《数据库审计系统_技术白皮书v》由会员分享,可在线阅读,更多相关《数据库审计系统_技术白皮书v(18页珍藏版)》请在金锄头文库上搜索。
1、此处是Logo数据库审计系统技术白皮书目 录一.产品概述1二.应用背景12.1现状与问题12.1.1现状12.1.2问题22.2需求分析22.2.1政策需求22.2.1.1信息系统安全等级保护基本要求22.2.1.2商业银行信息科技风险管理指引32.2.2技术需求42.2.3管理需求42.2.4性能需求42.2.5环境与兼容性需求42.2.6需求汇总5三.产品介绍53.1目标53.2产品功能63.2.1数据库访问行为记录63.2.2违规操作告警响应63.2.3集中存储访问记录63.2.4访问记录查询63.2.5数据库安全审计报表73.3产品部署73.3.1旁路部署73.3.2分布式部署83.4
2、产品特性93.4.1安全便捷的部署方式93.4.2日志检索能力93.4.3灵活的日志查询条件103.4.4灵活的数据库审计配置策略103.4.5数据库入侵检测能力103.4.6符合审计需求设计11四.用户收益124.1对企业带来的价值124.2全生命周期日志管理124.3日常安全运维工作的有力工具13数据库审计系统-技术白皮书 2016XXXXXXXXXX公司第 15 页 共 13 页密级:完全公开一. 产品概述数据库审计系统(以下简称 XXX)是一款专业、主动、实时监控数据库安全的审计产品。本系统采用有效的对数据库监控与审计方式,针对数据库漏洞攻击、SQl注入、风险操作等数据库风险操作行为发
3、生记录与告警。能对不同的场景定制审计策略,如:信任,敏感模糊化和行为告警等策略。本系统可以有效的评估数据库潜在风险;实时监控数据库用户的访问行为;它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部网络行为记录,提高数据资产安全。二. 应用背景在高速信息化的今天,数据安全问题已涉及到各行各业中,数据泄漏所引发的社会问题持续高涨。信息安全成为国家安全战略的重要部分。2.1 现状与问题数据库安全问题是亟待解决的安全核心痛点。2.1.1 现状n 数据库是数据信息存储的最主要形式,而当前信息泄露案例的90%以上与数据库相关n 80%的数据库没有任何防
4、护措施,面对数据篡改、数据破坏、数据泄漏等问题,追踪、定责、挽回损失等方式显得极为疲软n 在传统IT架构向云计算模式迁移过程中,数据安全成为客户关注的核心问题2.1.2 问题互联网的急速发展使得企业的数据库信息价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战,概括起来主要表现在以下三个层面:政策层面:数据库里保存着客户信息和各类资金数据,数据库的安全不仅关系到用户自身的利益和品牌,还关系到公共秩序甚至国家利益。在国家等级保护、中国人民银行及银监会信息安全规范以及国际支付卡行业数据安全标准等都有着明确的要求。技术层面: 数据库自身存在重大安全缺陷(访问控制缺陷、数据库管理系统漏
5、洞、明文存储) 更为复杂的数据库应用环境(B/S架构的应用使数据库间接暴露到互联网、各种类型的外包工作人员直接访问数据库、数据库共享使各种应用系统程序直连到数据库) 传统防护方案具有局限性(网络防火墙产品不对数据库通讯协议进行控制、IPS/IDS/网络审计并不能防范那些看起来合法的数据访问、绕过WAF系统的刷库行为屡见不鲜、无法解决来自于业务系统本身的安全威胁、忽略了内部人员的管控) 运维管控存在泄密途径(测试数据泄密、导出明文备份数据导致泄密、图形化操作无法控制、无法控制返回结果集、恶意程序恶意访问) 内部信息泄漏(利用数据库的漏洞攻击、应用数据库账户泄露、敏感信息以明文存储、DBA用户操作
6、无法监管)管理层面:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。2.2 需求分析2.2.1 政策需求2.2.1.1 信息系统安全等级保护基本要求依据信息安全等级保护要求,XXXX应用系统被定义为三级,在安全审计方面均有与数据安全相关的要求,以下为等保关于数据安全的内容。安全审计应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进
7、行审计;应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能安全审计 数据库管理系统的安全审计应: 建立独立的安全审计系统; 定义与数据库安全相关的审计事件; 设置专门的安全审计员; 设置专门用于存储数据库系统审计数据的安全审计库; 提供适用于数据库系统的安全审计设置、分析和查阅的工具。2.2.1.2 商业银行信息科技风险管理指引第二十六条 商业银行应通过以下措施,确保所有信息系统的安全:(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、
