ClearNet DBA数据库安全审计系统产品白皮书.docx
《ClearNet DBA数据库安全审计系统产品白皮书.docx》由会员分享,可在线阅读,更多相关《ClearNet DBA数据库安全审计系统产品白皮书.docx(20页珍藏版)》请在冰点文库上搜索。
ClearNetDBA数据库安全审计系统产品白皮书
ClearNetDBA数据库审计系统
产品白皮书
莱克斯科技(北京)有限公司
http:
//www.lyx-
免责声明
本文档为莱克斯科技(北京)有限公司(以下简称“莱克斯”)针对ClearNetDBA数据库审计系统所制作的产品白皮书,仅供客户和合作伙伴进行参考和交流使用。
莱克斯尽最大努力在本文档中提供准确的信息,但对本文档中可能存在的技术性误差或印刷性错误不承担任何责任,并保留在没有任何通知或提示的情况下对本文档的内容进行修改的权利。
版权说明
©版权所有2005-2011,莱克斯科技(北京)有限公司
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属莱克斯科技(北京)有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经莱克斯科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断,并将其用于商业用途。
本文档中所介绍的产品和服务都具有书面的使用许可和有限质保。
本文档中的任何内容都不应当被视作对使用许可和有限质保的变更和补充,也不会创造出新的许可和质保。
联系我们
地址:
北京市海淀区上地三街九号嘉华大厦A1104
电话:
(8610)--62970100
传真:
(8610)--62979452
服务热线:
400-6885-567
邮政编码:
100085
Email:
sales@lyx-
目录
1数据库安全现状2
1.1三大安全风险2
1.2传统数据库安全方案缺陷3
2DBA的价值体现4
2.1满足合规性要求,顺利通过IT审计4
2.2有效减少核心信息资产的破坏和泄漏4
2.3追踪溯源,便于事后追查原因与界定责任4
2.4直观掌握业务系统运行状况,保障稳定运行4
3数据库审计系统产品介绍5
3.1功能简介5
3.1.1行为审计5
3.1.2审计策略设置6
3.1.3数据库告警信息6
3.1.4专家系统7
3.1.5统计报表9
3.2产品优势10
3.2.1LyxOS自主知识产权的操作系统10
3.2.2USAP高性能的数据通讯平台11
3.2.3非对称式的内存管理11
3.2.4突发数据动态平衡技术12
3.2.5DPI与DFI相结合数据分析技术12
3.2.6操作管理和界面人性化13
4产品部署14
5莱克斯科技(北京)有限公司15
1数据库安全现状
数据库作为业务系统信息的载体,与各种应用程序或应用系统接口,使之能方便地使用并管理数据库中的数据,如数据查询、添加、删除、修改等,海量的数据信息因为数据库的产生而变得更加容易管理和使用。
政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等行业,纷纷建立起各自的数据库应用系统,以便随时对数据库中海量的数据进行管理和使用,国家和社会的发展带入信息时代。
同时,随着互联网的发展,数据库作为网络的重要应用,在网站建设和网络营销中发挥着重要的作用,包括信息收集、信息查询及搜索、产品或业务管理、新闻发布、BBS论坛等等。
然而,信息技术是一把双刃剑,为社会的进步和发展带来遍历的同时,也带来了许多的安全隐患。
随着互联网技术的迅猛发展,许多用户的关键业务越来越多地基于WEB应用,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来,并且随着业务系统的复杂化及互联网环境的变化,所受威胁也在飞速增长。
