试方案
数据库审计产品测试方案 目录 一、测试目的 (4) 二、测试原则 (4) 三、测试环境 (6) 3.1测试对象 (6) 3.2测试地点 (6) 3.3测试时间 (6) 3.4测试人员 (6) 3.5测试环境 (6) 3.6测试拓扑示意图 (6) 3.7测试准备 (6) 四、测试项目 (8) 4.1产品收集功能测试 (8) 4.1.1日志收集能力测试 (8) 4.1.2日志过滤 (10) 4.1.3日志收集的安全性 (11)
4.1.4日志收集的标准化 (12) 4.2产品存储功能测试 (13) 4.2.1日志导出及备份 (13) 4.2.2存储使用监控 (14) 4.2.3存储安全防护 (15) 4.3产品的查询功能测试 (16) 4.3.1多条件组合查询 (16) 4.3.2自定义安全事件查询 (17) 4.4产品的报表功能测试 (18) 4.4.1报表结果可视化展现 (18) 4.4.2报表导出格式 (19) 4.4.3报表权限 (20) 4.5产品自身管理及防护功能测试 (21) 五、测试结论 (24) 参考标准 (24)
一、测试目的 本次测试的主要目的,是测试和验证数据库审计产品的各项功能和性能指标能否满足客户的实际需求。 二、测试原则 在本次测试过程中,将根据客观、公正、公平的原则,按统一的标准,从客户的业务需求和实际环境出发,对参加测试的厂商的产品进行有重点、有针对性的测试。为此,在测试过程中应坚持以下原则: ●测试环境一致原则 本次测试,不同厂家的产品,其测试环境保持一致,即使用相同的网络环境,采用统一的测试工具,设置统一的测试参数进行测试。在一个产品测试完,下一产品测试前,恢复测试环境的初始状态。 ●测试内容一致原则 针对不同厂家产品采用相同的测试内容进行测试。并且测试内容一旦确定,所有参加测试的产品必须按其内容逐项进行测试。 ●代表性原则
【最佳实践】行云管家数据库运维审计解决方案
【最佳实践】行云管家数据库运维审计解决方案 一、为什么企业需要数据库运维审计? 数据库作为现代IT业务系统中必不可少的核心组成部分,对于企业来说,数据库通常都保存着内部至关重要的信息,随着互联网的急速发展,企业数据库信息的价值及可访问性得到了很大提升,导致数据库的安全风险大大增加,企业在对数据库日常运维的过程中经常会面临如下一些问题: 运维工程师以怎样的账号身份访问哪些数据库?这些访问信息一旦泄露如何处理? 如何避免工程师在执行SQL语句时出现误操作或者恶意操作? 如何在不影响工程师正常工作的基础上对核心业务的敏感数据进行脱敏? 如何将每个工程师的所有操作全部记录下来,以供日后出现问题时可以回溯追责? 由此,企业急需一套数据库运维审计产品以保证企业内部数据库信息安全。 二、行云管家数据库运维审计解决方案 针对以上痛点问题,行云管家为企业提供了完整的数据库安全运维解决方案。
支持云端与本地数据库 行云管家支持业界所有主流数据库,包括本地数据库与公有云的云端数据库; 访问信息托管 可在行云管家中托管数据库的访问信息,杜绝非法访问并避免真实访问信息的泄露;SQL指令拦截 支持SQL指令拦截,可设置敏感指令拦截规则,避免误操作与非法操作 敏感数据脱敏 支持对数据量的敏感业务数据进行脱敏,避免信息泄露 SQL指令审计 支持云端录像与SQL指令审计记录,出现啊问题可回溯追责
本质上,行云管家数据库运维审计是一种基于协议代理与拦截的机制。在行云管家中,用户并不会访问到真实数据库,而是通过访问行云管家数据库代理服务(内置在行云管家proxy 和会话中转服务模块)从而完成SQL指令拦截、数据脱敏、指令审计等特性。 2.3数据库协议代理与拦截 基于数据库协议进行代理与拦截,意味着我们需要非常了解数据库的底层通讯协议,但大部分商业数据库的通讯协议是私有的,经过行云管家研发团队的不懈努力,目前我们已经支持的主流数据库如下表所示;
数据库审计系统
