博睿勤数据库审计系统解决专项方案Vdec.docx

数据库安全审计系统处理方案 7月 目录 1 项目概述 2 1.1 项目背景 2 1.2 项目需求 3 1.2.1 区域卫生平台特点 3 1.2.2 合法权限滥用的监控需求 3 1.2.3 存储过程的管理的需求 3 1.2.4 历史操作的重现 4 1.2.5 人为高危操作访问数据库的监控 4 1.2.6 敏感数据库表的操作访问的监控 4 1.2.7 应用系统级监控的定制 4 1.2.8 应用系统调优的应用 4 2 解决方案 4 2.1 方案设计 4 2.2 系统架构 4 2.3 部署方式 5 2.4 产品特点 5 2.5 项目难点分析 7 1 项目概述 1.1 项目背景 Cache数据库是后关系型数据库(Post Relational database)中领头羊。Cache数据库对大多数中国IT人员来说还是比较陌生，然而在国外尤其是国外医疗领域，在美国和欧洲HIS系统(医疗卫生管理信息系统)中，CACHE数据库所占百分比是最大，被医疗界公认为首选数据库。官方数据显示，CACHE数据库数据查询速度约为oracle7~20倍，并方便支持关系型数据库和对象型数据库。 但因为关键信息化系统采取是Cache数据库，这种数据库不是传统Sql数据库，要实现安全审计是一个新课题。博睿勤成立了联合项目组，研究针对Cache数据库安全审计方法。 1.2 项目需求 1.2.1 区域卫生平台特点 图1：区域医疗卫生平台 区域卫生平台是一个开放体系，用户角色繁多，承载服务内容丰富多样，怎样在这个开放体系里来确保数据库安全性，是现在区域平台建设一个首要目标。 区域平台特点包含： (1) 各部门业务相互渗透，数据相互关联； (2) 数据交换和共享成为常态； (3) 作为核实心数据居民健康档案应实现有程度数据公开； (4) 用户起源多样化，身份认证困难； (5) 用户角色繁多，权责认定机制复杂。 1.2.2 正当权限滥用监控需求 区域医疗信息系统安全审计对医院工作站在班外时间段，因为业务操作引发数据库访问，应用模块在非设定工作站上发生了相关操作引发数据库访问，出现业务系统之外仿冒应用程序对业务数据库进行访问和数据库管理人员在业务窗口进行远程数据库访问等进行实时监控。 1.2.3 存放过程管理需求 存放过程调用在网络上传输是参数，没有具体SQL语句，审计系统极难依据SQL语句特征进行监控，对其监控关键是设置白名单，并对名单设置审计规则。出现业务系统约定以外存放过程调用、正当存放过程调用时出现参数异常或调用场所异常等进行实时监控。 1.2.4 历史操作重现 关键监控工作站（医生工作站、医院前置机等）发生异常时，能够依据审计系统中统计数据重现错误发生过程场景，有利于异常原因跟踪。 1.2.5 人为高危操作访问数据库监控 删除数据库表、无条件批量删除或修改数据等数据库操作监控审计。 1.2.6 敏感数据库表操作访问监控 对进行用户信息数据中患者姓名、电话、余额等，财务信息数据中科目余额等，药品使用情况等敏感数据修改、删除、查询、统计等操作监控。 1.2.7 应用系统级监控定制 依据应用需求实现反复预约挂号记录表、转检统计、医疗咨询申请等系统常常发生又缺乏有效监控异常操作进行应用级监控。 1.2.8 应用系统调优应用 对数据库应用起源、类型、流量、压力、性能、效率等方面分析，可对应用系统数据操作层进行具体诊疗，反作用于应用系统设计合理性验证。 所以从数据安全角度考虑，选择数据库审计设备需要能够满足用户端经过HIS应用系统对数据库访问审计，同时还要能够满足多种专业数据库用户端工具直接对数据库访问审计。所以要求数据库审计设备能够审计数据库类型必需是丰富、全方面。 2处理方案 2.1 方案设计 博睿勤数据库审计系统是基于DPI+DFI技术数据库审计系统，对来自应用系统用户端和DBA对数据库访问行为进行全方面审计，不仅针对SQL语句，还能够对FTP、TELETN等远程访问进行审计。审计系统能具体统计查询、删除、增加、修改等行为及操作结果，对危险操作还能够实时预警、立即阻止，从而达成保护数据库良好效果。 2.2 系统架构 作为全业务审计系统，支持多种数据库操作方案、网络操作方法。