数据库安全事件曾出不穷:
在2010年,发生过一件轰动全球的大事——“维基解密”事件,号称“给我一台电脑,我就能晃动世界”的阿桑奇和他的“维基解密”几乎成为所有政府和企业的梦魇,各种“爆料”犹如一个个重磅炸弹,在美国以致于整个世界引起轩然大波,给政府形象和金融市场带来巨大的冲击。
2010年6月,美国AT&T网站服务器出现严重安全漏洞,近11万名iPad用户信息被发布到互联网上,给苹果和AT&T带来了严重的声誉损害。
2010年11月,暴雪娱乐的产品计划推进文件在网上疯传,其中包括详细的用户数、收入、广告投放、媒体计划和预算,给暴雪娱乐造成了巨大损失。
可见,数据库目前已经成为了商业和公共安全中最具有战略性的资产,通常保存着重要的商业资料和客户信息,随着互联网的急速发展,使得数据库信息的价值得到了巨大的提升。
同时,也致使数据库面临的安全风险大大增加,数据库信息资产面临着严峻的挑战。
1.1三大安全风险
数据库面临的安全风险,概括起来主要表现在以下三个层面:
其一,从管理方面来看,由于管理上的不完善,很多内部员工的日常操作还不够规范,难免出现一些误操作、以及恶意损坏数据的行为;而且,有一些单位对第三方维护人员的操作缺乏监控,使得数据库面临着机密泄露和数据篡改的风险。
以医疗界为例,由于医院的信息系统里是存储着大量的隐私信息及机密信息,此类数据又有着相当大的商业价值,对于犯罪分子来说,具有极大的诱惑力,所以说,医院的数据库随时面临着信息泄露的风险。
在2008年,深圳发生的孕妇信息库泄露事件中,不法分子将孕妇的资料制成了“泄密光盘”,光盘收录了4万多条信息,包括孕妇姓名、婴儿出生日期、户口性质等,更令人咂舌的是这些信息每月还滚动更新,累计达到了10万条。
信息泄露的直接导致深圳70余家大小医院的产科,多数孕产妇时常受到广告推销电话或短信骚扰,在行业内造成了非常不好的影响。
其二,从数据库稳定性来看,数据库一旦出现死锁或出错,将直接导致整个数据库瘫痪,甚至会影响到整个单位业务的正常运转。
以金融行业为例,随着金融行业各种新业务的不断拓展,金融机构对信息系统的依赖越来越高,像银行、证券这样的单位,除了要防止泄密之外,对数据库能否安全稳定的运行也十分的关心,特别是在进行数据大集中后,对核心数据库的保护便成为了信息安全中的重中之重。
数据库一旦出现问题,不仅可能造成业务中断,更严重的,甚至会导致资金的丢失,造成巨大的经济损失。
其三,从数据库安全方面来看,数据库服务器操作系统、数据库系统本身都难免存在漏洞,因此,还面临着遭受网络攻击的风险。
1.2传统数据库安全方案缺陷
传统的审计方案,或多或少存在一些缺陷,主要表现在以下两个方面。
✓传统网络安全方案
依靠传统的网络防火墙及入侵保护系统(IPS),在网络中检查并实施数据库访问控制策略。
但是网络防火墙只能实现对IP地址、端口及协议的访问控制,无法识别特定用户的具体数据库活动(比如:
某个用户使用数据库客户端删除某张数据库表);
而IPS虽然可以依赖特征库有限阻止数据库软件已知漏洞的攻击,但他同样无法判别具体的数据库用户活动,更谈不上细粒度的审计。
因此,无论是防火墙,还是IPS都不能解决数据库特权滥用等问题。
✓基于日志收集方案
需要数据库软件本身开启审计功能,通过采集数据库系统日志信息的方法形成审计报告,这样的审计方案受限于数据库的审计日志功能和访问控制功能,在审计深度、审计响应的实时性方面都难以获得很好的审计效果。
同时,开启数据库审计功能,一方面会增加数据库服务器的资源消耗,严重影响数据库性能;另一方面审计信息的真实性、完整性也无法保证。
其他诸如应用程序修改、数据源触发器、统一认证系统授权等等方式,均只能记录有限的信息,更加无法提供细料度的数据库操作审计。
2DBA的价值体现
数据库审计,通过审计功能将凡是与数据库安全性相关的操作记录下来,只要检测审计记录,系统安全员便可掌握数据库被使用状况。
