《数据库审计系统技术方案》由会员分享,可在线阅读,更多相关《数据库审计系统技术方案(34页珍藏版)》请在金锄头文库上搜索。
1、数据库审计系统统技术方案随着信息和网络络技术的普及及,政府和企企事业单位的的核心业务信信息系统不断断的网络化,随随之而来的就就是面临的信信息安全风险险日益增加。而而这些安全风风险中,来自自内部的违规规操作和信息息泄漏最为突突出。由于政府和企事事业单位的核核心业务系统统(例如数据据库系统、核核心业务主机机系统)都实实现了网络化化访问,内部部用户可以方方便地利用内内部网络通过过各种通讯协协议进行刺探探,获取、删删除或者篡改改重要的数据据和信息。同同时,一些内内部授权用户户由于对系统统不熟悉而导导致的误操作作也时常给业业务系统造成成难以恢复的的损失。此外外,对于使用用IT外包和和代维的大型型机构而言
2、,如如何限制外部部人员对核心心业务系统的的访问权限也也是一个难题题,外包方的的技术工程师师可能在开发发业务系统的的时候留下后后门或者幽灵灵帐号,为将将来侵入核心心业务系统埋埋下隐患。另一方面,为了了加强内控,国国家强制机关关和行业的主主管部门相继继颁布了各种种合规和内控控方面的法律律法规和指引引,例如企业内内部控制基本本规范、银银行业信息科科技风险管理理指引、证证券公司内部部控制指引、保险公司风险管理指引(试行)等。而在国际上,美国政府针对上市公司的萨班斯(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准(PCI DSS)都对内控提出了严
3、格的要求。这些内控条例和指引都要求对网络中的重要业务系统进行专门的安全审计。可以说,随着安安全需求的不不断提升,网网络安全已经经从以防范外外部入侵和攻攻击为主逐渐渐转变为以防防止内部违规规和信息泄漏漏为主了。在这种情况下,政政府和企事业业单位迫切需需要一款专门门针对网络中中业务信息系系统进行全方方位审计的系系统。网御神神州借助多年年在安全管理理领域的积累累,推出了SSecFoxx-NBA网网络行为审计计系统(业务务审计型)产产品,很好地地满足了客户户的安全审计计需求。网御神州SeccFox-NNBA(Neetworkk Behaavior Analyysis ffor Buusinesss A
4、uddit)网络络行为审计系系统(业务审审计型)采用用旁路侦听的的方式对通过过网络连接到到重要业务系系统(服务器器、数据库、业业务中间件、数数据文件等)的的数据流进行行采集、分析析和识别,实实时监视用户户访问业务系系统的状态,记录录各种访问行行为,发现并并及时制止用用户的误操作作、违规访问问或者可疑行行为。产品部署简简便,不需要要修改任何网网络结构和应应用配置,不不会影响用户户的业务运行行。SecFox-NBA(业业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个
5、业务网络的事件和告警信息。SecFox-NBA网络络行为审计系系统(业务审审计型)能够对业务环环境下的网络络操作行为进进行细粒度审审计。系统通过制定符合合业务网的审审计策略,对对符合策略的的网络操作行为进行解析、分分析、记录、汇汇报,以帮助助用户事前规规划预防,事中实时监监控、违规行行为响应,事后合规报报告、事故追追踪回放,帮助用户加加强内外部网网络行为监管管、避免核心心资产(数据据库、网络服务器等等)损失、保保障业务系统统的正常运营营。SecFox-NBA(业业务审计型)能够自动地地或者在管理理员人工干预预的情况下对对审计告警进进行各种响应应,并与包括括各种类型的的交换机、路由器、防火墙、I
