數(shù)據(jù)庫審計系統(tǒng)_技術(shù)白皮書V0

1、止匕處是Logo數(shù)據(jù)庫審計系統(tǒng)技術(shù)白皮書地址:電話:傳真:郵編:版權(quán)聲明本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬北京所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)北京的書面授權(quán)許可，不得以任何方式復制或引用本文的任何內(nèi)容。版本變更記錄時間版本說明修改人2016.04.05V1.0初建適用性聲明文檔用于撰寫XX公司產(chǎn)品介紹、項目方案、解決方案、商業(yè)計劃書等。1 .產(chǎn)品概述12 .應用背景12.1 現(xiàn)狀與問題12.1.1 現(xiàn)狀12.1.2 問題12.2 需求分析32.2.1 政策需求 信息系統(tǒng)安全等級保護基本要求

2、 商業(yè)銀行信息科技風險管理指引32.2.2 技術(shù)需求42.2.3 管理需求42.2.4 性能需求42.2.5 環(huán)境與兼容性需求52.2.6 需求匯總53 .產(chǎn)品介紹53.1 目標53.2 產(chǎn)品功能63.2.1 數(shù)據(jù)庫訪問行為記錄63.2.2 違規(guī)操作告警響應63.2.3 集中存儲訪問記錄63.2.4 訪問記錄查詢73.2.5 數(shù)據(jù)庫安全審計報表73.3 產(chǎn)品部署73.3.1 旁路部署73.3.2 分布式部署83.4 產(chǎn)品特性93.4.1 安全便捷的部署方式93.4.2 日志檢索能力93.4.3 靈活的日志查詢條件103.4.4 靈活的數(shù)據(jù)庫審計配置策略103.4.5 數(shù)據(jù)庫入侵檢測能力103.

3、4.6 符合審計需求設計114 .用戶收益114.1 對企業(yè)帶來的價值114.2 全生命周期日志管理124.3 日常安全運維工作的有力工具121 .產(chǎn)品概述數(shù)據(jù)庫審計系統(tǒng)（以下簡稱xxx是一款專業(yè)、主動、實時監(jiān)控數(shù)據(jù)庫安全的審計產(chǎn)品。本系統(tǒng)采用有效的對數(shù)據(jù)庫監(jiān)控與審計方式，針對數(shù)據(jù)庫漏洞攻擊、SQl注入、風險操作等數(shù)據(jù)庫風險操作行為發(fā)生記錄與告警。能對不同的場景定制審計策略，如：信任，敏感模糊化和行為告警等策略。本系統(tǒng)可以有效的評估數(shù)據(jù)庫潛在風險；實時監(jiān)控數(shù)據(jù)庫用戶的訪問行為；它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報，用來幫助用戶事后生成合規(guī)報告、事故追根溯源，同時加強內(nèi)外部網(wǎng)絡行為記錄，

4、提高數(shù)據(jù)資產(chǎn)安全。2 .應用背景在高速信息化的今天，數(shù)據(jù)安全問題已涉及到各行各業(yè)中，數(shù)據(jù)泄漏所引發(fā)的社會問題持續(xù)高漲。信息安全成為國家安全戰(zhàn)略的重要部分。2.1 現(xiàn)狀與問題數(shù)據(jù)庫安全問題是亟待解決的安全核心痛點。2.1.1 現(xiàn)狀數(shù)據(jù)庫是數(shù)據(jù)信息存儲的最主要形式，而當前信息泄露案例的90犯上與數(shù)據(jù)庫相關(guān)80%勺數(shù)據(jù)庫沒有任何防護措施，面對數(shù)據(jù)篡改、數(shù)據(jù)破壞、數(shù)據(jù)泄漏等問題，追蹤、定責、挽回損失等方式顯得極為疲軟在傳統(tǒng)IT架構(gòu)向云計算模式遷移過程中，數(shù)據(jù)安全成為客戶關(guān)注的核心問題2.1.2 問題互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)的數(shù)據(jù)庫信息價值及可訪問性得到了提升，同時，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴峻的挑戰(zhàn)，