数据库审计系统 概述 近几年来随着计算机在政府审计,社会审计等外部审计工作中的逐步应用。审计组织,审计手段和审计管理等也正在发生着重大变革。特别是"政府金审工程"实施以来,已硕果累累:在审计组织方式上,从审计现场的单机审计,发展到审计现场的局域网审计,以及目前正在试点实施的远程联网审计;由对被审计单位电子数据实施分散审计发展到对电子数据实施集中审计。在审计手段上,从利用计算机检索,关联,计算等功能对电子数据进行分析,发展到利用计算机技术将审计人员的经验,技巧,方法智能化,进而利用分析性测试等先进审计方法系统分析电子数据。在审计的客体上,从单纯审计电子数据,发展到既审计电子数据,又对与财政财务收支相关或与固定资产投资建设项目相关的数据信息等的合规性,经济性实施审计监督。在计算机运用的范围上,实现了从利用计算机实施审计到运用计算机管理审计项目的跨越。 数据库审计子系统的网络审计功能通过对数据包中数据操作语法的分析,可以知道对数据库中的某个表、某个字段进行了什么操作,并可对违规的操作产生报警事件。 数据库审计系统功能 数据库审计系统采用网络传感器组件,对特定的连接数据包(数据库远程连接)进行分析,从数据库访问操作入手,对抓到的数据包进行语法分析,从而审计对数据库中的哪些数据进行操作,可以对特定的数据操作制定规则,产生报警事件。 由于数据库系统的种类比较多,所以数据库审计从网络方面入手,监控数据库的操作。可以审计所有的远程数据库操作,通过旁路技术实现审计。如下图所示: 监控中心数据库审计子系统模块 数据库系统 数据库审计 网络传感器 集线器、交 换机 等网 络连 接设 备 数据库操作审计
安信通数据库审计系统
产品硬件指标
产品功能: 支持数据库类型: Oracle、Informix、DB2、SQL-Server、Sybase、MySQL 支持其它协议: http、telnet、FTP 应用服务器审计: 客户端访问应用服务器会话与服务器访问数据库会话智能匹配,审计结果解析为客户端访问数据库语句。 审计记录项目: 1、被审计数据库服务器详细信息:数据库服务器名称、IP地址、MAC地址、端口号 2、数据库访问者详细信息:用户名、MAC地址、IP地址、端口号 3、数据库操作发生详细日期、时间 4、原始SQL语句 5、数据库操作执行结果,数据库返回内容摘要 6、数据库操作类型 7、能够审计到客户端系统用户名、数据库用户名、客户端程序及路径 8、数据库流量、客户端流量 9、数据库访问者违规报警结果 审计内容: DDL类:CREATE、ALTER、DROP、COMMENT、TRUNCATE、REPLACE、DECLARE DML类:DELETE、INSERT、SELECT、UPDATE、CALL DCL类:COMMIT、DENY、GRANT、REVOKE、ROLLBACK、TRANBEGIN 数据库用户登陆 数据库特有操作 其它用户自定义操作: 1、用户自定义存储过程审计 2、特定字符串审计 3、用户自定义单位时间内的流量审计
检索条件: 1、日期、时间范围 2、数据库访问客户端和服务端IP地址、IP地址段、MAC地址 3、数据库类型、数据库操作类型 4、数据库SQL语句中的关键字词 5、报警级别、数据库访问客户端分组 6、操作结果 7、数据库访问客户端登录用户名 8、用户定义的流量范围 审计分析: 数据库流量统计和排名: 1、数据库报警流量统计 2、数据库操作流量统计 3、指定数据库访问者流量统计 4、数据库登录流量统计 5、访问流量最大的前5/10/20的数据库访问者 数据库操作统计和排名: 1、指定时间段内各种数据库操作发生的次数 2、指定客户端的操作统计 3、某种操作执行次数最多的前5/10/20的数据库访问者 报警统计和排名: 1、指定时间段内的报警(高、中、低风险)统计和比较 2、指定的客户端报警(高、中、低风险)统计 3、报警最多的前5/10/20的数据库访问者 登录统计和排名: 1、指定时间段内的登录(成功、失败)数统计和比较 2、指定时间段内的用户数、登录IP数统计 3、用户在不同IP地址的登录统计及登录结果统计 4、同一IP地址下不同用户的登录统计及结果统计
等保2.0之数据库审计系统技术方案建议书
等保2.0之数据库审计系统技术方案建议书
目录 1 概述 (3) 1.1 内部安全隐患 (3) 1.2 法律法规监管 (3) 2 ××企业网络数据库安全分析 (3) 2.1 ××企业网络数据库安全现状 (4) 2.2 ××企业网络数据库业务流分析 (4) 2.3 ××企业网络数据库安全问题与分析 (4) 2.4 ××企业网络数据库安全需求 (4) 3 XX数据库安全解决方案 (5) 3.1 ××企业数据库安全解决方案 (5) 3.1.1 数据库审计部署方案 (5) 4 数据库安全解决方案特点 (6) 4.1 ××企业数据库审计解决方案优点 (6) 5 数据库审计系统系统功能介绍 (6) 5.1 系统简介 (6) 5.2 功能特点 (7) 5.2.1 协议的全面支持 (7) 5.2.2 完备的策略配置 (8) 6 数据库审计系统系统产品介绍 (8) 6.1 产品说明 (8) 6.2 产品特点 (8) 7 XX公司服务 (9) 7.1 服务理念 (9) 7.2 服务内容 (9) 7.3 服务保障 (10)
