《数据库审计与风险控制系统白皮书》由会员分享,可在线阅读,更多相关《数据库审计与风险控制系统白皮书(31页珍藏版)》请在金锄头文库上搜索。
1、 产品白皮书 杭州安恒信息技术有限公司 第 1 页 共 31 页 0571-28860999 明御明御 TMTM 数据库审计与风险控制系统 数据库审计与风险控制系统 DAS-DBAuditorDAS-DBAuditor 产品白皮书产品白皮书 杭州安恒信息技术有限公司杭州安恒信息技术有限公司 产品白皮书 杭州安恒信息技术有限公司 第 2 页 共 31 页 0571-28860999 版权申明 本文档包含了来自杭州安恒信息技术有限公司机密的技术和商业信息,提供给杭州安 恒信息技术有限公司的客户或合作伙伴使用。接受本文档表示同意对其内容保密并且未经 杭州安恒信息技术有限公司书面认可,不得复制、泄
2、露或散布本文档的全部或部分内容。 本文档及其描述的产品受有关法律的版权保护,对本文档内容的任何形式的非法复制, 泄露或散布,将导致相应的法律责任。 杭州安恒信息技术有限公司保留在不另行通知的情况下修改本文档的权利,并保留对 本文档内容的解释权。 This document contains confidential technical and commercial information from Hangzhou Anheng Info & Tech Co.Ltd. No part of it may be reproduced or transmitted in any form or m
3、eans without the permission of Hangzhou Anheng Info & Tech Co.Ltd. This document and the product it describes are protected by copyright according to the applicable laws. The information in this document is subject to change without notice and describes only the product defined in the introduction o
4、f this documentation. Hangzhou Anheng Info & Tech Co.Ltd will, if necessary, explain issues, which may not be covered by the document. Anheng logo is a registered trademark of Hangzhou Anheng Info & Tech Co.Ltd. The other product names mentioned in this document may be trademarks of their respective
5、 companies, and they are mentioned for identification purposes only. Copyright 2007-2010 Hangzhou Anheng Info & Tech Co.Ltd. All rights reserved. 产品白皮书 杭州安恒信息技术有限公司 第 3 页 共 31 页 0571-28860999 目 录 1.公司简介4 2.数据库面临的安全挑战5 3.法令法规的要求6 4.主要功能7 4.1.数据库静态审计7 4.2.实时监控与风险控制8 4.3.齐全的实时审计9 4.4.均衡的双向审计13 4.5.细粒度
6、审计规则14 4.6.精准的行为检索15 4.7.独有的三层审计16 4.8.完备的审计报表17 4.9.安全事件回放19 4.10.多形式的预警机制20 4.11.系统配置管理21 4.12.分部式部署管理23 4.13.自身日志的审计23 5.产品特点25 5.1.最全的数据库类型支持25 5.2.独立审计模式25 5.3.灵活的动态审计规则25 5.4.全方位、细粒度审计分析25 5.5.合规的职责分离26 5.6.零风险部署26 5.7.完备的自身安全26 6.产品规格及型号28 7.典型案例29 8.产品资质30 产品白皮书 杭州安恒信息技术有限公司 第 4 页 共 31 页 05
7、71-28860999 1.公司简介公司简介 杭州安恒信息技术有限公司(DBAPPSecurity),简称“安恒信息”,是业界领先的应 用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析,核心 团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验,以全球 领先具有完全自主知识产权的专利技术,致力于为客户提供应用安全、数据库安全、不良 网站监测、安全管理平台等整体解决方案。 安恒信息公司总部位于杭州高新区,在北京、上海、广东、四川、美国硅谷等地都设 有分支机构、遍布全国的代理商体系以及销售与服务网络能够为用户提供精准、专业的服 务。公司成立以来安恒人始终以
