數(shù)據(jù)庫安全審計Guardium介紹

企業(yè)數(shù)據(jù)庫的安全審計

IBM軟件部

胡穗聰

husuic@

監(jiān)控

vs審計時間每秒的請求頻率監(jiān)控突發(fā)審計持續(xù)審計通過使用過濾減少實(shí)際審計的流量審計意味著需要將信息記錄到磁盤監(jiān)控意味著觀察所有流量數(shù)據(jù)監(jiān)控:三大商業(yè)驅(qū)動力外部威脅防止入侵內(nèi)部威脅識別未授權(quán)的變更防止數(shù)據(jù)泄漏合規(guī)性簡化流程降低成本AuditRequirementsCOBIT(SOX)PCI-DSSISO27002DataPrivacy&ProtectionLawsNISTSP800-53(FISMA)1.AccesstoSensitiveData(Successful/FailedSELECTs)2.SchemaChanges(DDL)

(Create/Drop/AlterTables,etc.)3.DataChanges(DML)(Insert,Update,Delete)4.SecurityExceptions(Failedlogins,SQLerrors,etc.)5.Accounts,Roles&Permissions(DCL)(GRANT,REVOKE)法規(guī)中的合規(guī)性要求DDL=DataDefinitionLanguage(akaschemachanges)DML=DataManipulationLanguage(datavaluechanges)DCL=DataControlLanguage1Guardium簡介建立確?？缭綌?shù)據(jù)庫和應(yīng)用基礎(chǔ)設(shè)施關(guān)鍵數(shù)據(jù)安全的企業(yè)級平臺。

愿景最為廣泛使用的數(shù)據(jù)庫行為監(jiān)控、安全和審計解決方案客戶認(rèn)可100%的可視性和信息，對性能沒有影響，無需改變基礎(chǔ)設(shè)施

13個正在審批中的專利適合擴(kuò)容的企業(yè)級架構(gòu)

OracleMicrosoftIBMDB2IBMInformixSybaseASE,IQMySQL,TeradataDBMS

SolarisHP-UXAIXz/OS-Linux-WindowsOS

OracleEBSPeopleSoft,JDESiebelSAPCustom&other

packagedappsApplications

LDAPKerberosRSASecurIDAuthentication全方位的支持

BMCIBMEMCNEON(mainframe)NetApp(encryption)Technologypartners“5-StarRatings:Easyinstallation,sophisticatedreporting,strongpolicy-basedsecurity.”

“Enterprise-classdatasecurityproductthatshouldbeoneveryorganization'sradar."第三方的認(rèn)可“Dominanceinthisspace”#1ScoresforCurrentOffering,Corporate&ProductStrategyStrategicInvestor

TCPIPCSHMNamedPipesOracleBEQ-TLIDBProtocols全球客戶2全球頂級公司的選擇全球排名前五的銀行Citi，JP-Morgan全球排名前三的零售商中的兩家全球排名前五的保險商中的三家全球兩大飲料生產(chǎn)商Coca-cola，Pepsi最著名的PC廠商DELL政府機(jī)構(gòu)FBI全球15家電信公司三大企業(yè)制造商大型能源公司大型醫(yī)療公司媒體&娛樂品牌電信/基建公司MEDITELCONFIDENTIAL金融公司CONFIDENTIAL能源公司CONFIDENTIAL政府機(jī)構(gòu)CONFIDENTIAL金融公司，日處理百萬條會話客戶：擁有7千5百萬用戶的紐交所上市公司需求:增強(qiáng)

SOX合規(guī)性和數(shù)據(jù)監(jiān)管階段1:監(jiān)控所有特權(quán)用戶的活動，特別是數(shù)據(jù)庫變化.階段2:

專注于數(shù)據(jù)隱私.Environment:全球四個數(shù)據(jù)中心100多臺服務(wù)器上的122個數(shù)據(jù)庫實(shí)例Oracle,IBMDB2,Sybase,SQLServeronAIX,HP-UX,Solaris,WindowsPeopleSoftplus75in-houseapplications可選方案:本地審計因為性能開支不具操作性結(jié)果:目前每天審計百萬條會話記錄(GRANTs,DDL,etc.)捕獲DBAs訪問數(shù)據(jù)庫的記錄每日生成SOX的自動報告使用ticketIDs自動化變更管理調(diào)節(jié)通過兩項外部審計為Dell簡化企業(yè)安防需求:為