5、概括起來主要表現(xiàn)在以下三個層面：2016XXXXXXXXXX司政策層面：數(shù)據(jù)庫里保存著客戶信息和各類資金數(shù)據(jù)，數(shù)據(jù)庫的安全不僅關(guān)系到用戶自身的利益和品牌，還關(guān)系到公共秩序甚至國家利益。在國家等級保護、中國人民銀行及銀監(jiān)會信息安全規(guī)范以及國際支付卡行業(yè)數(shù)據(jù)安全標準等都有著明確的要求。技術(shù)層面：數(shù)據(jù)庫自身存在重大安全缺陷（訪問控制缺陷、數(shù)據(jù)庫管理系統(tǒng)漏洞、明文存儲）更為復雜的數(shù)據(jù)庫應用環(huán)境（B/S架構(gòu)的應用使數(shù)據(jù)庫間接暴露到互聯(lián)網(wǎng)、各種類型的外包工作人員直接訪問數(shù)據(jù)庫、數(shù)據(jù)庫共享使各種應用系統(tǒng)程序直連到數(shù)據(jù)庫）傳統(tǒng)防護方案具有局限性（網(wǎng)絡防火墻產(chǎn)品不對數(shù)據(jù)庫通訊協(xié)議進行控制、IPS/IDS/網(wǎng)絡審

6、計并不能防范那些看起來合法的數(shù)據(jù)訪問、繞過WA朦統(tǒng)的刷庫行為屢見不鮮、無法解決來自于業(yè)務系統(tǒng)本身的安全威脅、忽略了內(nèi)部人員的管控）運維管控存在泄密途徑（測試數(shù)據(jù)泄密、導出明文備份數(shù)據(jù)導致泄密、圖形化操作無法控制、無法控制返回結(jié)果集、惡意程序惡意訪問）內(nèi)部信息泄漏（利用數(shù)據(jù)庫的漏洞攻擊、應用數(shù)據(jù)庫賬戶泄露、敏感信息以明文存儲、DBAS戶操作無法監(jiān)管）管理層面：主要表現(xiàn)為人員的職責、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時，無法追溯并定位真實的操作者。伴隨著數(shù)據(jù)庫信息價值以及可訪問性提升，使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風險大大增加，如違規(guī)越

7、權(quán)操作、惡意入侵導致機密信息竊取泄漏，但事后卻無法有效追溯和審計。2016XXXXXXXXXX司2.2 需求分析2.2.1 政策需求 信息系統(tǒng)安全等級保護基本要求依據(jù)信息安全等級保護要求，XXX;®用系統(tǒng)被定義為三級，在安全審計方面均有與數(shù)據(jù)安全相關(guān)的要求，以下為等保關(guān)于數(shù)據(jù)安全的內(nèi)容。安全審計應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄。審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能安全審計數(shù)據(jù)庫管理系

8、統(tǒng)的安全審計應：建立獨立的安全審計系統(tǒng)；定義與數(shù)據(jù)庫安全相關(guān)的審計事件；設置專門的安全審計員；設置專門用于存儲數(shù)據(jù)庫系統(tǒng)審計數(shù)據(jù)的安全審計庫；提供適用于數(shù)據(jù)庫系統(tǒng)的安全審計設置、分析和查閱的工具 商業(yè)銀行信息科技風險管理指引第二十六條商業(yè)銀行應通過以下措施，確保所有信息系統(tǒng)的安全：（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。（七）以書面或電子格式保存審計痕跡。（八）要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。第二十七條商業(yè)銀行應制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預防欺詐。日志可以在軟件的不同層次

9、、不同的計算機和網(wǎng)絡設2016XXXXXXXXXX司備上完成，日志劃分為兩大類：（一）交易日志。交易日志由應用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯誤信息等。交易日志應按照國家會計準則要求予以保存。（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡事件、錯誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風險等級確定，但不能少于一年。商業(yè)銀行應保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計需要；應采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發(fā)生后應及時復查系統(tǒng)

