《{财务管理内部审计}数据库审计系统技术》由会员分享,可在线阅读,更多相关《{财务管理内部审计}数据库审计系统技术(20页珍藏版)》请在金锄头文库上搜索。
1、数据库审计系统技术方案随着信息和网络技术的普及,政府和企事业单位的核心业务信息系统不断的网络化,随之而来的就是面临的信息安全风险日益增加。而这些安全风险中,来自内部的违规操作和信息泄漏最为突出。由于政府和企事业单位的核心业务系统(例如数据库系统、核心业务主机系统)都实现了网络化访问,内部用户可以方便地利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。同时,一些内部授权用户由于对系统不熟悉而导致的误操作也时常给业务系统造成难以恢复的损失。此外,对于使用IT外包和代维的大型机构而言,如何限制外部人员对核心业务系统的访问权限也是一个难题,外包方的技术工程师可能在开发业务系统的
2、时候留下后门或者幽灵帐号,为将来侵入核心业务系统埋下隐患。另一方面,为了加强内控,国家强制机关和行业的主管部门相继颁布了各种合规和内控方面的法律法规和指引,例如企业内部控制基本规范、银行业信息科技风险管理指引、证券公司内部控制指引、保险公司风险管理指引(试行)等。而在国际上,美国政府针对上市公司的萨班斯(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准(PCI DSS)都对内控提出了严格的要求。这些内控条例和指引都要求对网络中的重要业务系统进行专门的安全审计。可以说,随着安全需求的不断提升,网络安全已经从以防范外部入侵和攻击为主逐渐转变为
3、以防止内部违规和信息泄漏为主了。在这种情况下,政府和企事业单位迫切需要一款专门针对网络中业务信息系统进行全方位审计的系统。网御神州借助多年在安全管理领域的积累,推出了SecFox-NBA网络行为审计系统(业务审计型)产品,很好地满足了客户的安全审计需求。网御神州SecFox-NBA(Network Behavior Analysis for Business Audit)网络行为审计系统(业务审计型)采用旁路侦听的方式对通过网络连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户访问业务系统的状态,记录各种访问行为,发现并及时制止用户的误操作、
4、违规访问或者可疑行为。产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。SecFox-NBA网络行为审计系统(业务审计型)能够对业务环境下的网络操作行为进行细粒度审计。系统通过制定符合业务网的审计策略,对符合策略的网络操作行为进行解析、分析、记录、汇报,以帮助用户事前规划预防,事中实时监控、违规行为响应,事后合规报告、事故追踪回放,帮助用户加强内
5、外部网络行为监管、避免核心资产(数据库、网络服务器等)损失、保障业务系统的正常运营。SecFox-NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。1 产品特点SecFox-NBA 网络行为审计系统(业务审计型)的主要特点包括:1) 旁路侦听的工作模式和简洁的部署方式
6、2) 全方位的数据库审计3) 面向业务的安全审计4) 业务操作实时监控、过程回放5) 快速响应和跨设备协同防御6) 事后分析、调查取证7) 安全审计报表报告8) 内置防攻击策略1.1 旁路侦听的工作模式和简洁的部署方式SecFox-NBA(业务审计型)采用旁路侦听的方式进行工作,对业务网络中的数据包进行应用层协议和流量分析与审计,就像真实世界的摄像机。利用网御神州先进的业务协议检测技术(Business Protocol Inspection Technology),SecFox-NBA(业务审计型)能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议,以及其它
7、20多种应用层协议,经过审计系统的智能分析,发现网络入侵和操作违规行为。同时,借助网御神州先进的业务流量监测技术(Business Flow Inspection Technology),SecFox-NBA(业务审计型)识别网络中各种应用层协议的流量,及时发现流量违规和异常。SecFox-NBA(业务审计型)部署十分方便,即插即用,不必对业务网络结构做任何更改,对业务网络没有任何影响。SecFox-NBA(业务审计型)可以同时审计多个不同的网段;多个系统可以级联,实现分布式部署,实现对大规模业务网络的审计。系统部署后立竿见影,当即可自动发现所侦听网络中的数据库访问行为。1.2 全方位的数据库
8、审计SecFox-NBA(业务审计型)产品能够对多种操作系统平台(Windows、Linux、HP-UX、Solaris、AIX)下各个版本的SQL Server、Oracle、DB2、Sybase、MySQL 等数据库进行审计。审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。操作行为内容和描述用户认证数据库用户的登录、注销库表操作CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令记录操作SELECT,DELETE,UPDATE,INSERT
