數(shù)據(jù)庫審計方案(共17頁)

1、數(shù)據(jù)庫審計與風險控制解決方案1 概述1.1 數(shù)據(jù)庫面臨的安全挑戰(zhàn)數(shù)據(jù)庫是企業(yè)核心業(yè)務開展過程中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的商業(yè)伙伴和客戶信息，這些信息需要被保護起來，以防止競爭者和其他非法者獲取?；ヂ?lián)網(wǎng)的急速發(fā)展使得企業(yè)的數(shù)據(jù)庫信息價值及可訪問性得到了提升，同時，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴峻的挑戰(zhàn)，概括起來主要表現(xiàn)在以下三個層面：管理層面：主要表現(xiàn)為人員的職責、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時，無法追溯并定位真實的操作者。技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任何安全工具(比如：防火墻、IDS、IPS等)來阻止

2、內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機密信息等行為。審計層面：現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計方法，存在諸多的弊端,比如:數(shù)據(jù)庫審計功能的開啟會影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文件本身存在被篡改的風險，難于體現(xiàn)審計信息的真實性。伴隨著數(shù)據(jù)庫信息價值以及可訪問性提升，使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風險大大增加，如違規(guī)越權(quán)操作、惡意入侵導致機密信息竊取泄漏，但事后卻無法有效追溯和審計。1.2 數(shù)據(jù)庫審計的客觀需求數(shù)據(jù)庫審計與風險控制的目的概括來說主要是三個方面：一是確保數(shù)據(jù)的完整性;二是讓管理者全面了解數(shù)據(jù)庫實際發(fā)生的情況;三是在可疑行為發(fā)生時可以自動啟動預先設置的告警流程，防范數(shù)據(jù)庫風險的

3、發(fā)生。因此，如何采取一種可信賴的綜合途徑，確保數(shù)據(jù)庫活動記錄的100%捕獲是極為重要的，任何一種遺漏關(guān)鍵活動的行為，都會導致數(shù)據(jù)庫安全上的錯誤判斷，并且干擾數(shù)據(jù)庫在運行時的性能。只有充分理解企業(yè)對數(shù)據(jù)庫安全審計的客觀需求，才能夠給出行之有效的解決方案：捕捉數(shù)據(jù)訪問：不論在什么時間、以什么方式、只要數(shù)據(jù)被修改或查看了就需要自動對其進行追蹤;捕捉數(shù)據(jù)庫配置變化：當“數(shù)據(jù)庫表結(jié)構(gòu)、控制數(shù)據(jù)訪問的權(quán)限和數(shù)據(jù)庫配置模式”等發(fā)生變化時，需要進行自動追蹤;自動防御：當探測到值得注意的情況時，需要自動啟動事先設置的告警策略，以便數(shù)據(jù)庫安全管理員及時采取有效應對措施，對于嚴重影響業(yè)務運行的高風險行為甚至可以立即

4、阻斷;審計策略的靈活配置和管理：提供一種直截了當?shù)姆椒▉砼渲盟心繕朔掌鞯膶徲嬓问?、具體說明關(guān)注的活動以及風險來臨時采取的動作;審計記錄的管理：將從多個層面追蹤到的信息自動整合到一個便于管理的，長期通用的數(shù)據(jù)存儲中，且這些數(shù)據(jù)需要獨立于被審計數(shù)據(jù)庫本身;靈活的報告生成：臨時和周期性地以各種格式輸出審計分析結(jié)果，用于顯示、打印和傳輸;1.3 現(xiàn)有的數(shù)據(jù)庫審計解決方案的不足傳統(tǒng)的審計方案，或多或少存在一些缺陷，主要表現(xiàn)在以下幾個方面：傳統(tǒng)網(wǎng)絡安全方案：依靠傳統(tǒng)的網(wǎng)絡防火墻及入侵保護系統(tǒng)(IPS)，在網(wǎng)絡中檢查并實施數(shù)據(jù)庫訪問控制策略。但是網(wǎng)絡防火墻只能實現(xiàn)對IP地址、端口及協(xié)議的訪問控制，無法識

