SnapAudit数据库审计软件解决专项方案.doc

SnapAudit数据库审计处理方案 迪思杰(北京)数码技术 序言 数据库是企业最具战略价值资产。数据库中统计了企业最有价值用户信息、经营活动信息和资产信息。这些信息既属于企业关键机密，不能容忍被破坏和偷窃；又被依法保护，企业必需确保其所搜集用户信息不被泄漏或非法利用，不然要负担法律责任。 不过面临越来越庞大数据库系统，越来越四通八达网络访问和越来越沉重管理负担，企业正在被信息安全漏洞严重困扰。美国爆发了严重信用卡泄密事件，损失数十亿美元；以来，中国陆续发生了移动充值卡信息泄露事件、某电信数据库清除事件、3.15信息泄漏事件等，这些全部造成了当事单位重大损失，也引发了严重负面社会影响。信息安全时代正在来临，企业必需为数据库加一把锁！这把锁就是审计。 DSG企业依靠强大数据库底层研发实力，在DMP产品体系构架基础上，广泛调研用户需求，推出含有高科技水平数据库审计软件SnapAudit，专业处理企业大型数据库信息安全问题。 1 数据库审计关键问题及需求 1.1 数据库安全漏洞关键原因分析 数据库安全漏洞关键原因有三: 1) 无监控手段 数据库管理员往往作为数据库操作员存在，了解怎样在数据库内进行操作、处理问题，但无法对用户访问、操作进行监控，更无法预防或处理秘密访问、数据窃取和恶意删除。 2) 无管理机制 数据库超级用户密码多人共享，大家能够使用一个用户进行操作，而事后无法确定是哪个人制造了问题。一旦登录到数据库，不管关键数据还是非关键数据全部能够随意访问而不被觉察；非企业人员、测试用户全部能够对全部数据进行访问和操作，从而使数据库完全变成“OPEN”数据库。 3) 无回溯措施 假如发觉问题，无法回溯到问题发生时状态，无从追踪问题发生根源，最终不了了之；更无法制订针对性地处理方案，使企业处于很被动状态。因为无法回溯，所以也无法进行数据修复，造成错误延续和蔓延。 1.2 数据库审计要处理关键问题 针对存在问题，数据库审计就要处理以下三个关键问题: 1) 全方位数据库操作监控。 不管从网络登录，还是从终端登录；不管是查询数据，还是改变数据；不管是一般用户还是超级用户；不管是应用程序，还是手动登录全部能被有效监控，不留死角。 2) 审计策略定制和管理 能够许可用户自定义多种审计策略，对其所关心用户、表和表中特定数据设置不一样粒度监控策略，当用户访问违反上述策略时，其操作行为就会被统计下来，而且能够立即报警提醒。 3) 事件回放和故障修复 对于出现问题，能够经过界面快速查询出用户历史操作过程，分析事故发生原因，并能够生成修复操作提议，便于立即恢复系统正常运行状态。 1.3 数据库审计软件基础要求 作为完善数据库审计软件，必需含有以下条件: 1) 含有全方面丰富数据库审计类型，能够全方面、高效地获取数据库多种操作信息； 2) 含有细粒度数据库操作内容审计； 3) 能够正确立即对违规操作告警响应； 4) 含有全方面具体审计信息，丰富可定制报表分析系统； 5) 能够为数据丢失、篡改等提供修复处理方案； 6) 对业务系统干扰和影响小； 7) 管理维护简单方便； 8) 其本身安全性高，不易遭受攻击。 2 SnapAudit数据库审计处理方案 在对数据库审计需求分析基础上，DSG提出针对性SnapAudit数据库审计处理方案。 2.1 SnapAudit体系结构 SnapAudit软件系统结构以下图所表示: 如上图所表示，SnapAudit软件分为五功效层: 采集层: 由数据分析引擎(OLFX) 组成。 数据分析引擎OLFX关键用来对Oracle数据库在线日志进行分析，获取数据库操作系统。OLFX关键特点是能过全方面获取数据库操作信息，同时分析过程快速、高效，对业务系统影响小。OLFX分析在线数据日志后，自动将数据库操作信息传输到过滤层进行处理。 过滤层：由SnapAudit Data Filter模块组成。 SARF负责将OLFX采集到信息依据Audit Policy(审计策略)进行过滤，过滤后信息传输到存放层进行存放。 存放层: 由XDTFS/SADB审计信息存放管理模块组成。 全部过滤后审计信息转换成XDT格式后，存放于独立XDTFS文件系统。XDT格式是根据Oracle 数据库内部操作格式存放获取数据库审计信息，XDTFS为每个存入其内XDT数据创建快捷访问索引，便于随机查询。