數(shù)據(jù)庫風(fēng)險分析與安全監(jiān)控審計系統(tǒng)(DbXpert)解決方案

華為統(tǒng)一運維接入與審計技術(shù)建議書文檔密級：內(nèi)部公開華為統(tǒng)一運維接入與審計技術(shù)建議書文檔密級：內(nèi)部公開華為機(jī)密，未經(jīng)許可不得集中華為機(jī)密，未經(jīng)許可不得集中10of17華為技術(shù)華為數(shù)據(jù)庫風(fēng)險分析與安全監(jiān)控審計系統(tǒng)〔DbXpert〕技術(shù)建議書、華為技術(shù)20234名目\l“_TOC_250020“產(chǎn)品簡介 3\l“_TOC_250019“客戶需求 3\l“_TOC_250018“產(chǎn)品概述 5\l“_TOC_250017“功能簡介 5\l“_TOC_250016“系統(tǒng)架構(gòu) 6\l“_TOC_250015“系統(tǒng)組成 6\l“_TOC_250014“系統(tǒng)部署 6\l“_TOC_250013“產(chǎn)品功能 8\l“_TOC_250012“功能介紹 8\l“_TOC_250011“功能特點 9\l“_TOC_250010“完整的會話與“細(xì)粒度”數(shù)據(jù)庫審計： 9\l“_TOC_250009“國內(nèi)領(lǐng)先超長SQL語句、綁定變量解析技術(shù)： 11\l“_TOC_250008“靈敏的數(shù)據(jù)庫訪問策略： 12\l“_TOC_250007“全面完整的數(shù)據(jù)庫審計與操作回溯： 14\l“_TOC_250006“全職分別： 16\l“_TOC_250005“產(chǎn)品應(yīng)用 16\l“_TOC_250004“數(shù)據(jù)庫效勞器的應(yīng)用優(yōu)化 17\l“_TOC_250003“數(shù)據(jù)庫效勞器的運維正常運行 17\l“_TOC_250002“敏感數(shù)據(jù)信息的泄密防護(hù) 17\l“_TOC_250001“法律責(zé)任的躲避 17\l“_TOC_250000“產(chǎn)品效勞與技術(shù)支持 17產(chǎn)品簡介客戶需求隨著計算機(jī)技術(shù)的飛速進(jìn)展，數(shù)據(jù)庫的應(yīng)用格外廣泛，深入到各個領(lǐng)域，但隨之而來產(chǎn)問題、敏感數(shù)據(jù)的防竊取和防篡改問題，越來越引起人們的高度重視。數(shù)據(jù)庫系統(tǒng)作為信息的聚攏體，是計算機(jī)信息系統(tǒng)的核心部件，其安全性至關(guān)重要，關(guān)系到企業(yè)興衰、成敗。因此，如何有效地保證數(shù)據(jù)庫系統(tǒng)的安全，實現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)成為業(yè)界人士探究爭論的重要課題之一。由于計算機(jī)和網(wǎng)絡(luò)的普及和廣泛應(yīng)用，越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)運行在數(shù)據(jù)庫平臺上。標(biāo)。如何確保數(shù)據(jù)庫自身的安全，已成為現(xiàn)代數(shù)據(jù)庫系統(tǒng)的主要評測指標(biāo)之一。