數(shù)據(jù)庫審計(jì)方案計(jì)劃

PAGE9`數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì)解決方案目錄TOC\o"1-3"\h\u1 數(shù)據(jù)庫安全現(xiàn)狀 32 數(shù)據(jù)泄密途徑及原因分析 33 數(shù)據(jù)庫審計(jì)系統(tǒng)概述 34 數(shù)據(jù)庫審計(jì)基本要求 4 全面的數(shù)據(jù)庫審計(jì) 4 簡易部署 4 業(yè)務(wù)操作實(shí)時監(jiān)控回放 45 數(shù)據(jù)庫審計(jì)系統(tǒng)主要功能 5 全方位的數(shù)據(jù)庫審計(jì) 5 多數(shù)據(jù)庫系統(tǒng)及運(yùn)行平臺支持 5 細(xì)粒度數(shù)據(jù)庫操作審計(jì) 5 實(shí)時回放數(shù)據(jù)庫操作 6 事件精準(zhǔn)定位 6 事件關(guān)聯(lián)分析 6 訪問工具監(jiān)控 7 黑白名單審計(jì) 7 變量審計(jì) 7 關(guān)注字段值提取 7 簡單易用 8 海量存儲 86 典型應(yīng)用 97 產(chǎn)品選型 9

數(shù)據(jù)庫安全現(xiàn)狀目前，我國公安行業(yè)、各政府部門、企事業(yè)單位使用的數(shù)據(jù)庫系統(tǒng)絕大部分是由國外研制的商用數(shù)據(jù)庫系統(tǒng)，其內(nèi)部操作不透明，無法通過外部的任何安全工具來阻止內(nèi)部用戶的惡意操作、濫用資源和泄露機(jī)密信息等行為。通常情況下，信息安全側(cè)重于防備外來未授權(quán)用戶的非法訪問，而對于內(nèi)部合法用戶的訪問行為，則防范較弱。防火墻、入侵檢測系統(tǒng)可以抵御各種外網(wǎng)活動所帶來的威脅，但是不能有效防范內(nèi)部威脅。而這些都是現(xiàn)有系統(tǒng)訪問控制機(jī)制不能防止的，諸如此類的內(nèi)部信息安全問題一旦出現(xiàn)，所造成的經(jīng)濟(jì)損失和社會影響將是無法估量的。面對可能的安全威脅，建立一套有效的信息安全審計(jì)體系，加強(qiáng)對數(shù)據(jù)庫信息的監(jiān)管力度，有效管理并盡量降低信息安全風(fēng)險，是非常重要而且必要的。數(shù)據(jù)泄密途徑及原因分析數(shù)據(jù)庫系統(tǒng)是政企用戶最具有戰(zhàn)略性的資產(chǎn)，隨著業(yè)務(wù)系統(tǒng)的不斷增加伴隨著數(shù)據(jù)庫信息價值以及可訪問性提升，使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風(fēng)險大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無法有效追溯和審計(jì)，數(shù)據(jù)庫安全存在如下風(fēng)險：（1）核心數(shù)據(jù)維護(hù)人員越來越多，既有本公司的信息維護(hù)人員，也有系統(tǒng)開發(fā)商、第三方運(yùn)維外包公司的操作監(jiān)控失效等等，致使安全事件發(fā)生時，無法追溯并定位真實(shí)的操作者。（2）授權(quán)人員的權(quán)限濫用；如：已授權(quán)的人員通過自己擁有可查詢、修改的權(quán)限進(jìn)行濫用。他們通過信息化系統(tǒng)如財務(wù)系統(tǒng)、OA系統(tǒng)、BI系統(tǒng)查詢核心數(shù)據(jù)庫敏感信息。（3）現(xiàn)有的安全工具（比如：防火墻、IDS、IPS等）無法阻止內(nèi)部用戶的惡意操作、濫用資源和泄露機(jī)密信息等行為。