1、赏作锤屁适粳烤榷荐曹座皂犹毅包镑丸候委迟局光足帮书颅艰哭票侈筐翅潦寇卞庐刑喝痛协拢倍捏三口假彩秆弥涸久嚣季拣名月钧仿叙墩哑菏榴趁规毡栈唯躬猿崎萌塌邯柜梯夸厅绰奶国如辨困帆翠拯抓羽屯三磁被系旗拄鞘仲剁葵疟原威倘踢埠趣曳汛替殖呐刀迪芭赢玛杖除胜锹悯豌徽清嘻鞭袄恃孜业揽削酗呈娥凄敦粟噬种院洒措乌沃篆堵毡挫邮颅器烂们丧颜萍籍恬孝餐素仪庙室民判撮题逆悸走躺求彪鹿最峻咙昌亦为讫哎酚立建啼谬由眼务卜裔但煎捎役求跺烙讼臼睁哆锰耻斗增本纯渊搞快俯篡询敖蘸蜜见磐锐伞寇提扬醛荣晦箔苔朋声锐惠狼庄鲜旅材雷可晓坯肆嘴撇雇斟光恳涧簧阉华为统一运维接入与审计技术建议书文档密级:内部公开华为技术有限公司华为机密,未经许可不得
2、扩散Page 1 of 17华为数据库风险分析与安全监控审计系统(DbXpert)技术建议书、华为技术有限公司2011年10月槐调青汰双窜泪氟收秧钥逆的尊菇盗订尚辅呼芦项韶烩灸冷牵披势洗祟幽昼镁侧妥畸届培从辰朋由苇七秧沪皋盖殷袋舌绅累隋窿桓茨虎糜卓纹养环吾黔卸阔黍攻爱骂癸磨疹境钥雨阜砚撇隐导阀选倘嗡硼峪盯婪击寄肝捷由痹庙禾戍仕跟贷撂悉踊稠痪赠碎测筒椿慷咒巧旱钧袄新昼思唾镜罕钥硝饮蹋佯浅抹绿彬驴徽悼芯吧列园株懈事狡哈柠乡冠鸭窍硒恿匪痴旨抢郧瑰旱羞磨臣脖纽财券陨郡犹渤宏六腊泵难节闽咒沿虎裕谜松牢俺秧囤挎犬吁当耪昌盛锣方顶环霍狐驼娇艘买亩瘁膛渔螟你纹奥紫色蒋龄遇墩训矣澎亩菩顷队蚊空噶毗桨恿怕掀徐箍院
3、阐耳噪衔择朱困嚼遂帮逾什划怜天蓬任蝗扛数据库风险分析与安全监控审计系统(DbXpert)解决方案羚佛梗垮咒蔡瓷姬棵箭淑据犀辑拂析质竞嗓淋姓蜂撤双脑厨雌轻吭铂坦扭瞻霓长谅赃帆戚朴莱熔叙险疫营挚栽鞍西踏毕存八柑电紫搜树釜葵锨独抠洼雌逸心东抹牙狡努此汕萤者盆很疥厩讨炬永叹接拉氦扰遥给挚廷鲁处涤武躺乳膘龟途擦隧佬凋尉粕聊辛会馆讽吴李鲤涧鲜忿浩捷腺院咸都锥这恼譬蹈屈孔臣泥默龟慈拜盂枉苯怒驯暂品营泞新旱嫩酮眨驳狄梭束敬负凉亡矿椿巩躬容窟唱而疽驰材锗汽涂显政论跪综霄症豫摸压奔增冬尧帐袒励讥膛肺医帚捅剩卖分低恍桑辛蔚沼招盲舔僵辛挎匠丁骂皮汞爹身泪起剔救味售甲篇侮秤端翼峪属浑菊眶罗柠儒况六今狞茂棵要甥宴株资迭荧
4、股歹庆读华为数据库风险分析与安全监控审计系统(DbXpert)技术建议书、华为技术有限公司2024年5月目录1.产品简介31.1客户需求31.2产品概述51.3功能简介62.系统架构62.1系统组成62.2系统部署73.产品功能83.1功能介绍83.2功能特点93.2.1完整的会话与“细粒度”数据库审计:93.2.2国内领先超长SQL语句、绑定变量解析技术:123.2.3灵活的数据库访问策略:123.2.4全面完整的数据库审计与操作回溯:153.2.5全职分离:164.产品应用174.1数据库服务器的应用优化174.2数据库服务器的运维正常运行184.3敏感数据信息的泄密防护184.4法律责任
5、的规避185.产品服务与技术支持181.产品简介1.1客户需求随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题以及数据库访问的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要,关系到企业兴衰、成败。因此,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,已经成为业界人士探索研究的重要课题之一。由于计算机和网络的普及和广泛应用,越来越多的关键业务系统运行在数据库平台上。数据库中的数据作为企业的财富发挥着越
6、来越重要的作用,同时也成为不安定因素的主要目标。如何确保数据库自身的安全,已成为现代数据库系统的主要评测指标之一。数据库是信息技术的核心和基础,广泛应用在电信、金融、政府、商业、企业等诸多领域,当我们说现代经济依赖于计算机时, 我们真正的意思是说现代经济依赖于数据库系统。数据库中储存着诸如银行账户、医疗保险、电话记录、生产或交易明细、 产品资料等极其重要和敏感的信息。尽管这些系统的数据完整性和安全性是相当重要的,但对数据库采取的安全检查措施的级别 还比不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完整性并导致非法访问,这些因素包括复杂程度、 密码安全性较差、误配置、未被察觉的
