SecureSphere數(shù)據(jù)庫安全解決方案

1、 SecureSphere數(shù)據(jù)庫安全解決方案目 錄 TOC o 2-4 h z t 標(biāo)題 1,1 HYPERLINK l _Toc504503209 2.1公司數(shù)據(jù)庫應(yīng)用環(huán)境 PAGEREF _Toc504503209 h 7 HYPERLINK l _Toc504503210 3.1專用硬件平臺(tái) PAGEREF _Toc504503210 h 8 HYPERLINK l _Toc504503211 3.1.1SecureSphere 專用硬件平臺(tái) PAGEREF _Toc504503211 h 8 HYPERLINK l _Toc504503212 3.2數(shù)據(jù)庫代理（Agent） PAGER

2、EF _Toc504503212 h 9 HYPERLINK l _Toc504503213 3.3集中管理架構(gòu) PAGEREF _Toc504503213 h 10 HYPERLINK l _Toc504503214 3.4支持的部署方案 PAGEREF _Toc504503214 h 11 HYPERLINK l _Toc504503215 3.4.1嗅探部署方案 PAGEREF _Toc504503215 h 11 HYPERLINK l _Toc504503216 3.4.2橋接部署方案 PAGEREF _Toc504503216 h 12 HYPERLINK l _Toc504503

3、217 3.4.3代理部署方案 PAGEREF _Toc504503217 h 13 HYPERLINK l _Toc504503218 3.5推薦部署方案 PAGEREF _Toc504503218 h 13 HYPERLINK l _Toc504503219 3.6工作原理圖 PAGEREF _Toc504503219 h 14 HYPERLINK l _Toc504503220 3.7SecureSphere邏輯架構(gòu)層次 PAGEREF _Toc504503220 h 15 HYPERLINK l _Toc504503221 3.7.1用戶界面層User Interface Layer

4、PAGEREF _Toc504503221 h 16 HYPERLINK l _Toc504503222 3.7.2管理和報(bào)告層Management & Reporting Layer PAGEREF _Toc504503222 h 16 HYPERLINK l _Toc504503223 3.7.3分析層Analysis Layer PAGEREF _Toc504503223 h 17 HYPERLINK l _Toc504503224 3.7.4存儲(chǔ)層Storage Layer PAGEREF _Toc504503224 h 17 HYPERLINK l _Toc504503225 3.7

5、.5收集層Collection Layer PAGEREF _Toc504503225 h 17 HYPERLINK l _Toc504503226 3.7.6數(shù)據(jù)庫訪問層DB Access Layer PAGEREF _Toc504503226 h 17 HYPERLINK l _Toc504503227 3.8數(shù)據(jù)捕獲 PAGEREF _Toc504503227 h 17 HYPERLINK l _Toc504503228 3.9SecureSphere多層安全檢查機(jī)制 PAGEREF _Toc504503228 h 18 HYPERLINK l _Toc504503229 3.9.1數(shù)據(jù)

6、庫 IPS PAGEREF _Toc504503229 h 19 HYPERLINK l _Toc504503230 3.9.2集成防火墻功能 PAGEREF _Toc504503230 h 20 HYPERLINK l _Toc504503231 3.9.3動(dòng)態(tài)建模 PAGEREF _Toc504503231 h 20 HYPERLINK l _Toc504503232 3.9.4數(shù)據(jù)庫協(xié)議驗(yàn)證 PAGEREF _Toc504503232 h 20 HYPERLINK l _Toc504503233 5.1Imperva公司簡介 PAGEREF _Toc504503233 h 23 HYPE

7、RLINK l _Toc504503234 5.2Imperva公司數(shù)據(jù)庫安全解決方案 PAGEREF _Toc504503234 h 23 HYPERLINK l _Toc504503235 5.2.1SecureSphere Database Activity Monitoring Gateway PAGEREF _Toc504503235 h 23 HYPERLINK l _Toc504503236 5.2.2SecureSphere Database Firewall Gateway PAGEREF _Toc504503236 h 24 HYPERLINK l _Toc50450323

8、7 5.2.3SecureSphere Discovery and Assessment Server PAGEREF _Toc504503237 h 24 HYPERLINK l _Toc504503238 5.2.4SecureSphere MX Management Server PAGEREF _Toc504503238 h 24 HYPERLINK l _Toc504503239 5.2.5Imperva Application Defence Centre (ADC) PAGEREF _Toc504503239 h 24 HYPERLINK l _Toc504503240 5.2.

9、6SecureSphere優(yōu)勢（專利）技術(shù) PAGEREF _Toc504503240 h 25概述：數(shù)據(jù)庫安全和審計(jì)的重要性隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，數(shù)據(jù)庫的應(yīng)用十分廣泛，深入到各個(gè)領(lǐng)域，但隨之而來產(chǎn)生了數(shù)據(jù)的安全問題。各種應(yīng)用系統(tǒng)的數(shù)據(jù)庫中大量數(shù)據(jù)的安全問題、敏感數(shù)據(jù)的防竊取和防篡改問題，越來越引起人們的高度重視。數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，是計(jì)算機(jī)信息系統(tǒng)的核心部件，其安全性至關(guān)重要，關(guān)系到企業(yè)興衰、成敗。因此，如何有效地保證數(shù)據(jù)庫系統(tǒng)的安全，實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)成為業(yè)界人士探索研究的重要課題之一。由于計(jì)算機(jī)和網(wǎng)絡(luò)的普及和廣泛應(yīng)用，越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)庫平臺(tái)

10、上。數(shù)據(jù)庫中的數(shù)據(jù)作為企業(yè)的財(cái)富發(fā)揮著越來越重要的作用，同時(shí)也成為不安定因素的主要目標(biāo)。如何保證數(shù)據(jù)庫自身的安全，已成為現(xiàn)代數(shù)據(jù)庫系統(tǒng)的主要評(píng)測指標(biāo)之一。數(shù)據(jù)庫是信息技術(shù)的核心和基礎(chǔ)，廣泛應(yīng)用在電信、金融、政府、商業(yè)、企業(yè)等諸多領(lǐng)域，當(dāng)我們說現(xiàn)代經(jīng)濟(jì)依賴于計(jì)算機(jī)時(shí)， 我們真正的意思是說現(xiàn)代經(jīng)濟(jì)依賴于數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫中儲(chǔ)存著諸如銀行賬戶、醫(yī)療保險(xiǎn)、電話記錄、生產(chǎn)或交易明細(xì)、 產(chǎn)品資料等極其重要和敏感的信息。盡管這些系統(tǒng)的數(shù)據(jù)完整性和安全性是相當(dāng)重要的，但對數(shù)據(jù)庫采取的安全檢查措施的級(jí)別 還比不上操作系統(tǒng)和網(wǎng)絡(luò)的安全檢查措施的級(jí)別。許多因素都可能破壞數(shù)據(jù)的完整性并導(dǎo)致非法訪問，這些因素包括復(fù)雜程