數(shù)據(jù)庫是信息技術(shù)的核心和根底，廣泛應(yīng)用在電信、金融、政府、商業(yè)、企業(yè)等諸多領(lǐng)域，當(dāng)我們說現(xiàn)代經(jīng)濟(jì)依靠于計算機(jī)時，我們真正的意思是說現(xiàn)代經(jīng)濟(jì)依靠于數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫中儲存著諸如銀行賬戶、醫(yī)療保險、記錄、生產(chǎn)或交易明細(xì)、產(chǎn)品資料等極其重要和敏感的的級別還比不上操作系統(tǒng)和網(wǎng)絡(luò)的安全檢查措施的級別。很多因素都可能破壞數(shù)據(jù)的完整性并導(dǎo)致非法訪問，這些因素包括簡潔程度、密碼安全性較差、誤配置、未被覺察的系統(tǒng)后門以及數(shù)據(jù)庫安全策略的缺失等?？椂际抢眠@些數(shù)據(jù)庫數(shù)據(jù)庫得到人事信息等，如醫(yī)療記錄、人員工資等。因此他們有責(zé)任保護(hù)別人的隱私，并為他們保密。數(shù)據(jù)庫數(shù)據(jù)庫還存有以前的和將來的敏感的金融數(shù)據(jù)，包括貿(mào)易記錄、商業(yè)合同及帳務(wù)數(shù)據(jù)等。像技術(shù)的全部權(quán)、工程數(shù)據(jù)，甚至市場企劃等決策性的機(jī)密信息，必需對竟?fàn)幷弑Ｃ?，并阻擋非法訪問，數(shù)據(jù)庫數(shù)據(jù)庫還包括具體的顧客信息，如財務(wù)帳目，信用卡號及商業(yè)伙伴的信用信息等。目前世界上主流的關(guān)系型數(shù)據(jù)庫，諸如Oracle、Sybase、MicrosoftSQLServer、IBMDB2/Informix等數(shù)據(jù)庫數(shù)據(jù)庫都具有以下特征：用戶帳號及密碼、校驗系統(tǒng)、優(yōu)先級模型和把握數(shù)據(jù)庫的特別許可、內(nèi)置命令〔存儲過程、、Transaction-SQL、OEMC等、中間件、網(wǎng)絡(luò)協(xié)議、強(qiáng)有力的數(shù)據(jù)庫治理有用程序和開發(fā)工具。沒有把安全問題當(dāng)作他們的首要任務(wù)。在安全領(lǐng)域中，類似網(wǎng)頁被修改、電腦中病毒、木馬、流氓軟件、彈出窗口等所造成的經(jīng)濟(jì)損失微乎其微，而一旦數(shù)據(jù)庫消滅安全風(fēng)險并被惡意利用所造成的后果幾乎是災(zāi)難性的和不行挽回的。節(jié)完成全部的安全防范措施。一個安全的系統(tǒng)需要數(shù)據(jù)庫的安全、操作系統(tǒng)的安全、網(wǎng)絡(luò)的安全、應(yīng)用系統(tǒng)自身的安全共同完成。數(shù)據(jù)庫領(lǐng)域的安全措施通常包括：身份識別和身份驗證、自主訪問把握和強(qiáng)制訪問把握、安全傳輸、系統(tǒng)審計、數(shù)據(jù)庫存儲加密等。只有通過綜合有關(guān)安全的各個環(huán)節(jié)，才能確保高度安全的系統(tǒng)。技術(shù)手冊、文檔和白皮書的庫存清單。數(shù)據(jù)庫里的這些信息并不是特別重要的，所以它的安等強(qiáng)有力的內(nèi)置數(shù)據(jù)庫特征，利用對數(shù)據(jù)庫的訪問，獵取對本地操作系統(tǒng)的訪問權(quán)限。這些庫系統(tǒng)與其它數(shù)據(jù)庫有信用關(guān)系，那么入侵者就會危及整個網(wǎng)絡(luò)域的安全。209090年。數(shù)據(jù)信息化目標(biāo)是實現(xiàn)數(shù)據(jù)信息的充分共享。