8、建立民族自主品牌为己任,秉承“精品创新,恒久品质” 的理念,力争打造中国信息安全产业应用安全与数据库安全第一品牌。 多年来,安恒信息以其精湛的技术,专业的服务得到了广大客户的青睐,同时赢得了 高度的商业信誉。其客户遍布全国,涉及金融、运营商、政府、公安、能源、教育、医疗、 税务/工商、社保、等保评估/安全服务机构、电子商务企业等众多行业。 安恒信息目前拥有明鉴、明御两大系列自主研发产品,是应用安全、数据库审计、 不良网站监测等领域的市场绝对领导者。其中明鉴系列应用扫描器被国家等级保护测评中 心等国内权威等级保护测评机构广泛使用。 未来,安恒信息将继续秉承诚信和创新精神,继续致力于提供具有国际竞
9、争力的自主 创新产品和服务,全面保障客户应用与数据库的安全,为打造世界顶级的产品而不懈努力。 作为作为 20082008 北京奥组委安全产品和服务提供商,安恒信息被奥组委授予北京奥组委安全产品和服务提供商,安恒信息被奥组委授予“奥运信息安奥运信息安 全保障杰出贡献奖全保障杰出贡献奖”。 在在 20092009 年建国年建国 6060 周年全国网站安全大检查中,公安部和工信部安全中心均选用安恒周年全国网站安全大检查中,公安部和工信部安全中心均选用安恒 信息明鉴应用弱点扫描作为安全检查工具并发挥了重大作用。信息明鉴应用弱点扫描作为安全检查工具并发挥了重大作用。 20102010 年,安恒信息作为上
10、海世博会安全产品和服务的提供商,为上海世博会信息安全年,安恒信息作为上海世博会安全产品和服务的提供商,为上海世博会信息安全 保驾护航。保驾护航。 产品白皮书 杭州安恒信息技术有限公司 第 5 页 共 31 页 0571-28860999 2.数据库面临的安全挑战数据库面临的安全挑战 数据库是任何商业和公共安全中最具有战略性的资产,通常都保存着重要的商业伙伴 和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。互联网的急速 发展使得企业数据库信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面 临严峻的挑战,概括起来主要表现在以下三个层面: 管理层面:主要表现为人员的职责
11、、流程有待完善,内部员工的日常操作有待规 范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定 位真实的操作者。 技术层面:现有的数据库内部操作不明,无法通过外部的任何安全工具(比如: 防火墙、IDS、IPS 等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信 息等行为。 审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数 据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改 的风险,难于体现审计信息的真实性。 伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风 险大大增加,如违规越权操作、恶意入侵导致机密信
12、息窃取泄漏,但事后却无法有效追溯 和审计。 为了解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求, 安恒公司在多年数据库安全的理论和实践经验积累的基础上,成功推出了业界首创的、面 向政府、企业核心数据库的安全产品-明御 TM数据库审计与风险控制系统,该产品重点 实现细粒度审计、精准化行为回溯、全方位风险控制,为您的核心数据库提供全方位、细 粒度的保护功能。 产品白皮书 杭州安恒信息技术有限公司 第 6 页 共 31 页 0571-28860999 3.法令法规的要求法令法规的要求 1、计算机信息系统安全等级保护要求、计算机信息系统安全等级保护要求 计算机信息系统安全等级
13、保护数据库管理技术要求是计算机信息系统安全等级保 护技术要求系列标准之一,详细说明了计算机信息系统为实现 GB17859 所提出的安全等级 保护要求对数据库管理系统的安全技术要求,以及确保这些安全技术所实现的安全功能达 到其应有的安全性而采取的保证措施。 计算机信息系统安全等级保护数据库管理技术要求第四章“数据库管理系统安全 技术要求”中第四节“数据库安全审计”中明确提出: 数据库管理系统的安全审计应: a)建立独立的安全审计系统 b)定义与数据库安全相关的审计事件 c)设置专门的安全审计员 d)设置专门用于存储数据库系统审计数据的安全审计库 e)提供适用于数据库系统的安全审计设置、分析和查阅
14、的工具 2、企业内部控制规范、企业内部控制规范-基本规范的内部审计机制基本规范的内部审计机制 第二十六条:健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部 环境的重要保证。企业应当加强内部审计工作,在企业内部形成有权必有责、用权受监督 的良好氛围。 3商业银行内部控制指引商业银行内部控制指引计算机信息系统的内部控制计算机信息系统的内部控制 4支付卡行业数据安全标准支付卡行业数据安全标准要求和安全评估程序(要求和安全评估程序(2008) 5电子银行安全评估指引(电子银行安全评估指引(2007) 6电子银行业务管理办法(电子银行业务管理办法(2008) 7期货公司信息技术管理指引期货公司信息技术管理指引 8萨班斯萨班斯 SOX 法案法案 9 产品白皮书 杭州安恒信息技术有限公司 第 7 页 共 31 页 0571-28860999 4.主要功能主要功能 数据库审计与风险控制系统主要的功能模块包括“