11、度、 密碼安全性較差、誤配置、未被察覺的系統(tǒng)后門以及數(shù)據(jù)庫安全策略的缺失等。 任何公司的主要電子數(shù)字資產(chǎn)都存貯在現(xiàn)代的關(guān)系數(shù)據(jù)產(chǎn)品中。商業(yè)機(jī)構(gòu)和政府組織都是利用這些數(shù)據(jù)庫服務(wù)器得到人事信息，如員工的工資表，醫(yī)療記錄等。因此他們有責(zé)任保護(hù)別人的隱私，并為他們保密。數(shù)據(jù)庫服務(wù)器還存有以前的和將來的敏感的金融數(shù)據(jù)，包括貿(mào)易記錄、商業(yè)合同及帳務(wù)數(shù)據(jù)等。象技術(shù)的所有權(quán)、工程數(shù)據(jù)，甚至市場企劃等決策性的機(jī)密信息，必須對竟?fàn)幷弑Ｃ?，并阻止非法訪問，數(shù)據(jù)庫服務(wù)器還包括詳細(xì)的顧客信息，如財(cái)務(wù)帳目，信用卡號(hào)及商業(yè)伙伴的信用信息等。目前世界上七種主流的關(guān)系型數(shù)據(jù)庫，諸如Oracle、Sybase、Microsoft

12、 SQL Server、IBM DB2/Informix、MySQL、PostgreSQL服務(wù)器都具有以下特征：用戶帳號(hào)及密碼、校驗(yàn)系統(tǒng)、優(yōu)先級(jí)模型和控制數(shù)據(jù)庫的特別許可、內(nèi)置命令（存儲(chǔ)過程、觸發(fā)器等）、唯一的腳本和編程語言（例如PL/SQL、Transaction-SQL）、中間件、網(wǎng)絡(luò)協(xié)議、補(bǔ)丁和服務(wù)包、強(qiáng)有力的數(shù)據(jù)庫管理實(shí)用程序和開發(fā)工具。 數(shù)據(jù)庫服務(wù)器的應(yīng)用相當(dāng)復(fù)雜，掌握起來非常困難。許多數(shù)據(jù)庫管理員都忙于管理復(fù)雜的系統(tǒng)， 所以很可能沒有檢查出嚴(yán)重的安全隱患和不當(dāng)?shù)呐渲?，甚至根本沒有進(jìn)行檢測。 所以，正是由于傳統(tǒng)的安全體系在很大程度上忽略了數(shù)據(jù)庫安全這一主題，使數(shù)據(jù)庫專業(yè)人員也通常沒有

13、把安全問題當(dāng)作他們的首要任務(wù)。 在安全領(lǐng)域中，類似網(wǎng)頁被修改、電腦中病毒、木馬、流氓軟件、彈出窗口等所造成的經(jīng)濟(jì)損失微乎其微， 而一旦數(shù)據(jù)庫出現(xiàn)安全風(fēng)險(xiǎn)并被惡意利用所造成的后果幾乎是災(zāi)難性的和不可挽回的。 安全是多個(gè)環(huán)節(jié)層層防范、共同配合的結(jié)果。也就是說在安全領(lǐng)域不能夠僅靠某一個(gè)環(huán)節(jié)完成所有的安全防范措施。一個(gè)安全的系統(tǒng)需要數(shù)據(jù)庫的安全、操作系統(tǒng)的安全、網(wǎng)絡(luò)的安全、應(yīng)用系統(tǒng)自身的安全共同完成。數(shù)據(jù)庫領(lǐng)域的安全措施通常包括：身份識(shí)別和身份驗(yàn)證、自主訪問控制和強(qiáng)制訪問控制、安全傳輸、系統(tǒng)審計(jì)、數(shù)據(jù)庫存儲(chǔ)加密等。只有通過綜合有關(guān)安全的各個(gè)環(huán)節(jié)，才能確保高度安全的系統(tǒng)。拙劣的數(shù)據(jù)庫安全保障設(shè)施不僅會(huì)危

14、及數(shù)據(jù)庫的安全，還會(huì)影響到服務(wù)器的操作系統(tǒng)和其它信用系統(tǒng)。還有一個(gè)不很明顯的原因說明了保證數(shù)據(jù)庫安全的重要性數(shù)據(jù)庫系統(tǒng)自身可能會(huì)提供危及整個(gè)網(wǎng)絡(luò)體系的機(jī)制。例如，某個(gè)公司可能會(huì)用數(shù)據(jù)庫服務(wù)器保存所有的技術(shù)手冊、文檔和白皮書的庫存清單。數(shù)據(jù)庫里的這些信息并不是特別重要的，所以它的安全優(yōu)先級(jí)別不高。即使運(yùn)行在安全狀況良好的操作系統(tǒng)中，入侵者也可通過“擴(kuò)展入駐程序”等強(qiáng)有力的內(nèi)置數(shù)據(jù)庫特征，利用對數(shù)據(jù)庫的訪問，獲取對本地操作系統(tǒng)的訪問權(quán)限。這些程序可以發(fā)出管理員級(jí)的命令，訪問基本的操作系統(tǒng)及其全部的資源。如果這個(gè)特定的數(shù)據(jù)庫系統(tǒng)與其它服務(wù)器有信用關(guān)系，那么入侵者就會(huì)危及整個(gè)網(wǎng)絡(luò)域的安全。 在電子商務(wù)

15、、電子貿(mào)易的著眼點(diǎn)集中于WEB服務(wù)器、Java和其它新技術(shù)的同時(shí)，應(yīng)該記住這些以用戶為導(dǎo)向和企業(yè)對企業(yè)的系統(tǒng)都是以Web服務(wù)器后的關(guān)系數(shù)據(jù)庫為基礎(chǔ)的。它們的安全直接關(guān)系到系統(tǒng)的有效性、數(shù)據(jù)和交易的完整性、保密性。系統(tǒng)拖延效率欠佳，不僅影響商業(yè)活動(dòng)，還會(huì)影響公司的信譽(yù)。不可避免地，這些系統(tǒng)受到入侵的可能性更大，但是并未對商業(yè)伙伴和客戶敏感信息的保密性加以更有效的防范。此外，ERP和管理系統(tǒng)，如ASPR/3和PeopleSoft等，都是建立在相同標(biāo)準(zhǔn)的數(shù)據(jù)庫系統(tǒng)中。無人管理的安全漏洞與時(shí)間拖延、系統(tǒng)完整性問題和客戶信任等有直接的關(guān)系。 需求分析目前的業(yè)務(wù)系統(tǒng)中大多數(shù)關(guān)鍵數(shù)據(jù)均存儲(chǔ)在數(shù)據(jù)庫服務(wù)器中，

