《启明星辰天玥数据库安全审计产品评测.docx》由会员分享,可在线阅读,更多相关《启明星辰天玥数据库安全审计产品评测.docx(32页珍藏版)》请在金锄头文库上搜索。
1、启明星辰天玥数据库安全审计产品评测2011 年 08 月 01 日 00:00 it168 网站原创 作者:方建国 编辑:董建伟 评论:3 条 【IT168 评测】随着企业业务的发展及 IT 技术的进步,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要,关系到企业兴衰成败甚至社会的稳定。近年来,数据库被攻击和数据窃取事件层出不穷:CNN 财经网报导的 4000 万信用卡信息被黑客窃取,导致严重的经济问题和
2、社会问题;国内也出现几次电信运营商数据库服务器被攻击,给企业带来了经济和声誉上的损失等等。越来越多的大型企业意识到了数据库行为审计的重要性,现在采用独立的数据库审计产品已经成为业界的趋势。大部分企业在数据中心的数据库服务器中存储公司的核心数据信息,数据库的安全和审计就显得尤为重要。通常数据库管理主要面临以下挑战:管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等。离职员工的后门,致使安全事件发生时,无法追溯并定位真实的操作者。技术风险:数据库是一个庞大而复杂的系统,安全漏洞如溢出、注入层出不穷,每一次的 CPU(Critical Patc
3、h Update)都疲于奔命,而出于稳定性考虑,往往对补丁的跟进非常延后,更何况通过应用层的注入攻击使得数据库处于一个无辜受害的状态。目前的现实状况是很难通过外部的任何网络层安全设备(比如:防火墙、IDS、 IPS 等)来阻止应用层攻击的威胁。审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如: 数据库审计功能的开启会影响数据库本身的性能、这一点在大型的数据库用户最能表现;数据库日志文件本身存在被篡改的风险、自己的日志审计也难以体现审计信息的有效性和权威性。通过上述的分析,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,对数据库的内容进行有效地审计,已经成为
4、企业数据库安全管理与审计的当务之急。针对以上这些问题,我们选择了在安全产品及解决方案方面有着较高声誉的厂商启明星辰出品的,符合数据库安全及审计需求特点的、性价比较高的安全审计产品天玥网络安全审计系统(硬件+软件),并配合天镜脆弱性扫描与管理系统(软件),通过实际环境的测试,来展示在数据库(Oracle 数据库)安全、审计等方面为企业带来的益处。本方将通过以下几个步骤来进行:一、天玥产品解决方案架构设计及评测环境介绍二、产品基本配置及管理方式三、数据库安全及审计测试目标四、主要功能测试示例及介绍1、产品自身安全及分角色管理2、数据库操作全面、实时审计(命令级别)3、高风险操作行为警报4、数据库安
5、全漏洞评估5、事后调查取证6、多种组合查询、回放及报表输出7、三层关联功能8、等重要功能介绍五、测试总结一、天玥解决方案架构设计及评测环境1、 产品特性天玥网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,从而,加强内外部网络行为监管,保障核心资产(数据库、服务器、网络设备等)的正常运营。天玥系统能够审计各类业务网络中的协议,包括:数据库类协议(Oracle、Informix、DB2、DB2-DAS、Microsoft SQL