SOX,PCI&SAS70提高數(shù)據(jù)安全性簡化并自動化合規(guī)性控制Guardium部署:階段1:在10個數(shù)據(jù)中心部署了300個數(shù)據(jù)庫服務(wù)器

(12周內(nèi))階段2:部署其他725個數(shù)據(jù)庫服務(wù)器環(huán)境

:Oracle&SQLServeronWindows,Linux;OracleRAC,SQLServerclustersOracleEBS,JDE,Hyperionplusin-houseapplications原先的解決方案:利用自開發(fā)的腳本本地記錄

(MS)或?qū)徲?/p>

(Oracle)支持問題;DBA時間需求;大數(shù)據(jù)量問題;SOD問題.結(jié)果:自動化合規(guī)性報告;實(shí)時告警;集中化

PublishedcasestudyinDellPowerSolutionsGuardium解決方案3易損性評估配置評估行為評估基準(zhǔn)設(shè)置100%可視化基于策略的行為異常發(fā)現(xiàn)實(shí)時阻止細(xì)粒度的訪問控制和其他應(yīng)用整合集中式監(jiān)管合規(guī)審計報告自動升級安全審計池用以取證的數(shù)據(jù)挖掘長期保存可發(fā)現(xiàn)所有應(yīng)用和客戶可發(fā)現(xiàn)和分類敏感信息發(fā)現(xiàn)和分類評估和鞏固監(jiān)控和執(zhí)行審計和報告Critical

DataInfrastructure全方位的安全和審計周期監(jiān)控方式17E-BusinessSuiteSwitchorTAPGuardiumS-TAPs用以訪問監(jiān)控(sharedmemory,BEQ,namedpipes,etc.)Guardium網(wǎng)絡(luò)監(jiān)控應(yīng)用和審計庫用戶應(yīng)用無侵入性無需數(shù)據(jù)庫變化最小影響無需基于傳統(tǒng)數(shù)據(jù)庫的本地日志（DBA可輕易修改）細(xì)粒度的策略和監(jiān)控何人，何事，何時，如何實(shí)時告警監(jiān)控包括本地特權(quán)用戶訪問在內(nèi)的所有活動可伸縮的多層架構(gòu)S-TAPS-TAP網(wǎng)絡(luò)CollectorCentralManager&AggregationCollectorS-GATE遠(yuǎn)程人員和外包S-TAPz/OS財務(wù)HRCollectorOff-shoreZ-TAP功能舉例4異常類型

1數(shù)據(jù)庫異常分析1：Exceptionbytype

2：ExceptionbyserverIP3：ExceptionbyclientIP4：ExceptionbySQLcmd出現(xiàn)異常的服務(wù)器鏈接數(shù)據(jù)庫產(chǎn)生異常的客戶端地址詳細(xì)的源程序，SQL命令假如我的客戶代表一小時內(nèi)查看了99條記錄？屬于正常嗎？他看了些什么?2提取敏感信息問題:應(yīng)用服務(wù)器通過常用服務(wù)賬號訪問數(shù)據(jù)庫–

并沒有識別是誰發(fā)起交易(連接池)解決方案:跟蹤用戶訪問應(yīng)用程序與特定的SQL命令支持主流的企業(yè)應(yīng)用(OracleEBS,PeopleSoft,SAP,Siebel,BusinessObjects,Cognos,etc.)附加自定義應(yīng)用(WebLogic,WebSphere,OracleAS,etc.)不改變應(yīng)用服務(wù)ApplicationServerDatabaseServerJoeMarcAppUser3識別來自應(yīng)用層上的欺詐S-GATEHoldSQLConnectionterminatedPolicyViolation:DropConnectionPrivilegedUsersIssueSQLCheckPolicyOnApplianceOracle,DB2,MySQL,Sybase,etc.“數(shù)據(jù)庫