16、這些關(guān)鍵的數(shù)據(jù)庫系統(tǒng)也成為了我公司信息系統(tǒng)和業(yè)務(wù)系統(tǒng)的心臟。這些數(shù)據(jù)庫中儲(chǔ)存著諸如銀行賬戶、保單信息、客戶信息、生產(chǎn)或交易明細(xì)、產(chǎn)品資料等極其重要和敏感的信息。盡管這幾年來，公司在數(shù)據(jù)庫的管理制度，物理安全和網(wǎng)絡(luò)安全方面做了完善的安全防護(hù)，例如采取了嚴(yán)格訪問控制和容災(zāi)備份等安全措施。但是，從近年來發(fā)生的安全事件來看，數(shù)據(jù)庫安全問題遠(yuǎn)遠(yuǎn)不止是物理層面安全和網(wǎng)絡(luò)層面的安全，數(shù)據(jù)庫系統(tǒng)面臨這從安全管理到安全技術(shù)等各方面的安全隱患，這些風(fēng)險(xiǎn)將會(huì)給企業(yè)業(yè)務(wù)帶來嚴(yán)重的影響，可能會(huì)造成巨大的經(jīng)濟(jì)損失，或引起法律的糾紛。而且這些事件難以追查和彌補(bǔ)。另一方面，行業(yè)法規(guī)也對于數(shù)據(jù)安全包括數(shù)據(jù)庫安全提出了相應(yīng)的要求

17、，包括美國在內(nèi)的許多國家的通過了公開法案對數(shù)據(jù)信息的安全有很明確的規(guī)定,其中比較著名的是Sarbanes-Oxley薩班斯奧克斯利法案, PCI (Visa著名的Payment Card Industry data standard) 規(guī)定. 在國內(nèi)，保監(jiān)會(huì)和相關(guān)職能部門也對于企業(yè)內(nèi)部控制包括信息系統(tǒng)的審計(jì)提出了相應(yīng)的要求。針對上述公司的現(xiàn)狀，我們總結(jié)了以下主要風(fēng)險(xiǎn)和應(yīng)用場景：1） 管理風(fēng)險(xiǎn)內(nèi)部人員誤操作、違規(guī)操作、越權(quán)操作，損害業(yè)務(wù)系統(tǒng)安全運(yùn)行內(nèi)部人員的誤操作、違規(guī)操作、越權(quán)操作缺少實(shí)時(shí)告警和阻攔機(jī)制，通常在事件發(fā)生后并造成嚴(yán)重后果后才能被發(fā)現(xiàn)，這時(shí)可能已經(jīng)對業(yè)務(wù)系統(tǒng)造成嚴(yán)重影響。因此，我們

18、希望能夠建立一套完善的實(shí)時(shí)告警機(jī)制，能對上述情況進(jìn)行實(shí)時(shí)告警。能夠第一時(shí)間消除潛在風(fēng)險(xiǎn)。多人公用一個(gè)帳號(hào)，責(zé)任難以分清；目前，只能通過簡單的數(shù)據(jù)庫訪問日志查看相關(guān)人員的操作記錄。但是，因?yàn)榫S護(hù)人員多使用相同維護(hù)賬號(hào)，很難區(qū)分責(zé)任。我們需要更為強(qiáng)大的審計(jì)工具，能夠記錄源地址、源應(yīng)用程序、遠(yuǎn)程登錄的OS主機(jī)名、OS主機(jī)賬號(hào)等信息區(qū)分責(zé)任。第三方維護(hù)人員的誤操作，惡意操作和篡改；第三方人員的誤操作、惡意操作、篡改、數(shù)據(jù)竊取也需要有系統(tǒng)能夠監(jiān)管。目前缺乏對這些人員的監(jiān)管。超級(jí)管理員用戶操作難以監(jiān)管和審計(jì)；超級(jí)管理員、特權(quán)用戶都有著非常大的權(quán)限，目前缺少監(jiān)管手段。而且，有很多數(shù)據(jù)庫數(shù)據(jù)庫管理員還可以訪問

19、和管理審計(jì)日志，這就明顯違反了審計(jì)中權(quán)責(zé)分離的要求。數(shù)據(jù)庫權(quán)限分配問題；數(shù)據(jù)庫用戶權(quán)限分配混亂。隨著應(yīng)用的不斷增加和時(shí)間的推移，存在大量賦予過高權(quán)限的數(shù)據(jù)庫用戶和長期沒有人使用的數(shù)據(jù)庫賬號(hào)，我們需要定期對這些數(shù)據(jù)庫賬號(hào)進(jìn)行清理，嚴(yán)格遵照“業(yè)務(wù)必須知道”的最小原則來進(jìn)行數(shù)據(jù)庫賬號(hào)分配。 2） 技術(shù)風(fēng)險(xiǎn)數(shù)據(jù)庫服務(wù)器操作系統(tǒng)漏洞攻擊；我們需要定期針對數(shù)據(jù)庫服務(wù)器操作系統(tǒng)進(jìn)行安全漏洞掃描，確認(rèn)其是否存在安全漏洞，并及時(shí)修補(bǔ)或者通過安全系統(tǒng)防護(hù)。數(shù)據(jù)庫系統(tǒng)漏洞攻擊；數(shù)據(jù)庫系統(tǒng)本身的漏洞以及不安全、不合理的配置也需要定期進(jìn)行掃描，并修補(bǔ)?；蛘咄ㄟ^安全系統(tǒng)防護(hù)。離職員工留下后門。需要對用戶權(quán)限進(jìn)行及時(shí)管理；

20、對異常的數(shù)據(jù)庫訪問進(jìn)行及時(shí)分析和處理。3） 審計(jì)風(fēng)險(xiǎn)審計(jì)日志缺失或不完整；目前只有部分?jǐn)?shù)據(jù)庫系統(tǒng)可以提供的審計(jì)日志，而這些審計(jì)日志非常不完整。例如，缺少源程序的記錄、數(shù)據(jù)庫返回信息的記錄、Bind參數(shù)的記錄、等等。而且因?yàn)樵跀?shù)據(jù)庫系統(tǒng)上啟用審計(jì)功能會(huì)大大影響現(xiàn)有數(shù)據(jù)庫系統(tǒng)的性能，因此，大多數(shù)數(shù)據(jù)庫系統(tǒng)并沒有都啟用審計(jì)功能。不同數(shù)據(jù)庫的審計(jì)；目前公司內(nèi)數(shù)據(jù)庫系統(tǒng)越來越多、數(shù)據(jù)庫的類型也不斷增加，這為數(shù)據(jù)庫系統(tǒng)審計(jì)的集中管理帶來了相當(dāng)大的挑戰(zhàn)。因?yàn)椋瑪?shù)據(jù)庫種類不同，自身的審計(jì)功能也不同，這為審計(jì)日志的查看帶來相當(dāng)大的困難。同時(shí)，數(shù)據(jù)庫數(shù)量的增加，又無法集中進(jìn)行統(tǒng)一查看。因此，我們需要采用更為集中的

