帕拉迪數(shù)據(jù)庫風險分析與安全監(jiān)控審計系統(tǒng)(UMADbXpert)技術(shù)建議書

1、帕拉迪數(shù)據(jù)庫風險分析與安全監(jiān)控審計系統(tǒng)（ PLDSEC DbXpert）技術(shù)建議書、杭州帕拉迪網(wǎng)絡(luò)科技有限公司2018 年 12 月目錄1.產(chǎn)品簡介 .21.1客戶需求 .21.2產(chǎn)品概述 .41.3功能簡介 .52.系統(tǒng)架構(gòu) .52.1系統(tǒng)組成 .52.2系統(tǒng)部署 .63.產(chǎn)品功能 .73.1功能介紹 .73.2功能特點 .83.2.1完整的會話與“細粒度”數(shù)據(jù)庫審計：.83.2.2國內(nèi)領(lǐng)先超長 SQL 語句、綁定變量解析技術(shù)：.103.2.3靈活的數(shù)據(jù)庫訪問策略： .113.2.4全面完整的數(shù)據(jù)庫審計與操作回溯：.133.2.5權(quán)職分離： .144.產(chǎn)品應(yīng)用 .154.1數(shù)據(jù)庫服務(wù)器的應(yīng)用

2、優(yōu)化 .154.2數(shù)據(jù)庫服務(wù)器的運維正常運行 .154.3敏感數(shù)據(jù)信息的泄密防護 .164.4法律責任的規(guī)避 .161.產(chǎn)品簡介1.1 客戶需求隨著計算機技術(shù)的飛速發(fā)展，數(shù)據(jù)庫的應(yīng)用十分廣泛，深入到各個領(lǐng)域，但隨之而來產(chǎn)生了數(shù)據(jù)的安全問題以及數(shù)據(jù)庫訪問的安全問題。各種應(yīng)用系統(tǒng)的數(shù)據(jù)庫中大量數(shù)據(jù)的安全問題、 敏感數(shù)據(jù)的防竊取和防篡改問題，越來越引起人們的高度重視。數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，是計算機信息系統(tǒng)的核心部件，其安全性至關(guān)重要，關(guān)系到企業(yè)興衰、成敗。因此，如何有效地保證數(shù)據(jù)庫系統(tǒng)的安全，實現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)成為業(yè)界人士探索研究的重要課題之一。由于計算機和網(wǎng)絡(luò)的普及和廣泛

3、應(yīng)用，越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)運行在數(shù)據(jù)庫平臺上。數(shù)據(jù)庫中的數(shù)據(jù)作為企業(yè)的財富發(fā)揮著越來越重要的作用，同時也成為不安定因素的主要目標。如何確保數(shù)據(jù)庫自身的安全， 已成為現(xiàn)代數(shù)據(jù)庫系統(tǒng)的主要評測指標之一。數(shù)據(jù)庫是信息技術(shù)的核心和基礎(chǔ)，廣泛應(yīng)用在電信、金融、政府、商業(yè)、企業(yè)等諸多領(lǐng)域，當我們說現(xiàn)代經(jīng)濟依賴于計算機時，我們真正的意思是說現(xiàn)代經(jīng)濟依賴于數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫中儲存著諸如銀行賬戶、醫(yī)療保險、電話記錄、生產(chǎn)或交易明細、產(chǎn)品資料等極其重要和敏感的信息。盡管這些系統(tǒng)的數(shù)據(jù)完整性和安全性是相當重要的，但對數(shù)據(jù)庫采取的安全檢查措施的級別 還比不上操作系統(tǒng)和網(wǎng)絡(luò)的安全檢查措施的級別。許多因素都可能破壞數(shù)據(jù)