以下图所表示，包含：基于用户端链接审计、基于ODBC/JDBC等链接访问、当地操作、网络网络操作等。 图2：系统架构 2.3 布署方法 数据库审计系统旁路布署方法，拓扑以下图： 图3：网络布署方法 2.4 产品特点 一全独立审计模式 博睿勤审计数据经过网络完全独立地采集，这使得数据库维护或开发小组，安全审计小组工作进行合适分离。而且，审计工作不影响数据库性能、稳定性或日常管理步骤。审计结果独立存放于自带存放空间中，避免了数据库特权用户或恶意入侵数据库服务器用户，干扰审计信息公正性。 二全跟踪细腻度审计 全方面性：针对业务层、应用层、数据库等各个层面操作进行跟踪定位，包含数据库SQL实施情况、数据库返回值等。 细粒度：正确到表、对象、统计内容细粒度审计策略，实现对敏感信息精细监控； 独立性：基于独立监控审计工作模式，实现了数据库管理和审计分离，确保了审计结果真实性、完整性、公正性。 三数据别名 对表和字段进行别名设置，能够直观显示审计结果内容，方便非专业技术人员查看。 四隐秘数据 对审计结果中敏感数据隐秘，非授权用户不能正常查看隐秘数据;预防关键数据在数据库审计设备中造成二次泄密问题。 五权限分离 博睿勤设置了权限角色分离，如系统管理员负责设备运行设置；审计员负责查看相关审计统计及规则违反情况；日志员负责查看整体设备操作日志及规则修改情况等。 六事件正确定位 传统数据库审计定位往往局限于IP地址和MAC地址，很多时候不含有可信性。博睿勤能够对IP、MAC、用户名、服务端等一系列进行关联分析，从而追踪到具体人。 七独特报表功效 合规性报表 博睿勤报表和依据合规性要求，输出不一样类型报表。比如，可依据等级保护三级要求，输出符合等保相关项目满足度报表。 策略定制化报表 依据审计人员关系关键稳定，定制符合需求策略规则输出汇报，使审计人员能够快速得到自己需要去审计信息。 八完备本身安全 博睿勤全方位确保设备本身高可用性，关键包含：硬件级安全冗余、系统级防攻击策略、告警方法等。 2.5项目难点分析 Cache数据库是后关系型数据库(Post Relational database)中领头羊。Cache数据库对大多数中国IT人员来说还是比较陌生，然而在国外尤其是国外医疗领域，在美国和欧洲HIS系统(医疗卫生管理信息系统)中，CACHE数据库所占百分比是最大，被医疗界公认为首选数据库。官方数据显示，CACHE数据库数据查询速度约为oracle7~20倍，并方便支持关系型数据库和对象型数据库。 一 Cache数据库特点 Cache数据库关键特点以下： 1、速度快。Cache数据库在相同条件下查询相同数据比Oracle等一般数据库要快。原因是Cache数据库又叫做后关系型数据库（Post-Relation）,顾名思义，Cache是基于一般关系型数据库如：Oracle, SQL server, Sybase等基础之上并有所改善而产生。 2、使用简单。Cache数据库支持标准SQL语句，所以不太熟悉M语言用户仍然能够轻易对数据库中数据进行操作。 3、接口轻易。Cache数据库支持ODBC标准接口，所以在和其它系统进行数据交换时很轻易。同时Cache亦能够将数据输出成文本文件格式以供其它系统访问调用。 4、真正3层结构。Cache数据库能够真正意义上实现3层结构，实现真正分布式服务。 升级扩容方便。正因为由上述分布式3层结构，所以当医院需要增加用户端PC或医院进行扩大规模时，不需要重新购置或更新主服务器，只需要合适增加二级服务器数量即可，二级服务器相对来说要比主服务器要廉价很多，所以，医院可节省资金降低反复投资。 5、对象型编辑。Cache数据库是真正对象型数据库，开发时用户可直接用数据库定义自己想要对象，然后再在其它开发工具中调用该对象方法和属性即可完成开发工作，很方便。 6、支持远程映射和镜像。Cache数据库支持远程映射和镜像，比如在不一样城市之间，或在同一城市不一样区域之间，Cache能够进行镜像（Mapping），使不一样区域Cache数据库同时联络起来，即使在不一样区域，但大家使用起来就像共用一个数据库。 7、支持WEB开发。Cache 数据库提供自带Web开发工具，使用维护很方便，符合当今软件业发展趋势。 二Cache数据库风险分析 （1）第三方工具直接访问数据库，没有对应安全防范，能够对数据库进行恶意破坏和非法统计。 （2）Cache集成工具包含Terminal和studio。Terminal访问Cache数据库，使用telnet协议，可实施M语言，对数据库进行读写操作；Studio关键是针对开发人员，进行源文件编译，调用M语言，访问数据库。这两个工具全部可直接对数据库进行操作，这么就存在一定风险。 （3）经过HIS系统访问数据库，没有对应权限控制，敏感信息没有被屏蔽，非法操作没法审计和追溯。 三 Cache数据库风险处理方案 针对Cache关键数据库存在泄密风险，可经过博睿勤科技数据库审计产品来处理以上问题。以下图所表示为Cache数据库关键存在四个风险 图4：数据库存在4个风险 下面经过我们产品来具体分析处理方案： 风险一：用户端工具经过sql语句直接访问数据库: 经过博睿勤数据库审计系统能够具体统计来自用户端工具对数据库全部sql语句操作，经过规则设置，实时告警、快速溯源，第一时间知道什么人在什么时候经过什么工具访问了哪个数据库什么内容，实时监控关键数据库。 SQL DBX工具访问Cache审计,图5所表示： 图5：SQL DBX工具对Cache操作 审计说明：以上是经过第三方工具DBX直接访问Cache数据库，审计到信息包含操作系统用户名、主机名、用户端进程、表、字段、操作语句和实施结果等。 风险二：Cache数据库集成能够直接连数据库工具Terminal: Cache数据库本身集成工具Terminal能够直接访问数据库，其采取telnet方法，所以经过Terminal对全部数据库操作，全部会被具体统计，以telnet形式存放，可经过博睿勤数据库审计设备查看具体信息。 Cache数据库本身集成工具Terminal直接访问数据库，其采取telnet方法，全部经过Terminal对数据库操作，全部会被具体统计，审计结果图6所表示： 图6：terminal对Cache操作 审计说明： Terminal用户端调用已编译文件中runquery方法并传输参数。 风险三：Cache数据库集成供开发用工具Studio： Cache数据库服务器本身集成工具Studio，关键是供开发人员编译和调试，它经过实施M语言直接访问，我们产品能够抓住关键操作，如调用M语言时方法名、保留动作和编译动作，然后能够依据此操作服务器上M语言内容判定操作内容。 A)经过Studio工具直接对Cache数据库进类Run（运行）操作，结果图7所表示： 图7：studio上run操作 审计说明：该审计结果是Studio工具调用内部已编译文件对数据库进行操作。 B)以下是对Cache数据库类进行Compile（编绎）操作时审计，结果图8所表示： 图8：studio上compile class操作 审计说明：该审计结果统计了studio编译useropera命名空间下newclass1文件操作。 C)以下是对Cache数据库类文件进行save（保留）操作审计，结果图9所表示： 图9：studio上save definition操作 审计说明：上图是经过Studio编译文件，对其中内容进行“保留”操作，我们能够抓到保留动作及文件名。 D)对Cache数据库进行debugger（调试）操作审计，结果图10所表示： 图10：studio上debugger操作 审计说明：上图为studio编译调试cinema命名空间下ticketconifrm文件中onprehttp（）方法。 风险四：HIS系统访问Cache数据库： 经过HIS系统访问数据库，因cache采取一个安全组件，对这部分数据做了加密处理，而HIS系统也不能进行解密，所以行业现在全部无法进行解析，博睿勤科技给出以下处理方案提议： （1）经过HIS系统权限控制，给每个用户端或不一样部门分配不一样访问数据库权限，并提供日志统计，严格控制关键数据泄密； （2）可经过架设防火墙进行隔离，让用户端只有访问HIS系统权限，不能直接访问数据库，只有高级管理员能够直接访问数据库，做到HIS系统和数据库完全隔离。 总而言之，只要能完全抓住来自数据库用户端工具访问数据库数据，关键数据库泄密风险会大大降低，而博睿勤数据库审计系统能够处理以上问题，真正做到关键数据库安全、震慑作用，实现数据库安全稳定运行。