《启明星辰天玥网络安全审计系统(数据库审计》由会员分享,可在线阅读,更多相关《启明星辰天玥网络安全审计系统(数据库审计(21页珍藏版)》请在金锄头文库上搜索。
1、 XXX项目 数据库审计系统技术建议书启明星辰信息技术Venus Information Technology(Beijing)二零一零年十月目 次1.综述12.需求分析22.1.部人员面临的安全隐患22.2.第三方维护人员的威胁22.3.最高权限滥用风险22.4.违规行为无法控制的风险32.5.系统日志不能发现的安全隐患32.6.系统崩溃带来审计结果的丢失33.审计系统设计方案33.1.设计思路和原则33.2.系统设计原理53.3.设计方案及系统配置63.4.主要功能介绍73.4.1.数据库审计73.4.2.网络运维审计83.4.3.OA审计93.4.4.数据库响应时间及返回码的审计93.4
2、.5.业务系统三层关联93.4.6.合规性规则和响应103.4.7.审计报告输出123.4.8.自身管理133.4.9.系统安全性设计133.5.负面影响评价143.6.交换机性能影响评价154.资质证书161. 综述随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。另外,随着计算机技术的飞速发展,计算机技术也越来越广泛地被应用在医院管理的各个方面。在国家对医疗卫生行业投入不断增加的大背景下,以“金卫工程”为代表的医疗卫生行业信息化工
3、程得到了快速发展,HIS系统也在全国各大医院广泛应用。但是,随着信息技术在各类医疗机构大行其道之时,也给各医疗机构各信息系统的技术管理提出了更高的要求。虽然各医院采取了许多措施加强对医院信息系统的管理,但由于多方面的原因,医院信息中心已成为医药购销领域商业贿赂的重点科室。特别是在医疗卫生行业的药品、器械销售竞争日益激烈的大背景下,采用不正当的技术手段渗透到医疗卫生行业中来,一些医院部工作人员与医药营销人员外勾结,私自进行处方统计的行为,阻碍了医疗卫生事业的改革和发展。医院的用药信息泄漏给医药营销人员以此来获取经济利益的商业贿赂行为,这种行为的存在不仅严重干扰了正常的医疗秩序,而且也增加了患者的
4、经济负担,不利于和谐医患关系的建设。从已发生的商业贿赂案件来看,医药代表通过医院信息中心工作人员的“统方”来掌握某个药品医生每个月的实际处方量,是“统方”主要渠道。同时,卫生部、中医药管理局针对部分医务人员开单提成、收受“红包”、药品回扣等消极腐败现象和不正之风,发布了关于建立健全防控医药购销领域商业贿赂长效机制的工作方案、关于开展医药购销领域不正当交易行为自查自纠工作的指导意见,并成立了治理商业贿赂领导小组在全国围开展治理商业贿赂专项工作。为此,一场医疗行业的反商业贿赂风暴,已经逐步深入开展。在信息化条件下,部署数据库审计产品,防医药卫生行业中各从业人员利用计算机进行职务犯罪的问题,解决行业
5、中审计手段隐蔽、不易取证等困难,成为医疗卫生行业信息化工程中必不可少的组成部分。2. 需求分析随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。通过对XXX的深入调研,XXX面临的安全隐患归纳如下:2.1. 部人员面临的安全隐患随着企业信息化进程不断深入,企业的业务系统变得日益复杂,由部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题
6、,但对于部人员的违规操作却无能为力。2.2. 第三方维护人员的威胁企业在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地管控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。2.3. 最高权限滥用风险因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和权限划分,权限划分混乱,高权限账号(比如DBA账号)共用等问题一直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让数据安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。2.4
7、. 违规行为无法控制的风险管理人员总是试图定义各种操作条例,来规部员工的访问行为,但是除了在造成恶性后果后追查责任人,没有更好的方式来限制员工的合规操作。而事后追查,只能是亡羊补牢,损失已经造成。2.5. 系统日志不能发现的安全隐患我们经常从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是,系统往往是在经历了大量的操作和变化后,才逐渐变得不安全。另外的情况是,用户通过登录业务服务器来访问数据库等核心资产,单纯的分析业务系统或者数据库系统的日志,都无法对整个访问过程是否存在风险进行判断。从系统变更和应用的角度来看,网络审计日志比系统日志在定位系统安全问题上更可
8、信。2.6. 系统崩溃带来审计结果的丢失一般来说,数据库系统都会存储操作日志,也能开启审计模块对访问进行审计,但是一旦有意外发生导致系统的崩溃,这些审计日志也随之消失,管理人员无法得知系统到底发生了什么。3. 审计系统设计方案3.1. 设计思路和原则围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。启明星辰做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路:管理层面:完善现有业务流程制度,明细人员职责和分工,规部员工的日常操作,严格监控第三方维护人员的操作。技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS等),还需要专门针对