21、、獨(dú)立的、可以同時(shí)支持多種數(shù)據(jù)庫平臺(tái)、多個(gè)數(shù)據(jù)庫的審計(jì)系統(tǒng)。審計(jì)獨(dú)立性的問題；啟用數(shù)據(jù)庫自身的審計(jì)功能，既影響自身性能，又存在了嚴(yán)重的審計(jì)獨(dú)立性問題。審計(jì)規(guī)范中要求數(shù)據(jù)庫管理員和審計(jì)人員必須權(quán)責(zé)分離。安全事件難以追查和定位。目前的公司現(xiàn)狀根本無法準(zhǔn)確定位和最終相關(guān)數(shù)據(jù)庫安全事件。需要進(jìn)行技術(shù)方案的優(yōu)化和改進(jìn)。因此，我們建議公司采用Imperva專業(yè)的數(shù)據(jù)庫安全方案，可以完滿的應(yīng)對上述風(fēng)險(xiǎn)和場景。公司數(shù)據(jù)庫應(yīng)用環(huán)境1、目前公司主要需要監(jiān)控的數(shù)據(jù)庫有兩臺(tái)，為Oracle 10g。2、兩臺(tái)數(shù)據(jù)庫服務(wù)器硬件是AIX操作系統(tǒng)。3、因?yàn)橛性S多通過網(wǎng)絡(luò)方式使用第三方數(shù)據(jù)庫軟件進(jìn)行的所有數(shù)據(jù)庫操作，因此需要對

22、這些訪問進(jìn)行記錄并審計(jì)。4、另外，也存在特權(quán)用戶可以直接登陸AIX主機(jī)本地進(jìn)行數(shù)據(jù)庫操作，因此還需要對本地的數(shù)據(jù)庫操作進(jìn)行審計(jì)。技術(shù)實(shí)現(xiàn)專用硬件平臺(tái)SecureSphere 專用硬件平臺(tái)Imperva SecureSphere硬件平臺(tái)提供了卓越的性能和高可靠性，適合于各種網(wǎng)絡(luò)環(huán)境。硬件平臺(tái)提供Fail Open的網(wǎng)卡，可在出現(xiàn)故障時(shí)快速實(shí)現(xiàn)故障切換。設(shè)備還提供帶外管理接口，提高了管理的安全性。前面板的各種提示信息也方便用戶快速了解設(shè)備運(yùn)行狀態(tài)。用戶可以根據(jù)需要監(jiān)測的數(shù)據(jù)庫流量來選擇合適的硬件網(wǎng)關(guān)。數(shù)據(jù)庫代理（Agent）SecureSphere對于特定的需要監(jiān)控?cái)?shù)據(jù)庫本地操作的場景，可以選擇在

23、數(shù)據(jù)庫服務(wù)器上安裝Database Agent，該代理程序可以監(jiān)控所有到達(dá)該數(shù)據(jù)庫的各種數(shù)據(jù)庫活動(dòng)進(jìn)行監(jiān)控，包括Telnet、SSH、RDP、IPC等各種TCP或UDP隧道。Imperva提供了支持多種操作系統(tǒng)、多種數(shù)據(jù)庫類型的代理程序安裝文件，包括windows、Linux、AIX、HPUnix、Solaris等等。Agent代理程序具備以下主要特性：數(shù)據(jù)庫代理程序采用輕型工作架構(gòu)，對數(shù)據(jù)庫本機(jī)影響很小。通常在流量峰值時(shí)刻，最高5-7%的CPU峰值，也可以設(shè)置CPU耗用最高上限值。提供高級(jí)過濾功能，確保只將需要分析的數(shù)據(jù)庫活動(dòng)發(fā)送給SecureSphere網(wǎng)關(guān)。可監(jiān)控所有的數(shù)據(jù)庫活動(dòng)內(nèi)容，無

24、論是通過本地操作（Bequeath, named Pipes,等等），還是網(wǎng)絡(luò)訪問?？杉信渲煤凸芾鞟gent。代理程序支持注冊到兩個(gè)SecureSphere網(wǎng)關(guān)，實(shí)現(xiàn)高可用。數(shù)據(jù)庫代理工作原理圖集中管理架構(gòu)SecureSphere提供了靈活的三層管理架構(gòu)，方便用戶可以同時(shí)管理多個(gè)SecureSphere網(wǎng)關(guān)，并可以集中策略管理和日志查詢。三層管理架構(gòu)說明：第一層：網(wǎng)頁管理界面，提供https加密管理界面。第二層：SecureSphere管理服務(wù)器，對所有的網(wǎng)關(guān)設(shè)備提供集中管理，以及日志匯聚。第三層：SecureSphere網(wǎng)關(guān)，執(zhí)行各種數(shù)據(jù)庫活動(dòng)審計(jì)和數(shù)據(jù)庫保護(hù)。支持的部署方案嗅探部署方案S

25、ecureSphere 使用無在線故障點(diǎn)和性能瓶頸的透明網(wǎng)絡(luò)網(wǎng)關(guān)，以確保為部署和集成消除此類安全產(chǎn)品通常所具有的風(fēng)險(xiǎn)。阻止是通過發(fā)送 TCP 重置實(shí)現(xiàn) - 但這無法保證阻止操作一定成功，因此 TCP 重置可能：不能到達(dá)受保護(hù)的服務(wù)器被發(fā)送設(shè)備忽略嗅探網(wǎng)關(guān)是一種被動(dòng)嗅探設(shè)備。用于連接企業(yè)集線器與交換機(jī)，可控制受保護(hù)服務(wù)器的通信。通信信息將會(huì)被復(fù)制到該設(shè)備，而不會(huì)直接通過。因?yàn)椴皇窃诰€的，因此嗅探網(wǎng)關(guān)不會(huì)影響性能，也不會(huì)影響服務(wù)器的穩(wěn)定性。單個(gè) SecureSphere 網(wǎng)關(guān)可以輕松監(jiān)控多個(gè)網(wǎng)段，因?yàn)樗鄠€(gè)可用于嗅探不同網(wǎng)段的網(wǎng)絡(luò)接口端口。唯一的限制就是其所能處理的通信量。單個(gè)網(wǎng)關(guān)可以監(jiān)控不同