6、DS、主机系统等等在内的众多多第三方设备备和系统进行行预定义的策策略联动,并并能够实时阻阻断可疑的网网络通讯,实实现安全审计计的管理闭环环。SecFox-NBA(业业务审计型)为客户提供供了丰富的报报表,使得管管理人员能够够从各个角度度对业务系统统的安全状况况进行审计,并并自动、定期期地产生报表表。1 产品特点SecFox-NBA 网网络行为审计计系统(业务务审计型)的的主要特点包包括:1) 旁路侦听的工作作模式和简洁洁的部署方式式2) 全方位的数据库库审计3) 面向业务的安全全审计4) 业务操作实时监监控、过程回回放5) 快速响应和跨设设备协同防御御6) 事后分析、调查查取证7) 安全审计报
7、表报报告8) 内置防攻击策略略1.1 旁路侦听的工作作模式和简洁洁的部署方式式SecFox-NBA(业业务审计型)采采用旁路侦听听的方式进行行工作,对业业务网络中的的数据包进行行应用层协议议和流量分析析与审计,就就像真实世界界的摄像机。利利用网御神州州先进的业务务协议检测技技术(Bussinesss Prottocol Inspeectionn Techhnologgy),SeecFox-NBA(业业务审计型)能能够识别各类类数据库的访访问协议、FFTP协议、TTELNETT协议、VNNC协议、文文件共享协议议,以及其它它20多种应应用层协议,经经过审计系统统的智能分析析,发现网络络入侵和操作
8、作违规行为。同同时,借助网网御神州先进进的业务流量量监测技术(BBusineess Fllow Innspecttion TTechnoology),SSecFoxx-NBA(业业务审计型)识识别网络中各各种应用层协协议的流量,及及时发现流量量违规和异常常。SecFox-NBA(业业务审计型)部部署十分方便便,即插即用用,不必对业业务网络结构构做任何更改改,对业务网网络没有任何何影响。SeecFox-NBA(业业务审计型)可可以同时审计计多个不同的的网段;多个个系统可以级级联,实现分分布式部署,实实现对大规模模业务网络的的审计。系统部署后立竿竿见影,当即即可自动发现现所侦听网络络中的数据库库访
9、问行为。1.2 全方位的数据库库审计SecFox-NBA(业业务审计型)产产品能够对多多种操作系统统平台(Wiindowss、Linuux、HP-UX、Soolariss、AIX)下下各个版本的的SQL SServerr、Oraccle、DBB2、Sybbase、MMySQL 等数据库进行审审计。审计的的行为包括DDDL、DML、DCCL,以及其其它操作等行行为;审计的内容可以细细化到库、表表、记录、用用户、存储过过程、函数、调调用参数,等等等。操作行为内容和描述用户认证数据库用户的登登录、注销库表操作CREATE,AALTER,DDROP等创建、修改改或者删除数数据库对象(表表、索引、视视图
10、、存储过过程、触发器器、域,等等等)的SQLL指令记录操作SELECT,DDELETEE,UPDAATE,INNSERT等等用于检索或或者修改数据据的SQL指指令权限管理GRANT,RREVOKEE等定义数据库库用户的权限限的SQL指指令其它操作包括EXECUUTE、COOMMIT、RROLLBAACK等事务务操作指令SecFox-NBA(业业务审计型)能能够对各种访访问数据库的的途径进行监监控和审计。如上图Oraccle数据库库审计所示,无无论用户通过过Oraclle自带的企企业管理控制制台、PL/SQL命令令行、SQLL*PLUSS进行访问,还还是通过第三三方的Queest TOOAD(T
11、oool foor Oraacle AAppliccationn Deveeloperrs)工具访访问,抑或通通过中间件、浏浏览器、客户户端程序/代代理方式访问问,等等,SSecFoxx-NBA(业业务审计型)都都能够进行审审计。特别地,如果被被审计的数据据库网络数据据被加密处理理了,SeccFox-NNBA(业务务审计型)为为用户提供了了一个通用日日志采集器模模块,借助该该模块,系统统能够自动的的采集被审计计数据库的日日志信息,并并在审计中心心对其进行归归一化和关联联分析。此外,SecFFox-NBBA(业务审审计型)还能能够监测数据据库系统所在在主机的网络络通讯,对该该主机的FTTP、文件
