LOGBASE数据库审计系统白皮书.docx
《LOGBASE数据库审计系统白皮书.docx》由会员分享,可在线阅读,更多相关《LOGBASE数据库审计系统白皮书.docx(8页珍藏版)》请在冰点文库上搜索。
LOGBASE数据库审计系统白皮书
LogBase数据库安全审计系统
技术白皮书
杭州思福迪信息技术有限公司
SAFETYBASEINFOTECHCO.LTD
目录
第一章概述4
第二章为什么需要数据库安全审计系统5
第三章LogBase数据库安全审计系统介绍6
3.1产品简介6
3.2体系架构6
3.3支持的数据库种类7
第四章产品功能9
4.1数据库访问行为记录9
4.2违规操作的告警响应9
4.3集中存储访问记录9
4.4访问记录查询10
4.5数据库安全审计报表10
第五章产品特性11
5.1安全便捷的部署方式11
5.2强大的日志采集分析11
5.3高速的日志检索能力11
5.4灵活的日志查询条件12
5.5海量日志安全保障12
5.6符合审计需求设计12
第六章部署方式13
6.1独立部署模式13
6.2分布式部署模式13
第七章产品规格与指标14
第一章概述
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。
但必须看到,紧随信息化发展而来的网络安全问题日渐凸出,如果不能很好地解决这个问题,必将阻碍信息化发展的进程。
由此可见,信息安全在社会生活的各个方面已受到更为广泛的关注,其重要性也日益明显。
信息领域的严峻斗争使我们认识到,只讲信息应用是不行的,必须同时考虑信息安全问题。
数据库作为企业最核心的信息资产,在黑客攻击日趋商业化的今天,获得以及篡改数据库内容往往能够给攻击者带来巨大的商业利益,而企业内部的管理人员对数据库的误操作以及蓄意的破坏也会给企业带来巨大的损失。
因此,如何保护企业的数据库安全已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
数据库安全审计是整个数据库系统安全的有机组成部分,完善的数据库安全审计系统结合有效的审计制度,能够有效地避免内部人员进行数据库破坏活动,并及时发现外部攻击者的行为,避免因数据库内容泄露或破坏造成企业损失。
杭州思福迪信息技术有限公司是国内日志管理领域的领先者,其产品LogBase数据库安全审计系统正是针对上述问题而提出的一种数据库操作审计产品。
LogBase通过对网络数据的实时采集、实时分析和还原,对各种违规行为实时告警,以帮助网络管理员或政府机构对数据库资源进行有效的管理和维护。
第二章为什么需要数据库安全审计系统
目前,大部分企业的信息安全建设是利用防火墙、入侵监测等安全设备对非法入侵者进行防范,然而,根据CERT的年度研究报告显示,高达50%以上的数据破坏是由内部人员造成的,内部人员对自己的信息系统非常熟悉,又位于防火墙的后端,对数据库系统的误操作或者蓄意的破坏会对企业造成恶劣的影响以及重大损失,因此,对企业的核心数据库进行审计非常必要。
另外,许多立法和规范要求,如针对上市公司的SOX法案,规定公司和组织必须采取一定措施来确保关键数据库的安全性,对数据库进行安全审计。
公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计;
传统的数据库安全审计系统往往依赖于数据库自身的审计功能,或者需要在数据库服务器上安装审计系统客户端软件,这种审计方式将降低数据库系统的运行效率,甚至可能由于兼容性问题或程序bug而导致系统瘫痪,攻击者一旦获得权限,也总是会想方设法地删除日志内容,从而导致审计系统失效。
所以,我们需要一个更加安全有效的数据库安全审计系统来保护企业数据库系统的安全。
第三章LogBase数据库安全审计系统介绍
3.1产品简介
LogBase数据库安全审计系统(以下简称LogBase)是思福迪公司自主研发的拥有自主知识产权的专业数据库安全审计产品,主要针对各类数据库系统进行安全监控及操作审计。