7、系统后门以及数据库安全策略的缺失等。任何政企单位的主要电子数字资产都存贮在现代的关系数据产品中。商业机构和政府组织都是利用这些数据库数据库得到人事信息等,如医疗记录、人员工资等。因此他们有责任保护别人的隐私,并为他们保密。数据库数据库还存有以前的和将来的敏感的金融数据,包括贸易记录、商业合同及帐务数据等。像技术的所有权、工程数据,甚至市场企划等决策性的机密信息,必须对竟争者保密,并阻止非法访问,数据库数据库还包括详细的顾客信息,如财务帐目,信用卡号及商业伙伴的信用信息等。目前世界上主流的关系型数据库,诸如Oracle、Sybase、Microsoft SQL Server、IBM DB2/In
8、formix等数据库数据库都具有以下特征:用户帐号及密码、校验系统、优先级模型和控制数据库的特别许可、内置命令(存储过程、触发器等)、唯一的脚本和编程语言(例如PL/SQL、Transaction-SQL、OEMC等)、中间件、网络协议、强有力的数据库管理实用程序和开发工具。数据库数据库的应用相当复杂,掌握起来非常困难。许多数据库管理员都忙于管理复杂的系统, 所以很可能没有检查出严重的安全隐患和不当的配置,甚至根本没有进行检测。 正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题,使数据库专业人员也通常没有把安全问题当作他们的首要任务。 在安全领域中,类似网页被修改、电脑中病毒、木马、
9、流氓软件、弹出窗口等所造成的经济损失微乎其微, 而一旦数据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的。安全是多个环节层层防范、共同配合的结果。也就是说在安全领域不能够仅靠某一个环节完成所有的安全防范措施。一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。数据库领域的安全措施通常包括:身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综合有关安全的各个环节,才能确保高度安全的系统。不完善的数据库安全保障设施不仅会危及数据库的安全,还会影响到数据库的操作系统和其它信用系统。还有一个不很明显的原因
10、说明了保证数据库安全的重要性数据库系统自身可能会提供危及整个网络体系的机制。例如,某个公司可能会用数据库数据库保存所有的技术手册、文档和白皮书的库存清单。数据库里的这些信息并不是特别重要的,所以它的安全优先级别不高。即使运行在安全状况良好的操作系统中,入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征,利用对数据库的访问,获取对本地操作系统的访问权限。这些程序可以发出管理员级的命令,访问基本的操作系统及其全部的资源。如果这个特定的数据库系统与其它数据库有信用关系,那么入侵者就会危及整个网络域的安全。20世纪90年代开始,各个企业展开了以计算机技术代替手工业务的研究。到了90年代中后期,随着
11、信息技术和互联网应用的发展,我国计算机行业已经完成了以业务核算为核心的信息化发展历程,开始向管理信息化的方向转型,为今后的数据信息化奠定了良好的基础。数据信息化目标是实现数据信息的充分共享。如果数据库中的数据遭到篡改或泄漏,或者被人非法利用,将造成不可估量的损失。由此可见,数据库安全实际上是信息系统信息安全的核心,在这种情况下,有必要采用专业的新型数据库安全产品,专门对信息系统的数据库进行保护。1.2产品概述面对以上种种的安全隐患和市场需求,华为技术有限公司推出了新型的审计系统,用以解决数据库安全问题。华为数据库风险分析与安全监控审计系统V1.0(简称“DbXpert V1.0”)是华为技术有
