数据库审计系统技术方案.docx
《数据库审计系统技术方案.docx》由会员分享,可在线阅读,更多相关《数据库审计系统技术方案.docx(23页珍藏版)》请在冰点文库上搜索。
数据库审计系统技术方案
数据库审计系统技术方案
随着信息和网络技术的普及,政府和企事业单位的核心业务信息系统不断的网络化,随之而来的就是面临的信息安全风险日益增加。
而这些安全风险中,来自部的违规操作和信息泄漏最为突出。
由于政府和企事业单位的核心业务系统(例如数据库系统、核心业务主机系统)都实现了网络化访问,部用户可以方便地利用部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。
同时,一些部授权用户由于对系统不熟悉而导致的误操作也时常给业务系统造成难以恢复的损失。
此外,对于使用IT外包和代维的大型机构而言,如何限制外部人员对核心业务系统的访问权限也是一个难题,外包方的技术工程师可能在开发业务系统的时候留下后门或者幽灵,为将来侵入核心业务系统埋下隐患。
另一方面,为了加强控,国家强制机关和行业的主管部门相继颁布了各种合规和控方面的法律法规和指引,例如《企业部控制基本规》、《银行业信息科技风险管理指引》、《证券公司部控制指引》、《保险公司风险管理指引(试行)》等。
而在国际上,美国政府针对上市公司的萨班斯(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准(PCIDSS)都对控提出了严格的要求。
这些控条例和指引都要求对网络中的重要业务系统进行专门的安全审计。
可以说,随着安全需求的不断提升,网络安全已经从以防外部入侵和攻击为主逐渐转变为以防止部违规和信息泄漏为主了。
在这种情况下,政府和企事业单位迫切需要一款专门针对网络中业务信息系统进行全方位审计的系统。
网御神州借助多年在安全管理领域的积累,推出了SecFox-NBA网络行为审计系统(业务审计型)产品,很好地满足了客户的安全审计需求。
网御神州SecFox-NBA(NetworkBehaviorAnalysisforBusinessAudit)网络行为审计系统(业务审计型)采用旁路侦听的方式对通过网络连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户访问业务系统的状态,记录各种访问行为,发现并及时制止用户的误操作、违规访问或者可疑行为。
产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。
SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。
SecFox-NBA网络行为审计系统(业务审计型)能够对业务环境下的网络操作行为进行细粒度审计。
系统通过制定符合业务网的审计策略,对符合策略的网络操作行为进行解析、分析、记录、汇报,以帮助用户事前规划预防,事中实时监控、违规行为响应,事后合规报告、事故追踪回放,帮助用户加强外部网络行为监管、避免核心资产(数据库、网络服务器等)损失、保障业务系统的正常运营。
SecFox-NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。
SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。
1产品特点
SecFox-NBA网络行为审计系统(业务审计型)的主要特点包括:
1)旁路侦听的工作模式和简洁的部署方式
2)全方位的数据库审计
3)面向业务的安全审计
4)业务操作实时监控、过程回放
5)快速响应和跨设备协同防御
6)事后分析、调查取证
7)安全审计报表报告
8)置防攻击策略
1.1旁路侦听的工作模式和简洁的部署方式
SecFox-NBA(业务审计型)采用旁路侦听的方式进行工作,对业务网络中的数据包进行应用层协议和流量分析与审计,就像真实世界的摄像机。
利用网御神州先进的业务协议检测技术(BusinessProtocolInspectionTechnology),SecFox-NBA(业务审计型)能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议,以及其它20多种应用层协议,经过审计系统的智能分析,发现网络入侵和操作违规行为。
同时,借助网御神州先进的业务流量监测技术(BusinessFlowInspectionTechnology),SecFox-NBA(业务审计型)识别网络中各种应用层协议的流量,及时发现流量违规和异常。
SecFox-NBA(业务审计型)部署十分方便,即插即用,不必对业务网络结构做任何更改,对业务网络没有任何影响。
