随着互联网的快速发展,企业通过各种应用产生在数据库中的所有关于商业以及公共安全性的数据,已经成为各企事业单位最具有价值的资产。通常企业为了防止这些敏感数据被竞争对手或者黑客非法获取,用以谋求不正当的利益,都会通过各种方式将这些信息严密保护起来。
而数据库安全审计系统可以对数据的访问操作行为做一个完整的记录,以备违反安全规则的事件发生后,能有效的追查责任和分析原因,必要时还可以为惩罚恶意攻击行为提供必要的证据。这就对数据库安全审计产品提出了一个最基本的要求:完整的纪录。
法规控制在一些领域起了关键性的作用,例如在业务变更、业务流程验证、系统故障、人为违规操作等方面。因为数据库作为各项资产或者业务的核心,所以数据库审计在各类标准法规中非常重要。
《萨班斯法案》强调加强与财务报表相关的it系统内部控制,其中,it系统内部控制是紧密围绕信息安全审计这一核心的。
巴赛尔新资本协定(basel ii)要求全球银行必须做好风险控管(risk management),而这项“金融作业风险”的防范正需要业务信息安全审计为依托。
《企业内部控制具体规范》明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性.
《等级保护数据库管理技术要求》 第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应:建立独立的安全审计系统;定义与数据库安全相关的审计事件;设置专门的安全审计员;设置专门用于存储数据库系统审计数据的安全审计库;提供适用于数据库系统的安全审计设置、分析和查阅的工具。
《iso15408-2 安全功能要求》明确要求数据库安全审计应包括:识别、记录、存储和分析 那些与安全相关活动(即由tsp 控制的活动)有关的信息;检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。
以安华金和数据库安全审计系统为例,我们对审计系统的主要特性、优势、及部署方式进行详细讲解:
【数据库安全审计系统特性】
1、全面的数据库审计
数据库审计系统能够针对目前主流的数据库(oracle、mssql、mysql、postgresql、caché、….)的各种操作进行详细的、实时的记录,并以报表和数据库列表的形式呈现给客户!
能够审计的内容包括:
审计用户对数据库的登录、注销
审计用户到数据库表的查询、插入、修改、删除、创建……
能够监控各类数据库的连接客户的操作
支持的数据库类型包括:oracel、db2、informix、sybase、mssql server、mysql、postgresql、caché
2、远程服务器操作审计
数据库审计系统支持主流的远程服务器访问操作,包括对telnet、ftp、rlogin、x11等操作的审计,能够全程记录远程访问用户的各种操作。
3、丰富的报警设置
用户可以自定义各种报警事件,并设置报警事件的类别。当数据库遭遇到攻击、定制报警策略促发时,系统会自动的告警出来!目前报警为高级、较高、中级、低级四个级别。
4、灵活的审计策略
数据库审计系统使用审计引擎对所有的数据库活动、数据库服务器远程操作进行实时的、动态的审计,并根据审计到客户端(ip、mac、用户名……)、中间件(操作语句)、服务端(返回值、响应时间……)信息,自定义策略,实现审计可视化、可管理行。
5、系统管理
数据库审计系统的管理控制台集中管理应用审计系统,审计人员可以通过管控平台是实时监控应用审计设备的各种状态,包括:
系统运行状态,cpu、内存、硬盘的消耗等。
系统自身运行的各种日志信息。
【数据库安全审计系统优势】
系统可审计的数据库类型涵盖国内外 12 种主流数据库,包括:
1) 国际主流:oracle、sql server、db2、sybase、informix、postgresql、cachedb;
2) 国内主流:gbase(南大通用)、dm(达梦)、kingbase(人大金仓)、oscar(神舟);
为适应大数据分析的市场需求,针对 hadoop 大数据和非关系型数据库,提供完善的审计与监控能力。沿用关系型数据库的规则配置、业务分析流程,提高非关系型数据的分析能力。
一、 审计范围全面
系统可审计的业务范畴全面,审计数据来源包括:
1) 旁路镜像审计;
2) 探针式数据采集;
3) 虚拟机 vds 引流;
4) 远程登录行为审计;
5) 本地回环口流量采集;