例如,检查库中实体的存取模式,监测指定用户的行为。
审计系统可以跟踪用户的全部操作,这也使审计系统具有一种威慑力,提醒用户安全使用数据库。
那么,首先让我们来了解一下部署数据库安全审计产品能给用户带来的益处:
2.1满足合规性要求,顺利通过IT审计
目前,越来越多的单位面临一种或者几种合规性要求。
比如,在美上市的中国移动集团公司及其下属分子公司就面临SOX法案的合规性要求;而商业银行则面临Basel协议的合规性要求;政府的行政事业单位或者国有企业则有遵循等级保护、分级保护的合规性要求。
数据库审计系统为用户核心系统提供了独立的审计解决方案,有助于完善组织的IT内控体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。
2.2有效减少核心信息资产的破坏和泄漏
对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用数据库安全审计产品,能够加强对这些关键系统的审计,一旦出现违反安全的事件,及时告警,通知相关负责人,从而有效地减少对核心信息资产的破坏和数据泄漏。
2.3追踪溯源,便于事后追查原因与界定责任
一个单位里负责运维的部门通常拥有数据库管理系统的最高权限(掌握DBA帐号的口令),因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。
DBA数据库审计系统能够帮助企业进行事后追查原因与界定责任。
2.4直观掌握业务系统运行状况,保障稳定运行
业务系统的正常运行需要一个安全、稳定的网络环境。
对管理部门来说,网络环境的安全状况事关重大。
审计系统提供业务流量监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况,为数据库定期体检,对漏洞进行提前预警,提出优化建议,保障数据库性能的稳定。
3数据库审计系统产品介绍
ClearNetDBA数据库审计系统,是一款专业的、致力于全面保障数据安全的管理系统,它可以有效监控数据库访问行为,准确掌握数据库系统的安全状态,及时发现违反数据库安全策略的事件,并实时告警、记录,从而实现安全事件的定位分析,事后追查取证,以此保障数据库安全。
数据库审计系统以网络审计方式为主,同时兼顾数据库本地审计,对数据库的查询、新增、删除、修改、授权等各种操作行为进行解析和智能关联,并提供多种灵活方便的查询方法、统计报表,供数据库管理者查询、分析和决策。
系统还具有高效的数据库入侵防御功能,对恶意攻击或者误操作等敏感行为进行实时报警。
系统采用了优良的体系结构,支持超大容量的数据库审计条目,支持对ORACLE、MSSQLServer、Sybase等各种主流数据库进行审计,适用于各种大中型组织数据库审计的安全需求。
3.1功能简介
3.1.1行为审计
DBA具有全面的数据库行为审计功能,能够提供数据库全方面的审计信息,并按会话、操作、告警分别展示,方便事后的查询。
●审计数据库的类型
系统支持SQLSEVER、Oracle、DB2、Sybase、MySQL、Informix等主流数据库的审计信息。
●数据库会话审计
提供用户访问数据库的会话信息,包括数据库名称、数据库IP、用户组名、用户IP、登录时间、推出时间、SQL条数、登陆是否成功。
●数据库操作审计
提供用户对数据库操作的详细信息,包括数据库名称、数据库IP、用户组名、用户IP、操作指令、执行时间、成功与否、异常情况
系统支持的数据库操作的类型:
ØDQL数据查询语言:
支持数据查询操作、数据表结构查询操作的审计;
ØDML数据操作语言:
支持数据插入操作、更新操作、删除操作的审计;
ØDDL数据定义语言:
支持新建数据表、数据库、视图、索引等操作,删除数据、数据表、数据库、视图、索引等操作,以及数据表结构更新操作的审计;