8、篡改。 (七)以书面或电子格式保存审计痕迹。(八)要求用户管理员监控和审查未成功的登录和用户账户的修改。第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:(一) 交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。(二) 系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的
9、风险等级确定,但不能少于一年。商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准。2.2.2 技术需求u 审计系统应能在保护数据库安全的前提下,针对运维人员对数据库的访问行为进行审计,审计的内容包括了访问的时间、地址、目标资源以及详细的操作内容呈现。u 审计系统应对各类数据库进行实时的监控管理,监控数据库的运行状态,保证数据的不中断。能够对各类的数据库进
10、行安全扫描,在发现配置或安全漏洞时提供有限的解决建议,保证数据库的可靠性。u 审计系统应对重要数据库操作进行审计,审计范围包括数据库维护人员、超级用户以及应用用户行为。u 审计系统应能够对审计上来的日志有一定的保护能力,不能随意修改和删除日志。日志的存储应采用加密形式进行保存。2.2.3 管理需求应对第三方数据库厂家以及超级权限用户进行控制,能够控制其访问数据库的操作,对其所做的操作进行全面的审计,保证重要数据的不丢失不泄密。2.2.4 性能需求为了保证系统的不间断运行需对审计系统的性能有一定要求。在数据正常的情况下应保证:u 峰值处理能力(SQL语句、条/秒):18000u 吞吐量(Mb/s
11、ec):2000Mbpsu 一万条审计日志搜索时间小于5秒2.2.5 环境与兼容性需求审计系统支持以下审计资源以及交换机类型,保证系统的正常上线和后续的使用。审计资源数据库类型版本端口OracleSybaseDB2Mysql网络连接交换机类型版本镜像端口2.2.6 需求汇总通过对于用户的环境的了解以及所提出问题的了解分析,具备需求体现在如下几个方面:u 能够满足等级保护以及行业规定对于数据库安全方面的要求。u 对登录数据库和操作数据库的人员进行详细的操作审计。u 能够对用户网络内的数据库系统进行监控与漏洞的扫描。u 对现有业务和系统不产生任何影响。u 整体审计系统具备一定的保密性,确保审计数据
12、的安全性。u 维护简单、具备专业的审计功能,节约人力,减少维护费用。三. 产品介绍3.1 目标u 保护数据库以及核心数据安全;u 提供灵活、便利的策略定制;u 通过事后的合规性分析,帮助您发现针对数据库攻击行为和安全隐患;u 帮助您从多角度了解数据库活动现状;u 帮助您满足合规/审计的要求;u 简化您审计的工作。3.2 产品功能3.2.1 数据库访问行为记录数据库审计系统支持对多种类数据库的操作行为进行采集记录,探测器通过旁路接入,在相应的交换机上配置端口镜像,对用户访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC
13、地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。数据库审计系统支持记录的行为包括: u 数据操作类(如select、insert、delete、update等)u 结构操作类(如create、drop、alter等)u 事务操作类(如Begin Transaction、Commit Transaction、Rollback Transaction 等)u 用户管理类以及其它辅助类(如视图、索引、过程等操作)等数据库访问行 为,并对违规操作行为产生报警事件。3.2.2 违规操作告警响应数据库审计系统可通过规则设置对各类数据库操作访问行为进行实时监测,
14、对网络中的异常数据库操作行为及时进行告警响应,实时显示告警信息并记录存储。告警信息可通过邮件或短信等方式通知管理员,以确保管理员在第一时间发现用户对数据库的违规操作。3.2.3 集中存储访问记录通过数据库审计系统可以将分布在网络不同位置、不同类型的数据库的访问信息集中到统一的安全审计系统中进行存储,便于对记录数据进行分析。3.2.4 访问记录查询数据库审计系统采用专有的特殊文件系统对规范化的日志进行存储,同时也支持Mysql等标准数据库存储,文件存储机制是根据日志系统的特殊性进行专门研发,为海量日志的存储及检索进行了优化设计。产品内置高容量的硬盘存储空间,采用Raid硬盘阵列,可有效防止由于硬
15、盘硬件问题而带来的数据丢失,同时数据库审计系统还支持外挂存储系统,从而实现存储空间的海量扩充。3.2.5 数据库安全审计报表数据库审计系统通过动态报表的方式对数据库操作行为审计结果进行统计分析。系统默认内置丰富的报表模板,其中大部分报表均符合SOX法案、等级保护等法规、标准对信息系统的审计需求,同时,用户也可以根据自身的实际需求自定义报表内容,生成审计报表,审计报表可以以HTTP和EXCEL格式导出。3.3 产品部署3.3.1 旁路部署设备旁路在数据库前端交换机,通过接收交换机端口镜像数据流对数据库进行审计,该拓扑方案无需更改任何现有拓扑结构,同时也不会对现网造成任何影响。 图 1 旁路部署拓扑图3.3