假設(shè)數(shù)據(jù)庫中的數(shù)據(jù)遭到篡改或泄漏，或者被人非法利用，將造成不行估量的損失。由此可見，數(shù)據(jù)庫安全實際上是信息系統(tǒng)信息安全的核心，在這種狀況下，有必要承受專業(yè)的型數(shù)據(jù)庫安全產(chǎn)品，特地對信息系統(tǒng)的數(shù)據(jù)庫進(jìn)展保護(hù)。產(chǎn)品概述解決數(shù)據(jù)庫安全問題。華為數(shù)據(jù)庫風(fēng)險分析與安全監(jiān)控審計系統(tǒng)V1.〔簡稱“DbXpertV1.〕DbXpert通過旁路偵聽的方式對訪問數(shù)據(jù)庫的數(shù)據(jù)流進(jìn)展采集、分析和識別。實時監(jiān)視數(shù)據(jù)庫的運行狀態(tài)，記錄多種訪問數(shù)據(jù)庫行為，覺察對數(shù)據(jù)庫的特別訪問，并對訪問數(shù)據(jù)庫的相關(guān)行為、發(fā)送和接收的相關(guān)內(nèi)容進(jìn)展存儲、分析、排名和查詢。風(fēng)險和挑戰(zhàn)，例如：非法訪問數(shù)據(jù)庫、利用合法訪問數(shù)據(jù)庫身份對數(shù)據(jù)庫進(jìn)展非法操作、正常訪問數(shù)據(jù)庫對數(shù)據(jù)庫進(jìn)展誤操作、上傳下載數(shù)據(jù)、泄露公司敏感和機(jī)密信息。這些威逼和挑戰(zhàn)大事多數(shù)是來自于內(nèi)部合法訪問者的“合法”操作，僅靠某些安全產(chǎn)品如防火墻等的日〔特別是基于應(yīng)用程序的行為審計要求，DbXpert正是在這樣的需求下產(chǎn)生的。華為憑借在安全審計領(lǐng)域多年的技術(shù)積存網(wǎng)絡(luò)數(shù)據(jù)獵取協(xié)議分析技術(shù)、數(shù)據(jù)存儲技術(shù)、數(shù)據(jù)查詢技術(shù)并協(xié)作完善的治理規(guī)章，幫助訪問者應(yīng)對來自網(wǎng)絡(luò)中的風(fēng)險和挑戰(zhàn)。功能簡介DbXpert主要用于網(wǎng)絡(luò)中對數(shù)據(jù)庫的訪問行為、內(nèi)容進(jìn)展審計、報警、過濾和分析，多種數(shù)據(jù)庫的訪問，如：oracle、informix、DB2、SQLserver、sybase等。DbXpert部署于網(wǎng)絡(luò)到數(shù)據(jù)庫的核心交換機(jī)連接處。系統(tǒng)架構(gòu)系統(tǒng)組成DbXpert3個局部組成：①DbXpert偵聽收集引擎；②DbXpert數(shù)據(jù)存儲中心；③DbXpert把握治理中心；DbXpert偵聽收集引擎、DbXpert數(shù)據(jù)存儲中心、DbXpert把握治理中心在物理上部署在同一臺專用效勞器上。DbXpert偵聽收集引擎全面監(jiān)聽網(wǎng)絡(luò)連接到數(shù)據(jù)庫的數(shù)據(jù)流，依據(jù)配置的策略，實時DbXpert數(shù)據(jù)存儲中心的相應(yīng)數(shù)據(jù)庫DbXpertDbXpert把握治理中心的各種策略。DbXpert數(shù)據(jù)存儲中心主要用于各種數(shù)據(jù)保存，并供給各種數(shù)據(jù)查詢。DbXpert把握治理中心主要用于供給審計、治理等策略設(shè)置接口，如配置數(shù)據(jù)庫效勞器治理；程序升級等接口；DbXpertB/S架構(gòu)，通過供給掃瞄器效勞端，DbXpert把握治理中心進(jìn)展操作治理。