数据库审计系统-技术白皮书V1.0.doc

此处是Logo 数据库审计系统 技术白皮书 地址： 电话： 传真： 邮编： 网站： ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京所有，受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可，不得以任何方式复制或引用本文的任何内容。 ■版本变更记录 时间 版本 说明 修改人 2016.04.05 V1.0 初建 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。 目 录 一. 产品概述 1 二. 应用背景 1 2.1 现状与问题 1 2.1.1 现状 1 2.1.2 问题 2 2.2 需求分析 2 2.2.1 政策需求 2 2.2.1.1 《信息系统安全等级保护基本要求》 2 2.2.1.2 《商业银行信息科技风险管理指引》 3 2.2.2 技术需求 4 2.2.3 管理需求 4 2.2.4 性能需求 4 2.2.5 环境与兼容性需求 4 2.2.6 需求汇总 5 三. 产品介绍 5 3.1 目标 5 3.2 产品功能 6 3.2.1 数据库访问行为记录 6 3.2.2 违规操作告警响应 6 3.2.3 集中存储访问记录 6 3.2.4 访问记录查询 6 3.2.5 数据库安全审计报表 7 3.3 产品部署 7 3.3.1 旁路部署 7 3.3.2 分布式部署 8 3.4 产品特性 9 3.4.1 安全便捷的部署方式 9 3.4.2 日志检索能力 9 3.4.3 灵活的日志查询条件 10 3.4.4 灵活的数据库审计配置策略 10 3.4.5 数据库入侵检测能力 10 3.4.6 符合审计需求设计 11 四. 用户收益 12 4.1 对企业带来的价值 12 4.2 全生命周期日志管理 12 4.3 日常安全运维工作的有力工具 13 数据库审计系统--技术白皮书 © 2016XXXXXXXXXX公司 第 13 页 共 13 页 密级：完全公开 一. 产品概述 数据库审计系统（以下简称 XXX）是一款专业、主动、实时监控数据库安全的审计产品。本系统采用有效的对数据库监控与审计方式，针对数据库漏洞攻击、SQl注入、风险操作等数据库风险操作行为发生记录与告警。能对不同的场景定制审计策略，如：信任，敏感模糊化和行为告警等策略。本系统可以有效的评估数据库潜在风险；实时监控数据库用户的访问行为；它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部网络行为记录，提高数据资产安全。 二. 应用背景 在高速信息化的今天，数据安全问题已涉及到各行各业中，数据泄漏所引发的社会问题持续高涨。信息安全成为国家安全战略的重要部分。 2.1 现状与问题 数据库安全问题是亟待解决的安全核心痛点。 2.1.1 现状 n 数据库是数据信息存储的最主要形式，而当前信息泄露案例的90%以上与数据库相关 n 80%的数据库没有任何防护措施，面对数据篡改、数据破坏、数据泄漏等问题，追踪、定责、挽回损失等方式显得极为疲软 n 在传统IT架构向云计算模式迁移过程中，数据安全成为客户关注的核心问题 2.1.2 问题 互联网的急速发展使得企业的数据库信息价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面： 政策层面： 数据库里保存着客户信息和各类资金数据，数据库的安全不仅关系到用户自身的利益和品牌，还关系到公共秩序甚至国家利益。在国家等级保护、中国人民银行及银监会信息安全规范以及国际支付卡行业数据安全标准等都有着明确的要求。 技术层面： Ø 数据库自身存在重大安全缺陷 （访问控制缺陷、数据库管理系统漏洞、明文存储） Ø 更为复杂的数据库应用环境 （B/S架构的应用使数据库间接暴露到互联网、各种类型的外包工作人员直接访问数据库、数据库共享使各种应用系统程序直连到数据库） Ø 传统防护方案具有局限性 （网络防火墙产品不对数据库通讯协议进行控制、IPS/IDS/网络审计并不能防范那些看起来合法的数据访问、绕过WAF系统的刷库行为屡见不鲜、无法解决来自于业务系统本身的安全威胁、忽略了内部人员的管控） Ø 运维管控存在泄密途径 （测试数据泄密、导出明文备份数据导致泄密、图形化操作无法控制、无法控制返回结果集、恶意程序恶意访问） Ø 内部信息泄漏 （利用数据库的漏洞攻击、应用数据库账户泄露、敏感信息以明文存储、DBA用户操作无法监管） 管理层面： 主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。 伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。 2.2 需求分析 2.2.1 政策需求 2.2.1.1 《信息系统安全等级保护基本要求》 依据信息安全等级保护要求，XXXX应用系统被定义为三级，在安全审计方面均有与数据安全相关的要求，以下为等保关于数据安全的内容。 安全审计 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计； 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录。 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等； 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能 安全审计 数据库管理系统的安全审计应： Ø 建立独立的安全审计系统； Ø 定义与数据库安全相关的审计事件； Ø 设置专门的安全审计员； Ø 设置专门用于存储数据库系统审计数据的安全审计库； Ø 提供适用于数据库系统的安全审计设置、分析和查阅的工具。 2.2.1.2 《商业银行信息科技风险管理指引》 第二十六条 商业银行应通过以下措施，确保所有信息系统的安全： （五）采取安全的方式处理保密信息的输入和输出，防止信息泄露或被盗取、篡改。 （七）以书面或电子格式保存审计痕迹。 （八）要求用户管理员监控和审查未成功的登录和用户账户的修改。 第二十七条 商业银行应制定相关策略和流程，管理所有生产系统的活动日志，以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成，日志划分为两大类： （一） 交易日志。交易日志由应用软件和数据库管理系统产生，内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。 （二） 系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成，内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定，但不能少于一年。 商业银行应保证交易日志和系统日志中包含足够的内容，以便完成有效的内部控制、解决系统故障和满足审计需要；应采取适当措施保证所有日志同步计时，并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定，并报信息科技管理委员会批准。 2.2.2 技术需求 u 审计系统应能在保护数据库安全的前提下，针对运维人员对数据库的访问行为进行审计，审计的内容包括了访问的时间、地址、目标资源以及详细的操作内容呈现。 u 审计系统应对各类数据库进行实时的监控管理，监控数据库的运行状态，保证数据的不中断。能够对各类的数据库进行安全扫描，在发现配置或安全漏洞时提供有限的解决建议，保证数据库的可靠性。 u 审计系统应对重要数据库操作进行审计，审计范围包括数据库维护人员、超级用户以及应用用户行为。 u 审计系统应能够对审计上来的日志有一定的保护能力，不能随意修改和删除日志。日志的存储应采用加密形式进行保存。 2.2.3 管理需求 应对第三方数据库厂家以及超级权限用户进行控制，能够控制其访问数据库的操作，对其所做的操作进行全面的审计，保证重要数据的不丢失不泄密。 2.2.4 性能需求 为了保证系统的不间断运行需对审计系统的性能有一定要求。 在数据正常的情况下应保证： u 峰值处理能力（SQL语句、条/秒）：18000 u 吞吐量（Mb/sec）：2000Mbps u 一万条审计日志搜索时间小于5秒 2.2.5 环境与兼容性需求 审计系统支持以下审计资源以及交换机类型，保证系统的正常上线和后续的使用。 审计资源 数据库类型 版本 端口 Oracle Sybase DB2 Mysql …… 网络连接 交换机类型 版本 镜像端口 …… 2.2.6 需求汇总 通过对于用户的环境的了解以及所提出问题的了解分析，具备需求体现在如下几个方面： u 能够满足等级保护以及行业规定对于数据库安全方面的要求。 u 对登录数据库和操作数据库的人员进行详细的操作审计。 u 能够对用户网络内的数据库系统进行监控与漏洞的扫描。 u 对现有业务和系统不产生任何影响。 u 整体审计系统具备一定的保密性，确保审计数据的安全性。 u 维护简单、具备专业的审计功能，节约人力，减少维护费用。 三. 