4、的完整性并導致非法訪問，這些因素包括復(fù)雜程度、密碼安全性較差、誤配置、未被察覺的系統(tǒng)后門以及數(shù)據(jù)庫安全策略的缺失等。任何政企單位的主要電子數(shù)字資產(chǎn)都存貯在現(xiàn)代的關(guān)系數(shù)據(jù)產(chǎn)品中。商業(yè)機構(gòu)和政府組織都是利用這些數(shù)據(jù)庫數(shù)據(jù)庫得到人事信息等，如醫(yī)療記錄、 人員工資等。 因此他們有責任保護別人的隱私， 并為他們保密。 數(shù)據(jù)庫數(shù)據(jù)庫還存有以前的和將來的敏感的金融數(shù)據(jù)，包括貿(mào)易記錄、商業(yè)合同及帳務(wù)數(shù)據(jù)等。像技術(shù)的所有權(quán)、工程數(shù)據(jù)，甚至市場企劃等決策性的機密信息，必須對竟爭者保密，并阻止非法訪問，數(shù)據(jù)庫數(shù)據(jù)庫還包括詳細的顧客信息，如財務(wù)帳目，信用卡號及商業(yè)伙伴的信用信息等。目前世界上主流的關(guān)系型數(shù)據(jù)庫，諸如O

5、racle、Sybase、Microsoft SQL Server 、IBM DB2/Informix等數(shù)據(jù)庫數(shù)據(jù)庫都具有以下特征：用戶帳號及密碼、校驗系統(tǒng)、優(yōu)先級模型和控制數(shù)據(jù)庫的特別許可、內(nèi)置命令（存儲過程、觸發(fā)器等）、唯一的腳本和編程語言（例如 PL/SQL 、Transaction-SQL 、OEMC 等）、中間件、網(wǎng)絡(luò)協(xié)議、強有力的數(shù)據(jù)庫管理實用程序和開發(fā)工具。數(shù)據(jù)庫數(shù)據(jù)庫的應(yīng)用相當復(fù)雜，掌握起來非常困難。 許多數(shù)據(jù)庫管理員都忙于管理復(fù)雜的系統(tǒng)， 所以很可能沒有檢查出嚴重的安全隱患和不當?shù)呐渲?，甚至根本沒有進行檢測。正是由于傳統(tǒng)的安全體系在很大程度上忽略了數(shù)據(jù)庫安全這一主題，使數(shù)據(jù)庫

6、專業(yè)人員也通常沒有把安全問題當作他們的首要任務(wù)。在安全領(lǐng)域中，類似網(wǎng)頁被修改、電腦中病毒、木馬、流氓軟件、彈出窗口等所造成的經(jīng)濟損失微乎其微，而一旦數(shù)據(jù)庫出現(xiàn)安全風險并被惡意利用所造成的后果幾乎是災(zāi)難性的和不可挽回的。安全是多個環(huán)節(jié)層層防范、 共同配合的結(jié)果。 也就是說在安全領(lǐng)域不能夠僅靠某一個環(huán)節(jié)完成所有的安全防范措施。一個安全的系統(tǒng)需要數(shù)據(jù)庫的安全、操作系統(tǒng)的安全、網(wǎng)絡(luò)的安全、 應(yīng)用系統(tǒng)自身的安全共同完成。數(shù)據(jù)庫領(lǐng)域的安全措施通常包括：身份識別和身份驗證、自主訪問控制和強制訪問控制、安全傳輸、系統(tǒng)審計、數(shù)據(jù)庫存儲加密等。只有通過綜合有關(guān)安全的各個環(huán)節(jié)，才能確保高度安全的系統(tǒng)。不完善的數(shù)據(jù)庫