數(shù)據(jù)庫審計(jì)系統(tǒng)概述數(shù)據(jù)庫審計(jì)系統(tǒng)是對網(wǎng)絡(luò)訪問數(shù)據(jù)庫操作行為進(jìn)行細(xì)粒度分析的安全設(shè)備，它可提供實(shí)時監(jiān)控、違規(guī)響應(yīng)、歷史行為回溯等操作分析功能，是滿足數(shù)據(jù)庫風(fēng)險管理和內(nèi)控要求、提升內(nèi)部安全監(jiān)管，保障數(shù)據(jù)庫安全的有效手段。數(shù)據(jù)庫審計(jì)基本要求全面的數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì)系統(tǒng)能夠?qū)I(yè)務(wù)網(wǎng)絡(luò)中Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Cache、達(dá)夢等數(shù)據(jù)庫進(jìn)行全方位的安全審計(jì),數(shù)據(jù)庫審計(jì)數(shù)量不受限制。具體包括：1)數(shù)據(jù)訪問審計(jì)：記錄所有對保護(hù)數(shù)據(jù)的訪問信息，包括主機(jī)訪問、文件操作、數(shù)據(jù)庫執(zhí)行SQL語句或存儲過程等。系統(tǒng)審計(jì)所有用戶對關(guān)鍵數(shù)據(jù)的訪問行為，防止外部黑客入侵訪問和內(nèi)部人員非法獲取敏感信息。2)數(shù)據(jù)變更審計(jì)：統(tǒng)計(jì)和查詢所有被保護(hù)數(shù)據(jù)的變更記錄，包括核心業(yè)務(wù)數(shù)據(jù)庫表結(jié)構(gòu)、關(guān)鍵數(shù)據(jù)文件的修改操作等等，防止外部和內(nèi)部人員非法篡改重要的業(yè)務(wù)數(shù)據(jù)。3)權(quán)限操作審計(jì)：統(tǒng)計(jì)和查詢所有用戶的登錄成功和失敗嘗試記錄，記錄所有用戶的訪問操作和用戶配置信息及其權(quán)限變更情況，可用于事故和故障的追蹤和診斷。4）數(shù)據(jù)庫安全：支持對SQL注入、跨站腳本攻擊等web攻擊的識別與告警。簡易部署數(shù)據(jù)庫審計(jì)系統(tǒng)利用業(yè)務(wù)協(xié)議檢測技術(shù)，系統(tǒng)能夠識別各類數(shù)據(jù)庫的訪問協(xié)議、FTP協(xié)議、TELNET協(xié)議、HTTP等協(xié)議，經(jīng)過審計(jì)引擎的智能分析，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和操作違規(guī)行為。數(shù)據(jù)庫審計(jì)系統(tǒng)部署方便，即插即用，對業(yè)務(wù)網(wǎng)絡(luò)沒有影響。系統(tǒng)不僅支持多個網(wǎng)段審計(jì)；更可分布式部署，實(shí)現(xiàn)對大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)的審計(jì)。業(yè)務(wù)操作實(shí)時監(jiān)控回放數(shù)據(jù)庫審計(jì)系統(tǒng)對訪問數(shù)據(jù)庫操作進(jìn)行實(shí)時、詳細(xì)的監(jiān)控和審計(jì)，支持過程回放，真實(shí)地展現(xiàn)用戶的操作。借助基于會話的行為分析（Session-basedBehaviorAnalysis）技術(shù)，審計(jì)員可以對當(dāng)前網(wǎng)絡(luò)中所有訪問者進(jìn)行基于時間的審查，了解每個訪問者任意一段時間內(nèi)先后進(jìn)行了什么操作，并支持訪問過程回放。數(shù)據(jù)庫審計(jì)系統(tǒng)真正實(shí)現(xiàn)了對“誰、什么時間段內(nèi)、對什么（數(shù)據(jù)）、進(jìn)行了哪些操作、結(jié)果如何”的全程審計(jì)。