产品介绍 3.1 目标 u 保护数据库以及核心数据安全； u 提供灵活、便利的策略定制； u 通过事后的合规性分析，帮助您发现针对数据库攻击行为和安全隐患； u 帮助您从多角度了解数据库活动现状； u 帮助您满足合规/审计的要求； u 简化您审计的工作。 3.2 产品功能 3.2.1 数据库访问行为记录 数据库审计系统支持对多种类数据库的操作行为进行采集记录，探测器通过旁路接入，在相应的交换机上配置端口镜像，对用户访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。数据库审计系统支持记录的行为包括： Ø u 数据操作类（如select、insert、delete、update等） u 结构操作类（如create、drop、alter等） u 事务操作类（如Begin Transaction、Commit Transaction、Rollback Transaction 等） u 用户管理类以及其它辅助类（如视图、索引、过程等操作）等数据库访问行 为，并对违规操作行为产生报警事件。 3.2.2 违规操作告警响应 数据库审计系统可通过规则设置对各类数据库操作访问行为进行实时监测，对网络中的异常数据库操作行为及时进行告警响应，实时显示告警信息并记录存储。告警信息可通过邮件或短信等方式通知管理员，以确保管理员在第一时间发现用户对数据库的违规操作。 3.2.3 集中存储访问记录 通过数据库审计系统可以将分布在网络不同位置、不同类型的数据库的访问信息集中到统一的安全审计系统中进行存储，便于对记录数据进行分析。 3.2.4 访问记录查询 数据库审计系统采用专有的特殊文件系统对规范化的日志进行存储，同时也支持Mysql等标准数据库存储，文件存储机制是根据日志系统的特殊性进行专门研发，为海量日志的存储及检索进行了优化设计。产品内置高容量的硬盘存储空间，采用Raid硬盘阵列，可有效防止由于硬盘硬件问题而带来的数据丢失，同时数据库审计系统还支持外挂存储系统，从而实现存储空间的海量扩充。 3.2.5 数据库安全审计报表 数据库审计系统通过动态报表的方式对数据库操作行为审计结果进行统计分析。系统默认内置丰富的报表模板，其中大部分报表均符合SOX法案、等级保护等法规、标准对信息系统的审计需求，同时，用户也可以根据自身的实际需求自定义报表内容，生成审计报表，审计报表可以以HTTP和EXCEL格式导出。 3.3 产品部署 3.3.1 旁路部署 设备旁路在数据库前端交换机，通过接收交换机端口镜像数据流对数据库进行审计，该拓扑方案无需更改任何现有拓扑结构，同时也不会对现网造成任何影响。 图 1 旁路部署拓扑图 3.3.2 分布式部署 和单一部署类似，设备旁路在数据库前端交换机，通过接收交换机端口镜像数据流对数据库进行审计，该拓扑方案无需更改任何现有拓扑结构，不会对现网造成任何影响；多台设备通过管理口通讯级联对规则策略进行同步。 图 2 分布式部署拓扑图 3.4 产品特性 3.4.1 安全便捷的部署方式 数据库审计系统对数据库操作访问行为采用全旁路方式进行审计，无需串联在网络设备中；不在数据库主机上安装客户端软件；不改变客户原有的任何登录方式；部署便捷，不会破坏本身网络结构，不影响数据库系统的性能，实施成本较低。数据库审计系统进行维护、升级时不会影响到正常业务的运行，也不会影响到网络性能。 3.4.2 日志检索能力 数据库审计系统采用了公司自主开发的基于海量日志索引的日志检索引擎，避免了采用关系型数据库在处理海量日志数据时的低效率问题，采用“基于预测的动态索引技术”、“数据正交分组技术”及“适应磁盘的索引存储”“即时结果反馈技术”等核心技术手段，实现了对日志的高速检索能力。 数据库审计系统对于在缓存中的日志（最近入库的日志），以四重以内组合条件查询，能够在5秒内即返回完整的检索结果。对于任意时间段内的历史数据查询，数据库审计系统也能够在数秒钟内即反馈符合要求的检索结果。 3.4.3 灵活的日志查询条件 数据库审计系统支持不限次数的多重条件查询规则设定，管理员可根据日志的类型、发生时间、不同字段内容等条件组合进行精细匹配。 数据库审计系统支持：>、<、=、不等于、包含、时间区间、或、与等十多种常见逻辑符号，支持跨日志查询，管理员能够通过设定规则条件，对日志进行精确定位。 3.4.4 灵活的数据库审计配置策略 数据库审计系统提供了灵活和易于操作的策略配置管理。策略配置为高效而全面地实现数据库安全审计起到了决定性的作用。 