26、類型的服務(wù)器（例如：Web 服務(wù)器、數(shù)據(jù)庫和電子郵件服務(wù)器）。不需要在多個(gè)不同網(wǎng)關(guān)之間分離這些任務(wù)。橋接部署方案如果要為數(shù)據(jù)中心提供最高級(jí)別的安全性保護(hù)，則可以將 SecureSphere 網(wǎng)關(guān)部署為橋接模式。在此部署方案中，網(wǎng)關(guān)充當(dāng)外部網(wǎng)絡(luò)與受保護(hù)的網(wǎng)段之間的連接設(shè)備。網(wǎng)關(guān)將阻止在線（即：丟棄包）惡意通信。一個(gè)在線網(wǎng)關(guān)雖然能夠保護(hù)最多兩個(gè)網(wǎng)段并擁有六個(gè)網(wǎng)絡(luò)接口端口。但不能工作于在線/嗅探混合模式。其中的兩個(gè)端口用于管理：一個(gè)用于連接管理服務(wù)器，另一個(gè)是可選的，可用于連接外部局域網(wǎng)。其他四個(gè)端口屬于兩個(gè)用于在線檢查的網(wǎng)橋。每個(gè)網(wǎng)橋都包含一個(gè)外部網(wǎng)絡(luò)端口和一個(gè)受保護(hù)網(wǎng)絡(luò)端口。代理部署方案通過在數(shù)

27、據(jù)庫服務(wù)器上安裝代理軟件，從而實(shí)現(xiàn)本地或者網(wǎng)絡(luò)上數(shù)據(jù)庫訪問的審計(jì)。這種方法可以通上面兩種網(wǎng)絡(luò)部署模式進(jìn)行混合部署。帶程序采用輕量級(jí)的代理程序設(shè)計(jì)，低 CPU 使用率 (可設(shè)定上限)低內(nèi)存使用率 (可設(shè)定上限)極低的 I/O 開銷加密數(shù)據(jù)傳輸支持兩種工作模式：Local 僅捕捉本地特權(quán)訪問Global 完整的數(shù)據(jù)庫代理審計(jì)功能，包括本地訪問和網(wǎng)絡(luò)訪問。 推薦部署方案我們推薦公司采用網(wǎng)絡(luò)旁路監(jiān)聽，結(jié)合代理的混合部署模式：部署說明：采用旁路監(jiān)聽的方式對所有數(shù)據(jù)庫的網(wǎng)絡(luò)訪問進(jìn)行審計(jì)和安全檢查；對于需要本地操作審計(jì)的數(shù)據(jù)庫可以安裝Imperva Agent，進(jìn)行本地審計(jì)；Imperva Agent由Se

28、cureSphere數(shù)據(jù)庫網(wǎng)關(guān)來進(jìn)行統(tǒng)一管理。如果需要獲得更好的網(wǎng)關(guān)性能和未來集中管理的擴(kuò)展，還可以購買專用的管理服務(wù)器設(shè)備。系統(tǒng)可無縫結(jié)合企業(yè)現(xiàn)有的安全事件管理平臺(tái)；將審計(jì)日志歸檔到SAN在線存儲(chǔ)或者外部存儲(chǔ)。工作原理圖下面的圖形是SecureSphere各組件協(xié)同工作的工作原理圖。管理員可以通過瀏覽器管理界面將配置信息發(fā)送到管理服務(wù)器，由管理服務(wù)器下發(fā)到SecureSphere網(wǎng)關(guān)；被監(jiān)控的數(shù)據(jù)被送達(dá)SecureSphere網(wǎng)關(guān)，網(wǎng)關(guān)中的分析引擎會(huì)根據(jù)預(yù)定義的審計(jì)規(guī)則和安全規(guī)則進(jìn)行匹配。如果需要阻斷，安全檢測引擎將發(fā)送阻斷信息或丟棄數(shù)據(jù)包。相應(yīng)的告警將被發(fā)送到管理服務(wù)器。工作原理圖Secu

29、reSphere邏輯架構(gòu)層次為了方便客戶理解，我們把SecureSphere工作層次劃分為6個(gè)邏輯層次，每一個(gè)層次在數(shù)據(jù)監(jiān)控和安全管理中都有著不同的職責(zé)。SecureSphere工作邏輯層次用戶界面層User Interface Layer用戶界面層位用戶提供了安全的用戶管理界面可以監(jiān)控和管理數(shù)據(jù)庫安全配置、數(shù)據(jù)庫安全事件、數(shù)據(jù)庫審計(jì)。用戶界面層無需用戶安裝任何軟件，只需要在普通PC上的瀏覽器就可以進(jìn)行管理了。管理和報(bào)告層Management & Reporting LayerImperva的管理服務(wù)器位于該層工作，并為后臺(tái)的系統(tǒng) 集中管理和報(bào)告提供服務(wù)。所有的系統(tǒng)配置、網(wǎng)關(guān)活動(dòng)均由管理服務(wù)器

30、來實(shí)現(xiàn)管理。分析層Analysis Layer分析層是由Imperva的網(wǎng)關(guān)構(gòu)成的。分析層的主要工作就是匯聚和分析該層獲得或者更底層獲得的SQL交易信息。所有的處理邏輯學(xué)習(xí)、分類、存儲(chǔ)和獲取SQL應(yīng)用流量都是在這一層進(jìn)行的。如果網(wǎng)關(guān)設(shè)備是串聯(lián)部署的，那么網(wǎng)關(guān)則可以實(shí)時(shí)阻斷未授權(quán)的網(wǎng)絡(luò)數(shù)據(jù)庫活動(dòng)。網(wǎng)關(guān)部署的位置也應(yīng)該是在數(shù)據(jù)庫訪問客戶端和數(shù)據(jù)庫服務(wù)器之間。存儲(chǔ)層Storage Layer存儲(chǔ)層是同時(shí)和管理及報(bào)告層以及分析層協(xié)同工作的層次。一方面，存儲(chǔ)層可以為網(wǎng)關(guān)設(shè)備提供在線的SQL交易記錄存儲(chǔ)；另一方面，也可以作為管理服務(wù)器外部存檔的存儲(chǔ)空間。Imperva網(wǎng)關(guān)針對數(shù)據(jù)庫審計(jì)數(shù)據(jù)巨大的客戶提供S

