安恒数据安全审计方案.doc

《安恒数据安全审计方案.doc》由会员分享，可在线阅读，更多相关《安恒数据安全审计方案.doc（51页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date安恒数据安全审计方案安恒数据安全审计方案安恒数据库审计方案杭州安恒信息技术有限公司2022-07-03目录1概述41.1数据库审计需求42解决方案52.1总体设计52.2数据库审计系统架构63产品功能73.1明御数据库审计与风险控制平台主要功能73.1.1数据库静态审计73.1.2实时监控与风险控制73.1.3齐全的实时审计83.1.4均衡的双向审计83.1.5细粒度

2、的审计规则83.1.6精确的行为检索93.1.7独有的三层审计93.1.8完备的审计报表93.1.9安全事件回放93.1.10多形式的预警机制103.1.11系统配置管理103.1.12分部式部署管理103.1.13自身日志的审计103.1.14故障自动排查平台104产品特点与优势114.1数据库审计与风险控制系统产品特点114.1.1最全的数据库类型支持114.1.2独立审计模式114.1.3灵活的动态审计规则114.1.4全方位、细粒度审计分析114.1.5合规的职责分离124.1.6零风险部署124.1.7完备的自身安全125系统部署135.1数据库审计与风险控制系统部署136客户最终收

3、益146.1数据库审计与风险控制系统客户收益147产品清单158公司简介169典型案例分析179.1数据库审计与风险控制系统典型案例分析（某证券公司）17概述1.1 数据库审计需求数据库系统是任何单位和组织最具有战略性的资产，通常都保存着重要的单位机密信息和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。信息技术的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面： 管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并

4、定位真实的操作者。 技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具（比如：防火墙、IDS、IPS等）来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。 审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。为了解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求，安恒公司在

5、多年数据库安全的理论和实践经验积累的基础上，成功推出了业界首创的、面向政府、企业核心数据库的安全产品-明御TM数据库审计与风险控制系统，该产品重点实现细粒度审计、精准化行为回溯、全方位风险控制，为您的核心数据库提供全方位、细粒度的保护功能。2 解决方案2.1 总体设计根据目前南宁市道路运输管理处信息中心目前数据库系统操作行为未有统一的体系进行全方位的监控与分析，我们设计了数据库审计与风险控制系统及来实现对核心数据库的操作行为审计，对所有操作行为进行审计记录及报警，提高南宁市道路运输管理处信息中心的内网数据库安全事件的可控性及可追溯性。主要包括以下两方面内容：一、针对目前数据库系统存在的人为因素

6、及软件漏洞风险，迫切需要专门针对于数据库的安全进行整体的审计，以实现数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。主要内容：全方位的实时审计：实时监控来自各个层面的所有数据库活动（也包括通过远程命令行方式运行的SQL命令）。如：来自应用程序发起的数据库操作请求、来自数据库客户端工具的操作请求等。细粒度的行为检索：一旦发生安全事件，提供基于数据库对象（用户、表、字段及记录内容）的完全自定义审计查询及审计数据展现，彻底摆脱数据库的黑盒状态（快速掌握：安全事件发生前后谁对数据库做了操作？做了什么操作？什么时候做的操作？通过什么方式做的操作？）灵活的策略定制：根据登

7、录用户、源IP地址、数据库对象（分为数据库用户、表、字段）、操作时间、SQL操作、记录内容的灵活组合来定义客户所关心的重要事件和风险事件。多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、邮件告警、SYSlog告警等方式通知数据库管理员及综合日志管理平台。友好真实的操作过程回放：对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内容多协议的远程访问监控：提供对数据库服务器的远程访问（如：ftp、telnet）实时监控及回放功能，有助于安全事件的定位查询、成因分析及责任认定。2.2 数据库审计系统架构数据库审计与风险控制系统主要的