数据库审计系统有以下多种配置策略： u 全面审计策略：所有的数据库请求都会被审计，保证审计的全面性； u 审计过滤策略：在某些高吞吐量场景，过高的负载将使实时处理和存储压力过大，通过系统提供的白名单过滤、白名单规则可以对常规安全语句、安全来源实现审计过滤，使系统能够在过载的情况下，集中在危险或异常的 SQL 语句审计上； u 重点语句告警策略：无论是否执行全面审计的策略，系统都可以对需要重点监视的语句进行特殊对待，可以通过黑名单、正则表达、重点用户、重点IP、返回行数等策略完成对重点关注对象和行为的定义，对这些重点对象和行为的语句可以将其放入到告警审计中，可以通过syslog、snmp、邮件或短信等多种途径对这些语句进行告警。 3.4.5 数据库入侵检测能力 数据库审计系统提供了强大的数据库入侵检测能力，对入侵行为进行重点告警；数据库审计系统对数据库的入侵检测行为提供了大量的检测策略定义方法，包括： u 危险客户端登录：通过IP、用户、数据库客户端工具、时间等多维定义可能具有入侵风险的登录； u 危险访问行为：通过用户、敏感对象、时间、返回行数、操作是否有Where、是否使用了系统对象、高危操作子等多种方式定义了危险访问行为； u SQL 注入：系统提供了系统性的SQL注入库，以及基于正则表达式或语法抽象的SQL注入描述扩展； u 漏洞攻击库：系统提供了针对数据库漏洞进行攻击的描述模型，使对这些典型的数据库攻击行为被迅速发现； u 黑名单：提供准确而抽象的方式，对系统中的特定访问SQL语句进行描述，使这些SQL语句出现时能够迅速报警。 3.4.6 符合审计需求设计 数据库审计系统对数据库操作行为日志的采集分析及审计报表均根据各行业审计需求、国家法规需求进行专门设计，如： u 国家保密标准BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》 u 国家保密标准BMZ1-2000，《涉及国家秘密的计算机信息系统保密技术要求》 u 国家保密标准《计算机信息系统保密管理暂行规定》（国保发{1998}1号） u 国家标准GB17859-1999，《计算机信息系统安全保护等级划分准则》 u 国家标准GB/T18336.2-2001，《信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求》 u ISO27001/ISO17799:2005/BS7799,《信息安全管理技术规范》 u 国家标准GB/T22239《信息系统安全等级保护基本要求》 四. 用户收益 4.1 对企业带来的价值 数据库审计系统从不同层面为企业和组织的用户带来价值回报。 1) 对于安全管理员、安全分析员、安全运维人员： l 明确工作职责，各类安全管理人员各司其职，协同合作 l 提高工作效率，更加快速准确的识别安全告警，发现违规行为，进行应急响应 l 发生安全问题，事后调查有据可循 2) 对于安全负责人，负责安全的高管： l 有助于建立一套可行的安全策略的执行方针，并通过数据库审计系统真正落实 l 通过持续有效的安全事件分析识别安全事故、策略冲突、欺诈行为和操作行为 l 通过数据库操作行为安全事件分析有助于进行审计和取证分析、支持内部调查、建立基线，以及进行安全运行趋势预测，确保企业和组织的业务的持续性和可靠性 l 将所有数据库服务器上的日志与操作行为统一存储，符合企业和组织的需要，符合国家和行业的法律法规 l 自动产生各种分析报表和报告，随时掌控整个企业和组织的安全状况 3) 对于企业和组织，领导层： l 可以全局掌握企业和组织的安全总体状况，为领导层进行安全建设决策提供依据 l 从整体上提升了企业和组织的安全防护水平 l 通过对数据库审计系统的投资发挥出原有各种安全设施的投资的潜在价值，从而使得企业和组织的成本效益最大化，降低总成本，提升安全设施的投资回报率。 4.2 全生命周期日志管理 借助数据库审计系统，客户能够实现从数据库的操作行为的产生、采集、综合分析与审计、到数据存储、备份整个审计日志生命周期管理。通过集中化的审计日志管理系统，协助客户解决网络中数据库操作日志分散、种类繁多、数量巨大的问题，提升安全运营效率。 4.3 日常安全运维工作的有力工具 对于日常安全运维而言，核心的工作内容就是对IT网络进行持续监测，确保网络、主机、应用、重要信息和人员资产的安全。更具体地说，就是要持续监测并识别针对网络、主机、应用、重要信息和人员资产性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。 借助数据库审计系统，客户能够统一收集来自网络中对数据库的操作行为日志信息，通过分析日志中的安全事件，识别各类非法访问控制、不当操作、恶意代码、攻击入侵，以及违规与信息泄露等行为，协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告，成为客户日常安全运维的有力工具。