5、別特定用戶的具體數(shù)據(jù)庫活動(比如：某個用戶使用數(shù)據(jù)庫客戶端刪除某張數(shù)據(jù)庫表);而IPS雖然可以依賴特征庫有限阻止數(shù)據(jù)庫軟件已知漏洞的攻擊，但他同樣無法判別具體的數(shù)據(jù)庫用戶活動，更談不上細粒度的審計。因此，無論是防火墻，還是IPS都不能解決數(shù)據(jù)庫特權(quán)濫用等問題。基于日志收集方案：需要數(shù)據(jù)庫軟件本身開啟審計功能，通過采集數(shù)據(jù)庫系統(tǒng)日志信息的方法形成審計報告，這樣的審計方案受限于數(shù)據(jù)庫的審計日志功能和訪問控制功能，在審計深度、審計響應的實時性方面都難以獲得很好的審計效果。同時，開啟數(shù)據(jù)庫審計功能，一方面會增加數(shù)據(jù)庫服務器的資源消耗，嚴重影響數(shù)據(jù)庫性能;另一方面審計信息的真實性、完整性也無法保證。其他

6、諸如應用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認證系統(tǒng)授權(quán)等等方式，均只能記錄有限的信息，更加無法提供細料度的數(shù)據(jù)庫操作審計。1.4 本方案解決的數(shù)據(jù)庫安全問題為了解決企業(yè)數(shù)據(jù)庫安全領(lǐng)域的深層次、應用及業(yè)務邏輯層面的安全問題及審計需求，杭州安恒信息技術(shù)有限公司依靠其對入侵檢測技術(shù)的深入研究及安全服務團隊積累的數(shù)據(jù)庫安全知識，研制并成功推出了全球領(lǐng)先的、面向企業(yè)核心數(shù)據(jù)庫的、集“全方位的風險評估、多視角的訪問控制、深層次的審計報告”于一體的數(shù)據(jù)庫審計與風險控制設備，即明御數(shù)據(jù)庫審計與風險控制系統(tǒng)，為企業(yè)核心數(shù)據(jù)庫提供全方位安全防護。在企業(yè)業(yè)務支撐網(wǎng)絡中部署了明御數(shù)據(jù)庫審計與風險控制系統(tǒng)，可以實現(xiàn)企業(yè)核心數(shù)

7、據(jù)庫的“系統(tǒng)運行可視化、日常操作可跟蹤、安全事件可鑒定”目標，解決企業(yè)數(shù)據(jù)庫所面臨的管理層面、技術(shù)層面、審計層面的三大風險,以滿足企業(yè)的不斷增長的業(yè)務需要。明御數(shù)據(jù)庫審計與風險控制系統(tǒng)對于企業(yè)數(shù)據(jù)庫的安全防護功能，概括起來體現(xiàn)在以下三個方面：首先：明御數(shù)據(jù)庫審計與風險控制系統(tǒng)采用“網(wǎng)絡抓包、本地操作審計”組合工作模式，結(jié)合安恒專用的硬件加速卡，確保數(shù)據(jù)庫訪問的100%完整記錄，為后續(xù)的日常操作跟蹤、安全事件鑒定奠定了基礎(chǔ)。其次：明御數(shù)據(jù)庫審計與風險控制系統(tǒng)通過專利級的雙引擎技術(shù)，一方面利用數(shù)據(jù)庫安全研究團隊多年積累的安全知識庫，防止無意的危險誤操作，阻止數(shù)據(jù)庫軟件漏洞引起的惡意攻擊;另一方面，