8、功能模块包括“静态审计、实时监控与风险控制、实时审计、双向审计、细粒度审计规则、精准的行为检索、三层关联审计、完备的审计报表、安全事件回放、审计对象管理、多形式的预警机制、系统配置管理”几个部分。南宁市道路运输管理处信息中心数据库审计系统采用分布式部署，集中管理模式建设，系统集中度高、数据库、服务器数量多、维护人员管理分工细、工作量大，系统建设应在满足以下架构要求的同时能够减少操作人员一定的工作量。（1）采用交换机旁路侦听网络数据流或等同工作方式，不影响正常生产。（2）较高的硬件一体化能力，能充分满足审计过程中数据采集、数据分析、 数据存储、数据报表等能力。（3）软件独立性，部署的软件具有相对

9、独立的工作能力，不占用客户机相关系统资源。（4）建设后的系统应能通过网络数据的采集、分析、识别，实时监控网络数据库的所有访问操作，同时支持自定义内容关键字、支持自定义协议监测、支持自定义端口监测，实现数据库操作的内容监测识别，发现各种违规数据库操作行为，（5）及时报警响应、全过程操作还原，实现安全事件的准确全程跟踪定位，全面保障数据库系统安全。（5）系统应具有集中统一的整合分析能力和全面、系统的报告、分析能力。3 产品功能3.1 明御数据库审计与风险控制平台主要功能3.1.1 数据库静态审计数据库静态审计的目的是代替繁琐的手工检查,预防安全事件的发生。DAS-DBAuditor依托其权威性的数

10、据库安全规则库，自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等静态审计，通过静态审计，可以为后续的动态防护与审计的安全策略设置提供有力的依据。3.1.2 实时监控与风险控制DAS-DBAuditor可保护业界主流的数据库系统，防止受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时，DAS-DBAuditor会自动根据预设置的风险控制策略，结合对数据库活动的实时监控信息，进行特征检测及审计规则检测，任何尝试的攻击或违反审计规则的操作都会被检测到并实时阻断或告警。3.1.3 齐全的实时审计DAS-DBAuditor基于“

11、数据捕获应用层数据分析监控、审计和响应” 的模式提供各项安全功能，使得它的审计功能大大优于基于日志收集的审计系统，通过收集一系列极其丰富的审计数据，结合细粒度的审计规则、以满足对敏感信息的特殊保护需求。数据库动态审计可以彻底摆脱数据库的黑匣子状态，提供4W（who/when/where/what）审计数据。通过实时监测并智能地分析、还原各种数据库操作，解析数据库的登录、注销、插入、删除、存储过程的执行等操作，还原SQL操作语句；跟踪数据库访问过程中的所有细节，包括用户名、数据库操作类型、所访问的数据库表名、字段名、操作执行结果、数据库操作的内容取值等。3.1.4 均衡的双向审计系统通过对双向数

12、据包的解析、识别及还原，不仅对数据库操作请求进行实时审计，而且还可对数据库系统返回结果进行完整的还原和审计，包括数据库命令执行时长、执行的结果集等内容。3.1.5 细粒度的审计规则系统支持对数据库对象（包括用户（数据库）、表、字段、视图、索引、存储过程、包等）进行审计规则定制，同时也提供细粒度的审计规则，如精细到表、字段、具体报文内容的细粒度审计规则，实现对敏感信息的精细监控；基于IP地址、MAC地址和端口号审计；提供可定义作用数量动作门限、可设定关联表数目动作门限、根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则。3.1.6 精确的行为检索对于用户来讲，一旦发生安全事件都

13、需要通过查询事件前后过程，获取有效的信息来协助管理人员找到相应的操作过程。系统通过各种要素多重组合的方式进行查询，能够快速地精确地定位到相应位置。3.1.7 独有的三层审计对于B/S架构的应用系统而言，用户通过WEB服务器实现对数据库的访问，传统的数据库审计系统只能审计到WEB 服务器的相关信息，无法识别是哪个原始访问者发出的请求。安恒DAS-DBAuditor通过关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息（如：操作发生的URL、客户端的IP等信息），产品主要根据时间片、关键字等要素进行信息筛选，以确定符合数据库操作请求的WEB访问，通过三层审计更精确地定