ØDCL数据控制语言:
支持用户权限改变、事务操作,用户建立与删除操作的审计;
●FTP传输信息
提供用户通过FTP传输方式对进行操作的详细信息,全程记录用户在服务器上的各种操作(包括命令行操作、交互菜单操作、业务系统操作),并且可查看传输的会话信息等。
●TELNET登录信息
提供用户通过Telnet方式对进行操作的详细信息,包括用户组、用户名、用户IP、MAC地址、服务器IP、开始时间、结束时间等。
●业务的关联审计
系统支持SQL语句和内容的还原,以及业务系统的关联审计,即使没有数据库基础,也能了解数据库业务操作。
3.1.2审计策略设置
在对数据库访问行为做审计的基础之上,系统能够很灵活地定义数据库安全策略,通过协议的分析和策略的匹配,对违反安全的事件及时告警,并取得确凿的证据,提供详细的记录内容,以供溯源定位。
系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件,对用户关心的违规行为进行响应,特别是针对重要表、重要字段的各种操作,能够通过简单的规则定义,实现精确审计,降低过多审计数据给管理员带来的信息爆炸。
3.1.3数据库告警信息
系统可提供邮件和网页告警两种方式,从而满足不同的审计需求。
●服务器状态告警
提供服务器状态告警信息,包括设备名称、设备IP、告警时间、告警类别、告警内容等;
●数据库会话告警
提供服务器会话告警信息,包括数据库组、数据库名称、数据库类型、数据库IP、用户组、用户名、用户IP、告警时间、告警级别等;
●数据库操作告警
提供服务器操作告警信息,包括数据库组、数据库名称、数据库类型、数据库IP、用户组、用户名、用户IP、告警时间、告警级别等;
3.1.4专家系统
专家系统,作为ClearNetDBA所独有的功能,完成定期对数据库进行安全检查,自动对数据库进行故障诊断、数据安全分析、以及漏洞扫描,并给出详细的安全检查报告和漏洞修复建议的功能。
用户可根据此报告修复数据库漏洞,提高安全性。
DBA为数据库提供了三个方面的专家:
分别是故障诊断专家、数据安全专家和系统优化专家。
故障诊断专家,针对数据库进行健康体检,故障点场景还原以及数据库中失败业务操作的分析;
●数据库健康体检
提供数据库基本信息、故障情况、流量统计情况、IP错误统计情况、连接数统计信息、网络延时数统计量、磁盘空间使用率信息、磁盘分区信息、磁盘分区增长趋势信息、CPU使用信息、内存使用率信息、数据库进程CPU使用率信息、进程内存使用率信息;
●故障点场景还原
故障点场景的还原,允许管理员对发生故障时的历史数据、数据库状态以及发生的操作进行追溯,真实展现当时的操作过程,包括故障点的发生时间、恢复时间、数据库名称、故障原因、数据库目前的状态、故障时产生的会话、以及进行的操作,以便分析和追溯系统安全问题。
●失败SQL分析
提供失败SQL语句发生的时间、访问的数据库名称、访问数据库的用户、用户的IP、失败语句;
数据安全专家,为管理员提供数据库遭受到的攻击行为的分析,以及越权操作的分析。
分别从攻击行为、越权操作以及安全状态三方面进行分析,通过DBA发现数据库中一些潜在的安全威胁,比如SQL注入、暴力登录、越权访问、可疑端口和可疑进程的扫描等等,及时发现并产生数据库安全威胁的行为,保证数据库更加安全运行。
●可疑端口列表
提供系统所发现的可疑端口的信息,包括数据库名称、数据库IP、操作系统、端口号、以及首次发现时间、最后发现时间;
●可疑进程识别
支持设定可以进程的信息,包括数据库名称、数据库IP、操作系统、可以进程名称、首次发现时间、最后发现时间、CPU、内存占用率;
●权限修改查询
支持有关权限修改的操作的信息,包括时间、数据库名称、用户名、用户IP、权限修改语句;
●危险操作查询