8、依賴智能自學習過程中動態(tài)創(chuàng)建的安全模型與異常引擎相結(jié)合，有效控制越權(quán)操作、違規(guī)操作等異常操作行為。再者：明御數(shù)據(jù)庫審計與風險控制系統(tǒng) 依賴其獨特的數(shù)據(jù)庫安全策略庫，可以深入到應用層協(xié)議(如操作命令、數(shù)據(jù)庫對象、業(yè)務操作過程)實現(xiàn)細料度的安全審計，并根據(jù)事先設置的安全策略采取諸如產(chǎn)生告警記錄、發(fā)送告警郵件(或短信)、提升風險等級、加入黑名單、立即阻斷等響應。同時，明御數(shù)據(jù)庫審計與風險控制系統(tǒng)可以提供多視角的審計報告，即根據(jù)實時記錄的網(wǎng)絡訪問情況，提供多種安全審計報告，更清晰地了解系統(tǒng)的使用情況以及安全事件的發(fā)生情況，并可根據(jù)這些安全審計報告進一步修改和完善數(shù)據(jù)庫安全策略庫。2 方案總體結(jié)構(gòu)2.1

9、 主要功能如下圖所示，數(shù)據(jù)庫審計與風險控制系統(tǒng)主要的功能模塊包括“靜態(tài)審計、實時監(jiān)控與風險控制、動態(tài)審計(全方位、細粒度)、審計報表、安全事件回放、審計對象管理、系統(tǒng)配置管理管理”幾個部分。2.1.1 數(shù)據(jù)庫靜態(tài)審計數(shù)據(jù)庫靜態(tài)審計的目的是代替繁瑣的手工檢查,預防安全事件的發(fā)生。數(shù)據(jù)庫審計與風險控制系統(tǒng)依托其權(quán)威性的數(shù)據(jù)庫安全規(guī)則庫，自動完成對幾百種不當?shù)臄?shù)據(jù)庫不安全配置、潛在弱點、數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補丁、數(shù)據(jù)庫潛藏木馬等等靜態(tài)審計，通過靜態(tài)審計，可以為后續(xù)的動態(tài)防護與審計的安全策略設置提供有力的依據(jù)。2.1.2 實時監(jiān)控與風險控制數(shù)據(jù)庫審計與風險控制系統(tǒng)可保護業(yè)界主流的數(shù)據(jù)庫系統(tǒng)，防

10、止受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等的侵害。當用戶與數(shù)據(jù)庫進行交互時，數(shù)據(jù)庫審計與風險控制系統(tǒng)會自動根據(jù)預設置的風險控制策略，結(jié)合對數(shù)據(jù)庫活動的實時監(jiān)控信息，進行特征檢測及審計規(guī)則檢測，任何嘗試的攻擊或違反審計規(guī)則的操作都會被檢測到并實時阻斷或告警。2.1.3 數(shù)據(jù)庫動態(tài)審計數(shù)據(jù)庫審計與風險控制系統(tǒng)基于“數(shù)據(jù)捕獲應用層數(shù)據(jù)分析監(jiān)控、審計和響應” 的模式提供各項安全功能，使得它的審計功能大大優(yōu)于基于日志收集的審計系統(tǒng)，通過收集一系列極其豐富的審計數(shù)據(jù)，結(jié)合細粒度的審計規(guī)則、以滿足對敏感信息的特殊保護需求。數(shù)據(jù)庫動態(tài)審計可以徹底擺脫數(shù)據(jù)庫的黑匣子狀態(tài)，提供4W(who/when/where/