14、位事件发生前后所有层面的访问及操作请求。3.1.8 完备的审计报表DAS-DBAuditor内嵌了功能强大的报表模块，除了按安全经验、行业需求分类的预定义固定格式报表外，管理员还可以利用报表自定义功能生成定制化的报告。报告模块同时支持Word、Excel、PowerPoint、Pdf格式的数据导出。3.1.9 安全事件回放允许安全管理员提取历史数据，对过去某一时段的事件进行回放，真实展现当时的完整操作过程，便于分析和追溯系统安全问题。很多安全事件或者与之关联的事件在发生一段时间后才引发相应的人工处理, 这个时候, 作为独立审计的DAS-DBAuditor就发挥特别的作用. 因为所有的FTP、t

15、elnet、客户端连接等事件都保存后台(包括相关的告警), 对相关的事件做定位查询，缩小范围，使得追溯变得容易；同时由于这是独立监控审计模式, 使得相关的证据更具有公证性。3.1.10 多形式的预警机制对于违反告警及审计规则的信息，系统提供了多形式的预警，包括通过手机短信、邮件、屏幕、以及SYSLOG、SNMP等发送到明御综合日志审计平台或其它相应的网管中心平台。3.1.11 系统配置管理DAS-DBAuditor提供WEB-base的管理页面，数据库安全管理员在不需要安装任何客户端软件的情况下，基于标准的浏览器即可完成对DAS-DBAuditor 的相关配置管理，主要包括“探测器配置、常规配

16、置、系统配置”等。3.1.12 分部式部署管理系统支持对多个数据库审计节点的中心管理，包括数据归并、查询统计、告警通知、审计策略分发等管理。能够实现复杂网络环境下的数据库操作审计。3.1.13 自身日志的审计提供针对审计设备自身的操作日志进行详细记录，满足相关法令法规要求。3.1.14 故障自动排查平台系统提供一健式排错平台，用户无需使用客户端软件即可发现审计设备的端口状态监听、镜像数据流量监控、设备服务状态检查、授权许可查看、前台系统配置等配置及运行内容自动检测，对发现问题的内容提供建设性的解决方案。4 产品特点与优势4.1 数据库审计与风险控制系统产品特点4.1.1 最全的数据库类型支持D

17、AS-DBAuditor支持目前市场上绝大部分的数据库类型，如Oracle、MS SQL server、DB2、Sybase、MySQL、Informix、Oscar等。4.1.2 独立审计模式作为一个网络安全设备，DAS-DBAuditor审计数据通过网络完全独立地采集，这使得数据库维护或开发小组，安全审计小组的工作进行适当的分离。而且，审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于DAS-DBAuditor自带的存储空间中，避免了数据库特权用户或恶意入侵数据库服务器用户，干扰审计信息的公正性。4.1.3 灵活的动态审计规则DAS-DBAuditor使用审计引擎对所有的

18、数据库活动、数据库服务器远程操作进行实时的、动态的审计。 4.1.4 全方位、细粒度审计分析完整性：独一无二的三层审计，可针对应用层、中间层、数据层各层次进行关联审计；全方位：实时监控来自各个层面的所有数据库活动，包括SQL操作、ftp操作、telnet操作；细粒度：细粒度的审计规则、精准化的行为回溯、全方位的风险控制：n敏感信息审计：精细到表、字段、记录内容的细粒度审计策略，实现对敏感信息的精细监控；n重要审计：提供对潜在危险活动（如：DDL类操作、DML类操作）的重要审计优化视图；有效性：独有专利技术实现对数据库安全的各类风险（攻击风险、管理风险）的有效控制；灵活的、可自定义的审计规则满足

19、了各类内控和外审的需求（有效控制误操作、越权操作、恶意操作等违规行为）公正性：基于独立监控审计的工作模式，实现了数据库管理与审计的分离，保证了审计结果的真实性、完整性、公正性；4.1.5 合规的职责分离SOX法案或者专业职责标准(如PCI)中明确提出对工作人员进行职责分离，系统设置了权限角色分离，如系统管理员负责设备的运行设置；规则配置员负责相关数据库操作规则的设定；审计员负责查看相关审计记录及规则违反情况；日志员负责查看整体设备的操作日志及规则的修改情况等。4.1.6 零风险部署DAS-DBAuditor可在不改变现有的网络体系结构（包括：路由器、防火墙、应用层负载均衡设备、应用服务器等）的

