慧眼数据库审计系统v3.0.2.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四

2、级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,CHENLI,*,慧眼数据库安全审计系统,DBAudit,产品用途及目标客户,1,主要功能介绍,2,优势亮点,3,行业方案与成功案例,4,目录内容,产品用途及目标客户,第一部分,数据库在哪里？,数据库里有什么？,数据库存在的安全风险？,有关部门对数据库审计有什么要求？,数据库服务器自身审计？不，那样太逊。,数据库安全将何去何从,数据库在哪里？,任何一个出色的信息系统背后总是隐藏着一个神秘的数据库。有的叫,ORACLE,，有的叫,SQL Server,，有的叫,DB2,数据库里有什么？,数据库里存

3、放各种信息，小到公民姓名、联系方式、身份证号、资产信息，大到政务数据、国防数据、金融数据、企业数据，只有你想不到的，没有你看不到的。,数据库存在的安全风险？,获取数据库里的内容，出卖泄露给需要者，你的秘密暴露无遗；,删除数据库里的内容，神不知鬼不觉，你的资产就受到了损失；,增加数据库里的内容，莫须有，你怎么知道是谁做的；,修改数据库里的内容，颠倒黑白，你看到的不一定真实。,事件,1,事件,2,事件,3,某医院主任反馈，现在很多医生都知道数据库账号（共同一个），当医生病历写错时，自己可以直接进行修改。如被人误改或恶意篡改会给病人带来生命危险。,某医院病人病历遭篡改，导致医疗纠纷，病人院前静坐，社

4、会影响严重,敏感信息泄露和数据篡改引发社会问题,数据库频繁遭受入侵、篡改,Intranet,Internet,直接危害,巨额经济损失,巨大信誉损失,大量法律纠纷,假如危害持续,充值密码循环盗用,大量客户资料被窃,商业核心机密泄漏,业务数据信息清空,业务信息系统中断,A,地运营商,循环作案数月之久,合法的人正在做非法的事,某工程师,合法人做非法的事且,70%,的安全威胁来自于企业的内部,有关部门对数据库审计有什么要求？,有关部门对数据库审计有什么要求？,有关部门对数据库审计有什么要求？,刑法,等级保护,分级保护,SOX,需要数据库审计的行业规定,刑法第二百五十三条后增加一条，作为第二百五十三条之

5、一：,“,国家机关或者,金融、电信、交通、教育、医疗,等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的,公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。,窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。,单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”,中华人民共和国刑法修正案保障数据安全,数据库安全，有法可依！,法规,相关行业,计算机信息系统安全保护等级准则,政府行业,计算机信息系统安全保护分级准则,政府行业,互联网安全保护技术措施规定（,82,

6、号令）,行业,中国移动集团内控手册,中国移动业务支撑网安全域划分和边界整合技术规范,中国电信股份有限公司内部控制手册,中国网通集团信息质量问责管理若干规定,中国网通集团内部控制体系建设指导意见,电信行业,银行业金融机构信息系统风险管理指引,商业银行合规风险管理指引,中国银行业监督委员会办公厅文件银监办通,313,号,保险公司内部审计指引（试行）,保险公司风险管理指引（试行）,金融行业,深圳证券交易所上市公司内部控制指引,上海证券交易所上市公司内部控制指引,在中国上市的企业（涉及多个行业）,Bill 198 198,号议案,2002 Sarbanes-Oxley Act,萨班斯,-,奥克斯利法案

7、PCAOB Auditing Standard No.2,Payment Card Industry Data Security Standard(PCI DSS),在美国上市的企业（涉及多个行业）,各行业法规和条例保障数据安全,数据库服务器自身审计？不，那样太逊,什么是数据库自身审计,自身审计记录了有限的数据变更，但是没有记录是谁做的；,自身审计可以记录但是不能发告警给您，需要自己开发程序；,自身审计可以记录但是不能出合规性报告，需要自己开发报表程,序；,ORACEL,的记录方式和,SQL Server,的记录方式是不一样的，需要,专业人员分析查看；,注意，设置的审计内容越多越细，对正常业