系統(tǒng)部署面對XXX用戶〔如以以下圖1DbXpert部署在內(nèi)網(wǎng)的核心交換機(jī)上。1XXX用戶的網(wǎng)絡(luò)拓?fù)鋱DDbXpert〔如圖DbXpert2臺核心交換2DbXpert即可。圖2DbXpert在網(wǎng)絡(luò)中的部署方式產(chǎn)品功能功能介紹審計對象：DbXpert所指的審計對象是指DbXpert規(guī)律上能夠?qū)徲嫷臄?shù)據(jù)庫效勞器；DbXpert 可以承受多級部署方式治理審計對象；并且在DbXpert 內(nèi)部可以依據(jù)多種方式來表示審計對象：如客戶端的登錄IP、登錄用戶名、登錄主機(jī)名、登錄程序、來源端口等；效勞端的數(shù)據(jù)庫類型、數(shù)據(jù)庫端口、數(shù)據(jù)庫賬號；會話詳情的SQL語句、消息長度、數(shù)據(jù)庫效勞器返回信息、綁定變量解析等。DbXpert的主要功能包括：系統(tǒng)治理、策略治理、日志審計、統(tǒng)計報表、實時監(jiān)控和系統(tǒng)監(jiān)測。系統(tǒng)治理是對DbXpert接口配置、用戶治理、輸出配置與授權(quán)許可。策略治理是對目標(biāo)數(shù)據(jù)庫效勞器資產(chǎn)的添加、授權(quán)、策略制定、告警設(shè)置等配置功能。其中包括：資產(chǎn)、白名單、對象、策略、動作與治理。會話審計、策略告警、特別告警與系統(tǒng)大事。DbXpert的審計數(shù)據(jù)信息的顯示；以便用戶全面的、統(tǒng)一的、準(zhǔn)時的對數(shù)據(jù)庫效勞器的運行狀況進(jìn)展分析與排錯。其中包括：最策略告警、最違規(guī)操作、最系統(tǒng)大事。功能特點完整的會話與“細(xì)粒度”數(shù)據(jù)庫審計：話過程。完整記錄用戶數(shù)據(jù)庫會話細(xì)節(jié)，包括用戶數(shù)據(jù)庫登錄行為、登出行為、SQL操作用戶名稱、SQL操作源程序名稱、SQL操作源終端名稱、SQL操作源終端登錄用戶名稱、SQL會話參數(shù)設(shè)置、SQL操作語句、SQL操作返回狀態(tài)、SQL操作涉及表組、字段、視圖、索引、過程、函數(shù)、SQLDML操作影響行數(shù)、SQL語句執(zhí)行時間、原始數(shù)據(jù)庫記錄包、超長SQL語句、綁定變量解析等。此功能國內(nèi)唯一。SQLSQL操作語句。實時監(jiān)控來自各個層面的全部數(shù)據(jù)庫活動，包括網(wǎng)絡(luò)流量、數(shù)據(jù)包、突發(fā)連接、并發(fā)連接、SQL語句的實時數(shù)量，并且供給實時的視圖窗口查看數(shù)據(jù)庫的運行狀態(tài)。它可以幫助DBA更好的治理數(shù)據(jù)庫。供給靈敏的數(shù)據(jù)庫訪問行為來源限制，可選擇無視審計特定網(wǎng)絡(luò)和主機(jī)產(chǎn)生的數(shù)據(jù)庫SQL操作；亦可限制僅對特定“嫌疑”對象進(jìn)展細(xì)粒度、全方位審計，包括記錄整個數(shù)據(jù)庫操作會話過程全部網(wǎng)絡(luò)數(shù)據(jù)包。Oracle8/9/10/11SybaseSQLServer2023/2023Informix全部版本、DB2全部版本。SQL語句、綁定變量解析技術(shù)：DbXpert是基于流和會話技術(shù)，進(jìn)展全狀態(tài)、全協(xié)議解碼，能完整的、細(xì)粒度的解析超長SQL語句、綁定變量。