20、情况下快速部署。采用旁路镜像、TAP分光、负载均衡分流等方式。4.1.7 完备的自身安全DAS-DBAuditor全方位确保设备本身的高可用性，包括但不限于：物理保护；关键部件采用冗余配置（如：冗余电源、内置硬盘RAID等）。掉电保护：设备掉电（如电源被不慎碰掉）时，网络流量将会直接贯通。系统故障保护：内置监测模块准实时地监测设备自身的健康状况。不间断的管理保护：在进行策略配置情况下，能保持网络的连接和保护。不丢包：基于硬件加速的接口卡，在高速环境下实现100%数据包捕获。冗余部署：在具备冗余体系结构的环境中，支持Active-Active或Active-Standby部署配置。5 系统部署5

21、.1 数据库审计与风险控制系统部署南宁市道路运输管理处信息中心数据库存系统由于网络环境结构复杂，数据库实例数量又比较多，我们建议采用分步式部署的方式，现阶段先用2台DAS-A3000进行数据库日志采集，DAS-AC3000管理平台进行集中管理，根据南宁市道路运输管理处信息中心的需要，随时可以增加采集设备。DAS-AC3000还可以通过syslog格式向明御综合日志审计系统发送告警信息。分布式部署的优点： 可以适用大型的复杂的业务系统环境； 支持集中管理，可以统一分配管理审计规则、统一形成审计报表等； 灵活的权限分配方式，可以实现根据业务系统进行权限分离管理； 磁盘空间最大可以扩展到60T，满足

22、存储3-5年的审计日志； 采集器和管理中心之间数据采用加密传输，安全可靠，同时传输速率等可以灵活设置； 管理中心和采集器都支持HA模式，可以最大限度的保障审计数据的完整性；6 客户最终收益6.1 数据库审计与风险控制系统客户收益部署明御数据库审计与风险控制系统，可以实现核心数据库的“系统运行可视化、日常操作可跟踪、安全事件可鉴定”目标，解决企业数据库所面临的管理层面、技术层面、审计层面的三大风险,以满足不断增长的业务需要。明御数据库审计与风险控制系统对于数据库的安全防护功能，概括起来体现在以下三个方面：首先：明御数据库审计与风险控制系统采用“网络抓包、本地操作审计”组合工作模式，结合安恒专用的

23、硬件加速卡，确保数据库访问的100%完整记录，为后续的日常操作跟踪、安全事件鉴定奠定了基础。其次：明御数据库审计与风险控制系统通过专利级的双引擎技术，一方面利用数据库安全研究团队多年积累的安全知识库，防止无意的危险误操作，阻止数据库软件漏洞引起的恶意攻击；另一方面，依赖智能自学习过程中动态创建的安全模型与异常引擎相结合，有效控制越权操作、违规操作等异常操作行为。再者：明御数据库审计与风险控制系统依赖其独特的数据库安全策略库，可以深入到应用层协议（如操作命令、数据库对象、业务操作过程）实现细料度的安全审计，并根据事先设置的安全策略采取诸如产生告警记录、发送告警邮件（或短信）、提升风险等级、加入黑

24、名单、立即阻断等响应。同时，明御数据库审计与风险控制系统可以提供多视角的审计报告，即根据实时记录的网络访问情况，提供多种安全审计报告，更清晰地了解系统的使用情况以及安全事件的发生情况，并可根据这些安全审计报告进一步修改和完善数据库安全策略库。另外：明御数据库审计与风险控制系统支持Oracle、MS-SQL Server、 DB2及Sybase等业界主流的数据库平台审计，支持SQLPLUS、PL/SQL、ODBC等多种数据库客户端和开发工具的操作审计，当数据库发生危险操作时，可以根据事先的安全策略采取相应的防护措施，并为后续的安全事件责任鉴定提供详细的审计记录。任何有意/无意的越权操作、违规操作

