LOGBASE数据库审计系统白皮书.docx

1、LOGBASE数据库审计系统白皮书LogBase数据库安全审计系统技术白皮书杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD目 录第一章 概述 4第二章 为什么需要数据库安全审计系统 5第三章 LogBase数据库安全审计系统介绍 63.1 产品简介 63.2 体系架构 63.3 支持的数据库种类 7第四章 产品功能 94.1 数据库访问行为记录 94.2 违规操作的告警响应 94.3集中存储访问记录 94.4 访问记录查询 104.5 数据库安全审计报表 10第五章 产品特性 115.1 安全便捷的部署方式 115.2 强大的日志采集分析 115.3 高速的日志

2、检索能力 115.4 灵活的日志查询条件 125.5 海量日志安全保障 125.6 符合审计需求设计 12第六章 部署方式 136.1 独立部署模式 136.2 分布式部署模式 13第七章 产品规格与指标 14第一章 概述 随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不能很好地解决这个问题，必将阻碍信息化发展的进程。由此可见，信息安全在社会生活的各个方面已受到更为广泛的关注，其重要性也日益明显。信息领域的严峻斗争使我们认识到，只讲信息应用是不行的，必须同时

3、考虑信息安全问题。数据库作为企业最核心的信息资产，在黑客攻击日趋商业化的今天，获得以及篡改数据库内容往往能够给攻击者带来巨大的商业利益，而企业内部的管理人员对数据库的误操作以及蓄意的破坏也会给企业带来巨大的损失。因此，如何保护企业的数据库安全已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。数据库安全审计是整个数据库系统安全的有机组成部分，完善的数据库安全审计系统结合有效的审计制度，能够有效地避免内部人员进行数据库破坏活动，并及时发现外部攻击者的行为，避免因数据库内容泄露或破坏造成企业损失。杭州思福迪信息技术有限公司是国内日志管理领域的领先者，其产品LogBase数据库安全审计系

4、统正是针对上述问题而提出的一种数据库操作审计产品。LogBase通过对网络数据的实时采集、实时分析和还原，对各种违规行为实时告警，以帮助网络管理员或政府机构对数据库资源进行有效的管理和维护。第二章 为什么需要数据库安全审计系统目前，大部分企业的信息安全建设是利用防火墙、入侵监测等安全设备对非法入侵者进行防范，然而，根据CERT的年度研究报告显示，高达50%以上的数据破坏是由内部人员造成的，内部人员对自己的信息系统非常熟悉，又位于防火墙的后端，对数据库系统的误操作或者蓄意的破坏会对企业造成恶劣的影响以及重大损失，因此，对企业的核心数据库进行审计非常必要。另外，许多立法和规范要求，如针对上市公司的

5、SOX法案，规定公司和组织必须采取一定措施来确保关键数据库的安全性，对数据库进行安全审计。公安部国家电子政务等级保护、国家保密局 BMB17-2006 号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计；传统的数据库安全审计系统往往依赖于数据库自身的审计功能，或者需要在数据库服务器上安装审计系统客户端软件，这种审计方式将降低数据库系统的运行效率，甚至可能由于兼容性问题或程序bug而导致系统瘫痪，攻击者一旦获得权限，也总是会想方设法地删除日志内容，从而导致审计系统失效。所以，我们需要一个更加安全有效的数据库安全审计系统来保护企业数据库系统的安全。第三章 LogBa

6、se数据库安全审计系统介绍3.1 产品简介LogBase数据库安全审计系统(以下简称LogBase)是思福迪公司自主研发的拥有自主知识产权的专业数据库安全审计产品，主要针对各类数据库系统进行安全监控及操作审计。LogBase对信息系统中各类数据库系统的用户访问行为进行实时采集、实时分析，用户登录、登出数据库，对数据表内容做插入、删除、修改等操作，都可以被记录和分析，记录内容可以精确回放SQL 操作语句。LogBase可以通过规则设置及时发现数据库非法访问行为并产生告警，可以以短信或邮件方式通知管理员。采集到的信息经过规范化、过滤和归并等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的