6、 Server、Sybase、MySQL、PostgreSQL、Teradata、Cache,Sybase),运营维护类协议(SSH、Telnet、Rlogin、X11),文件操作类协议(SCP、SFTP、FTP、NFS、SunRPC/PCNFSD、Windows 网上邻居),互联网类协议(HTTP 、SMTP、POP3),以及其他一些协议类型(Windows 远程桌面、Radius、自定义协议)。而天镜脆弱性扫描与管理系统是启明星辰自主研发的基于网络的脆弱性分析、评估和综合管理系统,根据“发现-扫描-定性-修复-审核” 弱点全面评估法则,能够快速发现网络资产,准确识别资产属性、全面扫描安全漏
7、洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在弱点全面评估的基础上实现安全自主掌控。在本次测试中,将以天玥安全审计产品为主,天镜产品为辅进行对 Oracle数据库安全审计及漏洞扫描评估等。2、解决方案架构天玥网络安全审计系统采用审计数据中心、审计引擎分布部署,审计数据中心支持一对一或一对多的方式与审计引擎进行连接。审计数据中心连接在交换机的普通端口,负责审计数据的存储和提供管理入口;而审计引擎有两种监听方式:其一,采用旁路监听方式,连接在交换机的镜像端口,负责对镜像流量进行分析;其二,可以串接在数据库服务器前端,对所有流向数据库的网络流量进行截取及分析。一般
8、情况下,企业偏向于第一种方式,对网络性能的影响最小,还不影响业务系统的连续性。值得注意的是,如果被审计的业务对象环境中的交换机启用了 Trunk 功能(如服务器虚拟化环境),也是会受到天玥解决方案的支持的。管理员可以在网络中任何一台 PC 上通过浏览器对系统进行管理,系统提供审计策略管理、事件查询、报告等功能。下两图均来自官方:图一是单级部署方式,适合于中小企业,网络架构不复杂,且业务数据库量相对较少的环境;图二是多级分布式部署,适合于大型企业,或者网络架构复杂,安全审计业务需求类型较多的环境,同时,对于审计业务对象分布在全国各地的企业来说,通过互联网(VPN)实现总部到分支的一对多的分布式部
9、署方式亦能支持。图示 天玥产品单级部署解决方案图示 天玥产品分布式部署解决方案3、评测环境介绍本次的评测环境为某大学的一个小型数据中心机房,中心内部署有多台oracle、mysql 数据库。有一台三层核心交换机,具备端口镜像及 VLAN 功能。采用旁路接入的单级部署方式,两台设备,审计数据中心及审计引擎。审计数据中心为管理及审计日志存储端,而审计引擎则连接到三层交换机的镜像口及普通端口。而 oracle 数据库服务器是通过一台 windows server 2003 机器上安装 sql plus 客户端进行管理的。sql plus 客户端所连接交换机端口流量镜像到镜像口,同时,天镜脆弱性扫描与
10、管理系统安装部署在此台机器上。二、产品基本配置及管理方式1、 产品的基本配置本次测试设备为 CA2300 审计系统一套,包括:数据中心: 2U 标准上架设备,6 个管理网口,2T 硬盘空间,内置专用安全操作系统和数据库。审计引擎:1U 标准上架设备,4 个千兆电口,4 个 SFP 插槽,内置专用安全操作系统。2、 产品管理方式天玥采用 B/S 架构设计,方便用户管理。目前支持两种管理模式:设备的网络配置(修改 IP 路由等)可以通过超级终端连接串口进行,更为详细的配置和管理则可以通过 Web 进行。在任何计算机上运行 Internet 浏览器,使用 HTTPS或 HTTP 连接,便能够对系统进
11、行配置并管理。浏览器地址栏输入 https:/数据中心 IP 或者 http:/数据中心 IP,用授权身份登录后,即可进入系统。管理员登录和使用天玥系统时,有多种认证方式,包括密码、认证令牌(USBKey)和 Radius 认证,如果采用认证令牌的认证方式登录,需要首先下载认证令牌控件并安装在登录的计算机上,否则计算机无法识别 USBKey。系统分为管理和报表两个子系统,管理子系统主要提供系统配置维护、策略管理、实时日志查看等功能,报表子系统主要提供审计日志的查询统计和报表取证等功能。图示 管理子系统功能概览图示 报表子系统功能概览三、 数据库安全及审计测试目标借由本次测试,检测天玥网络安全审