LogBase对信息系统中各类数据库系统的用户访问行为进行实时采集、实时分析,用户登录、登出数据库,对数据表内容做插入、删除、修改等操作,都可以被记录和分析,记录内容可以精确回放SQL操作语句。
LogBase可以通过规则设置及时发现数据库非法访问行为并产生告警,可以以短信或邮件方式通知管理员。
采集到的信息经过规范化、过滤和归并等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志审计报表及关联分析功能,管理员能方便高效的对数据库系统进行有针对性的安全审计,实现对数据库系统安全状况的全面审计。
遇到特殊安全事件和系统故障,LogBase可以确保日志完整性和可用性,协助管理员进行故障快速定位,并提供客观依据进行追查和恢复。
LogBase可以帮助用户有效降低数据库系统的故障而带来的损失,降低数据库系统的运维成本和管理的复杂度,显著提高系统整体的安全性、可靠性和运行效率,降低信息系统的整体安全风险。
LogBase目前支持的数据库种类包含:
Oracle、DB2、MSSQL、Sybase、Informix、Mysql。
3.2体系架构
LogBase数据库安全审计系统采用2层体系架构,由一个LogBase数据库审计主机以及一个网络探测器组成,均以硬件形式提供;并采用B/S架构,管理员通过HTTPS方式对主机进行管理。
LogBase的系统架构如下图所示,具体功能描述如下:
LogBase日志管理审计系统体系结构
3.2.1网络探测器
网络探测器是一个软硬件结合的前端设备,主要负责采集用户访问数据库的操作数据包,根据不同数据库协议进行分析然后将数据上传至审计主机。
网络探测器支持百兆、千兆网络环境。
3.2.2LogBase数据库安全审计主机
LogBase数据库审计主机基于嵌入式Linux系统,作为整个审计系统的核心,它主要负责管理和审计功能,将网络探测器上传来的数据通过规则过滤生成原始、重要、告警或者丢弃日志并分类存储;管理员通过IE访问主机,查看、查询或审计日志内容。
3.3支持的数据库种类
LogBase数据库安全审计系统支持以下主流数据库进行安全审计:
ØOracle;
ØDB2;
ØMSSQL;
ØSybase;
ØInformix;
ØMysql;
第四章产品功能
4.1数据库访问行为记录
LogBase支持对多种类数据库的操作行为进行采集记录,探测器通过旁路接入,在相应的交换机上配置端口镜像,对用户访问数据库的数据流进行镜像采集并保存信息日志。
LogBase能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。
Logbase支持记录的行为包括:
Ø数据操作类(如select、insert、delete、update等)
Ø结构操作类(如create、drop、alter等)
Ø事务操作类(如BeginTransaction、CommitTransaction、RollbackTransaction等)
Ø用户管理类以及其它辅助类(视图、索引、过程等操作)等数据库访问行为,并对违规操作行为产生报警事件。
4.2违规操作的告警响应
LogBase可通过规则设置对各类数据库操作访问行为进行实时监测,对网络中的异常数据库操作行为及时进行告警响应,实时显示告警信息并记录存储。
告警信息可通过邮件或短信方式在通知管理员,以确保管理员在第一时间发现用户对数据库的违规操作。
4.3集中存储访问记录
通过Logbase数据库安全审计系统可以将分布在网络不同位置、不同类型的数据库的访问信息集中到统一的安全审计系统中进行存储,便于对记录数据进行分析。
LogBase采用专有的特殊文件系统对规范化的日志进行存储,同时也支持Mysql等标准数据库存储,文件存储机制是根据日志系统的特殊性进行专门研发,为海量日志的存储及检索进行了优化设计。
产品内置高容量的硬盘存储空间,采用Raid硬盘阵列,可有效防止由于硬盘硬件问题而带来的数据丢失,同时LogBase还支持外挂存储系统,从而实现存储空间的海量扩充。
4.4访问记录查询