10、日志。交易日志或系統(tǒng)日志的復查頻率和保存周期應由信息科技部門和有關(guān)業(yè)務部門共同決定，并報信息科技管理委員會批準。2.2.2 技術(shù)需求審計系統(tǒng)應能在保護數(shù)據(jù)庫安全的前提下，針對運維人員對數(shù)據(jù)庫的訪問行為進行審計，審計的內(nèi)容包括了訪問的時間、地址、目標資源以及詳細的操作內(nèi)容呈現(xiàn)。審計系統(tǒng)應對各類數(shù)據(jù)庫進行實時的監(jiān)控管理，監(jiān)控數(shù)據(jù)庫的運行狀態(tài)，保證數(shù)據(jù)的不中斷。能夠?qū)Ω黝惖臄?shù)據(jù)庫進行安全掃描，在發(fā)現(xiàn)配置或安全漏洞時提供有限的解決建議，保證數(shù)據(jù)庫的可靠性。審計系統(tǒng)應對重要數(shù)據(jù)庫操作進行審計，審計范圍包括數(shù)據(jù)庫維護人員、超級用戶以及應用用戶行為。審計系統(tǒng)應能夠?qū)徲嬌蟻淼娜罩居幸欢ǖ谋Ｗo能力，不能隨意修

11、改和刪除日志。日志的存儲應采用加密形式進行保存。2.2.3 管理需求應對第三方數(shù)據(jù)庫廠家以及超級權(quán)限用戶進行控制，能夠控制其訪問數(shù)據(jù)庫的操作，對其所做的操作進行全面的審計，保證重要數(shù)據(jù)的不丟失不泄密。2.2.4 性能需求為了保證系統(tǒng)的不間斷運行需對審計系統(tǒng)的性能有一定要求。在數(shù)據(jù)正常的情況下應保證：?2016XXXXXXXX便司峰值處理能力（SQL語句、條/秒）：18000吞吐量（Mb/sec）:2000Mbps一萬條審計日志搜索時間小于5秒2.2.5 環(huán)境與兼容性需求審計系統(tǒng)支持以下審計資源以及交換機類型，保證系統(tǒng)的正常上線和后續(xù)的使用審計資源數(shù)據(jù)庫類型版本端口OracleSybaseDB2

12、Mysql,網(wǎng)絡連接交換機類型版本鏡像端口,2.2.6 需求匯總通過對于用戶的環(huán)境的了解以及所提出問題的了解分析，具備需求體現(xiàn)在如下幾個方面:能夠滿足等級保護以及行業(yè)規(guī)定對于數(shù)據(jù)庫安全方面的要求。對登錄數(shù)據(jù)庫和操作數(shù)據(jù)庫的人員進行詳細的操作審計。能夠?qū)τ脩艟W(wǎng)絡內(nèi)的數(shù)據(jù)庫系統(tǒng)進行監(jiān)控與漏洞的掃描。對現(xiàn)有業(yè)務和系統(tǒng)不產(chǎn)生任何影響。整體審計系統(tǒng)具備一定的保密性，確保審計數(shù)據(jù)的安全性。維護簡單、具備專業(yè)的審計功能，節(jié)約人力，減少維護費用。三.產(chǎn)品介紹3.1 目標保護數(shù)據(jù)庫以及核心數(shù)據(jù)安全；提供靈活、便利的策略定制；通過事后的合規(guī)性分析，幫助您發(fā)現(xiàn)針對數(shù)據(jù)庫攻擊行為和安全隱患；?2016XXXXXXXX

13、XX司幫助您從多角度了解數(shù)據(jù)庫活動現(xiàn)狀;幫助您滿足合規(guī)/審計的要求；簡化您審計的工作。3.2 產(chǎn)品功能3.2.1 數(shù)據(jù)庫訪問行為記錄數(shù)據(jù)庫審計系統(tǒng)支持對多種類數(shù)據(jù)庫的操作行為進行采集記錄，探測器通過旁路接入，在相應的交換機上配置端口鏡像，對用戶訪問數(shù)據(jù)庫的數(shù)據(jù)流進行鏡像采集并保存信息日志。數(shù)據(jù)庫審計系統(tǒng)能夠詳細記錄每次操作的發(fā)生時間、數(shù)據(jù)庫類型、源MACM址、目的MAO址、源端口、目標端口、數(shù)據(jù)庫名、用戶名、客戶端IP、服務器端IP、操作指令、操作返回狀態(tài)值。數(shù)據(jù)庫審計系統(tǒng)支持記錄的行為包括：數(shù)據(jù)操作類（如select、insert、delete、update等）結(jié)構(gòu)操作類（如create、d