12、计系统在数据库实时保护、监控和审计方面的功能,以及检测天镜脆弱性扫描与管理系统在数据库漏洞扫描方面的功能。重点是针对数据库细粒度审计功能、数据库行为监控功能、对数据库高风险操作报警功能、对审计结果进行组合查询及报表输出等功能: 数据库操作审计功能:对所有外部或是内部用户访问数据库的各种操作行为(如:插入、删除、更新、用户自定义操作等)、内容,进行实时监控,精细还原 SQL 操作命令包括源 IP 地址、目的 IP 地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等,实现数据库安全事件准确全程跟踪定位。 分角色管理:进行权限划分,划分不同的管理员角色,实现分级分层管理。 多层业务审计(三
13、层关联):提供全方位的多层(应用层、中间层、数据库层)的访问审计,通过多层业务审计可实现数据操作原始访问者的精确定位。 事件回放与追溯:根据事件发生的时间、用户、访问方式(客户端、TELNET、FTP)、用户 IP、服务器等组合查询,并对过程进行回放和追溯。 实时监控与风险告警:针对于数据库的操作行为进行实时检测,根据预设置的风险控制策略,结合对数据库活动的实时监控信息,进行特征检测,任何尝试的攻击操作都会被检测到并进行阻断或告警;违规告警:可预设置安全策略;支持通过邮件、SYSLOG、SNMP、屏幕等方式告警。 综合查询及报表管理:提供详细的操作记录查询,包括库、表、字段、具体报文内容查询;
14、提供所有或单个数据库登录用户、源 IP、目的 IP 的审计规则统计、特征告警、对象访问、请求统计等报表功能,并提供用户自定义报表功能;能够自动导出 WORD、PowerPoint、PDF 等各种格式文件;柱状图、饼图等图文并茂式报表展现; 事后调查取证:对于所有行为能够进行事后查询、取证、调查分析,出具各类审计报表报告。四、主要功能测试示例及介绍在实际使用中,这两款产品配合使用有不少可以推介的功能。但正如“四、”中所描述的目标一样,本文中,我们只将依据既定的目标来展示或介绍。测试需要全面、深入的、长时间的测试,这样才能发现问题,同时也才能确认此功能在本企业机构应用的可能性。笔者在所服务的公司一
15、直负责信息安全方面的工作,亦刚进行了数据库审计产品评测,以及招标工作。依据着日常数据库安全审计管理需求、用户的体验、老板的要求、企业网络特点,重点选择了一些功能进行说明和效果截图,为大家分享经验,供借签。1、产品自身安全及分角色管理作为一款安全审计产品,如果自身的安全性就不可靠,那就无从谈起审计其它的产品了。天玥产品采取了有效的安全保密措施以确保系统和数据资源的安全,并对违背安全的事件记录并报警。且产品支持工作标准的基于公钥体系(PKI)的分布式安全认证机制。通常,我们会把数据的灾备也归为安全的一部分,天玥产品本地存储采用了 RAID5 级别,把硬件故障带来的数据丢失以及业务持续性降低的影响减
16、少到最低,同时支持对审计日志及报表进行网络存放及备份(加密过,只有在本产品上才能读取):天玥产品根据角色不同,划分了不同的权限来限定对产品的操作,这样就避免了部分人违规对审计日志进行篡改的可能。同时不同等级的管理者,权责分明。2、数据库操作全面、实时审计(命令级别)天玥产品可以收集极为丰富的审计数据,并提供较为灵活的结果显示功能,可以满足所有内部或外部的合规性要求。审计管理人员不但可以为每个审计日志单独配置(选择所关心的属性组合),亦能进行全面的日志记录,支持对会话或事件进行细粒度的数据库操作审计,可以审计到包含以下所有内容:发生的时间(开始及结束时间)协议名称源 IP 地址或 MAC目的 IP 地址或 MAC存活时间目的端口上下行流量数据库用户名协议 ID错误码数据库名表名命令SQL 语句响应时间实例名影响行数客户端程序名客户端用户名.图示 全面多样的审计内容图示 全面多样的审计结果一图示 全面多样的审计结果二图示