8、务造成的影响越大；,注意，所有的这些信息数据库管理员都可以删除。,不包含威胁特征的恶意行为,IDS,IPS,USG,AV,透传,传统安全手段无法解决数据库安全问题,IP,欺骗,蠕虫病毒,传统安全手段也有鞭长莫及之处，数据库安全，迫切需要专业产品,无法记录脱离业务系统的操作,日志不具备第三方独立性,记录粒度不够，甚至无法记录,SQL,语句,影响数据库性能,记录可读性差,日志不具备第三方独立性,记录无法与业务，与人挂钩,业务系统,自身审计,数据库,自身日志,系统自身审计存在先天缺陷,全面的数据库审计系统应具备的要素,数据库安全审计系统,核心需求,主要功能介绍,(,参考文档：产品使用手册、,数据库审

9、计产品规格说明,-,硬件,),第二部分,中高端,高端,DBAudit2000(2U),适用于省部级政府、中大企业、,DBAudit3000(2U),适用于大型企业、电信,产品型号,中低端,DBAudit500(1U),适用于地市政府、中小企业、,DBAudit1000(1U),适用于地市政府、中小企业、,低端,产品体系架构,DBAudit,审计系统三大构成：引擎、策略管理中心、,web,控制台,系统工作原理,产品部署方式,旁路部署,数据审计,产品部署不会给数据库、网络带来任何影响,TAP,方式,局域网,TAP,交换机,审计管理员,慧眼审计,镜像,端口,方式,数据库,局域网,审计管理员,慧眼审计

10、数据库,交换机,旁路镜像,内置多种策略；,用户自定义策略；,基于时间、来源、操作、类型、库、表、资产、事件、级别、状态、结果影响行数等设定策略；,过滤无关数据；,多种响应方式；,策略持续优化、改进，,完整审计多；,全面还原,sql,语句；,中间件关联审计；,绑定变量关联审计；,精确定位；,多查询条件；,审计,Audit,监测,Monitor,D,BAudit,四大功能确保数据库安全不断提升,分析,Analyse,策略,Policy,特权、越权操作；,恶意、违规操作；,数据访问异常；,敏感数据删改；,用户权限变更；,基于数据库、网络、系统的攻击行为；,特征库定期升级；,内置合规性报表,自定义分

11、析模板,客户端、服务器,全局分析数据库状况,延迟分析、定位,Sql,执行量统计分析,报表自动生成,数据管理、长时间保存,避免,CPU,过多参与，提升处理能力,“性能提升”确保数据源完整,应对突发流量,提高系统处理速度,多层审计维度,实时监控、异常告警和关联分析确保审计的完备性和准确性，提供,4W,的审计数据,;,监控多个数据库,数据库审计状况实时展现,事件趋势分析,数据库访问事件类型,安全事件全面了解,设备接口状态,数据库,4W,审计记录,完备,4W,的审计要素,详细信息展现,“准确定位”中间件关联审计,如不能对基于,B/S,架构下前台用户与后端操作的关联审计，一旦出现违规事件无法准确定事件责

12、任人,关联详细信息,前台用户与数据库操作关联,前台用户与中间件访问的关联,“深度解析”绑定变量交叉关联,数据库一般的处理过程：,例如：,select*from t_child where childid=001;/,不使用绑定变量,如果再查询“,002,”，“,003,”，,”nnn”,需要进行,n,次硬解析，大量浪费系统资源,例如：,select*from t_child where childid=:c_did;/,使用绑定变量,相同的查询语句只需要进行一次硬解析,数据库性能优化机制,用户登陆,操作,1,操作,2,用户登出,用户名、数据库名,SQL1,、绑定变量,1,SQL2,、绑定变量,

13、2,交叉关联,绑定 变量,session,SQL1+,绑定变量,1,SQL2+,绑定变量,2,正确的交叉关联,SQL1+,绑定变量,1,SQL2+,绑定变量,1,错误的关联导致结果错误,无交叉关联导致结果不准确,SQL1,绑定变量,1,SQL2,绑定变量,2,客户端,数据库,绑定变量交叉关联,绑定变量审计,详细信息,使人员、操作、变量相关联,审计结果展现,人员实名定位,系统通过与用户身份认证系统联动，精确定位事件责任人,。,审计数据快速查询,数据库,基于时间,操作,客户端、状态等,所有条件组合查询，高速检索数据,内置多种策略；,用户自定义策略；,基于时间、来源、操作、类型、库、表、资产、事件、