7、安全保障設(shè)施不僅會危及數(shù)據(jù)庫的安全，還會影響到數(shù)據(jù)庫的操作系統(tǒng)和其它信用系統(tǒng)。 還有一個不很明顯的原因說明了保證數(shù)據(jù)庫安全的重要性數(shù)據(jù)庫系統(tǒng)自身可能會提供危及整個網(wǎng)絡(luò)體系的機制。例如，某個公司可能會用數(shù)據(jù)庫數(shù)據(jù)庫保存所有的技術(shù)手冊、 文檔和白皮書的庫存清單。數(shù)據(jù)庫里的這些信息并不是特別重要的，所以它的安全優(yōu)先級別不高。 即使運行在安全狀況良好的操作系統(tǒng)中，入侵者也可通過 “擴展入駐程序”等強有力的內(nèi)置數(shù)據(jù)庫特征，利用對數(shù)據(jù)庫的訪問，獲取對本地操作系統(tǒng)的訪問權(quán)限。這些程序可以發(fā)出管理員級的命令，訪問基本的操作系統(tǒng)及其全部的資源。如果這個特定的數(shù)據(jù)庫系統(tǒng)與其它數(shù)據(jù)庫有信用關(guān)系，那么入侵者就會危及整

8、個網(wǎng)絡(luò)域的安全。20 世紀 90 年代開始，各個企業(yè)展開了以計算機技術(shù)代替手工業(yè)務(wù)的研究。到了90 年代中后期， 隨著信息技術(shù)和互聯(lián)網(wǎng)應(yīng)用的發(fā)展，我國計算機行業(yè)已經(jīng)完成了以業(yè)務(wù)核算為核心的信息化發(fā)展歷程，開始向管理信息化的方向轉(zhuǎn)型，為今后的數(shù)據(jù)信息化奠定了良好的基礎(chǔ)。數(shù)據(jù)信息化目標是實現(xiàn)數(shù)據(jù)信息的充分共享。如果數(shù)據(jù)庫中的數(shù)據(jù)遭到篡改或泄漏，或者被人非法利用，將造成不可估量的損失。由此可見， 數(shù)據(jù)庫安全實際上是信息系統(tǒng)信息安全的核心，在這種情況下， 有必要采用專業(yè)的新型數(shù)據(jù)庫安全產(chǎn)品，專門對信息系統(tǒng)的數(shù)據(jù)庫進行保護。1.2 產(chǎn)品概述面對以上種種的安全隱患和市場需求，帕拉迪網(wǎng)絡(luò)科技有限公司推出了新

9、型的審計系統(tǒng)，用以解決數(shù)據(jù)庫安全問題。帕拉迪數(shù)據(jù)庫風險分析與安全監(jiān)控審計系統(tǒng)（簡稱“Pldsec DbXpert ”）是帕拉迪網(wǎng)絡(luò)科技有限公司自行研制開發(fā)的新一代數(shù)據(jù)庫安全審計系統(tǒng)。Pldsec DbXpert通過旁路偵聽的方式對訪問數(shù)據(jù)庫的數(shù)據(jù)流進行采集、分析和識別。 實時監(jiān)視數(shù)據(jù)庫的運行狀態(tài)，記錄多種訪問數(shù)據(jù)庫行為， 發(fā)現(xiàn)對數(shù)據(jù)庫的異常訪問，并對訪問數(shù)據(jù)庫的相關(guān)行為、發(fā)送和接收的相關(guān)內(nèi)容進行存儲、分析、排名和查詢。隨著數(shù)據(jù)庫的使用越來越普及，給我們帶來許多方便的同時，也給數(shù)據(jù)庫也帶來了許多風險和挑戰(zhàn)，例如： 非法訪問數(shù)據(jù)庫、利用合法訪問數(shù)據(jù)庫身份對數(shù)據(jù)庫進行非法操作、正常訪問數(shù)據(jù)庫對數(shù)據(jù)庫