支持危险操作的操作信息,包括数据库名称、操作数据的用户名、数据库IP地址、用户登录名、执行SQL语句的时间、执行结果成功与否、具体的SQL语句;
●越权访问扫描
支持越权访问操作的详细信息,包括访问数据库的用户名、被访问的数据库、登录名、操作时间、越权SQL语句、执行状态;
●SQL注入分析
支持数据库注入信息;
●暴力登录
支持数据库遭到暴力登录的信息,包括数据库名、登录数据库的用户名、用户IP、登录次数
●SQL语句耗时排名
支持一段时间内SQL语句的耗时排名,包括数据库名、数据库IP、登录数据库的用户名、用户IP、操作指令、执行时间、成功与否;
系统优化专家,分别从时间和内容两方面分析数据库的性能,为系统如何进行优化,提供合理建议。
以时间为主线,展示设定时间段内业务操作以及SQL语句的趋势情况,以便管理员了解数据库压力;以内容为主线,展示数据库服务器CPU和内存的占用率走势情况,以便管理员了解数据库服务器的压力状况,为管理员分析数据库瓶颈提供依据。
●数据库压力趋势
提供数据库一段时间内所执行的SQL语句条数的趋势图;
●业务操作趋势
提供数据库一段时间内的业务操作趋势图;
●资源-SQL分析
提供数据库一段时间内CPU、内存趋势图,以及详细的每一秒钟中执行的SQL语句信息;
3.1.5统计报表
统计报表模块,让管理者清晰掌握数据库的访问情况,业务系统的应用情况,以便找到造成网络瓶颈的原因所在,为数据库以及网络优化提供依据,方便系统管理。
提供按数据库、用户、时间、告警、流量、操作分类的排名:
●数据库统计
Ø支持访问次数最多数据库排名;
Ø支持累计流量最大数据库排名;
Ø支持报警最多数据库排名;
Ø支持异常最多数据库排名;
Ø支持操作次数最多数据库排名;
●用户统计
Ø支持统计访问次数最多用户排名;
Ø支持统计累计流量最大用户排名;
Ø支持报警最多用户排名;
Ø支持异常最多用户排名;
Ø支持操作次数最多用户排名;
Ø支持操作时长最长用户排名;
●时间走势
Ø支持流量时间走势;
Ø支持WEB时间走势;
Ø支持BBS时间走势;
Ø支持收发邮件时间走势;
Ø支持聊天消息时间走势;
Ø支持其他应用时间走势;
●告警统计
Ø支持报警最多目标数据库排名;
Ø支持报警最多用户排名;
Ø支持报警时间走势;
Ø支持报警级别排名;
●异常统计
Ø支持异常最多目标数据库排名;
Ø支持异常最多用户排名;
Ø支持异常时间走势;
Ø支持异常类型排名;
●流量统计
Ø支持累计流量最大数据库排名;
Ø支持累计流量最大用户排名;
Ø支持流量时间走势;
3.2产品优势
3.2.1LyxOS自主知识产权的操作系统
LYXOperatingSystem(LyxOS)是莱克斯科技自主知识产权的操作系统。
它是莱克斯高速数据通讯平台(USAP)的核心部分,借鉴了成熟的Linux2.6内核,采用模块化设计和并行数据处理理念。
具有高效性、高安全性、高健壮性、扩展性、可移植性、模块化、标准化等特征。
LyxOS能够支持多种硬件平台,如NP、ASIC、多核等,其核心的专家会诊系统(ECS)把传统的串行数据处理方式优化为并行处理模式,通过系统策略配置各个功能模块,可以实现全方位的需求满足和安全控制,保障了系统安全快速的运行。
3.2.2USAP高性能的数据通讯平台
高速数据通信平台USAP:
基于自主知识产权LyxOS的模块化通用安全应用平台。
可以根据用户的实际需求制定相应策略来配置系统,达到对用户实际需求的无缝契合。
模块化设计及并行数据处理,使得系统在数据峰值处理能力、高峰抗压能力、平均处理能力以及大数量级下的查询能力等方面都具有良好的性能。
3.2.3非对称式的内存管理
传统的内存管理,一般采用对称式的管理技术,举个例子说,数据在二个模块之间传递,要经过两次内存的分配,一次数据的复制,复制完成后,各模块负责各自内存的释放。
在这种内存管理方式下,由于存在两次内存的分配和释放,使得内存消耗较大,对数据处理的效率比较低。