XDTFS可存在于任意UNIX/Linux文件系统之上，利用操作系统识别存放空间存放数据。 也能够将过滤后审计信息存放于SnapAuditDB数据存放系统。在SADB存放系统中，数据更易于二次处理，查询，统计等。 业务层: SnapAudit关键功效经过其服务器组件SAServer来实现。审计策略制订、修复提议生成、查询及检索命令形成、自动报表和性能监控刷新等全部由SAServer来实现。定制审计策略，用户权限和登录SnapAudit信息全部统计在SAServer上。SAServer支持网络化环境，能够实现对多个数据库审计集中管理。 展示层: SAClient是SnapAudit图形人机交互界面，用于展示审计报表、用户选择并制订审计策略，并能提供性能监控界面、权限管理界面、审计信息查询界面和数据修复操作界面等。一个SAServer支持多个SAClient连接。 2.2 SnapAudit工作原理 SnapAudit和其它数据库审计软件工作原理不一样。 其它数据库审计软件关键经过对网络监控、过滤和对网络数据中SQL语句解析来实现对数据库审计。SnapAudit经过对Oracle数据库日志分析来实现数据审计。 众所周知，数据库任意操作全部会统计在日志中，便于以后系统恢复。不管是否经过网络访问数据库，其操作痕迹全部留存在数据库日志中。所以从数据库日志着手能过取得最完整数据库审计信息。 SnapAuditOLFX高速数据分析引擎其功效集成于一个SnapAudit Agent(分析代理)之内。分析代理安装在需要审计数据库服务器主机，时刻监控数据库日志改变。当有用户登录到数据库或进行了相关操作，SnapAudit分析代理将会获取日志中相关该操作信息，并结合连接数据库TNS信息和Session信息，获取到该操作用户完整信息，包含登录主机、主机IP、用户名、应用程序，和其访问表、表属主、表字段，对表操作，和登录时间，退出时间等。 OLFX分析得到信息需经过SADF过滤。SADF首先会从SnapAudit 服务器取得用户定制审计策略，然后将这些策略用于过滤OLFX分析得到信息。过滤信息经过网络传输到PA Agent(存放代理)并存放在XDTFS／SADB中。 假如用户在定制审计策略时指定了报警等级，过滤信息在存放到XDTFS／SADB同时会向PA Server发出报警信息。 在分析故障时，用户经过界面进行条件查询，SA Client将查询命令传输到SA Server，SA Server将命令解析，并从XDTFS/SADB中获取相关检索信息，返回给SA Server，SA Server将信息传回SA Client展现出来。假如用户需要提供修复信息，则SA Server自动生成修复参考意见，供用户选择实施。 2.3 SnapAudit布署模式 作为软件产品，SnapAudit布署模式以下: 配置一台PC Server，安装Linux操作系统，作为SnapAudit管理服务器。为了长久保留审计数据，管理服务器应配置一定存放空间，存放空间大小估算措施以下: 审计存放空间 = 天天数据库日志量/3 * 审计信息留存天数。 在需要审计数据库服务器上安装SA Agent(分析代理/过滤代理)； 在SnapAudit管理服务器上安装SA Server组件、SA Agent(存放代理)； 在用户管理电脑上配置SnapAuditSA Client模块。 2.4 SnapAudit关键功效和性能指标 SnapAudit关键功效和性能指标以下表所表示: 名称/指标 描述 产品名称 SnapAudit软件 目前版本号 V3.0 关键工作原理 经过分析Oracle数据库日志对数据库操作进行监控 关键功效 1) 依据审计策略统计数据库操作； 2) 对违规操作进行报警和留痕； 3) 展示审计报表和数据库操作全貌； 4) 跟踪并回溯数据库操作历史； 5) 提供用户操作分析功效和对象操作分析功效； 6) 提供对错误数据在线修复提议； 7) 提供按多种条件和粒度查询数据库操作功效； 8) 提供用户权限管理功效。 9) 提供报表和统计数据转储和打印功效 审计效率 不低于5万笔操作/秒(但依环境而异) 支持操作系统 AIX、HP-UX、Solaris、Linux、Tru64等 支持数据库版本 Oracle8i、Oracle9i、Oracle10g、Oracle11g等 审计存放空间 数据库日志量/3*保留天数 业务系统影响 CPU < 3%，内存< 400MB，对网络基础无影响。 