7、日志审计报表及关联分析功能，管理员能方便高效的对数据库系统进行有针对性的安全审计，实现对数据库系统安全状况的全面审计。遇到特殊安全事件和系统故障，LogBase可以确保日志完整性和可用性，协助管理员进行故障快速定位，并提供客观依据进行追查和恢复。LogBase可以帮助用户有效降低数据库系统的故障而带来的损失，降低数据库系统的运维成本和管理的复杂度，显著提高系统整体的安全性、可靠性和运行效率，降低信息系统的整体安全风险。LogBase目前支持的数据库种类包含：Oracle、DB2、MSSQL、Sybase、Informix、Mysql 。3.2 体系架构LogBase数据库安全审计系统采用2层体

8、系架构，由一个LogBase数据库审计主机以及一个网络探测器组成，均以硬件形式提供；并采用B/S架构，管理员通过HTTPS方式对主机进行管理。LogBase的系统架构如下图所示，具体功能描述如下：LogBase日志管理审计系统体系结构3.2.1 网络探测器 网络探测器是一个软硬件结合的前端设备，主要负责采集用户访问数据库的操作数据包，根据不同数据库协议进行分析然后将数据上传至审计主机。网络探测器支持百兆、千兆网络环境。3.2.2 LogBase数据库安全审计主机LogBase数据库审计主机基于嵌入式Linux系统，作为整个审计系统的核心，它主要负责管理和审计功能，将网络探测器上传来的数据通过规

9、则过滤生成原始、重要、告警或者丢弃日志并分类存储；管理员通过IE访问主机，查看、查询或审计日志内容。3.3 支持的数据库种类LogBase数据库安全审计系统支持以下主流数据库进行安全审计： Oracle； DB2； MSSQL； Sybase； Informix； Mysql；第四章 产品功能4.1 数据库访问行为记录 LogBase支持对多种类数据库的操作行为进行采集记录，探测器通过旁路接入，在相应的交换机上配置端口镜像，对用户访问数据库的数据流进行镜像采集并保存信息日志。LogBase能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户

10、名、客户端IP、服务器端IP、操作指令、操作返回状态值。Logbase支持记录的行为包括： 数据操作类（如select、insert、delete、update等） 结构操作类（如create、drop、alter等） 事务操作类（如Begin Transaction、Commit Transaction、Rollback Transaction等） 用户管理类以及其它辅助类（视图、索引、过程等操作） 等数据库访问行为，并对违规操作行为产生报警事件。4.2 违规操作的告警响应 LogBase可通过规则设置对各类数据库操作访问行为进行实时监测，对网络中的异常数据库操作行为及时进行告警响应，实时显

11、示告警信息并记录存储。告警信息可通过邮件或短信方式在通知管理员，以确保管理员在第一时间发现用户对数据库的违规操作。4.3集中存储访问记录通过Logbase数据库安全审计系统可以将分布在网络不同位置、不同类型的数据库的访问信息集中到统一的安全审计系统中进行存储，便于对记录数据进行分析。LogBase采用专有的特殊文件系统对规范化的日志进行存储，同时也支持Mysql等标准数据库存储，文件存储机制是根据日志系统的特殊性进行专门研发，为海量日志的存储及检索进行了优化设计。产品内置高容量的硬盘存储空间，采用Raid硬盘阵列，可有效防止由于硬盘硬件问题而带来的数据丢失，同时LogBase还支持外挂存储系统