14、级别、状态、结果影响行数等设定策略；,过滤无关数据；,多种响应方式；,策略持续优化、改进，,完整审计；,多维度审计,全面还原,sql,语句；,中间件关联审计；,绑定变量关联审计；,精确定位；,多查询条件；,审计,Audit,监测,Monitor,D,BAudit,四大功能确保数据库安全不断提升,分析,Analyse,特权、越权操作；,恶意、违规操作；,数据访问异常；,敏感数据删改；,用户权限变更；,基于数据库、网络、系统的攻击行为；,特征库定期升级；,内置合规性报表,自定义分析模板,客户端、服务器,全局分析数据库状况,延迟分析、定位,Sql,执行量统计分析,报表自动生成,数据管理、长时间保存,

15、策略,Policy,产品内置策略模板,内置多种事件类型,内置预警事件,事件响应方式,完全自定义,丰富的策略相应条件,Who,When,What,Where,策略以,4W,为要素,预警敏感表、字段等被访问,可对返回的错误信息设定条件,来源、资产策略,来源策略,例如：通过来源条件重点关注公司内部人员或者某个部门的某些人的访问行为，其它外来人员访问可视为异常条件；,资产策略,例如：资产包括表、视图、函数等，可以通过资产组的方式来实现对同一数据库不同资产组根据重要程度来设定策略；,多级过滤策略,如：公司内部人员对某些资源的访问属于正常行为，不需要审计记录。,IP,过滤策略,（,1,级）,可按,ip,地

16、址过滤无关的访问日志,操作、来源过滤策略,（,2,级）,可按操作行为、来源进行设定策略，,如：业务系统对数据库的访问属于正常行为，不需要对这部分数据进行审计记录。,事件类型过滤策略,（,3,级）,可按操作行为、来源进行设定策略，,安全检测异常策略,系统内嵌专业安全检测引擎，采用静态和行为检测机制，及时发现、预警危害数据库的行为。,1,、系统内置数百种安全规则库，自动根据预设置策略针对诸如,sql,注入、已知数据库漏洞、口令猜解、缓冲区溢出等违规行为实时监测、预警。,2,、系统提供权限预警机制，实时监控数据库的所有操作。针对最高权限滥用、误操作、恶意操作等行为进行告警和定位。,安全规则库类型,系

17、统提供三种攻击对象模型，监测危险事件,数据库对象特征规则,自定义报警级别,特征库定期升级，应对最新安全事件,内置多种策略；,用户自定义策略；,基于时间、来源、操作、类型、库、表、资产、事件、级别、状态、结果影响行数等设定策略；,过滤无关数据；,多种响应方式；,策略持续优化、改进，,完整审计；,多维度审计,全面还原,sql,语句；,中间件关联审计；,绑定变量关联审计；,精确定位；,多查询条件；,审计,Audit,D,BAudit,四大功能确保数据库安全不断提升,分析,Analyse,特权、越权操作；,恶意、违规操作；,数据访问异常；,敏感数据删改；,用户权限变更；,基于数据库、网络、系统的攻击行

18、为；,特征库定期升级；,内置合规性报表,自定义分析模板,客户端、服务器,全局分析数据库状况,延迟分析、定位,Sql,执行量统计分析,报表自动生成,数据管理、长时间保存,策略,Policy,监测,Monitor,窃取机密信息,经查证员工冒用公司领导账号操作,数据库审计系统设定策略，除了公司高管外，所有访问客户关系系统的事件均为异常事件,事件：公司重要的,客户关系系统,，只有公司高管才可以访问。,普通员工,的访问可能导致公司重要机密信息的泄露。,篡改业务记录,事件二,：工作时间，某公司,销售部,某职员非法,修改,公司财务应收数据，导致月,底公司财务报账难以平衡,。,事件一,：工作时间，某,内科医生