9、数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,对统方行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高事务处理率,还必须满足苛刻的服务水平要求。商业数据库软件建的审计能力不能满足独立性的基本要求,还会降低数据库性能并增加管理费用。启明星辰天玥网络安全审计系统,既能独立审计针对数据库的各种访问行为,又不影响数据库的高效稳定运行。是专业的、有针对性的数据库审计系统。该系统主要从以下7个方面进行设计考虑: 实用性:由于业务系统数据在数据库中进行集中存储,故对于数据库的操作审
10、计需要细化到数据库指令、表名、视图、字段等,同时能够审计数据库返回的错误代码,这样能够在数据库出现关键错误时及时响应,避免由于数据库故障带来的业务损失;能够将统方所涉及到的药品表、用户账号等进行翻译,能够直观的给审计人员发现统方行为 独立性:审计系统应具备统一的策略、集中的审计,适用于不同的设备、操作系统、数据库系统和应用系统的审计要求,并对这些系统不造成影响. 灵活性:审计系统应提供缺省的审计策略及自定义策略,能够对重要操作、重要表、重要字段进行定义并审计,能够根据用户的业务特点进行策略的编辑。 易用性:审计系统应能够基于操作进行分析,能够提供主体标识(即用户)、操作(行为)、客体标识(设备
11、、操作系统、数据库系统、应用系统)的分析和审计报表 扩展性:当业务系统进行扩容时,审计系统可以平滑扩容。系统支持向第三方平台提供记录的审计信息。 可靠性:审计系统能提供足够的存储空间(1000G以上),满足在线存储至少6个月的要求;审计系统能够保证审计记录的时间的一致性,避免错误时间记录给追踪溯源带来的影响。 安全性:分权限管理,具有权限管理功能,可以对用户分级,提供不同的操作权限和不同的网络数据操作围限制,用户只能在其权限对网络数据进行审计和相关操作,具有自身安全审计功能。3.2. 系统设计原理天玥网络安全审计系统基于“IP数据俘获应用层数据分析审计和响应”实现各项功能,设计中充分贯彻了平台
12、化的思路;由于采用旁路接入的工作模式,使得天玥系统在实现各种安全功能的同时,对原系统的影响降到最低。天玥网络安全审计系统主要实现以下安全功能: 针对不同的应用协议,提供基于应用操作的审计; 提供数据库操作语义解析审计,实现对违规行为的及时监视和告警; 提供上百种合规规则,支持自定义规则(包括正则表达式等),实现灵活多样的策略和响应; 提供基于硬件令牌、静态口令、Radius支持的强身份认证; 根据设定输出不同的安全审计报告;3.3. 设计方案及系统配置核心数据库Oracle系统通过主备方式接入网络,设计采用配置一台天玥审计数据中心,一台天玥旁路审计引擎,一台天玥在线审计引擎。具体部署如下图所示
13、:天玥系统部署图天玥审计数据中心: 部署一台天玥审计数据中心,该服务器具备一个2T的置RAID5存储器,对天玥网络审计引擎进行管理和控制,实现对审计数据的存储和分析。天玥审计数据中心的管理端口需要接入网络中,并分配一个合法的IP地址,以接收天玥管理控制台的管理。天玥审计数据中心的“管理端口”需要通过网络方式与天玥网络审计引擎的“管理端口”进行连接。天玥旁路审计引擎: 部署一台天玥网络审计引擎对核心交换机上的Oracle流量进行监控和审计。天玥网络审计引擎配置两个信息监听端口,该端口需要连接到被监控交换机的“镜像目的端口”上,以获取原始的通信信息,从而实现各种审计和控制功能。天玥网络审计引擎需要
14、设置一个“管理端口”,这个端口需要接入网络,并分配一个合法的IP地址,以接收天玥管理控制台的管理。天玥在线审计引擎:部署一台天玥旁路审计引擎,实现对运维区域的各种运维操作进行监控、审计和阻断,该引擎自带Bypass支持,通常采用透明方式进行接入,对服务器端和终端用户无影响。天玥管理控制台:在网络中的任何一台Windows计算机上采用浏览器进行管理。在本方案中同时部署了旁路审计引擎与在线审计引擎,这是因为这两种引擎属于互补关系,旁路审计引擎解决了在线审计引擎被绕过的风险,在线审计引擎解决了旁路引擎无法实现加密协议审计和事前阻断的风险,二者的关系如下:在线审计实现的基础为“建立唯一访问路径,一切的
15、行为均通过该路径进行访问”,也就是说需要将所有被审计运维访问流量都要通过在线引擎才可以进行审计,这就牵涉到网络结构的变化或ACL的调整,在实际部署中,在线审计依赖外部设备的ACL控制(比如交换机或FW),一旦这些访问控制设备出现问题或ACL不够充分,就会存在绕过堡垒主机的操作行为,而此时这些绕过堡垒主机的行为是没有被审计的,由于恶意攻击者往往具备较高的技术水平,同时善于寻找安全系统的漏洞,故不完善的ACL控制会让在线审计存在较大的部署风险。而旁路审计实现的基础为“一切网络访问行为均不可信”进行部署的,故所有可识别的操作均被审计,这两种审计部署方式存在着很强的互补性,通常都会一起部署,从而实现控制与审计的完美结合。3.4. 主要功能介绍3.4.1. 数据库审计天玥网络安全审计系统能够监视并记录对数据库服务器的各类操作行为,实时地、智能地解析对数据库服务器的各种操作,一般操作行为如数据库的登录,特定的操作如对数据库表的插入、删除、修改,执行特定的存贮过程等,都能够被记录和分析,分析的容要求可以精确到SQL操作语句一级。并记录这些操作的用户名、机器IP地址、操作时间等重要信息。系统能够对采用ODBC、JDBC、OLE-DB、命