2.5 SnapAudit对业务系统影响 SnapAudit对业务系统影响较小： 1）SnapAudit布署无需调整用户现有网络构架，无需在数据库服务器和网络交换机之间增加硬件设备； 2）SnapAudit在用户数据库服务器上仅运行一套Agent软件，其在运行时占用CPU资源 < 3%，占用内存资源少于400MB，对网络及I/O影响能够忽略。 2.6 SnapAudit管理和维护 SnapAudit向最终用户提供图形化管理界面，用户能够在图形界面上进行日常审计监控和管理。图形界面提供中、英文两种版本选择。 SnapAudit向用户提供报警服务，在发觉违规操作情况下可经过邮件、界面显示、日志和声音进行报警。 日常管理简单方便，系统生成审计报表和统计报表能够随时打印。 2.7 SnapAudit后续功效扩展 以后SnapAudit将深入扩展功效，关键包含: 1）增强数据库监控工具，使其能够实时监控数据库性能，提醒用户数据库存在潜在风险； 2）增强数据库优化功效，使其能够立即发觉数据库性能瓶颈，从而更早地消除系统隐患，提升运行效率； 3 SnapAudit特点和优势 3.1 SnapAudit关键特点 SnapAudit关键特点以下: 1) 采取全新数据库审计思绪开发软件产品。传统审计软件关键从网络层面演化而来，由网络监控审计，扩展到数据库审计，其网络监控功效强而数据库审计功效弱。SnapAudit立足于数据库本身，经过对数据库日志分析，来直接处理数据库审计问题。 2）含有全方位数据库审计功效。不仅支持对网络连接操作审计，也支持直接登录数据库操作审计，能够将数据库全部操作一览无遗，不留漏洞。 3）审计可靠性高。SnapAudit采取容灾底层关键技术对数据库日志进行分析，避免了以往网络数据包解析有误或数据传输速度快、网络不稳定造成审计信息不全问题，确保高可靠性审计。 4）审计策略粒度更细。SnapAudit能够监控到数据库任何一个细小操作，不仅包含用户操作，数据库后台提议定时任务、数据库结构改变、数据库语句实施批量操作等，不管巨细，全部能够被正确审计。 5）修复功效强。传统审计软件关键是经过审计发觉问题，而SnapAudit不仅发觉问题，还提供处理问题方案。 6）对业务系统影响小。传统审计软件会大幅降低用户和数据库之间网络传输效率，而SnapAudit并不需要在数据库服务器和交换机之间加设分析设备，所以也不会显著降低数据库处理能力。 3.2 SnapAudit和同类产品比较优势 比较内容 SnapAudit审计软件 其它审计软件 工作原理 经过分析数据库日志审计数据库操作 经过截取数据库网络通信，解析用户端到数据库操作 审计覆盖面 多种连接方法全方面覆盖 仅能审计经过用户端连接数据库操作，对于经过终端进行数据库操作或数据库定时计划进行操作无法实现审计 审计正确性 很正确，几乎不会犯错。 轻易出现因为网络流量大或网络不稳定造成数据解析有误情况出现。 审计粒度 很小，能够审计到批量操作单一统计。如实施一条命令修改1万条统计，能正确审计到这个命令语句实施后被修改那1万具体统计信息 能审计到一个具体操作，而不能对操作进行更细分解。如实施一条命令修改1万条统计，只能审计到这个命令语句，而无法判定具体数据库中哪些数据被篡改。 修复功效 能够直接提供对冲操作来修复篡改数据。 关键功效是审计并发觉误操作和操作者信息。 系统影响 对数据库服务器资源占用有微弱影响，CPU占用< 3%. 对数据库处理能力影响超出10%以上。 3.3 SnapAudit项目实施优势 DSG作为数据管理平台软件厂商，对数据库环境熟悉。在很多用户环境中已经布署了DSGRealSync软件、SnapAssure软件等软件产品，在此基础上，布署DSG SnapAudit软件不需要进行额外实施准备，如，不需要重新创建用户、赋权，不需要进行兼容性测试等。DSG企业长久维护用户容灾备份系统，对环境熟悉，能够提供含有针对性建设性意见。另外，DSG SnapAudit软件扩展版本能够和已经安装容灾备份软件配合使用，既降低购置成本和管理负担，又能快速进行故障恢复，做到立即发觉问题，快速正确处理问题。