31、AN（Storage Area Network）的擴(kuò)展，可實(shí)時(shí)將巨大的審計(jì)數(shù)據(jù)記錄到SAN中。對于需要定期存檔的審計(jì)數(shù)據(jù)，則可以通過管理服務(wù)器定期歸檔到外部的NAS上。收集層Collection Layer收集層主要是收集所有需要分析和審計(jì)的數(shù)據(jù)庫活動(dòng)。一方面，我們可以通過網(wǎng)關(guān)設(shè)備直接采用旁路監(jiān)聽或者串聯(lián)接入的方式，無需在DB上安裝組件，就可以收集到需要監(jiān)控和分析的數(shù)據(jù)；但是，另一方面，對于一些非網(wǎng)絡(luò)或者SSH、RDP之類的無法進(jìn)行網(wǎng)絡(luò)分析的場景進(jìn)行監(jiān)控，我們可以采用數(shù)據(jù)庫代理的方式來收集數(shù)據(jù)庫本地活動(dòng)信息。我們可以混合使用這兩種方式來進(jìn)行數(shù)據(jù)庫活動(dòng)收集。數(shù)據(jù)庫訪問層DB Access Lay

32、er數(shù)據(jù)庫訪問層代表了所有可能訪問數(shù)據(jù)庫的主機(jī)、中間件、應(yīng)用等等。這個(gè)層次代表了數(shù)據(jù)庫安全系統(tǒng)需要管理的IP地址、主機(jī)名、用戶名、應(yīng)用程序等等。數(shù)據(jù)捕獲SecureSphere對數(shù)據(jù)庫活動(dòng)數(shù)據(jù)的捕獲并不是通過數(shù)據(jù)庫本身的審計(jì)日志、觸發(fā)器、交易記錄等，而是完全通過分析網(wǎng)絡(luò)數(shù)據(jù)或者本地通訊數(shù)據(jù)本身。通過對數(shù)據(jù)庫協(xié)議和應(yīng)用本身的理解，了解其中的具體數(shù)據(jù)和內(nèi)容。而采用其他方法則存在了許多弊?。涸斐蓴?shù)據(jù)庫額外的負(fù)載開啟數(shù)據(jù)庫自身的審計(jì)功能，通常會(huì)造成10-25%的性能下降，這會(huì)大大影響數(shù)據(jù)庫的自身性能，而且如果需要分析交易日志以及其關(guān)聯(lián)的邏輯聯(lián)系則需要更大的性能開銷。篡改的問題數(shù)據(jù)庫自身的審計(jì)功能，通常

33、仍然由DBA管理，這樣審計(jì)的獨(dú)立性很難保證，可能會(huì)出現(xiàn)DBA篡改審計(jì)日志的問題。缺失的操作信息數(shù)據(jù)庫自身的交易記錄是不提供DCL操作的內(nèi)容的，例如，SHUTDOWN，GRANTs等缺失的用戶信息一些數(shù)據(jù)庫是不會(huì)提供SYSDBA的操作審計(jì)日志的，例如，Oracle。同時(shí)，交易日志也無法提供訪問者的詳細(xì)用戶信息（OS用戶名、主機(jī)名、IP、通過何種應(yīng)用程序訪問的，等）SecureSphere多層安全檢查機(jī)制SecureSphere產(chǎn)品充分考慮到目前的復(fù)雜安全環(huán)境，需要在多個(gè)層次對各種安全威脅檢查才可以對數(shù)據(jù)庫提供足夠的安全保障。SecureSphere的安全模型中提供了包括防火墻、簽名、協(xié)議檢查、P

34、rofile、攻擊關(guān)聯(lián)等多種檢查機(jī)制來綜合驗(yàn)證可疑的訪問行為。SecureSphere安全檢測引擎數(shù)據(jù)庫 IPSSecureSphere 數(shù)據(jù)庫IPS 基于特征來識(shí)別以已知數(shù)據(jù)庫平臺(tái)軟件漏洞為攻擊目標(biāo)的攻擊。通過將與 Snort 兼容的特征數(shù)據(jù)庫和由 Imperva 的國際安全研究機(jī)構(gòu) 應(yīng)用防御中心 (ADC) 開發(fā)的特定于專用數(shù)據(jù)庫的特征相組合，SecureSphere 的獨(dú)有 IPS 技術(shù)完全滿足數(shù)據(jù)庫部署的要求。 ADC 還利用上下文屬性（如受影響的系統(tǒng)、風(fēng)險(xiǎn)、準(zhǔn)確度和攻擊頻率）對每個(gè)特征進(jìn)行優(yōu)化。用戶可利用這些屬性自定義 IPS 策略，使其符合特定環(huán)境。最后，Imperva 的數(shù)據(jù)中心

35、安全更新服務(wù)每周自動(dòng)進(jìn)行特征更新，以確保持?jǐn)鄬?shí)施最新保護(hù)。集成防火墻功能SecureSphere集成了部分網(wǎng)絡(luò)防火墻功能?？梢栽诰W(wǎng)絡(luò)層過濾不需要開放的協(xié)議、網(wǎng)絡(luò)、用戶等等。通常在同類產(chǎn)品中是無法提供這部分功能的。動(dòng)態(tài)建模SecureSphere的動(dòng)態(tài)建模技術(shù)可監(jiān)視實(shí)時(shí)數(shù)據(jù)庫通信，從而創(chuàng)建經(jīng)過驗(yàn)證的代表每個(gè)用戶正常行為的基準(zhǔn)模型。然后，通過比較該模型與所觀察的行為，SecureSphere就可識(shí)別與模型存在重大差異的活動(dòng)。例如，如果一個(gè)無需知道業(yè)務(wù)信息的數(shù)據(jù)庫管理員突然檢索了 10000 條客戶記錄，則SecureSphere會(huì)設(shè)立一個(gè)標(biāo)記。動(dòng)態(tài)建模的核心是統(tǒng)計(jì)學(xué)習(xí)算法，該算法可將模型中的隨機(jī)事

36、件過濾掉，并使系統(tǒng)隨著時(shí)間的逐漸推移不斷適應(yīng)合法行為的變化。其他審計(jì)系統(tǒng)宣稱具有“學(xué)習(xí)”能力，其實(shí)僅會(huì)在指定學(xué)習(xí)期限內(nèi)不加區(qū)分地記錄所有活動(dòng)。市場上這些同類產(chǎn)品所采用的這種過分簡單化的方法存在著兩個(gè)問題。1.由于其他產(chǎn)品在單調(diào)記錄期間將所有活動(dòng)都包含到基準(zhǔn)模型中，因此隨機(jī)事件和可能的異常事件均成為基準(zhǔn)的一部分。相反，SecureSphere 學(xué)習(xí)算法會(huì)將隨機(jī)事件從模型中過濾掉。SecureSphere 具備數(shù)據(jù)庫漏洞知識(shí)，因而能夠?qū)⑵髨D利用這些漏洞的異常事件過濾出來。2.一旦其他同類產(chǎn)品的指定單調(diào)記錄期限結(jié)束，合規(guī)管理人員就必須不斷地手動(dòng)更新基準(zhǔn)，以及時(shí)反映數(shù)據(jù)庫活動(dòng)的變化。如果這些產(chǎn)品在某一

