《安恒数据安全审计方案》由会员分享,可在线阅读,更多相关《安恒数据安全审计方案(21页珍藏版)》请在金锄头文库上搜索。
1、安恒数据库审计方案杭州安恒信息技术有限公司2022-04-25目录1概述 41.1 数据库审计需求 42 解决方案 52.1 总体设计 52.2 数据库审计系统架构 63 产品功能 73.1 明御数据库审计与风险控制平台主要功能73.1.1 数据库静态审计 73.1.2 实时监控与风险控制 73.1.3 齐全的实时审计 83.1.4 均衡的双向审计 83.1.5 细粒度的审计规则 83.1.6 精确的行为检索 93.1.7 独有的三层审计 93.1.8 完备的审计报表 93.1.9 安全事件回放 93.1.10多形式的预警机制 103.1.11 系统配置管理 103.1.12 分部式部署管理
2、103.1.13 自身日志的审计 103.1.14 故障自动排查平台 104产品特点与优势 114.1 数据库审计与风险控制系统产品特点 114.1.1 最全的数据库类型支持 114.1.2 独立审计模式 114.1.3 灵活的动态审计规则 114.1.4 全方位、细粒度审计分析 114.1.5 合规的职责分离 124.1.6零风险部署 124.1.7完备的自身安全 125系统部署 135.1 数据库审计与风险控制系统部署 136客户最终收益 146.1 数据库审计与风险控制系统客户收益 147产品清单 158公司简介 169 典型案例分析179.1 数据库审计与风险控制系统典型案例分析(某证
3、券公司) 17概述1.1 数据库审计需求数据库系统是任何单位和组织最具有战略性的资产,通常都保存着重要 的单位机密信息和客户信息,这些信息需要被保护起来,以防止竞争者和其 他非法者获取。信息技术的急速发展使得企业数据库信息的价值及可访问性得到了提 升,同时,也致使数据库信息资产面临严峻的挑战,概括起来主要表现在以 下三个层面: 管理层面:主要表现为人员的职责、流程有待完善,内部员工的日 常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生 时,无法追溯并定位真实的操作者。 技术层面:现有的数据库内部操作不明,无法通过外部的任何安全 工具(比如:防火墙、IDS、IPS等)来阻止内部
4、用户的恶意操作、滥用资源 和泄露企业机密信息等行为。 审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的 弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文 件本身存在被篡改的风险,难于体现审计信息的真实性。伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和 外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄 漏,但事后却无法有效追溯和审计。为了解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问 题及审计需求,安恒公司在多年数据库安全的理论和实践经验积累的基础 上,成功推出了业界首创的、面向政府、企业核心数据库的安全产品明御T澈据库
5、审计与风险控制系统,该产品重点实现细粒度审计、精准化行为 回溯、全方位风险控制,为您的核心数据库提供全方位、细粒度的保护功 能。2解决方案2.1 总体设计根据目前南宁市道路运输管理处信息中心目前数据库系统操作行为未有统 一的体系进行全方位的监控与分析,我们设计了数据库审计与风险控制系统及来 实现对核心数据库的操作行为审计,对所有操作行为进行审计记录及报警,提高 南宁市道路运输管理处信息中心的内网数据库安全事件的可控性及可追溯性。主 要包括以下两方面内容:一、针对目前数据库系统存在的人为因素及软件漏洞风险,迫切需要专门 针对于数据库的安全进行整体的审计,以实现数据库运行可视化、日常操作可 监控、
6、危险操作可控制、所有行为可审计、安全事件可追溯。主要内容:全方位的实时审计:实时监控来自各个层面的所有数据库活动(也包括通过 远程命令行方式运行的 SQL 命令)。如:来自应用程序发起的数据库操作请求、 来自数据库客户端工具的操作请求等。细粒度的行为检索:一旦发生安全事件,提供基于数据库对象(用户、表、 字段及记录内容)的完全自定义审计查询及审计数据展现,彻底摆脱数据库的黑 盒状态(快速掌握:安全事件发生前后谁对数据库做了操作?做了什么操作?什 么时候做的操作?通过什么方式做的操作?)灵活的策略定制:根据登录用户、源 IP 地址、数据库对象(分为数据库用 户、表、字段)、操作时间、SQL操作、
7、记录内容的灵活组合来定义客户所关心 的重要事件和风险事件。多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以 通过监控中心告警、短信告警、邮件告警、 SYSlog 告警等方式通知数据库管理员 及综合日志管理平台。友好真实的操作过程回放:对于客户关心的操作可以回放整个相关过程,让 客户可以看到真实输入及屏幕显示内容多协议的远程访问监控:提供对数据库服务器的远程访问(如:ftp、tel net)实时监控及回放功能,有助于安全事件的定位查询、成因分析及责任认定。2.2 数据库审计系统架构数据库审计与风险控制系统主要的功能模块包括“静态审计、实时监控与 风险控制、实时审计、双向审计、细
8、粒度审计规则、精准的行为检索、三层关 联审计、完备的审计报表、安全事件回放、审计对象管理、多形式的预警机 制、系统配置管理”几个部分。南宁市道路运输管理处信息中心数据库审计系统采用分布式部署,集中管 理模式建设,系统集中度高、数据库、服务器数量多、维护人员管理分工细、 工作量大,系统建设应在满足以下架构要求的同时能够减少操作人员一定的工 作量。(1)采用交换机旁路侦听网络数据流或等同工作方式,不影响正常生产。(2)较高的硬件一体化能力,能充分满足审计过程中数据采集、数据分 析、 数据存储、数据报表等能力。(3)软件独立性,部署的软件具有相对独立的工作能力,不占用客户机相 关系统资源。(4) 建