數(shù)據(jù)庫審計(jì)系統(tǒng)主要功能全方位的數(shù)據(jù)庫審計(jì)多數(shù)據(jù)庫系統(tǒng)及運(yùn)行平臺支持?jǐn)?shù)據(jù)庫審計(jì)系統(tǒng)產(chǎn)品能夠?qū)Χ喾N操作系統(tǒng)平臺下各個品牌、各個版本的數(shù)據(jù)庫進(jìn)行審計(jì)。產(chǎn)品能夠?qū)徲?jì)的數(shù)據(jù)庫系統(tǒng)包括：Oracle8i/9i/10g/11gSQLServer2000/2005/2008IBMDB2//IBMInformixDynamicServer//Sybase/MySQL//國產(chǎn)數(shù)據(jù)庫，例如達(dá)夢產(chǎn)品能夠?qū)徲?jì)的數(shù)據(jù)庫運(yùn)行平臺包括：Windows、Linux、HP-UX、Solaris、AIX。細(xì)粒度數(shù)據(jù)庫操作審計(jì)數(shù)據(jù)庫審計(jì)系統(tǒng)能夠深入細(xì)致地對數(shù)據(jù)庫的各種操作及其內(nèi)容進(jìn)行審計(jì)，并且能夠用戶通過各種方式訪問數(shù)據(jù)庫的行為。系統(tǒng)審計(jì)的行為包括DDL、DML、DCL，以及其它操作等行為；審計(jì)的內(nèi)容可以細(xì)化到庫、表、記錄、用戶、存儲過程、函數(shù)、調(diào)用參數(shù)，等等。如下表所示：操作行為內(nèi)容和描述用戶行為數(shù)據(jù)庫用戶的登錄、注銷數(shù)據(jù)定義語言（DDL）操作CREATE、ALTER、DROP等創(chuàng)建、修改或者刪除數(shù)據(jù)庫對象（表、索引、視圖、存儲過程、觸發(fā)器、域，等等）的SQL指令數(shù)據(jù)操作語言（DML）操作SELECT、DELETE、UPDATE、INSERT等用于檢索或者修改數(shù)據(jù)的SQL指令數(shù)據(jù)控制語言（DCL）操作GRANT，REVOKE等定義數(shù)據(jù)庫用戶的權(quán)限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事務(wù)操作指令實(shí)時回放數(shù)據(jù)庫操作傳統(tǒng)的數(shù)據(jù)庫或者網(wǎng)絡(luò)審計(jì)系統(tǒng)都采用基于指令的操作分析（Command-basedRecordAnalysis）技術(shù)，可以顯示出所有與數(shù)據(jù)庫主機(jī)相關(guān)的操作，但是這些操作都是一條條孤立的指令，無法體現(xiàn)這些操作之間的關(guān)聯(lián)，例如是否是同一用戶的操作、以及操作的時間先后，審計(jì)員被迫從大量的操作記錄中自行尋找蛛絲馬跡，效率低下。借助基于會話的行為分析（Session-basedBehaviorAnalysis）技術(shù)，審計(jì)員可以對當(dāng)前網(wǎng)絡(luò)中所有訪問者進(jìn)行基于時間的審查，了解每個訪問者任意一段時間內(nèi)先后進(jìn)行了什么操作，并支持訪問過程回放。數(shù)據(jù)庫審計(jì)系統(tǒng)真正實(shí)現(xiàn)了對“誰、什么時間段內(nèi)、對什么（數(shù)據(jù)）、進(jìn)行了哪些操作、結(jié)果如何”的全程審計(jì)。事件精準(zhǔn)定位在信息安全及虛擬化背景時代下，單靠某一個信息去定位違規(guī)操作者已經(jīng)成為不可能，如內(nèi)網(wǎng)用戶大多采用DHCP分配IP地址，沒有做IP-MAC綁定及相應(yīng)的準(zhǔn)入規(guī)則，用戶可通過更改操作系統(tǒng)名、IP地址、MAC地址等方式逃避追蹤，傳統(tǒng)的數(shù)據(jù)庫審計(jì)定位往往局限于IP地址和MAC地址，很多時候不具備可信性。