10、進行誤操作、上傳下載數(shù)據(jù)、 泄露公司敏感和機密信息。這些威脅和挑戰(zhàn)事件多數(shù)是來自于內(nèi)部合法訪問者的“合法” 操作，僅靠某些安全產(chǎn)品如防火墻等的日志和控制功能并不能很好的滿足對這些網(wǎng)絡(luò)安全事件（特別是基于應(yīng)用程序） 的行為審計要求， DbXpert 正是在這樣的需求下產(chǎn)生的。帕拉迪憑借在安全審計領(lǐng)域多年的技術(shù)積累和研發(fā)經(jīng)驗， 推出的適用于多種網(wǎng)絡(luò)環(huán)境的新一代數(shù)據(jù)庫安全審計系統(tǒng)。它通過專門細致的網(wǎng)絡(luò)數(shù)據(jù)獲取協(xié)議分析技術(shù)、 數(shù)據(jù)存儲技術(shù)、 數(shù)據(jù)查詢技術(shù)并配合完善的管理規(guī)則，幫助訪問者應(yīng)對來自網(wǎng)絡(luò)中的風險和挑戰(zhàn)。1.3 功能簡介作為DbXpert主要用于網(wǎng)絡(luò)中對數(shù)據(jù)庫的訪問行為、內(nèi)容進行審計、報警、過

11、濾和分析，多種數(shù)據(jù)庫的訪問，如：oracle、informix 、DB2 、SQL server、 sybase等。DbXpert部署于網(wǎng)絡(luò)到數(shù)據(jù)庫的核心交換機連接處。2.系統(tǒng)架構(gòu)2.1 系統(tǒng)組成DbXpert主要由以下3 個部分組成： DbXpert 偵聽收集引擎； DbXpert 數(shù)據(jù)存儲中心； DbXpert 控制管理中心；DbXpert偵聽收集引擎、DbXpert數(shù)據(jù)存儲中心、DbXpert控制管理中心在物理上部署在同一臺專用服務(wù)器上。DbXpert偵聽收集引擎全面監(jiān)聽網(wǎng)絡(luò)連接到數(shù)據(jù)庫的數(shù)據(jù)流，根據(jù)配置的策略，實時監(jiān)視所有數(shù)據(jù)包進行分析記錄，并將審計結(jié)果保存在DbXpert數(shù)據(jù)存儲中心

12、的相應(yīng)數(shù)據(jù)庫里；同時DbXpert偵聽收集引擎接收并執(zhí)行DbXpert控制管理中心的各種策略。DbXpert數(shù)據(jù)存儲中心主要用于各種數(shù)據(jù)保存，并提供各種數(shù)據(jù)查詢。DbXpert控制管理中心主要用于提供審計、管理等策略設(shè)置接口，如配置數(shù)據(jù)庫服務(wù)器管理；程序升級等接口；DbXpert控制管理中心采用B/S 架構(gòu)，通過提供瀏覽器服務(wù)端，使管理人員很方便的通過網(wǎng)頁瀏覽器對DbXpert控制管理中心進行操作管理。2.2 系統(tǒng)部署面對 XXX用戶 的網(wǎng)絡(luò)結(jié)構(gòu)圖（如下圖1），我們采用的是將DbXpert部 署 在 內(nèi) 網(wǎng)的核心交換機上。圖 1：XXX用戶的網(wǎng)絡(luò)拓撲圖DbXpert在網(wǎng)絡(luò)中的部署方式（如圖2）

13、。因為DbXpert支持多鏡像端口的部署方式，在內(nèi)網(wǎng)中核心交換機采用了負載均衡的方式對接，這樣的話， 數(shù)據(jù)流就會隨意走2 臺核心交換機，我們只需在2 臺核心交換機上各配置一個鏡像端口，連接到DbXpert即可。圖 2 ：DbXpert在 網(wǎng)絡(luò) 中的 部署 方式3.產(chǎn)品功能3.1 功能介紹審計對象：DbXpert所指的審計對象是指DbXpert邏輯上能夠?qū)徲嫷臄?shù)據(jù)庫服務(wù)器；DbXpert可以采用多級部署方式管理審計對象；并且在DbXpert內(nèi)部可以按照多種方式來表示審計對象：如客戶端的登錄IP、登錄用戶名、登錄主機名、登錄程序、來源端口等；服務(wù)端的數(shù)據(jù)庫類型、數(shù)據(jù)庫端口、數(shù)據(jù)庫賬號；會話詳情的S