用户在检索历史日志记录时,LogBase可以通过多条件相结合的方式进行日志查询,根据日志的类型、发生时间、不同字段内容等进行精细匹配,如:
日志源IP、日志发生时间、数据库操作信息字段内容等,从而实现日志的快速准确定位。
4.5数据库安全审计报表
LogBase通过动态报表的方式对数据库操作行为审计结果进行统计分析。
系统默认内置丰富的报表模板,其中大部分报表均符合SOX法案、等级保护等法规、标准对信息系统的审计需求,同时,用户也可以根据自身的实际需求自定义报表内容,生成审计报表,审计报表可以以HTTP和EXCEL格式导出。
第五章产品特性
5.1安全便捷的部署方式
目前主流数据库系统都有自身的审计功能,但其审计能力有限,而且存在对数据库系统的运行效率影响大、审计日志查看与统计不方便、审计日志容易被篡改等缺点,因而不利于对大型的重要的数据库业务系统所采用。
LogBase对数据库操作访问行为采用全旁路方式进行审计,不在网络中串联设备;不在主机上安装客户端软件;不改变客户原有的登陆方式,部署便捷,不会破坏本身网络结构,不影响数据库系统的性能。
LogBase系统进行维护、升级时不会影响到正常业务的运行,也不会影响到网络性能。
5.2强大的日志采集分析
LogBase系统目前支持采集的数据库系统有:
Oracle、DB2、MSSQL、Sybase、Informix、Mysql。
种类丰富,能适应绝大多数的单位应用。
LogBase针对不同种数据库协议,对采集到的数据包进行分析,还原SQL语句,并通过内置的规则库对违规操作产生告警,用户也可根据自身需求来定义规则,对用户的数据库操作进行实时监控。
5.3高速的日志检索能力
LogBase系统采用了思福迪公司自主开发的基于海量日志索引的日志检索引擎,避免了采用关系型数据库在处理海量日志数据时的低效率问题,采用“基于预测的动态索引技术”、“数据正交分组技术”及“适应磁盘的索引存储”“即时结果反馈技术”等核心技术手段,实现了对日志的高速检索能力。
LogBase对于在缓存中的日志(最近入库的日志),以四重以内组合条件查询,能够在5秒内即返回完整的检索结果。
对于任意时间段内的历史数据查询,LogBase也能够在数秒钟内即反馈符合要求的检索结果。
5.4灵活的日志查询条件
LogBase系统支持不限次数的多重条件查询规则设定,管理员可根据日志的类型、发生时间、不同字段内容等条件组合进行精细匹配。
LogBase支持:
>、<、=、不等于、包含、时间区间、或、与等十多种常见逻辑符号,支持跨日志查询,管理员能够通过设定规则条件,对日志进行精确定位。
5.5海量日志安全保障
LogBase对采集到的数据库操作行为日志能做到全方位的安全保障:
Ø系统底层高度精简、优化的Linux内核,在内核级别保障系统自身的安全性及稳定性;
Ø系统大容量存储空间,采用Raid阵列,既能保障日志信息在设备内的安全存储需求,又能保障高效的检索速度;
Ø系统采用思福迪自主研发的专有数据库,避免了主流数据库自身带来的安全问题;
Ø系统内置安全防火墙系统,可以设定严格的访问源,从而避免了绝大部分的无关流量,进一步保障系统本身的安全性;
Ø系统对内部的管理帐号具有严格的访问权限控制,能够有效防止内部管理员的越权访问,避免数据库被恶意删除。
5.6符合审计需求设计
LogBase系统对数据库操作行为日志的采集分析及审计报表均根据各行业审计需求、国家法规需求进行专门设计,如:
根据SOX法案审计需求,对数据库操作进行审计,并研发了大量满足SOX法案审计需求的数据库报表。
第六章部署方式
6.1独立部署模式
6.2分布式部署模式
第七章产品规格与指标
指标
LogBaseDB330-1
LogBaseDB330-2
LogBaseDB330-3
LogBaseDB1300
监听口数量
1
2
3
4
监听口类型
10/100/1000M电口自适应,可选择光口
支持流量
100Mbps
200Mbps
1000Mbps
1000Mbps
存储容量
5亿条
5亿条
5亿条
10亿条
分中心模式
不支持
不支持
不支持
支持
升级会员 