25、等高风险操作行为都将被有效的遏制。真正实现数据库操作的可视化、可跟踪、可追溯。7 产品清单序号型号规格描述数量单价小计数据库审计与风险控制系统3DAS-AC300010/100/1000M*428 公司简介杭州安恒信息技术有限公司(DBAPPSecurity)，简称“安恒信息”，是业界领先的应用安全及数据库安全整体解决方案提供商，专注于应用安全前沿趋势的研究和分析，核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验，以全球领先具有完全自主知识产权的专利技术，致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。安恒信息公司总部位于杭州高新区，在

26、北京、上海、广东、四川、美国硅谷等地都设有分支机构、遍布全国的代理商体系以及销售与服务网络能够为用户提供精准、专业的服务。公司成立以来安恒人始终以建立民族自主品牌为己任，秉承“精品创新，恒久品质”的理念，力争打造中国信息安全产业应用安全与数据库安全第一品牌。多年来，安恒信息以其精湛的技术，专业的服务得到了广大客户的青睐，同时赢得了高度的商业信誉。其客户遍布全国，涉及金融、运营商、政府、公安、能源、教育、医疗、税务/工商、社保、等保评估/安全服务机构、电子商务企业等众多行业。 安恒信息目前拥有明鉴、明御两大系列自主研发产品，是应用安全、数据库审计、不良网站监测等领域的市场绝对领导者。其中明鉴系列

27、应用扫描器被国家等级保护测评中心等国内权威等级保护测评机构广泛使用。未来，安恒信息将继续秉承诚信和创新精神，继续致力于提供具有国际竞争力的自主创新产品和服务，全面保障客户应用与数据库的安全，为打造世界顶级的产品而不懈努力。作为2008北京奥组委安全产品和服务提供商，安恒信息被奥组委授予“奥运信息安全保障杰出贡献奖”。在2009年建国60周年全国网站安全大检查中，公安部和工信部安全中心均选用安恒信息明鉴应用弱点扫描作为安全检查工具并发挥了重大作用。2010年，安恒信息作为上海世博会安全产品和服务的提供商，为上海世博会信息安全保驾护航。9 典型案例分析9.1 数据库审计与风险控制系统典型案例分析（

28、某证券公司）集中交易系统是某证券公司最核心的资产，其数据流量比较大，安全可靠性要求非常高，因此在集中交易系统的5个核心交易系统中分别部署一台明御数据库审计与风险控制系统采集器。在总控系统中部署1台明御数据库审计与风险控制系统采集器，并部署1台数据库审计管理中心。另外在CRM和网上交易等系统中部署1台明御数据库审计与风险控制系统采集器。所有采集器通过网络把数据上传到管理中心，客户通过管理中心统一进行查询管理等。具体分配如下表：序号数据库系统审计设备类型数量1总控系统管理中心12总控系统采集器13核心交易系统1采集器14核心交易系统2采集器15核心交易系统3采集器16核心交易系统4采集器17核心交

29、易系统5采集器18网上交易系统、CRM等采集器1合计：8台核心交易系统在部署了明御数据库审计与风险控制系统以后，数据库的所有操作都进行了完整的记录和统计。在数据库审计系统部署一周后，通过数据库审计报表功能统计发现了几个问题。在查看“根据审计记录源IP地址统计报表”发现有一个IP地址的访问记录非常多，占到所有记录的40%左右。后经过查询发现这个IP地址的服务器是另外一个业务部门的服务器，需要调用核心系统里面的大量资料，但是数据库管理人员对此竟然一点也不知。另外在统计流量的报表中，发现有一台服务器的流量非常大，突发流量达到880多兆，这台服务器也是另外一个部门的业务服务器，需要每天调取数据库服务器的大量数据。但是对于这样的情况数据库管理员也是不知情的，而这么的大的数据量的传输对核心数据库服务器是有很大影响的，需要做一定的优化。-