目前五大商用數(shù)據(jù)庫客戶端與效勞端之間是基于數(shù)據(jù)庫的查詢是通過BindVariableBindVariable的變量的名字，BindVariable的數(shù)值。該功能國內(nèi)唯一。BindVariableSQL靈敏的數(shù)據(jù)庫訪問策略：供給來源〔客戶端〕登錄IP特別探測、數(shù)據(jù)庫登錄用戶名稱特別探測、數(shù)據(jù)庫操作源終端特別探測、數(shù)據(jù)庫操作源程序名稱特別探測、數(shù)據(jù)庫操作源終端用戶名稱特別探測。供給數(shù)據(jù)庫SQL語句執(zhí)行時間、數(shù)據(jù)庫操作閑置時間策略報警，供給數(shù)據(jù)庫DML、DDLSELECTSQL操作語句返回行數(shù)策略報警。供給全方位的策略規(guī)章匹配，策略因子包括：數(shù)據(jù)庫操作來源IP地址、數(shù)據(jù)庫效勞器IP/端口、數(shù)據(jù)庫類型、數(shù)據(jù)庫名稱、數(shù)據(jù)庫登錄用戶名稱、數(shù)據(jù)庫操作源程序名稱、數(shù)據(jù)SQL操作語句DDLDMDCL、數(shù)據(jù)庫表組〔表、列SCHEMA等。多形式的實時告警：當(dāng)檢測到可疑操作或違反審計規(guī)章的操作時，系統(tǒng)可以通過WEB告警、郵件告警等方式通知數(shù)據(jù)庫治理員。關(guān)。審計記錄記錄原始數(shù)據(jù)網(wǎng)絡(luò)流量包，可下載至本地：全面完整的數(shù)據(jù)庫審計與操作回溯：記錄數(shù)據(jù)庫會話具體細(xì)節(jié)，當(dāng)發(fā)生數(shù)據(jù)庫安全大事時，用戶可依據(jù)數(shù)據(jù)庫地址、源客戶端地址、大事時間、SQL語句關(guān)鍵詞、數(shù)據(jù)庫賬號、數(shù)據(jù)庫地址等，快速檢索定位操作會話。會話審計記錄細(xì)致到每一次事務(wù)/查詢的原始信息，記錄全部的關(guān)鍵信息，至少包括以IP地址、目的IP地址、原始的查詢指令、關(guān)聯(lián)參數(shù)綁定后的數(shù)據(jù)庫SQL操作語句、源應(yīng)用程序名稱、數(shù)據(jù)庫用戶名稱、訪問源操作系統(tǒng)用戶名稱、訪問源操作主機(jī)名稱、高級權(quán)限操作、目標(biāo)數(shù)據(jù)庫、SCHEMA、操作回應(yīng)內(nèi)容、操作返回的錯誤代碼、操作回應(yīng)的時間、操作回應(yīng)條目大小等。供給完善的違規(guī)實時告警，包括特別告警、違反策略告警等。告警信息可依據(jù)數(shù)據(jù)庫地址、數(shù)據(jù)庫名稱、訪問源IP地址、用戶名稱、源程序名稱、源終端名稱等排序、統(tǒng)計和報表?？伸`敏定制報表格式和標(biāo)準(zhǔn)，可依據(jù)要求生成用戶環(huán)境自定義報表。全職分別：SOX法PCI中明確提出對工作人員進(jìn)展職責(zé)分別，系統(tǒng)設(shè)置權(quán)限角色分別。統(tǒng)計分析報表、安全操作日志、維護(hù)日志。并支持角色按模塊靈敏授權(quán)。產(chǎn)品應(yīng)用DbXpert的應(yīng)用，可以讓客戶對產(chǎn)品的應(yīng)用表達(dá)出其真正價值所在，其產(chǎn)品優(yōu)勢有：責(zé)任的躲避。數(shù)據(jù)庫效勞器的應(yīng)用優(yōu)化DbXpert的部署，治理員可以通過治理平臺的各種流量排名工具，來覺察網(wǎng)絡(luò)中的