6) telnet 行为记录;
7) 加密协议解析;
二、 审计内容全面
系统的审计元素覆盖数据库整体交互过程,包括:
1) 应用层信息:应用账户、应用 ip;
2) 客户端信息:客户端 ip、主机名称、操作系统账号、客户端工具/应用程序;
3) 数据库信息:数据库 ip 地址、用户名、数据库类型、版本、字符集;
4) 对象信息:实例、schema、表、字段、包、存储过程、函数、视图;
5) 响应信息:应答错误码、影响行数、返回结果集等;
6) 其他信息:登录时间、操作时间、sql 响应时长等
三、 分析角度全面
产品可提供的规则视角全面,可基于如下几个维度分析审计日志:
1) 全库\数据库组\单库
2) 语句与会话的关联审计
3) 区分数据库实例审计
4) 会话深度分析
5) 数据库性能异常分析(topsql 等)
四、 策略配置全面
本系统支持全局策略配置,根据【数据库类型】和【业务类型】添加不同的规则组,可引用不同的数据库开启监控策略,提供全面的数据库攻击行为监控技术:
五、数据库审计系统具备高效的日志检索能力,实现审计记录的快速查询。当设备旁路进入网络,即可对添加的数据库进行协议解析,并对解析内容快速入库建立索引文件,从而在审计分析时实现高效的查询机制,大型审计记录分析运算入库时间小于 30s,亿级别数据规模单条记录查询响应时间小于 10s,达到业界领先水平。索引文件和数据表文件如果损坏,系统会启用自动修复机制,以确保系统日志查询时的有效性和准确性。
六、审计系统基于精确协议分析、完全 sql 解析、参数化匹配、长语句解析、多语句解析和100%应用关联技术,创造了业界准确的数据库审计产品,为可信审计追踪提供了坚实的基础。
七、提供 3 级存储机制,包括在线存储库、历史压缩库和远程备份库,使千亿级数据存储不再困难。通过在线存储库保证高效响应,在历史压缩库中提供 10 倍以上压缩比,通过远程备份库完成第三方存储设备利用,并通过专项接口与外部高效存储阵列对接。
数据库安全审计产品在硬件层面支持 raid 0/1/5 硬盘存储模型,并支持 ssd 固态硬盘提高 i/o 读写速率。系统在保障审计日志高效入库的同时,在硬件层面实现冗余存储。高端设备以可插拔硬盘方式实现存储空间的动态扩容,可实现 60t 硬盘存储。
【数据库安全审计系部署方式】
安华金和数据库安全审计系统部署方式主要分为旁路审计及虚拟化审计及本地审计三种:
旁路审计部署
系统支持旁路部署模式,在无须插件植入数据库的前提下,实现数据库通讯流量的全量解析和审计。旁路模式下系统并不直接接入数据库网络,而是将网络流量镜像传输给审计系统,系统通过网络监听口捕获镜像流量完成审计。
虚拟化审计部署
系统支持虚拟环境部署,可适用于主流私有云环境(如:青云、华为云、阿里云、腾讯云等),可以支持虚拟机环境部署(如 vmware、kvm 等)。系统可基于 centos 操作系统解压安装,可基于以下两种方式进行实时数据采集:
1、虚拟交换机引流
适用于数据库和应用在同一虚拟化环境下,依赖虚拟交换机(vswitch)进行流量镜像,网络配置方式类似于物理机设备的“旁路镜像”。
2、rmagent 插件部署
虚拟环境中,虽然支持 vswitch(虚拟交换机)功能,实现在虚拟环境下的数据镜像,但在实施过程中往往受到环境影响无法完成数据引流。为了适应虚拟环境下的灵活部署,产品可基于 rmagent 插件部署于数据库服务器从而完成数据采集。其思路是:在被审计的机器上安装 rmagent 插件,可以从网卡上进行抓包,然后通过tcp 连接,把此网络包发送给审计设备。审计系统提供接口和 rms 程序用于接收 rmagent传输的数据包,接受后传输到数据区进行协议解析并形成常规的审计。rmagent 具备良好的兼容性,可适用于 centos、redhat、solaris、aix 等主流操作系统。
本地审计部署
数据库的本地操作行为包括:tcp 式协议访问、客户端工具直连访问。系统通过部署rmagent 组件可以利用 npcap 抓取本地“回环口”流量,并将采集到的数据库本地通讯信息,通过内部网络传递给审计设备完成本地流量解析。
数据库客户端工具(例如:sqlplus)部署于数据库服务器,可以直连数据库 server进行操作,此类信息无法通过回环口抓包获取。系统通过向客户端工具植入插件的方式,获取操作日志,并传递给 rmagent 完成信息采集,从而实现全量的数据库本地行为记录。
试用申请