37、時(shí)間自動(dòng)學(xué)習(xí)而成一個(gè)新的基準(zhǔn)，則它們將丟失對基準(zhǔn)所做過的所有手動(dòng)更改。相反，SecureSphere 學(xué)習(xí)算法從不會(huì)停止其作用。每個(gè)模型都會(huì)隨著時(shí)間不斷適應(yīng)行為變化，且隨時(shí)都可手動(dòng)修改模型。由于 SecureSphere 的動(dòng)態(tài)建模技術(shù)能持續(xù)見效，因此除了標(biāo)準(zhǔn)的審計(jì)記錄外，還可以配置差異能夠觸發(fā)實(shí)時(shí)警報(bào)。在實(shí)時(shí)警報(bào)的協(xié)助下，SecureSphere 管理員就可在必要時(shí)，立即對嚴(yán)重事件做出響應(yīng)。數(shù)據(jù)庫協(xié)議驗(yàn)證攻擊者可能會(huì)利用數(shù)據(jù)庫協(xié)議漏洞來達(dá)到各種欺詐目的：未經(jīng)驗(yàn)證的數(shù)據(jù)訪問、繞過自身審計(jì)日志等。為了檢測此類活動(dòng)，SecureSphere采用了業(yè)界獨(dú)有的數(shù)據(jù)庫協(xié)議驗(yàn)證技術(shù)。該技術(shù)采用了 Impe

38、rva 的應(yīng)用防御中心 (ADC) 開發(fā)的一種獨(dú)特的數(shù)據(jù)庫協(xié)議結(jié)構(gòu)模型，該模型用作對比當(dāng)前協(xié)議消息和期望消息的基準(zhǔn)。任何與期望消息不符的情況均會(huì)記錄下來，并列入預(yù)配置報(bào)告供審計(jì)人員查看。數(shù)據(jù)庫協(xié)議驗(yàn)證技術(shù)在業(yè)界是獨(dú)一無二的，原因如下:數(shù)據(jù)庫協(xié)議不符合任何開放標(biāo)準(zhǔn)。它們是每個(gè)數(shù)據(jù)庫供應(yīng)商所專有的，而且獲得這些文檔非常不容易，甚至根本無法獲得。而SecureSphere協(xié)議模型只要通過廣泛的基礎(chǔ)研究即可獲得。新的數(shù)據(jù)庫軟件版本中數(shù)據(jù)庫協(xié)議經(jīng)常有所修改，而且這種修改并不公開通知。為了持?jǐn)嘞騍ecureSphere客戶提供所有協(xié)議支持，應(yīng)用防御中心 (ADC) 會(huì)不斷對每個(gè)協(xié)議進(jìn)行跟蹤和測試。任何對協(xié)

39、議驗(yàn)證模型的必要更改以及其他監(jiān)視功能會(huì)隨 ADC 發(fā)送給所有SecureSphere客戶的每周自動(dòng)更新得到更新。由于這些挑戰(zhàn)的存在，其他所有數(shù)據(jù)庫監(jiān)視系統(tǒng)供應(yīng)商均無法解決與協(xié)議驗(yàn)證相關(guān)的技術(shù)難題和操作難題。Imperva數(shù)據(jù)庫安全方案的優(yōu)勢相對于其他同類解決方案，Imperva方案具備如下優(yōu)勢：完整的數(shù)據(jù)庫安全解決方案，包括數(shù)據(jù)庫安全評(píng)估、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫用戶權(quán)限管理、數(shù)據(jù)庫企業(yè)應(yīng)用支持等多個(gè)功能模塊。行業(yè)中支持?jǐn)?shù)據(jù)庫種類最多、覆蓋面最廣最完整的數(shù)據(jù)庫審計(jì)及安全方案支持多種部署方式。部署方案完全不影響現(xiàn)有網(wǎng)絡(luò)架構(gòu)，不變更數(shù)據(jù)庫現(xiàn)有配置和性能，無需安裝任何附加軟件和插件。預(yù)置了上

40、千種的數(shù)據(jù)庫軟件弱點(diǎn)、安全配置檢查、訪問權(quán)限檢查的掃描規(guī)則，可定期檢查數(shù)據(jù)庫配置，發(fā)現(xiàn)弱點(diǎn)后并可結(jié)合防火墻功能進(jìn)行虛擬補(bǔ)丁。提供了數(shù)據(jù)庫發(fā)現(xiàn)和敏感數(shù)據(jù)分類功能，可計(jì)劃掃描數(shù)據(jù)庫發(fā)現(xiàn)新增數(shù)據(jù)庫服務(wù)和敏感數(shù)據(jù)所在，導(dǎo)入后可直接作為審計(jì)和安全策略的對象。強(qiáng)大的數(shù)據(jù)庫用戶權(quán)限管理功能，可集中管理和審查所有的已有數(shù)據(jù)庫賬號(hào)權(quán)限是否分配合理，是否存在權(quán)限濫用和冬眠賬號(hào)。數(shù)據(jù)庫審計(jì)和安全的全部場景的覆蓋，包括對數(shù)據(jù)庫直接連接的訪問，以及前臺(tái)應(yīng)用程序?qū)?shù)據(jù)庫的訪問；如果應(yīng)用通過加密方式訪問數(shù)據(jù)庫，同樣應(yīng)該可以監(jiān)控或?qū)徲?jì)。行業(yè)中最詳盡的數(shù)據(jù)庫審計(jì)方案，可以提供25種以上的審計(jì)字段，包括可以對操作系統(tǒng)賬號(hào)、源應(yīng)用

41、程序、Bind變量、數(shù)據(jù)庫查詢響應(yīng)內(nèi)容等。獨(dú)一無二的用戶跟蹤能力，無需特殊設(shè)定即可分析獲得數(shù)據(jù)庫的數(shù)據(jù)庫用戶、源IP、主機(jī)名、源應(yīng)用程序、操作系統(tǒng)賬號(hào)等信息；通過自身產(chǎn)品配置可實(shí)現(xiàn)對前臺(tái)Web用戶和后臺(tái)數(shù)據(jù)庫查詢的關(guān)聯(lián)分析；企業(yè)應(yīng)用（SAP、EBS、People Soft）應(yīng)用用戶和后臺(tái)數(shù)據(jù)庫查詢的關(guān)聯(lián)分析。數(shù)據(jù)庫防火墻功能，提供了基于數(shù)據(jù)庫已知攻擊的特征簽名防護(hù)；還可以使用數(shù)據(jù)庫動(dòng)態(tài)模型策略自動(dòng)發(fā)現(xiàn)異常數(shù)據(jù)庫訪問行為；也可以用戶自定義數(shù)據(jù)庫安全訪問策略。專利技術(shù)的數(shù)據(jù)庫動(dòng)態(tài)建模技術(shù)?？筛鶕?jù)用戶環(huán)境中，正常數(shù)據(jù)庫訪問流量，動(dòng)態(tài)建立數(shù)據(jù)庫訪問的正常行為基線，從而發(fā)現(xiàn)異常數(shù)據(jù)庫訪問行為，并可進(jìn)行實(shí)