19、非法,删除,病人的病历，导致医院的医疗纠纷。,多维要素预警异常事件,越权、违规操作,事件：管理员,在数据库中创建了一个新的用户账号,test,并为此,账户赋予权限,，,此行为没有得到任何授权，导致其他人员通过该账户登录。,系统针对管理员对客户关系系统的特权操作设定策略，一旦违规及时发现,恶意攻击监测,定位目标系统,定位源头,定位事件类型,一旦发生攻击事件管理员可快速定位及时处理,数据库承载着企业核心的商业信息，如何及时发现针对数据库的恶意攻击行为？,内置多种策略；,用户自定义策略；,基于时间、来源、操作、类型、库、表、资产、事件、级别、状态、结果影响行数等设定策略；,过滤无关数据；,多种响应

20、方式；,策略持续优化、改进，,完整审计；,多维度审计,全面还原,sql,语句；,中间件关联审计；,绑定变量关联审计；,精确定位；,多查询条件；,审计,Audit,D,BAudit,四大功能确保数据库安全不断提升,特权、越权操作；,恶意、违规操作；,数据访问异常；,敏感数据删改；,用户权限变更；,基于数据库、网络、系统的攻击行为；,特征库定期升级；,内置合规性报表,自定义分析模板,客户端、服务器,全局分析数据库状况,死锁分析、定位,Sql,执行量统计分析,报表自动生成,数据管理、长时间保存,策略,Policy,监测,Monitor,分析,Analyse,数据库安全状况分析,了解安全事件的等级,了

21、解动向和具体事件,数据库应用状况分析,了解数据库的访问量，从而评估数据库的性能,了解针对数据库哪些操作比较多,性能优化分析,Step 1,定位可能发生死锁或异常时间范围,Step 2,定位引发事件的人员、操作,Step 3,定位相关数据库、表,Step 4,解决问题、优化策略避免问 题重复出现,每天上午,9,点,30-10,点左右，有人员反馈表单提缓慢或无法提交。导致业务无法正常工作,通过网管软件分析无异常流量，管理员不清楚具体问题的原因,分析,1,：,9,点,30-10,点之间,分析,2,：,9,：,34-9,：,47,分析,3,：通过该语句判断是业务系统的哪个模块，哪个功能出了问题，反馈给

22、软件商很快解决了问题,应用分析,-,排查问题,192.1.118.100,的语句执行比其他主机要多,在重复对数据库执行一条,select,语句,完全自定义报表,系统内置多种报表模板,可添加模板,报表名称、内容,定义报表格式、接收人,根据模板内容设定报表生成条件,所有内容均在一张报表中体现，避免过多条件需要生成多张报表,报表内容统一展现,时间同步,磁盘预警,安全性,满足三权分立，各司其职,精细化授权、避免归为行为,系统管理,产品工作流程,典型部署方式,基于端口镜像方式,实现对数据库系统集中安全审计,4,、直观掌握业务系统运行的安全状况,；,3,、追踪溯源，便于事后追查原因与界定责任,；,2,、有

23、效减少核心信息资产的破坏和泄漏；,1,、满足合规性要求，顺利通过,IT,审计；,5,、实现独立审计，完善,IT,内控机制；,用户收益,优势亮点,参考文档：,产品优势明细；,数据库审计与安恒对比分析（国都制作）；,数据库审计产品友商全面竞争分析；,第四部分,行业方案与成功案例,（参考文档相关部分内容）,第五部分,IT,审计，创造信息系统新价值,成功案例,IT,审计，创造信息系统新价值,产品资质,国家信息安全认证,产品型号证书,军用信息安全认证证书,国家保密局涉密信息系统,产品检测证书,计算机信息系统安全专用产品销售许可证（公安部）,2007,年度计算机,信息防护解 决方案优秀奖,软件产品登记证书,计算机软件著作权登记证书,Q&A,谢谢,国都兴业信息审计系统技术（北京）有限公司,IT,审计，创造信息系统新价值,谢谢观赏！,