14、rop、alter等）事務操作類（如BeginTransaction、CommitTransaction、RollbackTransaction等）用戶管理類以及其它輔助類（如視圖、索引、過程等操作）等數(shù)據(jù)庫訪問行為，并對違規(guī)操作行為產(chǎn)生報警事件。3.2.2 違規(guī)操作告警響應數(shù)據(jù)庫審計系統(tǒng)可通過規(guī)則設置對各類數(shù)據(jù)庫操作訪問行為進行實時監(jiān)測，對網(wǎng)絡中的異常數(shù)據(jù)庫操作行為及時進行告警響應，實時顯示告警信息并記錄存儲。告警信息可通過郵件或短信等方式通知管理員，以確保管理員在第一時間發(fā)現(xiàn)用戶對數(shù)據(jù)庫的違規(guī)操作。3.2.3 集中存儲訪問記錄通過數(shù)據(jù)庫審計系統(tǒng)可以將分布在網(wǎng)絡不同位置、不同類型的數(shù)據(jù)庫的訪

15、問信息集中到統(tǒng)一的安全審計系統(tǒng)中進行存儲，便于對記錄數(shù)據(jù)進行分析。?2016XXXXXXXXXX司3.2.4 訪問記錄查詢數(shù)據(jù)庫審計系統(tǒng)采用專有的特殊文件系統(tǒng)對規(guī)范化的日志進行存儲，同時也支持Mysql等標準數(shù)據(jù)庫存儲，文件存儲機制是根據(jù)日志系統(tǒng)的特殊性進行專門研發(fā)，為海量日志的存儲及檢索進行了優(yōu)化設計。產(chǎn)品內(nèi)置高容量的硬盤存儲空間，采用Raid硬盤陣列，可有效防止由于硬盤硬件問題而帶來的數(shù)據(jù)丟失，同時數(shù)據(jù)庫審計系統(tǒng)還支持外掛存儲系統(tǒng)，從而實現(xiàn)存儲空間的海量擴充。3.2.5 數(shù)據(jù)庫安全審計報表數(shù)據(jù)庫審計系統(tǒng)通過動態(tài)報表的方式對數(shù)據(jù)庫操作行為審計結(jié)果進行統(tǒng)計分析。系統(tǒng)默認內(nèi)置豐富的報表模板，其中

16、大部分報表均符合SOXt案、等級保護等法規(guī)、標準對信息系統(tǒng)的審計需求，同時，用戶也可以根據(jù)自身的實際需求自定義報表內(nèi)容，生成審計報表，審計報表可以以HTTPf口EXCE咯式導出。3.3 產(chǎn)品部署3.3.1 旁路部署設備旁路在數(shù)據(jù)庫前端交換機，通過接收交換機端口鏡像數(shù)據(jù)流對數(shù)據(jù)庫進行審計，該拓撲方案無需更改任何現(xiàn)有拓撲結(jié)構(gòu)，同時也不會對現(xiàn)網(wǎng)造成任何影響。?2016XXXXXXXXXX司筆記本PC終蠲sag岸眼若圖i旁路部署拓撲圖3.3.2 分布式部署和單一部署類似，設備旁路在數(shù)據(jù)庫前端交換機，通過接收交換機端口鏡像數(shù)據(jù)流對數(shù)據(jù)庫進行審計，該拓撲方案無需更改任何現(xiàn)有拓撲結(jié)構(gòu)，不會對現(xiàn)網(wǎng)造成任何影響