9、设后的系统应能通过网络数据的采集、分析、识别,实时监控网络 数据库的所有访问操作,同时支持自定义内容关键字、支持自定义协 议监测、支持自定义端口监测,实现数据库操作的内容监测识别,发 现各种违规数据库操作行为,( 5 )及时报警响应、全过程操作还原,实现安全事件的准确全程跟踪定 位,全面保障数据库系统安全。(5) 系统应具有集中统一的整合分析能力和全面、系统的报告、分析能 力。3 产品功能3.1 明御数据库审计与风险控制平台主要功能3.1.1 数据库静态审计数据库静态审计的目的是代替繁琐的手工检查 ,预防安全事件的发生。 DAS-DBAuditor 依托其权威性的数据库安全规则库,自动完成对几
10、百种不当的 数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库 潜藏木马等等静态审计,通过静态审计,可以为后续的动态防护与审计的安全 策略设置提供有力的依据。3.1.2 实时监控与风险控制DAS-DBAuditor 可保护业界主流的数据库系统,防止受到特权滥用、已知漏 洞攻击、人为失误等等的侵害。当用户与数据库进行交互时, DAS-DBAuditor 会自动根据预设置的风险控制策略,结合对数据库活动的实时监控信息,进行 特征检测及审计规则检测,任何尝试的攻击或违反审计规则的操作都会被检测 到并实时阻断或告警。313齐全的实时审计DAS-DBAuditor基于“数据捕获一应用层
11、数据分析一监控、审计和响应” 的模式提供各项安全功能,使得它的审计功能大大优于基于日志收集的审计系 统,通过收集一系列极其丰富的审计数据,结合细粒度的审计规则、以满足对 敏感信息的特殊保护需求。数据库动态审计可以彻底摆脱数据库的黑匣子状态,提供 4W (who/when/where/wha t)审计数据。通过实时监测并智能地分析、还原各种数 据库操作,解析数据库的登录、注销、插入、删除、存储过程的执行等操作, 还原 SQL 操作语句;跟踪数据库访问过程中的所有细节,包括用户名、数据库 操作类型、所访问的数据库表名、字段名、操作执行结果、数据库操作的内容 取值等。3.1.4 均衡的双向审计系统通
12、过对双向数据包的解析、识别及还原,不仅对数据库操作请求进行 实时审计,而且还可对数据库系统返回结果进行完整的还原和审计,包括数据 库命令执行时长、执行的结果集等内容。3.1.5 细粒度的审计规则系统支持对数据库对象(包括用户(数据库)、表、字段、视图、索引、存 储过程、包等)进行审计规则定制,同时也提供细粒度的审计规则,如精细到 表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控;基 于IP地址、MAC地址和端口号审计;提供可定义作用数量动作门限、可设定关 联表数目动作门限、根据SQL执行时间长短、根据SQL执行回应以及具体报文内 容等设定规则。316精确的行为检索对于用户来讲,
13、一旦发生安全事件都需要通过查询事件前后过程,获取有 效的信息来协助管理人员找到相应的操作过程。系统通过各种要素多重组合的 方式进行查询,能够快速地精确地定位到相应位置。3.1.7 独有的三层审计对于 B/S 架构的应用系统而言,用户通过 WEB 服务器实现对数据库的访问, 传统的数据库审计系统只能审计到 WEB 服务器的相关信息,无法识别是哪个原 始访问者发出的请求。安恒DAS-DBAuditor通过关联应用层的访问和数据库层的 访问操作请求,可以追溯到应用层的原始访问者及请求信息(如:操作发生的 URL、客户端的IP等信息),产品主要根据时间片、关键字等要素进行信息筛选, 以确定符合数据库操
14、作请求的 WEB 访问,通过三层审计更精确地定位事件发生 前后所有层面的访问及操作请求。3.1.8 完备的审计报表DAS-DBAuditor 内嵌了功能强大的报表模块,除了按安全经验、行业需求分 类的预定义固定格式报表外,管理员还可以利用报表自定义功能生成定制化的报 告。报告模块同时支持 Word、 Excel、 PowerPoint、 Pdf 格式的数据导出。3.1.9 安全事件回放允许安全管理员提取历史数据,对过去某一时段的事件进行回放,真实展 现当时的完整操作过程,便于分析和追溯系统安全问题。很多安全事件或者与之关联的事件在发生一段时间后才引发相应的人工处 理, 这个时候, 作为独立审计
15、的 DAS-DBAuditor 就发挥特别的作用. 因为所有 的FTP、telnet、客户端连接等事件都保存后台(包括相关的告警),对相关的 事件做定位查询,缩小范围,使得追溯变得容易;同时由于这是独立监控审计 模式, 使得相关的证据更具有公证性。3110多形式的预警机制对于违反告警及审计规则的信息,系统提供了多形式的预警,包括通过手 机短信、邮件、屏幕、以及 SYSLOG、SNMP 等发送到明御综合日志审计平台或其 它相应的网管中心平台。3.1.11 系统配置管理DAS-DBAuditor 提供 WEB-base 的管理页面,数据库安全管理员在不需要安 装任何客户端软件的情况下,基于标准的浏览器即可完成对 DAS-DBAuditor 的 相关配置管理,主要包括“探测器配置、常规配置、系统配置”等。3.1.12 分部式部署管理系统支持对多个数据库审计节点的中心管理,包括数据归并、查询统计、告 警通知、审计策略分发等管理。能够实现复杂网络环境下的数据库操作审计。3.1.13 自身日志的审计提供针对审计设备自身的操作日志进行详细记录,满足相关法令法规要求。3.1.14 故障自动排查平台系