42、時(shí)告警和阻斷。實(shí)時(shí)告警功能，對于違反安全策略的數(shù)據(jù)庫訪問第一時(shí)間進(jìn)行告警，可支持郵件、syslog、snmp、自定義腳本等多種實(shí)時(shí)告警輸出方式，保證管理員第一時(shí)間發(fā)現(xiàn)危險(xiǎn)的數(shù)據(jù)庫操作。獨(dú)立、加密存儲(chǔ)審計(jì)日志，保證審計(jì)系統(tǒng)的獨(dú)立性可無縫擴(kuò)展Imperva的其他方案，例如網(wǎng)頁應(yīng)用防火墻、文件安全解決方案等。這些方案可運(yùn)行在相同平臺(tái)上，并使用統(tǒng)一界面管理。關(guān)于ImpervaImperva公司簡介Imperva公司是一家全球領(lǐng)先的新型數(shù)據(jù)應(yīng)用安全的技術(shù)領(lǐng)導(dǎo)者和知名公司，提供技術(shù)非常領(lǐng)先的Web安全和數(shù)據(jù)庫安全解決方案。公司成立于以色列,公司的產(chǎn)品（SecureSphere系列web和數(shù)據(jù)應(yīng)用安全產(chǎn)品）

43、Imperva公司擁有領(lǐng)先行業(yè)的技術(shù)優(yōu)勢，其CTO被評(píng)為“對互聯(lián)網(wǎng)影響最大的10位杰出人士”之一，為Checkpoint公司創(chuàng)始人。目前Imperva已服務(wù)的客戶涵蓋各大行業(yè)的頂級(jí)企業(yè)，如金融業(yè)的Visa、RBS，電信業(yè)的英國電信，IT產(chǎn)業(yè)的惠普、Oracle，電子商務(wù)領(lǐng)域的Scottrade，等等，現(xiàn)今國際財(cái)富500強(qiáng)企業(yè)中的大部分企業(yè)都在信息化建設(shè)中建立了對外部的WAF系統(tǒng)和對內(nèi)部應(yīng)用數(shù)據(jù)系統(tǒng)的IT審計(jì)系統(tǒng)，其中很多都采用了Imperva公司產(chǎn)品。Imperva公司擁有領(lǐng)先行業(yè)的技術(shù)優(yōu)勢，其CTO被評(píng)為“對互聯(lián)網(wǎng)影響最大的10位杰出人士”之一，為Checkpoint公司創(chuàng)始人。其產(chǎn)品從20

44、05年開始多次榮獲IT行業(yè)大獎(jiǎng),并多次獲得國際評(píng)論機(jī)構(gòu)好評(píng), Imperva公司的應(yīng)用數(shù)據(jù)安全產(chǎn)品國際現(xiàn)有超過25,000家用戶,多數(shù)為財(cái)富500用戶，為美國新型應(yīng)用數(shù)據(jù)信息安全的技術(shù)領(lǐng)導(dǎo)者和知名公司。Imperva公司數(shù)據(jù)庫安全解決方案SecureSphere Database Activity Monitoring GatewaySecureSphere Database Activity Monitoring Gateway提供了數(shù)據(jù)庫審計(jì)的自動(dòng)化工具，可以幫助用戶完美的完成法規(guī)遵從的各種要求，包括初始化、持續(xù)的數(shù)據(jù)庫評(píng)估、控制、審計(jì)、監(jiān)控以及風(fēng)險(xiǎn)衡量等。SecureSphere將提供獨(dú)

45、立、詳盡的數(shù)據(jù)庫訪問記錄，包括通過Oracle E-Business Suite, SAP, PeopleSoft等著名第三方應(yīng)用，或者自定義的應(yīng)用對數(shù)據(jù)庫的訪問，也包括數(shù)據(jù)庫管理員對數(shù)據(jù)庫的本地直接訪問。所有的審計(jì)和報(bào)告功能都由獨(dú)立的SecureSphere設(shè)備完成，對于數(shù)據(jù)庫性能沒有任何的影響；也無需用戶不斷手工調(diào)整各種審計(jì)參數(shù)，SecureSphere提供了大量缺省的審計(jì)策略模板和法規(guī)遵從模板。DAM網(wǎng)關(guān)可選擇使用專用硬件網(wǎng)關(guān)，也提供虛擬網(wǎng)關(guān)。SecureSphere Database Firewall GatewaySecureSphere Database Firewall Gate

46、way提供了DAM的所有功能，同時(shí)還可以對數(shù)據(jù)庫架構(gòu)以及敏感數(shù)據(jù)的訪問提供保護(hù)和控制。SecureSphere采用自動(dòng)建模的方法以及各種安全策略，可將控制范圍細(xì)化到每一個(gè)應(yīng)用程序、每一個(gè)用戶、每一個(gè)查詢來進(jìn)行安全保護(hù)。并對數(shù)據(jù)庫的各種安全漏洞提供了多層次的防御保護(hù)，包括安全威脅簽名、攻擊關(guān)聯(lián)檢查、數(shù)據(jù)庫協(xié)議分析等等。DBF網(wǎng)關(guān)也同時(shí)提供硬件和虛擬設(shè)備兩種選擇。SecureSphere Discovery and Assessment ServerSecureSphere Discovery and Assessment Server為企業(yè)提供了簡單有效的發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)、歸屬數(shù)據(jù)來源、分類數(shù)據(jù)屬性、評(píng)估數(shù)據(jù)庫缺陷、發(fā)現(xiàn)錯(cuò)誤數(shù)據(jù)庫配置以及潛在漏洞的工具。SecureSphere Discovery and Assessment Server為客戶提供了自動(dòng)化的評(píng)估工具，大大減少了客戶繁重、重復(fù)的人工審核評(píng)估流程。另外，該工具還提供了圖形視圖的風(fēng)險(xiǎn)分析工具，為用戶提供了各種風(fēng)險(xiǎn)分布及情況的關(guān)鍵視圖，為用戶優(yōu)化安全方案，加強(qiáng)法規(guī)遵從提供了指導(dǎo)依據(jù)。User Rights Management（URM）也可以作為Secu