因此只有通過關(guān)聯(lián)盡可能多的身份定位信息進(jìn)行定位以及做一定的準(zhǔn)入權(quán)限設(shè)置，其審計(jì)結(jié)果才具有可靠性，才能作為電子證據(jù)。數(shù)據(jù)庫審計(jì)系統(tǒng)產(chǎn)品可以對IP、MAC、操作系統(tǒng)用戶名、使用的工具、應(yīng)用系統(tǒng)賬號等一系列進(jìn)行關(guān)聯(lián)分析，從而追蹤到具體人。事件關(guān)聯(lián)分析數(shù)據(jù)庫審計(jì)系統(tǒng)可對響應(yīng)事件進(jìn)行關(guān)聯(lián)，如根據(jù)IP關(guān)聯(lián)出某段時間內(nèi)該IP所觸發(fā)的告警數(shù)量等；根據(jù)一段時間內(nèi)的數(shù)據(jù)庫或應(yīng)用系統(tǒng)登錄失敗次數(shù)判斷出暴力破解密碼的可能性；根據(jù)賬號的多次登錄判斷賬號信息泄密或共享賬號的可能性；相似SQL語句執(zhí)行時間過長從而判斷該語句設(shè)計(jì)的合理性等。根據(jù)事件關(guān)聯(lián)性分析，自動涌現(xiàn)一批對客戶具有實(shí)用價值的信息，幫助客戶管理和維護(hù)好現(xiàn)有應(yīng)用。訪問工具監(jiān)控數(shù)據(jù)庫審計(jì)系統(tǒng)自動掃描連接數(shù)據(jù)庫的訪問工具。從訪問數(shù)據(jù)庫的源頭進(jìn)行分析，應(yīng)用系統(tǒng)和客戶端工具根據(jù)不同的數(shù)據(jù)庫類型可通過ODBC、JDBC、直連等方式連接數(shù)據(jù)庫，直接連接工具如Winsql、Plsql及C/S架構(gòu)的客戶端工具等。如發(fā)現(xiàn)審計(jì)記錄中出現(xiàn)未知的數(shù)據(jù)庫連接工具或出現(xiàn)規(guī)定之外的連接工具，審計(jì)員可根據(jù)工具監(jiān)控記錄分析出使用過該工具的IP及關(guān)聯(lián)的操作記錄，進(jìn)而取證使用該工具的源頭及操作的合法性。黑白名單審計(jì)數(shù)據(jù)庫審計(jì)系統(tǒng)可根據(jù)客戶意見及實(shí)際審計(jì)情況，將IP、操作語句、賬號等相關(guān)信息加入黑白名單。同時，在應(yīng)用系統(tǒng)中，因應(yīng)用系統(tǒng)對應(yīng)后臺的SQL語句固定，一旦發(fā)現(xiàn)其中含有危險信息則可將對應(yīng)的SQL加入黑名單，而一旦應(yīng)用系統(tǒng)中有某些語句疑似風(fēng)險操作但其實(shí)際并不產(chǎn)生危害則可加入白名單。變量審計(jì)在不同數(shù)據(jù)庫及應(yīng)用系統(tǒng)中，很多值的傳遞都是通過變量進(jìn)行，如在oracle數(shù)據(jù)庫中有綁定變量，在其它數(shù)據(jù)庫中也有變量一說。如審計(jì)不到變量則無法對SQL指令的危險性進(jìn)行判斷。數(shù)據(jù)庫審計(jì)系統(tǒng)可對不同數(shù)據(jù)庫的不同變量進(jìn)行審計(jì)。關(guān)注字段值提取數(shù)據(jù)庫審計(jì)系統(tǒng)可根據(jù)配置，自動提取SQL指令中某關(guān)鍵字段的值，如查詢語句中涉及的時間范圍、查詢的條件。由其是在金融、高值耗材等信息中，可通過查詢條件查詢出財產(chǎn)、費(fèi)用、聯(lián)系人等敏感信息，通過提取關(guān)注字段的值，并通過該值設(shè)置規(guī)則，則可更精確的對數(shù)據(jù)庫訪問操作進(jìn)行精確審計(jì)。