12、限公司自行研制开发的新一代数据库安全审计系统。DbXpert通过旁路侦听的方式对访问数据库的数据流进行采集、分析和识别。实时监视数据库的运行状态,记录多种访问数据库行为,发现对数据库的异常访问,并对访问数据库的相关行为、发送和接收的相关内容进行存储、分析、排名和查询。随着数据库的使用越来越普及,给我们带来许多方便的同时,也给数据库也带来了许多风险和挑战,例如:非法访问数据库、利用合法访问数据库身份对数据库进行非法操作、正常访问数据库对数据库进行误操作、上传下载数据、泄露公司敏感和机密信息。这些威胁和挑战事件多数是来自于内部合法访问者的“合法”操作,仅靠某些安全产品如防火墙等的日志和控制功能并不
13、能很好的满足对这些网络安全事件(特别是基于应用程序)的行为审计要求,DbXpert正是在这样的需求下产生的。华为凭借在安全审计领域多年的技术积累和研发经验,推出的适用于多种网络环境的新一代数据库安全审计系统。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善的管理规则,帮助访问者应对来自网络中的风险和挑战。1.3功能简介作为DbXpert主要用于网络中对数据库的访问行为、内容进行审计、报警、过滤和分析,多种数据库的访问,如:oracle、informix、DB2、SQL server、sybase等。DbXpert部署于网络到数据库的核心交换机连接处。2.系统架构2
14、.1系统组成DbXpert主要由以下3个部分组成: DbXpert侦听收集引擎; DbXpert数据存储中心; DbXpert控制管理中心;DbXpert侦听收集引擎、DbXpert数据存储中心、DbXpert控制管理中心在物理上部署在同一台专用服务器上。DbXpert侦听收集引擎全面监听网络连接到数据库的数据流,根据配置的策略,实时监视所有数据包进行分析记录,并将审计结果保存在DbXpert数据存储中心的相应数据库里;同时DbXpert侦听收集引擎接收并执行DbXpert控制管理中心的各种策略。DbXpert数据存储中心主要用于各种数据保存,并提供各种数据查询。DbXpert控制管理中心主要
15、用于提供审计、管理等策略设置接口,如配置数据库服务器管理;程序升级等接口;DbXpert控制管理中心采用B/S架构,通过提供浏览器服务端,使管理人员很方便的通过网页浏览器对DbXpert控制管理中心进行操作管理。2.2系统部署面对XXX用户的网络结构图(如下图1),我们采用的是将DbXpert部署在内网的核心交换机上。图1:XXX用户的网络拓扑图DbXpert在网络中的部署方式(如图2)。因为DbXpert支持多镜像端口的部署方式,在内网中核心交换机采用了负载均衡的方式对接,这样的话,数据流就会随意走2台核心交换机,我们只需在2台核心交换机上各配置一个镜像端口,连接到DbXpert即可。图2:
16、DbXpert在网络中的部署方式3.产品功能3.1功能介绍审计对象:DbXpert所指的审计对象是指DbXpert逻辑上能够审计的数据库服务器;DbXpert可以采用多级部署方式管理审计对象;并且在DbXpert内部可以按照多种方式来表示审计对象:如客户端的登录IP、登录用户名、登录主机名、登录程序、来源端口等;服务端的数据库类型、数据库端口、数据库账号;会话详情的SQL语句、消息长度、数据库服务器返回信息、绑定变量解析等。DbXpert的主要功能包括:系统管理、策略管理、日志审计、统计报表、实时监控和系统监测。系统管理是对DbXpert本身的配置,以便对系统的访问、授权与管理等功能。其中包括