12、共共享等协议进进行审计,确确保数据库系系统上的数据据安全。1.3 面向业务的安全全审计对于用户而言,要要保护核心数数据,仅仅依依靠对数据库库的审计是不不够的。内部部人员违规操操作的途径有有很多,有的的是直接违规规访问数据库库,有的是登登录到数据库库所在的主机机服务器上,有有的是透过FFTP去下载载数据库所在在主机的重要要数据文件,还还有的是透过过其他程序或或者中间件系系统访问数据据库。所以,必必须对数据库库、主机、HHTTP协议议、TELNNET、FTTP协议,网网络流量、中中间件系统都都进行审计,才才能更加全面面的发现违规规、防止信息息泄漏。这就就是面向业务务的安全审计计。业务系统是由包包括
13、主机、网网络设备、安安全设备、应应用系统、数数据库系统等等在内的多种种IT资源有有机组合而成成的。因此,面面向业务的审审计就要对构构成业务系统统的各个ITT资源之间的的访问行为以以及业务系统统之间的操作作的审计,这这样才能真正正反映出业务务系统的安全全状态。网神神SecFoox-NBAA网络行为审审计系统(业业务审计型)就就是这样一个个集成了数据据库审计、主主机审计、应应用审计和网网络流量审计计的面向业务务的综合安全全审计系统。1.3.1 以业务系统的数数据保护和操操作合规为目目标SecFox-NBA(业业务审计型)产产品的核心目目标就是保障障客户业务信信息系统网络络中数据安全全和操作合规规,
14、具体包括括:1) 数据访问审计:记录所有对对保护数据的的访问信息,包包括主机访问问,文件操作作,数据库执执行SQL语语句或存储过过程等。系统统审计所有用用户对关键数数据的访问行行为,防止外外部黑客入侵侵访问和内部部人员非法获获取敏感信息息。2) 数据变更审计:审计和查询询所有被保护护数据的变更更记录,包括括核心业务数数据库表结构构、关键数据据文件的修改改操作,等等等,防止外部部和内部人员员非法篡改重重要的业务数数据。3) 用户操作审计:统计和查询询所有用户的的主机、数据据库和应用系系统的登录成成功记录和登登录失败尝试试记录,记录录所有用户的的访问操作和和用户配置信信息及其权限限变更情况,可可以
15、用于事故故和故障的追追踪和诊断。4) 违规访问行为审审计:记录和和发现用户违违规访问。系系统可以设定定用户黑白名名单,以及定定义复杂的合合规规则(例例如定义合法法的访问时间间段、合法的的源IP地址址库、合法的的用户账号库库),可以设设置合理的审审计策略进行行告警和阻断断。5) 恶意攻击审计:记录和发现现利用主机,数数据库的漏洞洞对资源的攻攻击行为,例例如主机扫描描、DoS/DDoS攻攻击、ARPP欺骗和攻击击等,并可以以对攻击行为为进行告警和和阻断。1.3.2 以业务系统为审审计对象SecFox-NBA(业业务审计型)产产品采用多种种方式来更深深入具体地分析业务系统统:1) 多业务网络:根根据
16、实际网络络情况,系统统管理员可以以定义多个业业务网络。2) 业务网络拓扑:系统能够记录录客户业务网网络中各种数数据库、主机机、web应应用系统相互互的关联性,根根据业务网络络的变化可以以快速查看业业务网络中各各个设备和整整个业务网络络的事件和告告警信息。3) 行为分析:通过过可视化的行行为分析,可可以清晰地定定位访问源、访访问目标服务务器、应用协协议及其操作作内容。4) 业务流量分析:系统能够展展示出业务网网络中各个节节点(包括主主机、无IPP设备)在网网络中的应用用层的流量分分布情况,管管理员可以根根据业务网络络流量优化业业务网络。5) 三层架构的业务务审计:现行的很多多业务系统都都是基于客户户端/浏览器器、应用服务务器和数据库库的三层架构构。单纯审计计数据库,可