14、QL 語句、消息長度、數(shù)據(jù)庫服務(wù)器返回信息、綁定變量解析等。DbXpert的主要功能包括：系統(tǒng)管理、策略管理、日志審計、統(tǒng)計報表、實時監(jiān)控和系統(tǒng)監(jiān)測。系統(tǒng)管理是對DbXpert本身的配置，以便對系統(tǒng)的訪問、授權(quán)與管理等功能。其中包括：接口配置、用戶管理、輸出配置與授權(quán)許可。策略管理是對目標數(shù)據(jù)庫服務(wù)器資產(chǎn)的添加、授權(quán)、策略制定、告警設(shè)置等配置功能。其中包括：資產(chǎn)、白名單、對象、策略、動作與管理。日志審計是以數(shù)據(jù)庫服務(wù)器資產(chǎn)為審計對象，從而記錄運維人員對數(shù)據(jù)庫服務(wù)器的操作與訪問的行為； 便對數(shù)據(jù)庫運行情況的實時查看、故障分析以及告警級別的確定。其中包括：會話審計、策略告警、異常告警與系統(tǒng)事件。系

15、統(tǒng)監(jiān)測是用戶通過DbXpert的審計數(shù)據(jù)信息的顯示；以便用戶全面的、統(tǒng)一的、及時的對數(shù)據(jù)庫服務(wù)器的運行情況進行分析與排錯。其中包括： 最新策略告警、 最新違規(guī)操作、最新系統(tǒng)事件。3.2 功能特點3.2.1 完整的會話與“細粒度”數(shù)據(jù)庫審計：深度解碼數(shù)據(jù)庫網(wǎng)絡(luò)數(shù)據(jù)流傳輸協(xié)議，完整、細粒度分析并再現(xiàn)用戶數(shù)據(jù)庫操作活動會話過程。完整記錄用戶數(shù)據(jù)庫會話細節(jié)，包括用戶數(shù)據(jù)庫登錄行為、登出行為、SQL 操作用戶名稱、 SQL 操作源程序名稱、SQL 操作源終端名稱、SQL 操作源終端登錄用戶名稱、SQL 會話參數(shù)設(shè)置、 SQL 操作語句、 SQL 操作返回狀態(tài)、 SQL 操作涉及表組、字段、視圖、索引、過

16、程 、函數(shù)、 SQL DML 操作影響行數(shù)、 SQL 語句執(zhí)行時間、原始數(shù)據(jù)庫記錄包、超長 SQL 語句、綁定變量解析等。此功能國內(nèi)唯一。完整解析、記錄、關(guān)聯(lián)SQL 操作語句參數(shù)，可自動回溯重構(gòu)完整SQL 操作語句。實時監(jiān)控來自各個層面的所有數(shù)據(jù)庫活動，包括網(wǎng)絡(luò)流量、數(shù)據(jù)包、突發(fā)連接、并發(fā)連接、 SQL 語句的實時數(shù)量，并且提供實時的視圖窗口查看數(shù)據(jù)庫的運行狀態(tài)。它可以幫助DBA 更好的管理數(shù)據(jù)庫。提供靈活的數(shù)據(jù)庫訪問行為來源限制，可選擇忽略審計特定網(wǎng)絡(luò)和主機產(chǎn)生的數(shù)據(jù)庫SQL 操作；亦可限制僅對特定“嫌疑”對象進行細粒度、全方位審計，包括記錄整個數(shù)據(jù)庫操作會話過程所有網(wǎng)絡(luò)數(shù)據(jù)包。覆蓋主流商用