11、what)審計數(shù)據(jù)。通過實時監(jiān)測并智能地分析、還原各種數(shù)據(jù)庫操作，解析數(shù)據(jù)庫的登錄、注銷、插入、刪除、存儲過程的執(zhí)行等操作，還原SQL操作語句;跟蹤數(shù)據(jù)庫訪問過程中的所有細節(jié)，包括用戶名、數(shù)據(jù)庫操作類型、所訪問的數(shù)據(jù)庫表名、字段名、操作執(zhí)行結(jié)果、數(shù)據(jù)庫操作的內(nèi)容取值等。全方位的數(shù)據(jù)庫活動審計：實時監(jiān)控來自各個層面的所有數(shù)據(jù)庫活動。如：來自應用程序發(fā)起的數(shù)據(jù)庫操作請求、來自數(shù)據(jù)庫客戶端工具的操作請求、來自數(shù)據(jù)庫管理人員遠程登錄數(shù)據(jù)庫服務器產(chǎn)生的操作請求等。完整的雙向?qū)徲嫞撼蓪崟r監(jiān)控數(shù)據(jù)庫的請求操作以外，還可以實時監(jiān)控所有請求操作后數(shù)據(jù)庫的回應信息，如命令執(zhí)行情況，錯誤信息等。潛在危險活動重要審

12、計：提供對DDL類操作、DML類操作的重要審計功能，重要審計規(guī)則的審計要素可以包括：用戶、源IP地址、操作時間(任意天、一天中的時間、星期中的天數(shù)、月中的天數(shù))、使用的SQL操作類型(Select/Delete/Drop/Insert/Update)。當某個數(shù)據(jù)庫活動匹配了事先定義的重要審計規(guī)則時，一條報警將被記錄以進行審計。重要審計規(guī)則設置：重要審計結(jié)果展示：敏感信息細粒度審計：對業(yè)務系統(tǒng)的重要信息，提供完全自定義的、精確到字段及記錄內(nèi)容的細粒度審計功能。自定義的審計要素包括登錄用戶、源IP地址、數(shù)據(jù)庫對象(分為數(shù)據(jù)庫用戶、表、字段)、操作時間段(本日、本周、本月、最近三小時、最近十二小時、

13、最近二十四小時、最近七天、最近三十天、任意時間段)、使用的SQL操作類型(select/delete/drop/insert/update/create/turncate)、記錄內(nèi)容。根據(jù)操作類型及記錄內(nèi)容進行細粒度審計：細粒度審計結(jié)果展示：遠程ftp操作審計與回放：對發(fā)生在數(shù)據(jù)庫服務器上的ftp命令進行實時監(jiān)控、審計及回放。審計的要素包括：ftp用戶、ftp客戶端IP地址、命令執(zhí)行時間段(本日、本周、本月、最近三小時、最近十二小時、最近二十四小時、最近七天、最近三十天、任意時間段)、執(zhí)行的ftp命令(get/put/ls等等)。自定義ftp操作審計：ftp審計結(jié)果展示：ftp回放：遠程tel

14、net操作審計與回放：對發(fā)生在數(shù)據(jù)庫服務器上的Telnet命令進行實時監(jiān)控、審計及回放。審計的要素包括：telnet用戶、telnet客戶端IP地址、命令執(zhí)行時間段(本日、本周、本月、最近三小時、最近十二小時、最近二十四小時、最近七天、最近三十天、任意時間段)、telnet登錄后執(zhí)行的系統(tǒng)命令(login/pwd/root等等)。自定義telnet操作審計：telnet操作審計結(jié)果展示：會話分析與查看：單個離散的操作(Sql操作、ftp命令、telnet命令)還不足于了解用戶的真實意圖，一連串的操作所組成的一個完整會話展現(xiàn)，可以更加清晰地判斷用戶的意圖(違規(guī)的粗心的惡意的)。Telent操作審

15、計會話查看：2.1.4 審計報表數(shù)據(jù)庫審計與風險控制系統(tǒng)內(nèi)嵌了功能強大的報表模塊，除了按安全經(jīng)驗、行業(yè)需求分類的預定義固定格式報表外，管理員還可以利用報表自定義功能生成定制化的報告。報告模塊同時支持Word、Excel、PowerPoint、Pdf格式的數(shù)據(jù)導出。系統(tǒng)缺省提供以下報表：數(shù)據(jù)庫攻擊源統(tǒng)計示意圖：數(shù)據(jù)庫操作審計示意：同時提供靈活的格式報表功能，可以方便的根據(jù)業(yè)務邏輯來動態(tài)格式化報表元素，提供強大的樣式定義，對于熟悉CSS的設計人員來說，可以設計出相當出色的報表樣式。2.1.5 安全事件回放允許安全管理員提取歷史數(shù)據(jù)，對過去某一時段的事件進行回放，真實展現(xiàn)當時的完整操作過程，便于分析