SecFox-NBA(业务审计型)可以同时审计多个不同的网段;多个系统可以级联,实现分布式部署,实现对大规模业务网络的审计。
系统部署后立竿见影,当即可自动发现所侦听网络中的数据库访问行为。
1.2全方位的数据库审计
SecFox-NBA(业务审计型)产品能够对多种操作系统平台(Windows、Linux、HP-UX、Solaris、AIX)下各个版本的SQLServer、Oracle、DB2、Sybase、MySQL等数据库进行审计。
审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。
操作行为
容和描述
用户认证
数据库用户的登录、注销
库表操作
CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令
记录操作
SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL指令
权限管理
GRANT,REVOKE等定义数据库用户的权限的SQL指令
其它操作
包括EXECUTE、COMMIT、ROLLBACK等事务操作指令
SecFox-NBA(业务审计型)能够对各种访问数据库的途径进行监控和审计。
如上图Oracle数据库审计所示,无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问,还是通过第三方的QuestTOAD(ToolforOracleApplicationDevelopers)工具访问,抑或通过中间件、浏览器、客户端程序/代理方式访问,等等,SecFox-NBA(业务审计型)都能够进行审计。
特别地,如果被审计的数据库网络数据被加密处理了,SecFox-NBA(业务审计型)为用户提供了一个通用日志采集器模块,借助该模块,系统能够自动的采集被审计数据库的日志信息,并在审计中心对其进行归一化和关联分析。
此外,SecFox-NBA(业务审计型)还能够监测数据库系统所在主机的网络通讯,对该主机的FTP、文件共享等协议进行审计,确保数据库系统上的数据安全。
1.3面向业务的安全审计
对于用户而言,要保护核心数据,仅仅依靠对数据库的审计是不够的。
部人员违规操作的途径有很多,有的是直接违规访问数据库,有的是登录到数据库所在的主机服务器上,有的是透过FTP去下载数据库所在主机的重要数据文件,还有的是透过其他程序或者中间件系统访问数据库。
所以,必须对数据库、主机、HTTP协议、TELNET、FTP协议,网络流量、中间件系统都进行审计,才能更加全面的发现违规、防止信息泄漏。
这就是面向业务的安全审计。
业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在的多种IT资源有机组合而成的。
因此,面向业务的审计就要对构成业务系统的各个IT资源之间的访问行为以及业务系统之间的操作的审计,这样才能真正反映出业务系统的安全状态。
网神SecFox-NBA网络行为审计系统(业务审计型)就是这样一个集成了数据库审计、主机审计、应用审计和网络流量审计的面向业务的综合安全审计系统。
1.3.1以业务系统的数据保护和操作合规为目标
SecFox-NBA(业务审计型)产品的核心目标就是保障客户业务信息系统网络中数据安全和操作合规,具体包括:
1)数据访问审计:
记录所有对保护数据的访问信息,包括主机访问,文件操作,数据库执行SQL语句或存储过程等。
系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和部人员非法获取敏感信息。
2)数据变更审计:
审计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作,等等,防止外部和部人员非法篡改重要的业务数据。
3)用户操作审计:
统计和查询所有用户的主机、数据库和应用系统的登录成功记录和登录失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可以用于事故和故障的追踪和诊断。
4)违规访问行为审计:
记录和发现用户违规访问。
系统可以设定用户黑白,以及定义复杂的合规规则(例如定义合法的访问时间段、合法的源IP地址库、合法的用户账号库),可以设置合理的审计策略进行告警和阻断。
5)恶意攻击审计:
记录和发现利用主机,数据库的漏洞对资源的攻击行为,例如主机扫描、DoS/DDoS攻击、ARP欺骗和攻击等,并可以对攻击行为进行告警和阻断。
1.3.2以业务系统为审计对象
SecFox-NBA(业务审计型)产品采用多种方式来更深入具体地分析业务系统:
1)多业务网络:
根据实际网络情况,系统管理员可以定义多个业务网络。
2)业务网络拓扑:
系统能够记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,根据业务网络的变化可以快速查看业务网络中各个设备和整个业务网络的事件和告警信息。
3)行为分析:
通过可视化的行为分析,可以清晰地定位访问源、访问目标服务器、应用协议及其操作容。
4)业务流量分析:
系统能够展示出业务网络中各个节点(包括主机、无IP设备)在网络中的应用层的流量分布情况,管理员可以根据业务网络流量优化业务网络。
5)三层架构的业务审计:
现行的很多业务系统都是基于客户端/浏览器、应用服务器和数据库的三层架构。
单纯审计数据库,可能获取的用户名称和访问地址都是中间件的用户和地址,难于定位访问源。
采用基于业务的审计就可能化解这个问题,系统可以将客户端访问的服务,中间件,数据库建立一个审计的业务,利用访问时间作为关联条件,将客户端访问和数据库访问关联,通过可视化的行为分析,定位访问源。
1.3.3面向业务的审计策略
网神SecFox-NBA(业务审计型)是一个策略驱动的审计系统。
借助网御神州独有的面向业务的审计策略(Business-orientedAuditPolicy,简称BAP)技术,用户可以在一个策略中对某业务所包含的主机,数据库,主机进行综合设定,实现对该业务的精确审计,从而及时发现该业务的安全隐患。
例如,用户下发一条审计策略就能够审计出哪些非法主机在尝试访问业务系统,哪些主机在非法的时间段访问业务,哪些用户在业务中执行非法数据库操作,评估业务中各个主机和数据库的访问量,通过关键字审计被保护业务系统中的重要数据和敏感数据,等等。
用户通过操作SecFox-NBA(业务审计型)的web管理页面能够实时地配置符合业务保护要求的审计策略,无须重启设备、中断网络会话采集,策略下发成功后,立即生效。
用户在制定审计策略的时候可以按照审计要求随意设置审计时间段。
用户可以按照业务要求设置一个或者多个保护对象;对符合业审计务策略要求的事件可以阻断和记录。
1.3.4二次审计与实时关联分析
传统的单纯数据库审计产品都只能做基于审计策略的分析,用户在指定审计策略的时候,可以指定审计对象的五元组(源地址、时间、途径、目的地址、操作),以及触发策略后的响应动作。
这种审计称作“操作审计”(RecordAudit),即审计用户的违规数据库操作。
传统的数据库审计产品会将所有符合审计策略的操作信息都记录到自带的数据库系统中,供审计人员进行查找。
此时,对于审计人员而言,操作审计就意味着通过输入基于SQL的查询条件从大量的操作信息中去筛选出真正违规的信息。
面对大量的操作记录,审计员的工作无异于大海捞针,效率十分低下。
SecFox-NBA(业务审计型)产品在“操作审计”的基础上还提供了二次审计功能:
将数据库审计记录与主机、服务和应用的审计记录整合到一起,通过网御神州获得发明专利的实时关联分析引擎进行跨事件关联分析,进一步帮助用户进行违规行为的定位。
这种二次审计称作“行为审计”(BehaviorAudit),即审计用户的违规行为。
通过关联规则,系统能够实时、自动地将违规行为以告警的形式发送出来,主动提醒审计人员,并能够采取多种方式进行自动响应。
需要指出的是,二次关联审计是在存中进行中,不依赖于数据库存储系统。
正是由于网御神州SecFox-NBA(业务审计型)产品业界独有的二次关联分析技术,使得其真正成为一块面向业务的网络安全审计系统。
因为,只有通过关联分析技术,才能够将与业务相关的数据库操作事件、主机访问事件、中间件访问事件等有机地联系起来。
1.3.5可视化的业务审计
SecFox-NBA(业务审计型)系统为用户提供了简介易用的操作界面,使得普通管理员就能够对复杂的业务系统进行审计。
系统提供了多种可视化的审计手段,包括:
1.智能监控频道
智能监控频道为用户提供了一个从总体上把握企业和组织整体安全情况的界面。
每个频道包括多个监控窗口,可以显示多方面的安全信息,窗口可以缩放、可以移动换位、可以更换布局、可以调台,显示管理员想看的容。
SecFox-NBA(业务审计型)提供丰富的频道切换器,用户可以在不同的频道间切换。
同时,用户也可以自定义频道,包括自定义布局和展示容。
2.业务拓扑图
通过网御神州独有的业务拓扑功能,可将业务系统中相关的数据库、主机、服务等对象以拓扑图的方式展现出来。
通过业务拓扑,用户能够直观地看到该业务系统的组成,并方便地查看业务系统的告警信息和流量信息。
3.行为分析图
用户可以对一段历史事件进行事件行为分析(EventBehaviorAnalysis,简称EBA)。
EBA将一段时间的事件按照不同的属性进行排列和连接,形象地展示在坐标轴上,让管理员一目了然的看到事件所代表的用户(IP)行为。