为了提高数据处理的效率,最大限度的提高设备对数据的吞吐及处理能力,我们打破了传统的内存管理,采用了非对称式的内存管理技术。
由其中的一个模块负责内存的分配和数据的存储,在向另一个模块传递数据的时候,不再采用复制数据的方式,而是直接把内存地址传递给它,并放弃对该内存数据的管理,继续地处理其它数据和内存分配工作。
而另一模块对该内存中的数据进行处理,并完成释放。
非对称的内存管理技术,极大的加快了各模块间的数据处理过程,减少了内存的消耗,使系统模块间的数据处理能力至少提升了50%。
3.2.4突发数据动态平衡技术
系统在处理数据的过程中,难免会遇到网络数据突发的状况,通常情况下,如果数据量大到,超出了设备的极限处理能力时,由于系统无法及时处理所有数据,那么如图所示;来不及处理的部分数据将会被丢弃,这样必然会导致数据审计记录不完整。
数据库审计系统采用了突发数据动态平衡技术。
在突发大量数据时,如果超出了设备处理能力的极限值,就会先将超出部分的数据暂存起来,当设备的负载下降时,再来处理这部分暂存的数据。
从而,最大限度的优化了系统的处理能力,保证了数据突发情况下,数据审计的完整。
3.2.5DPI与DFI相结合数据分析技术
普通的报文识别技术
DPI:
即“DeepPacketInspection”,称为“深度数据包检测”。
DPI不仅分析IP包头的五元组(源地址、目的地址、源端口、目的端口以及协议类型),而且还增加了应用层分析,识别各种应用及其内容,如下图所示:
DPI技术
DFI:
即“Deep/DynamicFlowInspection”深度/动态数据流检测技术.
DFI技术采用的是一种基于流量行为的应用识别技术,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而实现鉴别应用类型。
鉴于DPI在应用区分、识别精度、功能扩展等方面优势明显,而DFI在对新应用和加密协议的识别方面有一定的优势。
莱克斯采用了以DPI分析技术为主,传统普通报文分析和DFI技术来处理分析加密应用协议为辅的方式综合分析数据包,综合分析应用层特征值和应用协议行为;UDP/TCP端口、端口范围和端口列表;IP地址、地址范围、子网或主机列表;MAC地址;VLAN标签、MPLS标签、IPPRECEDENCE、MPLSEXP;传输方向等。
以此来达到精确分析应用和协议的目的。
3.2.6操作管理和界面人性化
在提升管理效率方面DBA也有良好的表现。
比如说系统的全文检索功能,利用系统空余资源,满足针对设定关键字审计结果的查看,在保障设备高效稳定运行的同时,提高审计记录的查看效率。
系统的界面采用了莱克斯的自主研发的模块化动态管理系统WebGUI,不仅管理简单,而且安全高效。
例如我的导航功能,以及IE浮动窗口式的设计,都是我们所独有的特色,使用方便,非常的人性化。
总之,莱克斯的ClearNetDBA数据库安全审计系统,具备着系统平台的高稳定性、内存管理的高效性、数据处理的完备性、协议分析的精准性以及部署的零风险性等多种性能及优点。
4产品部署
在部署方式上,我们的系统采用了零风险的部署方式。
这样的部署方式,只要在交换机上设置镜像端口,而不需要对现有的网络体系结构进行调整,也无需对现有数据库进行任何更改或增加配置。
这样部署有三个好处:
第一,接入成本很低;
第二,大数据量的审计工作不影响原业务系统的运行与性能,风险很低。
第三,审计系统本身相对独立,难以因被发现而受到攻击,所以审计系统的安全性较高。
5莱克斯科技(北京)有限公司
莱克斯科技(北京)有限公司LYXSolutionsInc.创建于2005年。
作为专业的内容和应用安全设备提供商,LYX积累了多年内容和应用安全产品研发和市场运做经验。
LYX凭借其细致的服务精神和国际一流的技术,本着“化繁为简”的原则打造适合中国本土化需求的高性能产品;并为高
升级会员 