16、和追溯系統(tǒng)安全問題。很多安全事件或者與之關(guān)聯(lián)的事件在發(fā)生一段時間后才引發(fā)相應的人工處理, 這個時候, 作為獨立審計的數(shù)據(jù)庫審計與風險控制系統(tǒng)就發(fā)揮特別的作用. 因為所有的FTP、telnet、客戶端連接等事件都保存后臺(包括相關(guān)的告警), 對相關(guān)的事件做定位查詢，縮小范圍，使得追溯變得容易;同時由于這是獨立監(jiān)控審計模式, 使得相關(guān)的證據(jù)更具有公證性。Sql操作回放示意圖：telnet命令回放示意圖：2.1.6 綜合管理數(shù)據(jù)庫審計與風險控制系統(tǒng)提供WEB-base的管理頁面，數(shù)據(jù)庫安全管理員在不需要安裝任何客戶端軟件的情況下，基于標準的瀏覽器即可完成對數(shù)據(jù)庫審計與風險控制系統(tǒng)的相關(guān)配置管理，主要

17、包括“審計對象管理、系統(tǒng)管理、用戶管理、功能配置、風險查詢”等。下圖為審計對象配置示意圖：下圖為系統(tǒng)配置示意圖：下圖為風險查詢示意圖：2.2 審計流程明御數(shù)據(jù)庫審計與風險控制系統(tǒng)數(shù)據(jù)庫審計流程如下圖所示：2.2.1 審計數(shù)據(jù)采集明御數(shù)據(jù)庫審計與風險控制系統(tǒng)審計數(shù)據(jù)采集的方式包括：網(wǎng)絡抓包、本地操作審計，采集的內(nèi)容主要包括：賬號登錄行為數(shù)據(jù)：采集對賬號登錄動作的審計。具體包括：賬號名稱、登錄成功或登錄失敗、用戶終端IP/ID、登錄時間等;對異常動作的審計記錄，應記錄越權(quán)企圖、用戶終端IP/ID、登錄時間等;賬號登錄后各種操作記錄，記錄各種操作的操作人員、操作時間、操作內(nèi)容，具體包括：對數(shù)據(jù)庫的一

18、般操作記錄;對關(guān)鍵數(shù)據(jù)的操作記錄;數(shù)據(jù)庫特殊命令的操作記錄明御數(shù)據(jù)庫審計與風險控制系統(tǒng)對審計數(shù)據(jù)的采集大多數(shù)情況下是通過網(wǎng)絡獲取，由于其采用了專用硬件加速接口卡，可以在千兆環(huán)境下線速捕獲，因此保證了明御數(shù)據(jù)庫審計與風險控制系統(tǒng)具備交換機一樣的高吞吐量和低延時、并且確保了審計信息的不會丟失。2.2.2 審計數(shù)據(jù)標準化審計數(shù)據(jù)來源自多種方式采集的數(shù)據(jù)，而這些數(shù)據(jù)定義的格式不盡相同。所以，審計數(shù)據(jù)的標準化就必須把這些不同格式的事件轉(zhuǎn)化成標準格式，然后寫入審計數(shù)據(jù)庫。在標準化的過程中，也需要對多種方式采集的數(shù)據(jù)進行排重處理。2.2.3 審計數(shù)據(jù)歸并對于標準化處理后的審計數(shù)據(jù)必須對某些數(shù)據(jù)進行歸并(會聚