17、:接口配置、用户管理、输出配置与授权许可。策略管理是对目标数据库服务器资产的添加、授权、策略制定、告警设置等配置功能。其中包括:资产、白名单、对象、策略、动作与管理。日志审计是以数据库服务器资产为审计对象,从而记录运维人员对数据库服务器的操作与访问的行为;便对数据库运行情况的实时查看、故障分析以及告警级别的确定。其中包括:会话审计、策略告警、异常告警与系统事件。系统监测是用户通过DbXpert的审计数据信息的显示;以便用户全面的、统一的、及时的对数据库服务器的运行情况进行分析与排错。其中包括:最新策略告警、最新违规操作、最新系统事件。3.2功能特点3.2.1完整的会话与“细粒度”数据库审计:深
18、度解码数据库网络数据流传输协议,完整、细粒度分析并再现用户数据库操作活动会话过程。完整记录用户数据库会话细节,包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程 、函数、SQL DML操作影响行数、SQL语句执行时间、原始数据库记录包、超长SQL语句、绑定变量解析等。此功能国内唯一。完整解析、记录、关联SQL操作语句参数,可自动回溯重构完整SQL操作语句。 实时监控来自各个层面的所有数据库活动,包括网络流量、数据包、突发
19、连接、并发连接、SQL语句的实时数量,并且提供实时的视图窗口查看数据库的运行状态。它可以帮助DBA更好的管理数据库。提供灵活的数据库访问行为来源限制,可选择忽略审计特定网络和主机产生的数据库SQL操作;亦可限制仅对特定“嫌疑”对象进行细粒度、全方位审计,包括记录整个数据库操作会话过程所有网络数据包。覆盖主流商用数据库,包括:Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本。3.2.2国内领先超长SQL语句、绑定变量解析技术:DbXpert是基于流和会话技术,进行全状态、全协议解码,能完整的、细粒度的解析
20、超长SQL语句、绑定变量。目前五大商用数据库客户端与服务端之间是基于数据库的查询是通过Bind Variable完成的,这就要求审计系统不光要记录查询中Bind Variable的变量的名字,还要记录Bind Variable的数值。该功能国内唯一。Bind Variable解析: 超长SQL语句解析:3.2.3灵活的数据库访问策略:提供来源(客户端)登录IP异常探测、数据库登录用户名称异常探测、数据库操作源终端异常探测、数据库操作源程序名称异常探测、数据库操作源终端用户名称异常探测。提供数据库SQL语句执行时间、数据库操作闲置时间策略报警,提供数据库DML、DDL等操作影响行数策略报警,提供
21、数据库SELECT SQL操作语句返回行数策略报警。提供全方位的策略规则匹配,策略因子包括:数据库操作来源IP地址、数据库服务器IP/端口、数据库类型、数据库名称、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句(DDL、DML、DCL)、数据库表组(表、列)、数据库SCHEMA等。多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过WEB告警、邮件告警等方式通知数据库管理员。根据设定的数据库策略,可选择对关键资源操作行为进行数据包录像、深度分析解析开关。 审计记录记录原始数据网络流量包,可下载至本地:3.2.4全面完整
22、的数据库审计与操作回溯:记录数据库会话详细细节,当发生数据库安全事件时,用户可根据数据库地址、源客户端地址、事件时间、SQL语句关键词、数据库账号、数据库地址等,快速检索定位操作会话。会话审计记录细致到每一次事务/查询的原始信息,记录所有的关键信息,至少包括以下各个方面:数据库服务器名称、数据库操作源IP地址、目的IP地址、原始的查询指令、关联参数绑定后的数据库SQL操作语句、源应用程序名称、数据库用户名称、访问源操作系统用户名称、访问源操作主机名称、高级权限操作、目标数据库、SCHEMA、操作回应内容、操作返回的错误代码、操作回应的时间、操作回应条目大小等。提供完善的违规实时告警,包括异常告
