数据库安全审计系统的功能-k8凯发游戏


数据库安全审计系统的功能
作者:安华金和 发布时间:2020-10-02


  对于很多商业场所来说,数据库都是一种战略性的资产,它通常都保存着客户最重要的信息,所以它的作用是很大的。那么具体数据库审计设备主要功能有哪些?以安华金和数据库安全审计系统为例,我们将从13个方面详细介绍一下主流的数据库安全审计系统的功能。
  【数据库安全审计系统之数据库发现与管理】
  系统可基于流量识别技术,自动发现、添加数据库并快速进行审计。自动识别的数据库信息包括:服务器 ip 地址、数据库类型、数据库版本、字符集等内容。系统针对网络内未知的数据库信息进行有效梳理,可以解决现场网络环境复杂、数据库资产不清晰等问题。
  通过系统自动发现和添加的数据库可以达到百量级,为提高数据库监管效率,系统提供海量数据库管理功能。对百量级的数据库做合理管控并添加“关注”,提供可视化的状态监控界面,可以实时观测数据库的语句吞吐量和风险状况。支持数据库列表导入导出,可快速加载审计列表,并对同类或同业务数据库进行分组管理。为方便规则匹配,系统提供统一的策略配置入口,可快速关联到目标数据库并启动风险规则。
  系统可自定义用户管理审计系统,并基于用户的实际业务需求划分数据库管理权限,不同用户可以对指定的数据库组、或数据库单库进行专项的审计管理。
  【数据库安全审计系统之探针式数据采集】
  系统的部署方式多样,除了常规的旁路审计部署之外,还可以基于“探针”方式捕获数据库流量,可适用于复杂的虚拟化网络环境。产品在应用端或数据库服务器部署rmagent 组件(产品提供),通过虚拟环境分配的审计管理网口进行数据传输,完成数据库流量采集。系统支持多探针部署,并提供批量安装和统一管理功能。rmagent 具备良好的兼容性,可适用于 centos、redhat、solaris、aix 等主流操作系统。
  探针式数据采集,还可以进行数据库本地行为审计,包括数据库和应用系统同机审计和远程登录后的客户端行为。
  数据库安全审计系统功能
  【数据库安全审计系统之加密协议解析】
  系统审计基于数据库通讯协议解析,例如 tns、telnet 等多种协议类型。市场上mysql5.7、sql server 等数据库有时会采用加密协议通讯,为审计解析带来了困难。针对 sql server 默认的数据库用户加密,系统无须插件可以通过“授权账户”方式获取数据库账户信息;针对更深层次的加密协议,系统可以通过“导入加密证书”的方式进行通讯协议解密。
  【数据库安全审计系统之应用关联审计与监控】
  常规的数据库通讯协议解析只能解析到客户端一层的信息,包括:客户端 ip、数据库用户、主机名、操作系统用户名等。利用上述信息可以实现运维侧的风险追溯,但是无法对应用侧风险行为进行追溯,因为在客户端之前还有应用系统信息,甚至业务中间件信息。本系统采用应用端插件部署方式,可基于应用会话捕获【应用账户】及【应用 ip】等关联审计信息,并添加到风险策略进行风险行为监控。针对应用端与业务服务器分离的
  【四层关联系统】,同样可基于插件部署捕获到应用的原始访问信息,实现应用审计的有效溯源。
  系统为便于非技术人员解读审计日志,提供 sql 语句业务翻译功能,并针对来源 ip设置业务别名,从而形成业务人员可读、可操作的审计分析记录。
  数据库安全审计系统功能
  【数据库安全审计系统之数据库入侵行为监测】
  数据库暴露于内外网络,应用系统或者运维工具都可以进行数据库访问。但是数据库各版本都有安全漏洞问题,这些漏洞给入侵者敞开了大门。在 cve 上公开了 2000 多个数据库安全漏洞,包括:系统注入、缓存区溢出、权限提升、数据泄露、拒绝服务等 20 多种类型。
  数据库厂商会定期推出数据库漏洞补丁,但是多数企业出于运维成本和稳定性考虑无法及时更新补丁。
  系统提供针对数据库漏洞攻击的“检测”功能:当外部系统利用数据库漏洞进行数据库攻击时,系统可以实时捕获到对应的 sql 语句及相关会话信息并发送告警,帮助用户实时监控数据库漏洞风险并有效追溯风险来源。
  除了数据库漏洞攻击行为,系统还可以针对 sql 注入和 xss 攻击行为进行审计和规则命中。基于精准的 sql 语法分析,系统可以准确定位 sql 语句中的操作谓词及常量表达式,保障注入、攻击行为监测的准确性。系统提供缺省的 sql 注入特征库,并支持用户自定义规则。
  【数据库安全审计系统之数据库异常行为监测】
  数据库审计产品的主体价值是帮助用户高效的完成风险行为的定责追溯。系统可针对数据库通讯协议进行完全解析;可学习、归类 sql 语句模板,并结合会话信息、应用关联信息,实现数据库行为建模。基于建模语句波动情况,进行有效的分析和深入的挖掘。当数据库访问行为异常时,系统可提供实时的告警能力,降低数据泄露的损失。