1.4业务操作实时监控、过程回放
SecFox-NBA(业务审计型)对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。
传统的数据库或者网络审计系统都采用基于指令的操作分析(Command-basedRecordAnalysis)技术,可以显示出所有与数据库主机相关的操作,但是这些操作都是一条条孤立的指令,无法体现这些操作之间的关联,例如是否是同一用户的操作、以及操作的时间先后,审计员被迫从大量的操作记录中自行寻找蛛丝马迹,效率低下。
借助网御神州独有的基于会话的行为分析(Session-basedBehaviorAnalysis)技术,审计员可以对当前网络中所有访问者进行基于时间的审查,了解每个访问者任意一段时间先后进行了什么操作,并支持访问过程回放。
SecFox-NBA(业务审计型)真正实现了对“谁、什么时间段、对什么(数据)、进行了哪些操作、结果如何”的全程审计。
1.5快速响应和跨设备协同防御
SecFox-NBA(业务审计型)在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。
SecFox-NBA(业务审计型)能够对业务网中所有IP的流量进行分析,因而能够更为精确地定位安全威胁,并对符合策略的告警事件进行阻断,实时自动阻止可疑行为。
在发生告警后,SecFox-NBA(业务审计型)可以通过电子、SNMPTrap等方式对外发出通告,能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。
SecFox-NBA(业务审计型)可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正在进行的攻击。
SecFox-NBA(业务审计型)可以与众多第三方网络设备、安全设备进行联动。
例如,在发现攻击后,阻断网络交换机的端口,或者更改防火墙和入侵检测系统的安全规则,阻止攻击的扩散和恶化。
SecFox-NBA(业务审计型)支持与市场上大部分安全设备和网络设备之间的策略联动。
此外,通过SecFox-NBA(业务审计型)与网御神州其他SecFox安全管理产品的综合使用,可以实现完整的从安全风险监控、分析到决策的安全管理流程的闭环。
1.6事后分析、调查取证
SecFox-NBA(业务审计型)可以将采集到的所有数据包和告警信息统一存储起来,建立一个企业和组织的集中事件存储系统,实现了国家标准和法律法规中对于事件存储的强制性要求,为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。
SecFox-NBA(业务审计型)具有海量事件处理和存储的能力。
单个SecFox-NBA(业务审计型)系统能够以每秒2000个事务到6000个事务的规模接收数据包,能够在线存储10亿到40亿条事件记录。
加上系统的数据归档与离线存储功能,SecFox-NBA(业务审计型)能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。
SecFox-NBA(业务审计型)具有极强的存储扩展能力,产品自带500GB~2TB的存储空间,用户亦可以在后期通过热插入硬盘的方式进行容量扩展,或者直接外接存储设备。
SecFox-NBA(业务审计型)在进行数据管理的时候,对数据存储算法进行了充分优化,使得使用小型数据库的情况下就达到了上述性能。
此外,用户在使用本系统的时候,无需购买额外的数据库管理系统和许可,也不必花费专门的精力去维护数据库,这些都大大降低了用户的总拥有成本。
SecFox-NBA(业务审计型)提供多种事件存储策略,能够方便地进行事件备份和恢复。
SecFox-NBA(业务审计型)为管理员提供了强大的事后分析工具,使得管理员能够最大限度地对这些事件进行深度挖掘,寻找潜在的安全威胁。
事后分析和实时分析相对。
实时分析强调安全事件的事中处理,针对较短的一段时间的事件进行审计;而事后分析则注重对大规模历史事件的审计。
一方面,事后分析可以帮助安全管理员找到造成违规操作,获得检测和预防同类事故再犯的手段和措施,作为下一轮安全防御的预警;另一方面,通过对海量事件的数据挖掘,尤其是基于较长时间段的数据分析,可以帮助管理员发现IT计算环境中存在的安全隐患。
此外,SecFox-NBA(业务审计型)的事后分析功能可以协助管理员进行计算机取证分析,收集外部入侵或者部违规的证据。
1.7安全审计报表报告
SecFox-NBA(业务审计型)具有强大的报表分析功能。