9、等用于检索或者修改数据的SQL指令权限管理GRANT,REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令SecFox-NBA(业务审计型)能够对各种访问数据库的途径进行监控和审计。如上图Oracle数据库审计所示,无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问,还是通过第三方的Quest TOAD(Tool for Oracle Application Developers)工具访问,抑或通过中间件、浏览器、客户端程序/代理方式访问,等等,SecFox-NBA(业务审计型)都能够进行
10、审计。特别地,如果被审计的数据库网络数据被加密处理了,SecFox-NBA(业务审计型)为用户提供了一个通用日志采集器模块,借助该模块,系统能够自动的采集被审计数据库的日志信息,并在审计中心对其进行归一化和关联分析。此外,SecFox-NBA(业务审计型)还能够监测数据库系统所在主机的网络通讯,对该主机的FTP、文件共享等协议进行审计,确保数据库系统上的数据安全。1.3 面向业务的安全审计对于用户而言,要保护核心数据,仅仅依靠对数据库的审计是不够的。内部人员违规操作的途径有很多,有的是直接违规访问数据库,有的是登录到数据库所在的主机服务器上,有的是透过FTP去下载数据库所在主机的重要数据文件,
11、还有的是透过其他程序或者中间件系统访问数据库。所以,必须对数据库、主机、HTTP协议、TELNET、FTP协议,网络流量、中间件系统都进行审计,才能更加全面的发现违规、防止信息泄漏。这就是面向业务的安全审计。业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种IT资源有机组合而成的。因此,面向业务的审计就要对构成业务系统的各个IT资源之间的访问行为以及业务系统之间的操作的审计,这样才能真正反映出业务系统的安全状态。网神SecFox-NBA网络行为审计系统(业务审计型)就是这样一个集成了数据库审计、主机审计、应用审计和网络流量审计的面向业务的综合安全审计系统。1.3.1 以
12、业务系统的数据保护和操作合规为目标SecFox-NBA(业务审计型)产品的核心目标就是保障客户业务信息系统网络中数据安全和操作合规,具体包括:1) 数据访问审计:记录所有对保护数据的访问信息,包括主机访问,文件操作,数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息。2) 数据变更审计:审计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作,等等,防止外部和内部人员非法篡改重要的业务数据。3) 用户操作审计:统计和查询所有用户的主机、数据库和应用系统的登录成功记录和登录失败尝试记录,记录所有用户的
13、访问操作和用户配置信息及其权限变更情况,可以用于事故和故障的追踪和诊断。4) 违规访问行为审计:记录和发现用户违规访问。系统可以设定用户黑白名单,以及定义复杂的合规规则(例如定义合法的访问时间段、合法的源IP地址库、合法的用户账号库),可以设置合理的审计策略进行告警和阻断。5) 恶意攻击审计:记录和发现利用主机,数据库的漏洞对资源的攻击行为,例如主机扫描、DoS/DDoS攻击、ARP欺骗和攻击等,并可以对攻击行为进行告警和阻断。1.3.2 以业务系统为审计对象SecFox-NBA(业务审计型)产品采用多种方式来更深入具体地分析业务系统:1) 多业务网络:根据实际网络情况,系统管理员可以定义多个
14、业务网络。2) 业务网络拓扑:系统能够记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,根据业务网络的变化可以快速查看业务网络中各个设备和整个业务网络的事件和告警信息。3) 行为分析:通过可视化的行为分析,可以清晰地定位访问源、访问目标服务器、应用协议及其操作内容。4) 业务流量分析:系统能够展示出业务网络中各个节点(包括主机、无IP设备)在网络中的应用层的流量分布情况,管理员可以根据业务网络流量优化业务网络。5) 三层架构的业务审计:现行的很多业务系统都是基于客户端/浏览器、应用服务器和数据库的三层架构。单纯审计数据库,可能获取的用户名称和访问地址都是中间件的用户和地址,难于定
15、位访问源。采用基于业务的审计就可能化解这个问题,系统可以将客户端访问的服务,中间件,数据库建立一个审计的业务,利用访问时间作为关联条件,将客户端访问和数据库访问关联,通过可视化的行为分析,定位访问源。1.3.3 面向业务的审计策略网神SecFox-NBA(业务审计型)是一个策略驱动的审计系统。借助网御神州独有的面向业务的审计策略(Business-oriented Audit Policy,简称BAP)技术,用户可以在一个策略中对某业务所包含的主机,数据库,主机进行综合设定,实现对该业务的精确审计,从而及时发现该业务的安全隐患。例如,用户下发一条审计策略就能够审计出哪些非法主机在尝试访问业务系
16、统,哪些主机在非法的时间段访问业务,哪些用户在业务中执行非法数据库操作,评估业务中各个主机和数据库的访问量,通过关键字审计被保护业务系统中的重要数据和敏感数据,等等。用户通过操作SecFox-NBA (业务审计型)的web管理页面能够实时地配置符合业务保护要求的审计策略,无须重启设备、中断网络会话采集,策略下发成功后,立即生效。用户在制定审计策略的时候可以按照审计要求随意设置审计时间段。用户可以按照业务要求设置一个或者多个保护对象;对符合业审计务策略要求的事件可以阻断和记录。1.3.4 二次审计与实时关联分析传统的单纯数据库审计产品都只能做基于审计策略的分析,用户在指定审计策略的时候,可以指定审计对象的五元组(源地址、时间、途径、目的地址、操作),以及触发策略后的响应动作。这种审计称作“操