等保2.0之数据库审计系统技术方案建议书1 概述 随着信息化技术的发展,越来越多的政府、企事业单位通过信息系统实现办公和重要数据的存储,极大提高了办公效率。同时,数据也成为各行业的核心资产,数据库系统作为数据的主要承载体,是商业和公共安全中最具战略性的资产,数据库系统的安全稳定运行也直接决定着一个单位业务系统运行的安全性,因此数据库安全尤为重要。 1.1 内部安全隐患 随着企业的业务系统变得日益复杂,内部工作人员、第三方运维高权限人员都会成为系统安全的隐患。内部人员缺乏监管,操作不规范,缺乏对第三方运维人员的权限控制;高权限账号的共用、滥用,已经成为信息泄露的重要途径。根据统计资料,对企业造成严重攻击中的70%是来自于组织里的内部人员。 1.2 法律法规监管 国家和企业意识到了网络安全、数据泄露问题迫在眉睫。自2017年6月1日起正式实行《网络安全法》,成为中国严格的网络治理指导方针的一个里程碑。《网络安全法》中对数据安全提出了明确的要求,同时各行业也在保护数据安全的数据泄露方面推出了行业的要求和标准。美国政府1998年颁发的《Sarbanes-Oxley法案》(简称SOX法案),国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,银监会的《银行业金融机构信息系统风险管理指引》等一系列法规,均提出针对关键数据资产的审计要求。 2 ××企业网络数据库安全分析 本项目通过与××企业进行深入的交流,我们对其数据库安全进行了充分的了解与分析……
数据库审计产品部署方案
数据库审计产品部署方案 随着美国金融危机爆发引发的全球经济危机,让我们越来越深刻地认识到违规操作、疏于监管带来的危害,于是审计作为现在监管比较普遍、实用且成熟的专业迎来了又一次事业的高峰。 经历了几十年的传统审计,虽然成熟,但是一直都是采用手工的方式进行工作的。而信息化技术的出现以及大量的信息通过信息系统处理,使得通过人工审计的方式逐渐捉襟见肘,利用信息技术手段实现或辅助审计的呼声越来越高。 审计重要的是通过记录数据审计行为,严防舞弊、违规操作、财务欺诈等行为,因此数据的保存和管理是保证审计结果准确可靠的基石。在信息系统中,数据当然保存在数据库中,数据库审计产品也应运而生。 数据库审计产品的角色和审计人员一样,最重要的是尽量不影响业务的正常运行,因此也是个“旁路”的角色。因此数据库审计产品的部署必须关注两件事,第一不能影响网络正常业务,第二还要发挥审计的作用。 基于上述两项困难,在数据库审计产品部署时就对应着两项重要的工作,即选型和部署结构。 (1)选型不合理,会影响网络的速度、干扰其它业务的正常运转,甚至会遭到其他业务部门的攻击。本来审计就是件很难获得其它部门支持的工作,如果产生影响,反而会火上浇油。 (2)部署结构不合理,会直接影响审计效果,我们的审计工作业绩就体现不出来,因此这是一项“腹背受敌”的工作。 数据库审计产品在经过企业选型、采购、测试之后就进入了部署阶段,部署方式有以下几种: 按照审计对象可以分为主机监听、网络监听和组合部署三种方式。从结构上分,有集中部署、分布式部署和混合部署这三种方式。还有一种部署是多路部署方式。下面逐一介绍。 1、主机监听方式
▲图1:数据库审计产品混合部署 这种部署方式只是简单的将数据库审计产品直接连接到数据库服务器上,专门用来分析数据库的系统状况,与下面网络监听方式不同的是这种部署方式不需要交换机镜像流量给数据库审计产品。 这种部署方式适合网络结构简单的企业,只有一台数据库或者只有一台需要审计。 2、网络监听方式 ▲图2:数据库审计产品网络监听部署 下面介绍的集中部署、分布式部署、混合部署等部署方式都属于网络监听方式,与主机监听方式的主要区别就是数据库审计产品是连接到交换机上的,而不是直接连接到主机上的。当然网络监听方式需要将交换机流量镜像到数据库审计产品上,即需要对交换机做配置(也需要交换机支持端口流量镜像功能)。 这种模式适合具备一定网络化的企业,需要使用一台审计产品监控多个数据库的情形。这种情况下一定要注意审计产品的性能,否则丢失监控数据的现象会比较多。 3、组合部署