17、；多臺設備通過管理口通訊級聯(lián)對規(guī)則策略進行同步。?2016XXXXXXXX便司jb'里.。核心交換機總部機房分支機構(gòu)圖2分布式部署拓撲圖3.4 產(chǎn)品特性3.4.1 安全便捷的部署方式數(shù)據(jù)庫審計系統(tǒng)對數(shù)據(jù)庫操作訪問行為采用全旁路方式進行審計，無需串聯(lián)在網(wǎng)絡設備中；不在數(shù)據(jù)庫主機上安裝客戶端軟件；不改變客戶原有的任何登錄方式；部署便捷，不會破壞本身網(wǎng)絡結(jié)構(gòu)，不影響數(shù)據(jù)庫系統(tǒng)的性能，實施成本較低。數(shù)據(jù)庫審計系統(tǒng)進行維護、升級時不會影響到正常業(yè)務的運行，也不會影響到網(wǎng)絡性能。3.4.2 日志檢索能力數(shù)據(jù)庫審計系統(tǒng)采用了公司自主開發(fā)的基于海量日志索引的日志檢索引擎，避免了采用關(guān)系型數(shù)據(jù)庫在處理海

18、量日志數(shù)據(jù)時的低效率問題，采用“基于預測的動態(tài)索引技術(shù)”、“數(shù)據(jù)正交分組技術(shù)”及“適應磁盤的索引存儲”“即時結(jié)果反饋技術(shù)”等核心技術(shù)手段，實現(xiàn)了對日志的高速檢索能力。數(shù)據(jù)庫審計系統(tǒng)對于在緩存中的日志（最近入庫的日志），以四重以內(nèi)組合條件查詢，能?2016XXXXXXXX便司夠在5秒內(nèi)即返回完整的檢索結(jié)果。對于任意時間段內(nèi)的歷史數(shù)據(jù)查詢，數(shù)據(jù)庫審計系統(tǒng)也能夠在數(shù)秒鐘內(nèi)即反饋符合要求的檢索結(jié)果。3.4.3 靈活的日志查詢條件數(shù)據(jù)庫審計系統(tǒng)支持不限次數(shù)的多重條件查詢規(guī)則設定，管理員可根據(jù)日志的類型、發(fā)生時間、不同字段內(nèi)容等條件組合進行精細匹配。數(shù)據(jù)庫審計系統(tǒng)支持：、=、不等于、包含、時間區(qū)間、或、與

19、等十多種常見邏輯符號，支持跨日志查詢，管理員能夠通過設定規(guī)則條件，對日志進行精確定位。3.4.4 靈活的數(shù)據(jù)庫審計配置策略數(shù)據(jù)庫審計系統(tǒng)提供了靈活和易于操作的策略配置管理。策略配置為高效而全面地實現(xiàn)數(shù)據(jù)庫安全審計起到了決定性的作用。數(shù)據(jù)庫審計系統(tǒng)有以下多種配置策略：全面審計策略：所有的數(shù)據(jù)庫請求都會被審計，保證審計的全面性；審計過濾策略：在某些高吞吐量場景，過高的負載將使實時處理和存儲壓力過大，通過系統(tǒng)提供的白名單過濾、白名單規(guī)則可以對常規(guī)安全語句、安全來源實現(xiàn)審計過濾，使系統(tǒng)能夠在過載的情況下，集中在危險或異常的SQL語句審計上；重點語句告警策略：無論是否執(zhí)行全面審計的策略，系統(tǒng)都可以對需要

20、重點監(jiān)視的語句進行特殊對待，可以通過黑名單、正則表達、重點用戶、重點IP、返回行數(shù)等策略完成對重點關(guān)注對象和行為的定義，對這些重點對象和行為的語句可以將其放入到告警審計中，可以通過syslog、snmp郵件或短信等多種途徑對這些語句進行土煞口目。3.4.5 數(shù)據(jù)庫入侵檢測能力數(shù)據(jù)庫審計系統(tǒng)提供了強大的數(shù)據(jù)庫入侵檢測能力，對入侵行為進行重點告警；數(shù)據(jù)庫審計系統(tǒng)對數(shù)據(jù)庫的入侵檢測行為提供了大量的檢測策略定義方法，包括：危險客戶端登錄：通過IP、用戶、數(shù)據(jù)庫客戶端工具、時間等多維定義可能具有入侵風險的登錄；危險訪問行為：通過用戶、敏感對象、時間、返回行數(shù)、操作是否有Where是否使2016XXXXX

21、XXX便司用了系統(tