数据库审计产品技术白皮书.docx
- 文档编号:11342825
- 上传时间:2023-02-28
- 格式:DOCX
- 页数:24
- 大小:1,013.85KB
数据库审计产品技术白皮书.docx
《数据库审计产品技术白皮书.docx》由会员分享,可在线阅读,更多相关《数据库审计产品技术白皮书.docx(24页珍藏版)》请在冰豆网上搜索。
数据库审计产品技术白皮书
——安全审计系统
HD-SAS
白皮书
V3.0
省海峡信息技术
重要声明
Ø本书为【黑盾安全审计系统】技术白皮书。
其容将随着产品不断升级而改变,恕不另行通知。
如有需要,请从省海峡信息技术下载本手册最新版本。
Ø在法律法规的最大允许围,省海峡信息技术除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其他任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
Ø在法律法规的最大允许围,省海峡信息技术对于您的使用或不能使用本产品而发生的任何损害(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或其他损失),不负任何赔偿责任。
省海峡信息技术
省市北环西路108号
邮编:
350003
:
086-591-87303706
传真:
086-591-87303709
E-mail:
Http:
//
Http:
//
所有翻录必究
一产品背景
数据是企业业务的根本,数据库是企业数据的载体,数据库系统是企业信息系统的心脏。
从信息安全角度看,数据库系统的安全是IT系统安全的核心,引起了信息系统建设者的高度重视,在数据库的管理制度,物理安全和网络安全方面做了完善的安全防护,例如采取了严格访问控制和容灾备份等安全措施。
但是,从近年来发生的安全事件来看,数据库安全问题远远不止是物理层面安全和网络层面的安全,数据库系统面临这从安全管理到安全技术等各方面的安全隐患,这些风险将会给企业业务带来严重的影响,可能会造成巨大的经济损失,或引起法律的纠纷。
而且这些事件难以追查和弥补。
1.1数据库安全面临几个主要的风险
1.1.1管理风险
◆部人员误操作、违规操作、越权操作,损害业务系统安全运行
◆多人公用一个,责任难以分清;
◆第三方维护人员的误操作,恶意操作和篡改;
◆超级管理员用户操作难以监管和审计;
1.1.2技术风险
◆数据库服务器操作系统漏洞攻击;
◆数据库系统漏洞攻击;
◆应用系统开发商后门或漏洞;
◆离职员工留下后门。
1.1.3审计风险
◆审计日志缺失或不完整;
◆安全事件难以追查和定位。
1.2数据库安全审计需求概述
1.2.1为什么需要数据库审计
数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。
数据库产生安全问题时,非常难以追查和定位,因为无法查找问题发生的痕迹和证据。
因此,数据库安全审计系统成为数据库安全的重要组成部分,它可以通过对数据库操作的痕迹进行详细记录和审计,使数据的所有者对数据库访问活动一目了然,有据可查,及时掌握数据库的使用情况,并可以对安全隐患进行调整和优化。
1.2.2客户需求什么样的数据库审计产品
◆细致的数据库操作审计和用户审计,并有丰富的查询检索和报表功能;
◆对现有业务和系统没有影响;
◆能够支持主流数据库类型,完整分析数据信息;
◆可以通过审计数据进行数据库性能分析,得出数据库应用过程中性能分布特点,并据此进行性能优化。
◆维护简单、具备专业审计功能,节约人力,减少维护费用。
二黑盾安全审计系统介绍
2.1产品概述
黑盾安全审计系统(以下简称:
“HD-SAS”)是省海峡信息技术对数据库安全应用和管理进行深入研究后,自主研发的拥有自主知识产权的产品。
它通过网络旁路审计方式,实现对各种数据库用户对数据库的查询、新增、删除、修改、授权等各种操作和用户行为进行深入分析,并提供多种对审计结果的灵活方便的查询方法、审计报表,供数据管理者取证、查询、分析、决策。
该系统采用了优良的体系结构,支持超大容量的审计数据管理和分析能力,支持对ORACLE、SQLServer、Sybase等数据库进行审计,适用于金融、证券、保险、电力、政务、卫生、教育等大中型组织数据库审计的安全需求。
黑盾安全审计系统包括:
审计引擎(硬件)、数据审计中心、管理控制台三大组件构成。
其逻辑图示如下:
黑盾安全审计引擎通过旁路监听的方式接入网络,通过在核心交换机上设置端口镜像模式或采用TAP分流监听模式,使安全审计引擎能够监听到所有用户通过交换机与数据库进行通讯的所有操作,并把数据库操作进行协议还原和分析,发送到数据审计中心。
黑盾安全审计系统在通过黑盾安全审计引擎实施旁路监听的同时,还支持导入被审计数据库服务器的本地数据库归档日志到数据审计中心进行统一分析和审计。
黑盾数据审计中心具有强大的数据分析和事件关联功能,通过接收来自于安全审计引擎的数据包和本地数据库的归档日志,对其进行数据库操作的关联分析,根据管理控制台发送的策略和指令进行分析处理,最终形成处理结果发送到管理控制台。
管理控制台具有简单易用的特点,支持三权分立的用户角色管理能力,提供丰富的配置、查询、报警和报表功能。
黑盾安全审计引擎通过零拷贝技术结合高度缓存技术进行高速网络数据包捕获重组、协议分析。
审计引擎嵌入侵防御模块,实时对数据包进行模式匹配和异常检测分析,发现数据库攻击企图并实时报警或阻断。
审计引擎采用了高速缓存技术,极提高了审计引擎的可靠性和性能。
黑盾数据审计中心采用了先进的组件设计技术,把审计数据的存储、解析、查询和统计分析功能进行独立设计,保证高性能的同时,满足了可扩展的需求,使整个审计系统能够支持大容量的审计数据存储、查询和统计能力。
2.2产品主要功能介绍
黑盾安全审计系统在功能设计上,进行了如下设计:
其主要的一些功能如下:
2.2.1灵活接入部署
HD-SAS基于旁路审计原理,系统采用旁路接入部署方式,只要在交换机上设置端口镜像或采用TAP分流,不需要对现有的网络体系结构(包括:
路由器、防火墙、应用层负载均衡设备、应用服务器等)进行调整,工作时也不影响数据库保护对象本身的运行与性能。
当然,也使得审计系统本身难以被发现受到攻击。
HD-SAS支持多路采集数据的接入模式,一个审计引擎可以同时采集多个数据源的审计数据,适合于那些成本有限,但是审计数据源又相对分散的环境(比如多个交换机镜像口)。
HD-SAS支持审计引擎分布式部署,同时审计中心对多个审计引擎进行统一管理,以及审计数据的集中管理分析,适合需要大规模部署审计引擎的环境。
2.2.2审计支持
该功能是为了阐述产品支持的审计围。
2.2.2.1细料度审计分析
HD-SAS支持对生产数据库的SQL操作进行细粒度审计,可以审计到详细的所有客户端对生产数据库访问的记录,包括客户端的IP地址、MAC地址、计算机名、目的地址、客户端程序名、数据库名、表名、操作方式、操作容、返回成功与否等。
通过细粒度的审计,可以实现对用户的登录过程以及权限变更记录进行审计,及时发现异常用户活动,可以对生产数据库用户角色权限的授予情况进行跟踪,特别是对DBA权限的授予情况。
也可以发现异常的客户端登录,找到隐患。
对客户端可以审计到不同的层面(比如网络IP/MAC等,到业务层面的数据库用户等)。
可以发现重点表/存储过程的被访问情况(增、删、改。
查等操作)。
2.2.2.2会话审计
HD-SAS支持数据库会话审计,能够完整的保存不同数据库客户端与数据库服务器的整个会话状态,并按照不同类型展示出来,允许用户通过多条件进行会话查询,以及该会话围的所有数据库语句,同时也为数据库服务器的性能优化有帮助。
2.2.2.3Telnet审计
HD-SAS支持按照协议类型,完整审计到通过telnet客户端访问数据库的所有会话信息,并进行整改会话的回访,使得通过该方式进行的数据库行为无处遁形。
2.2.2.4绑定变量审计
HD-SAS支持对绑定变量的审计,不仅可以审计到调用绑定变量的数据库操作,同时也能够对该变量真实的赋值过程也能够审计到,并进行关联分析。
2.2.2.5http审计
HD-SAS支持对http协议的审计,从而可以审计到通过该协议相关的:
前台应用程序的用户名,前台程序的URL,WebSessionID,Web客户端IP等,通过把这些信息与中间件访问数据库的sql进行关联分析,让真实sql操作用户也可以被审计到。
2.2.3灵活的数据采集
HD-SAS支持审计引擎在进行数据包时,接受用户自定义的采集过滤(其中,过滤的条件包括操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作容、表名等),从而只采集用户关心的数据,剔除垃圾数据,减少查询时没用信息的干扰。
用户可以灵活自定义设置该功能是否启用。
该功能对数据量非常大,但是所关注审计数据又清晰可定义的用户。
2.2.4审计结果展示
该功能是为了阐述产品支持的审计结果输出容与方式。
2.2.4.1丰富的查询条件与方法
HD-SAS为用户提供了基于时间、地址、数据库类型、用户名、操作类型、数据库名、表名、字段名等等多种丰富的组合查询模式,用户可以按照自己的需要查找所关心的符合审计规则的数据库操作记录。
HD-SAS查询功能还支持二次检索,模糊查询,快速查询,select可选独立查询等功能以达到精确检索的目的。
HD-SAS还可以支持对审计数据中提取出来的表名、IP地址、MAC地址等进行中文备注说明,并在查询结果中进行备注替换显示,极大的提高数据库审计容的易读性。
查询结果支持按照不同视角进行归并展示,适合不同用户和观测重点需要。
2.2.4.2专业化报表输出
HD-SAS支持趋势报表:
●支持年、月、日、时总访问量趋势报表;
●支持年、月、日、时选定数据库用户趋势报表;
●支持年、月、日、时选定数据表趋势报表;
●支持年、月、日、时选定操作方式趋势报表;
●支持年、月、日、时选定程序名趋势报表;
●支持年、月、日、时选定访问源IP趋势报表;
●支持年、月、日、时选定存储过程趋势报表;
HD-SAS支持统计报表:
●支持年、月、日、时数据库用户统计排名(topN)报表;
●支持年、月、日、时数据表统计排名(topN)报表;
●支持年、月、日、时操作方式统计排名(topN)报表;
●支持年、月、日、时程序名统计排名(topN)报表;
●支持年、月、日、时访问源IP统计排名(topN)报表;
●支持年、月、日、时存储过程统计排名(topN)报表;
通过这些报表可以把审计结果,按照不同的容和形式果直观地展现给用户。
2.2.4.3审计预警展示
HD-SAS支持用户自定义预警策略,对自己所关注的敏感信息进行独立记录和告警,可以及时挽回或降低损失。
这些预警出来的数据可以进一步进行查询获取关注数据。
2.2.4.4实时审计功能
HD-SAS支持实时审计数据的展示,方便用户及时发现数据库操作或者用户行为异常。
用户可以自定义实时显示的刷新频率和条数等参数。
2.2.5审计数据管理
该功能是为了阐述产品支持的审计数据的管理和存储策略。
2.2.5.1高压缩率存储
对海量审计数据,长期保持原始日志,以便后期查询需要,同时尽量节约空间,高压缩率的存储是很重要的,HD-SAS拥有高达95%以上的高压缩率保存,而且所有的压缩解压过程都是按照预定策略自动实现的。
2.2.5.2历史数据备份与导入
对于历史审计数据,可以从保存好的最原始的数据中重新分析而得,该过程允许用户自定义待分析的审计数据时间围和保存地址。
适合于分析好的审计数据丢失,或者分析模块更新的用户。
对于历史审计数据,也可以压缩保存的审计结果中重新提取,进行分析展示。
以上保存的所有审计数据都是在独立的,专门的审计存储服务器上,也可以导出到第三方存储或者刻录成光盘保存,所有数据都是加密保存的,其他工具无法对审计数据进行读取。
2.2.5.3缓存安全机制
在HD-SAS的审计引擎上,有大容量的缓存安全机制,保证用户的审计数据在人为或者意外情况下,都可以最大限度的保证原始审计数据的安全。
2.2.6数据库攻击检测
通过HD-SAS,能够通过审计记录发现生产数据库一些潜在的安全威胁,比如SQL注入,密码猜解,执行操作系统级的命令等,及时发现并阻止生产数据库安全威胁,保证生产数据库更加安全运行。
2.2.7告警配置
HD-SAS有独立的告警配置功能模块,方便用户在设置不同的规则或者触发事件,按照不同的级别进行不同方式的告警方式。
支持告警,声音告警,短信告警等多种告警方式。
2.2.8系统自身安全性机制
该功能是为了阐述产品支持自身安全性方面的策略。
2.2.8.1用户权限
审计系统需要采取权限分离,以避免权限集中。
HD-SAS具有非常严格用户角色和权限管理策略,对授权管理,审计展示进行分离,符合三权分立的安全原则。
账户管理员:
负责用户增、删、改,授权,账户启用与停用管理.系统管理员:
负责系统运行相关的所有配置.安全员:
查看,检索所有的数据信息,配置预警规则、对象提取和定义的配置.系统审计员,也称系统审核员,查看、管理自身审计信息.
2.2.8.2自身审计记录
HD-SAS具有完善的自身审计日志,包括设备的启用、停止、异常的日志及登陆的用户、时间、操作等信息,还包括审计规则和审计记录的变动情况记载。
2.2.8.3通讯加密与告警
HD-SAS支持审计系统各组件的通讯加密功能,防止自身通讯数据被非法嗅探,当出现通讯异常的时候,可以进行及时的声音告警提醒用户。
2.2.8.4容灾机制免维护
鉴于审计系统的自身特点,其安全可靠的运行状态保证是基础,所以HD-SAS在系统所有关键组件上都设置了健康状态自检测模块,当发现异常的时候,及时自动按照预定于策略修复。
三产品应用
黑盾安全审计系统提供了对各种规模的数据库系统的全面操作审计功能,可以对数据库登录用户的角色和登录工具进行跟踪,支持进行关键词的规则匹配与告警,可以进行多个角度的搜索查询功能,进行数据库系统性能分析,并提供专业化报表,特别适用于对数据库安全管理要求非常严格的网络,如金融证券、电子政务、电子商务、医疗卫生等系统,其部署方式灵活快速。
3.1应用类型一:
典型部署
数据库客户端直接对数据库服务器进行访问,一台审计引擎部署在连接数据库的交换机上,监控所有对数据库的访问记录,一台审计中心服务器进行对审计记录的管理与分析。
3.2应用类型二:
分布式部署
数据库环境规模大,需要分布式部署多台审计引擎的情况,一台审计中心服务器对所有审计引擎进行统一管理。
3.3应用类型三:
多路部署
数据库环境规模较大,或者必须有多个审计数据采集点的情况,一台审计引擎多个监听口分别数路采集不同采集点的流量,集中分析处理,一台审计中心服务器对审计数据进行集中分析管理。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据库 审计 产品 技术 白皮书