簡單易用數(shù)據(jù)庫審計(jì)系統(tǒng)采用旁路偵聽的方式進(jìn)行工作，對業(yè)務(wù)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行應(yīng)用層協(xié)議和流量分析與審計(jì)，就像真實(shí)世界的攝像機(jī)。利用業(yè)務(wù)協(xié)議檢測技術(shù)，能夠識別各類數(shù)據(jù)庫的訪問協(xié)議、FTP協(xié)議、Telnet協(xié)議、Http等多種應(yīng)用層協(xié)議，經(jīng)過審計(jì)系統(tǒng)的智能分析，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和操作違規(guī)行為。同時，借助業(yè)務(wù)流量監(jiān)測技術(shù)，數(shù)據(jù)庫審計(jì)系統(tǒng)識別網(wǎng)絡(luò)中各種應(yīng)用層協(xié)議的流量，及時發(fā)現(xiàn)流量違規(guī)和異常。數(shù)據(jù)庫審計(jì)系統(tǒng)部署十分方便，即插即用，不必對業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)做任何更改，對業(yè)務(wù)網(wǎng)絡(luò)沒有任何影響。數(shù)據(jù)庫審計(jì)系統(tǒng)可以同時審計(jì)多個不同的網(wǎng)段；多個系統(tǒng)可以級聯(lián)，實(shí)現(xiàn)分布式部署，實(shí)現(xiàn)對大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)的審計(jì)。系統(tǒng)部署后立竿見影，即可自動發(fā)現(xiàn)所偵聽網(wǎng)絡(luò)中的數(shù)據(jù)庫訪問行為。海量存儲數(shù)據(jù)庫審計(jì)系統(tǒng)可以將采集到的所有數(shù)據(jù)包和告警信息統(tǒng)一存儲起來，建立一個集中事件存儲系統(tǒng)，滿足國家標(biāo)準(zhǔn)和法律法規(guī)中對于事件存儲的強(qiáng)制性要求，為安全事故增加追查取證的信息來源和依據(jù)。數(shù)據(jù)庫審計(jì)系統(tǒng)具有海量事件處理和存儲的能力。單臺數(shù)據(jù)庫審計(jì)系統(tǒng)能夠以每秒6000條到24000條的規(guī)模接收數(shù)據(jù)包，能夠在線存儲10億到40億條事件記錄。加上系統(tǒng)的數(shù)據(jù)歸檔與離線存儲功能，數(shù)據(jù)庫審計(jì)系統(tǒng)能夠存儲的數(shù)據(jù)量大小僅取決于服務(wù)器磁盤存儲空間的大??；產(chǎn)品自帶1TB～4TB的存儲空間，用戶亦可以在后期進(jìn)行容量擴(kuò)展。數(shù)據(jù)庫審計(jì)系統(tǒng)在進(jìn)行數(shù)據(jù)管理的時候，對數(shù)據(jù)存儲算法進(jìn)行了充分優(yōu)化，使得使用小型數(shù)據(jù)庫的情況下就達(dá)到了上述性能。此外，用戶在使用本系統(tǒng)的時候，無需購買額外的數(shù)據(jù)庫管理系統(tǒng)和許可，也不必花費(fèi)專門的精力去維護(hù)數(shù)據(jù)庫，這些都大大降低了用戶的總體擁有成本。

典型應(yīng)用數(shù)據(jù)庫審計(jì)系統(tǒng)可應(yīng)用于大中小型政企用戶，專用于保護(hù)業(yè)務(wù)網(wǎng)中的數(shù)據(jù)庫，一般部署于被保護(hù)數(shù)據(jù)源的附近，通過端口鏡像或者