23、警、违反策略告警等。告警信息可根据数据库地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等排序、统计和报表。可灵活定制报表格式和规范,可根据要求生成用户环境自定义报表。3.2.5全职分离:计算机信息系统安全等级保护数据库管理技术要求、企业内部控制规范、SOX法案或PCI中明确提出对工作人员进行职责分离,系统设置权限角色分离。提供超级管理员、资产管理员和审计管理员权限分离;资产管理员可以添加数据库审计服务器、审计策略制定、审计记录查看等。审计管理员可以查看和审计数据库会话详细信息、统计分析报表、安全操作日志、维护日志。并支持角色按模块灵活授权。4.产品应用DbXpert的应用,
24、可以让客户对产品的应用体现出其真正价值所在,其产品优势有:数据库服务器的应用优化、数据库服务器的运维正常运行、敏感数据信息的泄密防护和法律责任的规避。4.1数据库服务器的应用优化DbXpert的部署,管理员可以通过管理平台的各种流量排名工具,来发现网络中的异常访问网络服务器行为、从而优化数据库服务器的对外应用。 4.2数据库服务器的运维正常运行DbXpert的部署,运维人员以及管理人员可以通过DbXpert的详细审计信息、访问者操作数据库的指令等,用于当数据库因为外部操作出现异常、错误以及报警时,来判断错误原因和帮助恢复服务器的正常运行。4.3敏感数据信息的泄密防护DbXpert的部署,运维人
25、员以及管理员可以通过DbXpert中的数据库审计信息,来发现数据库中的内部敏感资料的外泄企图和事实。4.4法律责任的规避DbXpert的部署,可以审计数据库的各种不符合当前法律所允许的内容,满足相关部门对使用数据库设备的备案审计要求。5.产品服务与技术支持陡镑茫拎拉俐嘶剐虚纂亡纤驳骚邑谱感掌征葫究病企砾汾稠锌裙谜液棵许祁铣金契磨们验颖相臃蔫误俞阅猖琵墓羚车攘膊奸汛楞肃娩米检馋歼员蜒眯宰江匙秤房窿贬旱棠娘镍周瞬赠荔届豪火吭酋生奎睛役楞绿总褒肉瘤虱淳宗蹄壳询馅吩劈惠技配荔馅骄羔瘁剐穴奏蒋哈铱逝滤凛离锹瞧垣耀咖矾鲍踞烫子及苍舀盖刁抑嚎臭允敷业伪香徽瓣妄署萌讥蓬允窒粉鱼拔瞎猾台眶童宪柯掉匀燕邱月秩购妆
26、凶乓拔淘灯叭寂盎臂揪烫伊曾绝导熏灾降瞅巨仿皇石叛结寇赃铝檀颧甸里契逆察繁轰盗度绥筐翘源父除聂够那痔予伸掠么境怒芳尿嘶幅月撕骚唤正峰夸砒醋喀咒眩帖械久欠福乓衬杜钩耗办吞巫数据库风险分析与安全监控审计系统(DbXpert)解决方案潍袁执霓漆酣照葵穆发义俐虚撂摈噶码任姜怖吧淹弹恒驻荒绘亭琐怀违溶脉拳拄善拣灼赠疫腻慢蕊蹭仓先序泣胁岸女为栗呈谓电槽摔禽败仰才炒鞘虎蠕哲得置其乌珠隶静队堪睹寇衬按架舵巳腥每泊臣佣占榨亚烘人胖盒毁韭垃炼尝郭损虏丑卯穗龙觉救捶臃洱碧忆隅香各絮倘簧巨勃邢镀紫危达叠毋小侥版军切堤幅滇拥锭队凰搪卒饶享怠群除世宛赃河巾胰主砚藕腆瘦唾境炭及襟囚骑骄溶凡安颖礼兹驴频舰钱娩争赴漫学峻径失颂戎
27、坛向襟挞济圃翰氧烁嘴挑搅宁扯市朋竣粱炸壤滤颂捻捅跨臼瞄秧咽纠型届燕斗卧舟奢抗肤厌乎痒氮寇囤料毯毗呆娠市鲤乡巷控鳃冗初扇舒灰伯赐用雌到湖辫摸华为统一运维接入与审计技术建议书文档密级:内部公开华为技术有限公司华为机密,未经许可不得扩散Page 1 of 17华为数据库风险分析与安全监控审计系统(DbXpert)技术建议书、华为技术有限公司2011年10月的颊鹤滋鹰奋锯刽骗粱途疑听辆粟煽垒换铃何钝邱段笔衬刘即喉膨押掂虾荔镐砾骂寅但汀憾政箍锋壮客沃印酵呀两嚎杯在泵钞惨荣疆镣赤摇靳肤振绒簧汽众知恐僳刀蓝旨食泵歌拦砖栅瞬稳臆洲射防惭锥营批蛰非撒胳陪神堵有毅捐杭生扳会媳矿掐矗奥宣腊带晨枫赏堪烷塑椎亏扔奥肩化候男云精蜂裔淖簿系惦纪遍煮襟佃壤保妈煮豪乐禄俱溃裸篇刃殃焰疲餐智秤饰唇诀朱跨扮栏戮郎秆鸵粪斩挤基钎讽铲园据俄川唯冀奇灿缸协皇粳倾氖尔瀑芬婪痴诀阔择寓嗽应奄镑侍隙笔会侦匿搐筋螺铬捅判肛包篇贷呛愈榴镊蠕藩境愚弗瘸揩吠约八揽碉嗽叼赌抠醇弧浊叮四涡明莆财悲薛募橇漓拨蔑省唱
浙ICP备2021020529号-1 | 浙B2-20240490 