系统的报表分析引擎能从多种角度多种维度对数据进行分析;能提供实时分析、历史分析等分析手段;能对比统计的结果,分析数据的发展趋势;能将结果以图形方式(柱图、饼图、曲线图等)显示、打印;报告可用PDF、HTML、Excel或RTF等格式存档。
SecFox-NBA(业务审计型)的报表报告生成系统灵活易用。
它提供大量预定义的报表模板,用户可使用预定义的报表模板生成报表。
SecFox-NBA(业务审计型)具备强大的自定义报表功能。
用户可以通过报表编辑器,只需4步,即可方便地自己定义各种复杂的报表,包括报表的容、布局,以及运行调度设置,满足企业和组织自身不断业务发展的需要。
SecFox-NBA(业务审计型)允许用户对报表生成进行日程规划,定期自动生成审计报表,提供打印、导出以及送达等服务,并根据计划归档报告,归档之后发送通知。
SecFox-NBA(业务审计型)支持审计主机用户和数据库用户的行为趋势报表,可以生成指定时间段用户行为趋势报表,包含用户的操作行为曲线,可以审计和分析用户的行为特点,为决策分析和调查取证提供数据支持。
1.8置防攻击策略
SecFox-NBA(业务审计型)置抗攻击策略,在识别出对业务网中的数据库服务器进行攻击时记录相关操作。
用户可以手动设置报警,以便及时进行相应。
典型的置防攻击策略包括:
ØSQLinsert注入攻击
ØSQLexec注入攻击
ØSQLupdate注入攻击
ØIBMDB2数据库xmlquery缓冲区溢出尝试
ØOracle安全备份命令exec_qr注入攻击
ØOracleBEAWebLogicApache连接器HTTP版本拒绝服务攻击
ØOracle安全备份POSTexec_qr注入攻击
ØOracle安全备份msgid0x901用户名字段缓冲区溢出尝试
2产品简介
2.1产品组成
SecFox-NBA(业务审计型)产品仅包括硬件形态的审计器和可选的日志采集器两个部分。
产品采用B/S架构,管理员无需安装任何客户端软件,通过IE浏览器登录审计器即可进行各种操作。
管理员也可以将分布在网络上的多个审计器的信息统一发送到SecFox安全管理中心,通过IE浏览器登录SecFox安全管理中心进行集中审计。
ØSecFox-NBA(业务审计型)审计器
Ø通用日志采集器(可选)
通用日志采集器运行在安装了Windows系列操作系统的主机和服务器上,能够主动的收集数据库管理系统产生的日志和告警信息,例如Oracle、SQLServer等数据库日志,等等。
ØWeb控制台
平台
支持的操作系统
系统需求
Windows
MicrosoftWindows2000系列
MicrosoftWindows2003系列
MicrosoftWindowsXP系列
-最低PentiumIII1.1GHzCPU
-至少512M存
-16位真彩,建议分辨率为1024×768以上
-InternetExplorer7.0
2.2功能列表
功能点
说明
管理围
支持对包括MSSQLServer、Oracle、DB2、Sybase、MySQL在的多种数据库,包括Windows、Unix、Linux、AIX在的各种操作系统,包括WebShpere、WebLogic在的中间件,以及VNC、FTP、HTTP、SMTP、POP3、NETBIOS、TELNET、WebService等各种网络通讯和数据访问协议进行审计
数据库审计
可审计数据库的DDL,DML,DCL和其它操作等行为。
审计容可以细化到库、表、记录、用户、存储过程、函数
主机审计
可审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为
FTP审计
可审计FTP协议的登录、注销和一般操作等行为,可以审计FTP操作的文件/目录名称
HTTP审计
可审计HTTP协议的访问行为,并可以对URL进行基于正则表达式的关键字匹配审计
Email审计
可审计SMTP/POP3协议的访问行为,包括发件人、收件人、主题等容
流量审计
审计从三层到七层协议的流量,能够审计20种以上的应用层协议,包括IM、P2P、HTTP、POP3、SMTP、DNS等。
流量审计的容包括数据包分布审计、流量分布审计、应用协议流量审计、端口流量审计,用户可以进行协议分析、会话分析、节点分析
业务审计
管理员可以根据实际网络情况定义多个业务,并建立可视化的业务拓扑视图,快速查看业务网络中各个设备和整个业务网络的事件和告警信息。
用户对业务拓扑进行编辑、拖放、连接等操作
实时统计
可以通过实时统计功能清楚看到业务网部告警事件、活动会话、活动会话的事件列表、被保护对象的访问情况,统计最近60分钟的数据
事件查询
事件查询为用户提供了历史事件查询的手段,用户可以指定复杂的查询条件,快速检索到需要的事件信息,从
升级会员 