19、)。歸并規(guī)則，就是在什么情況下，滿足什么條件，對哪些字段進行歸并。事件歸并功能可以對海量的審計數(shù)據(jù)依據(jù)歸并條件進行歸并，達到簡化審計數(shù)據(jù)，提高審計數(shù)據(jù)準確率。審計數(shù)據(jù)歸并規(guī)則包含以下屬性：歸并字段：歸并處理的審計數(shù)據(jù)字段，所列字段內(nèi)容相同的審計數(shù)據(jù)才進行歸并;歸并時間：歸并審計數(shù)據(jù)的時間窗口，指多長時間進行一次歸并;歸并數(shù)目：需要歸并事件的數(shù)量，指多少事件進行一次歸并;對被歸并審計數(shù)據(jù)的處理方式：被歸并的審計數(shù)據(jù)以何種方式進行處理;被歸并審計數(shù)據(jù)的處理方式：丟棄：直接將被歸并審計數(shù)據(jù)全部丟棄，不寫入數(shù)據(jù)庫;寫入數(shù)據(jù)庫：將被歸并審計數(shù)據(jù)全部寫入數(shù)據(jù)庫;通過預設歸并規(guī)則的模板，方便對海量審計數(shù)據(jù)的

20、歸并，明御數(shù)據(jù)庫審計與風險控制系統(tǒng)提供以下預設模板：根據(jù)審計數(shù)據(jù)名稱進行歸并分析;根據(jù)審計數(shù)據(jù)的類型進行歸并分析;根據(jù)審計數(shù)據(jù)的原始時間進行歸并分析;根據(jù)受審計的設備類型進行歸并分析;2.2.4 安全事件關(guān)聯(lián)通過安全事件關(guān)聯(lián)功能，來深度挖掘安全隱患、判斷審計數(shù)據(jù)的嚴重程度，包括關(guān)聯(lián)分析的類型和關(guān)聯(lián)分析規(guī)則的內(nèi)容?；跁r序關(guān)聯(lián)規(guī)則：將賬號的登錄行為和賬號各種業(yè)務操作行為根據(jù)時序進行關(guān)聯(lián)。通過時序關(guān)聯(lián)，形成某一個賬號連續(xù)的登錄行為和操作行為，根據(jù)制定審計策略判斷其是否業(yè)務操作習慣;根據(jù)時序關(guān)聯(lián)判斷執(zhí)行每個業(yè)務操作的賬號是否具有正常的登錄記錄等;基于賬號與重要操作行為的關(guān)聯(lián)：將對數(shù)據(jù)庫系統(tǒng)的重要業(yè)務

21、操作時所使用的賬號信息進行關(guān)聯(lián)，用來判斷該賬號是否正常使用;判斷該賬號是否具有該項權(quán)限所對應的權(quán)限范圍，是否為合法用戶等等?；谫~號與權(quán)限關(guān)聯(lián)：將賬號應該對應的權(quán)限與實際系統(tǒng)中賦予的權(quán)限進行關(guān)聯(lián)，用來審計賬號的訪問權(quán)限是否合理;查詢資源的授權(quán)訪問者，權(quán)限的分配時間、分配者等是否和審批的一致。2.2.5 審計結(jié)果呈現(xiàn)審計數(shù)據(jù)的呈現(xiàn)與安全風險管理是密切相關(guān)的。明御數(shù)據(jù)庫審計與風險控制系統(tǒng)提供對審計數(shù)據(jù)進行實時監(jiān)控和實時展現(xiàn)。在審計數(shù)據(jù)的展現(xiàn)或響應中，可以支持郵件、彈出窗口、syslog、SNMP Trap、手機信息、聲音報警等多種方式。2.2.6 靈活的報告展現(xiàn)明御數(shù)據(jù)庫審計與風險控制系統(tǒng)內(nèi)嵌了功能強大的報表模塊，除了按安全經(jīng)驗、行業(yè)需求分類的預定義固定格式報表外，管理員還可以利用報表自定義功能生成定制化的報告。報告模塊同時支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式的數(shù)據(jù)導出。支持兩種報表生成模式，即預