12、，从而实现存储空间的海量扩充。4.4 访问记录查询用户在检索历史日志记录时，LogBase可以通过多条件相结合的方式进行日志查询，根据日志的类型、发生时间、不同字段内容等进行精细匹配，如：日志源IP、日志发生时间、数据库操作信息字段内容等，从而实现日志的快速准确定位。4.5 数据库安全审计报表LogBase通过动态报表的方式对数据库操作行为审计结果进行统计分析。系统默认内置丰富的报表模板，其中大部分报表均符合SOX法案、等级保护等法规、标准对信息系统的审计需求，同时，用户也可以根据自身的实际需求自定义报表内容，生成审计报表，审计报表可以以HTTP和EXCEL格式导出。第五章 产品特性5.1 安

13、全便捷的部署方式目前主流数据库系统都有自身的审计功能，但其审计能力有限，而且存在对数据库系统的运行效率影响大、审计日志查看与统计不方便、审计日志容易被篡改等缺点，因而不利于对大型的重要的数据库业务系统所采用。LogBase对数据库操作访问行为采用全旁路方式进行审计，不在网络中串联设备；不在主机上安装客户端软件；不改变客户原有的登陆方式，部署便捷，不会破坏本身网络结构，不影响数据库系统的性能。LogBase系统进行维护、升级时不会影响到正常业务的运行，也不会影响到网络性能。5.2 强大的日志采集分析LogBase系统目前支持采集的数据库系统有：Oracle、DB2、MSSQL、Sybase、In

14、formix、Mysql 。种类丰富，能适应绝大多数的单位应用。LogBase针对不同种数据库协议，对采集到的数据包进行分析，还原SQL语句，并通过内置的规则库对违规操作产生告警，用户也可根据自身需求来定义规则，对用户的数据库操作进行实时监控。5.3 高速的日志检索能力LogBase系统采用了思福迪公司自主开发的基于海量日志索引的日志检索引擎，避免了采用关系型数据库在处理海量日志数据时的低效率问题，采用“基于预测的动态索引技术”、“数据正交分组技术”及“适应磁盘的索引存储”“即时结果反馈技术”等核心技术手段，实现了对日志的高速检索能力。LogBase对于在缓存中的日志（最近入库的日志），以四重

15、以内组合条件查询，能够在5秒内即返回完整的检索结果。对于任意时间段内的历史数据查询，LogBase也能够在数秒钟内即反馈符合要求的检索结果。5.4 灵活的日志查询条件LogBase系统支持不限次数的多重条件查询规则设定，管理员可根据日志的类型、发生时间、不同字段内容等条件组合进行精细匹配。LogBase支持：、=、不等于、包含、时间区间、或、与等十多种常见逻辑符号，支持跨日志查询，管理员能够通过设定规则条件，对日志进行精确定位。5.5 海量日志安全保障 LogBase对采集到的数据库操作行为日志能做到全方位的安全保障： 系统底层高度精简、优化的Linux内核，在内核级别保障系统自身的安全性及稳

16、定性； 系统大容量存储空间，采用Raid阵列，既能保障日志信息在设备内的安全存储需求，又能保障高效的检索速度； 系统采用思福迪自主研发的专有数据库，避免了主流数据库自身带来的安全问题； 系统内置安全防火墙系统，可以设定严格的访问源，从而避免了绝大部分的无关流量，进一步保障系统本身的安全性； 系统对内部的管理帐号具有严格的访问权限控制，能够有效防止内部管理员的越权访问，避免数据库被恶意删除。5.6 符合审计需求设计LogBase系统对数据库操作行为日志的采集分析及审计报表均根据各行业审计需求、国家法规需求进行专门设计，如：根据SOX法案审计需求，对数据库操作进行审计，并研发了大量满足SOX法案审计需求的数据库报表。第六章 部署方式6.1 独立部署模式6.2 分布式部署模式第七章 产品规格与指标指标LogBase DB330-1LogBase DB330-2LogBase DB330-3LogBase DB1300监听口数量1234监听口类型10/100/1000M电口自适应，可选择光口支持流量100Mbps200Mbps1000Mbps1000Mbps存储容量5亿条5亿条5亿条10亿条分中心模式不支持不支持不支持支持