  【数据库安全审计系统之数据库违规行为监测】
  系统提供丰富的规则类型,可以针对不同的数据库访问来源,提供对敏感表的访问权限、操作权限和影响行数的有效监控,并结合对 no where 语句风险的判断,避免大规模数据泄露和篡改。
  系统利用审计到的数据库账号和客户端 ip 信息,针对指定周期内,同一 ip 或账号的频次性失败登录行为进行监控并形成告警,并将关联审计到的应用 ip 和应用账号,纳入数据库访问规则。
  【数据库安全审计系统之多维度关联分析】
  系统在纵向维度,提供数据库全局查询、分组查询和独立查询三种分析视角,用户可以根据业务需求进行综合分析。用户可以从访问源入手对多个数据库进行全局查询,快速定位风险访问来源;也可以针对某一数据库进行深度钻取分析,有效评定数据库风险。系统在横向维度,提供三种分析维度,包括风险分析、语句分析、会话分析。
  【数据库安全审计系统之丰富的报表展现】
  【报表】功能是将审计日志进行数据化分析的具体表现形式。系统将报表划分为以下几类,帮助安全管理人员更加便捷、深入的剖析数据库运行风险。
  【综合报表】:日报、周报、月报,基于系统级和单库级别对审计信息做全量综合分析;
  【合规性报表】:根据法案构成,包括 sox、pci、等保分析报表
  【专项报表】:根据风险、性能、客户端、失败信息等多个维度分别建立独立分析报表;
  【自定义报表】:用户可基于报表模型,自定义生成符合自身业务关注点的报表;
  系统为提高报表的展现效率,提供【报表预存】和【定时推送】功能。
  【报表预存】:用户可以对关注的报表按照查询周期生成预存文件。当用户按周期查询报表时,系统调用预存文件可以快速生成报表。
  【定时推送】:用户可以对关注的报表设置定时推送功能,定时查询周期内报表并生成 word、pdf、html 等文件格式,推送到指定的邮件或服务器,便于用户查阅。
  【数据库安全审计系统之数据库性能分析】
  系统的审计内容全面,可以对数据库的 sql 吞吐量、会话并发量进行实时监控,从而评估数据库运行状态和资源使用情况。
  系统通过对数据库请求包和应答包的解析,记录 sql 语句的响应时长,并且对 sql语句的执行效率进行深度分析。提供独立的【topsql 分析】界面,帮助用户快速定位应用系统或运维操作过程中耗时最长、操作频率最高的 sql 语句,从而优化业务系统,提高数据库资源使用率。
  【数据库安全审计系统之数据备份与恢复】
  网络安全法对安全审计类产品提出明确要求:“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。数据库审计是网络安全的重要组成部分,所面临的重要问题是如何提升系统对审计日志的存储能力。
  系统将存储空间进行合理划分,分别存储“在线语句量”和“备份语句量”。系统提供在线语句量全文检索分析能力;并支持对备份语句的自动压缩、存储。根据不同的业务场景,可以按“高压缩比”存储,有效利用存储空间,或者按照“高性能”存储,有效利用系统资源。
  在满足和合规要求的基础上,系统为了最大限度的保留审计日志,支持备份文件的对外传输,可自定义上传 ftp、sftp、nfs 等服务平台做永久性留存。系统支持手动恢复能力,用户可以按“天”将备份数据恢复到在线系统进行检索分析。
  【数据库安全审计系统之对外数据传输接口】
  为便于第三方平台接收日志进行二次分析,系统提供数据对外传输能力,并提供标准化接口。系统对接方式包括:
  1)  syslog 传输:利用 syslog 日志传输方式,将全量审计日志、告警信息、新型语句模板等日志审计记录和统计分析信息,定时或实时上传到 syslog 服务器用于二次解析;
  2)  webservice 接口:提供标准化 webservice 接口,第三方应用系统可以直接调用并完成日志传输。
  3)  大数据平台对接:审计日志纳入大数据分析有利于数据库安全加固。系统可以将审计日志或告警日志通过 kafka 接口进行传输,从而实现 hdfs 日志存储或 es大数据分析。
  除了上述日志传输方式之外,系统还可以抽取“系统审计日志”并传输给第三方系统监管平台;或者通过 snmp 方式传递系统的 cpu、内存等操作系统层信息,便于用户对审计设备的监督、管理。
  【数据库安全审计系统之集群管理】
  系统提供多设备分布式部署能力,并支持数据集中化管理和分析。在网络内已部署多个审计节点的前提下,建立独立的集群管理中心。集群管理中心对各节点具备远程登录和系统管理,各节点通过上报、审批加入集群管理列表。
  数据库安全审计系统集群管理功能


网站地图