17、數(shù)據(jù)庫， 包括：Oracle 8/9/10/11 等、Sybase所有版本、SQL Server 2000/2005 、Informix 所有版本、 DB2 所有版本。3.2.2 國內(nèi)領(lǐng)先超長SQL 語句、綁定變量解析技術(shù)：DbXpert是基于流和會話技術(shù)，進行全狀態(tài)、全協(xié)議解碼，能完整的、細粒度的解析超長 SQL 語句、綁定變量。目前五大商用數(shù)據(jù)庫客戶端與服務(wù)端之間是基于數(shù)據(jù)庫的查詢是通過 Bind Variable 完成的，這就要求審計系統(tǒng)不光要記錄查詢中Bind Variable 的變量的名字，還要記錄Bind Variable 的數(shù)值。該功能國內(nèi)唯一。Bind Variable解析：超

18、長 SQL語句解析：3.2.3 靈活的數(shù)據(jù)庫訪問策略：提供來源（客戶端）登錄IP 異常探測、數(shù)據(jù)庫登錄用戶名稱異常探測、數(shù)據(jù)庫操作源終端異常探測、數(shù)據(jù)庫操作源程序名稱異常探測、數(shù)據(jù)庫操作源終端用戶名稱異常探測。提供數(shù)據(jù)庫SQL 語句執(zhí)行時間、數(shù)據(jù)庫操作閑置時間策略報警，提供數(shù)據(jù)庫DML 、DDL 等操作影響行數(shù)策略報警，提供數(shù)據(jù)庫SELECT SQL 操作語句返回行數(shù)策略報警。提供全方位的策略規(guī)則匹配，策略因子包括：數(shù)據(jù)庫操作來源IP 地址、數(shù)據(jù)庫服務(wù)器IP/ 端口、數(shù)據(jù)庫類型、數(shù)據(jù)庫名稱、數(shù)據(jù)庫登錄用戶名稱、數(shù)據(jù)庫操作源程序名稱、數(shù)據(jù)庫操作源終端名稱、數(shù)據(jù)庫操作源終端用戶名稱、SQL 操作語

19、句（ DDL 、DML 、 DCL ）、數(shù)據(jù)庫表組（表、列） 、數(shù)據(jù)庫SCHEMA 等。多形式的實時告警：當檢測到可疑操作或違反審計規(guī)則的操作時，系統(tǒng)可以通過WEB告警、郵件告警等方式通知數(shù)據(jù)庫管理員。根據(jù)設(shè)定的數(shù)據(jù)庫策略，可選擇對關(guān)鍵資源操作行為進行數(shù)據(jù)包錄像、深度分析解析開關(guān)。審計記錄記錄原始數(shù)據(jù)網(wǎng)絡(luò)流量包，可下載至本地：3.2.4 全面完整的數(shù)據(jù)庫審計與操作回溯：記錄數(shù)據(jù)庫會話詳細細節(jié)， 當發(fā)生數(shù)據(jù)庫安全事件時， 用戶可根據(jù)數(shù)據(jù)庫地址、 源客戶端地址、事件時間、 SQL 語句關(guān)鍵詞、數(shù)據(jù)庫賬號、數(shù)據(jù)庫地址等，快速檢索定位操作會話。會話審計記錄細致到每一次事務(wù)/查詢的原始信息，記錄所有的關(guān)鍵信息，至少包括以下各個方面：數(shù)據(jù)庫服務(wù)器名稱、數(shù)據(jù)庫操作源IP 地址、目的IP 地址、原始的查詢指令、關(guān)聯(lián)參數(shù)綁定后的數(shù)據(jù)庫SQL 操作語句、源應(yīng)用程序名稱、數(shù)據(jù)庫用戶名稱、訪問源操作系統(tǒng)用戶名稱、訪問源操作主機名稱、高級權(quán)限操作、目標數(shù)據(jù)庫、SCHEMA 、操作回應(yīng)內(nèi)容、操作返回的錯誤代碼、操作回應(yīng)的時間、操作回應(yīng)條目大小等。提供完善的違規(guī)實時告警，包括異常告警、 違反策略告警等。告警信息可根據(jù)數(shù)據(jù)庫地址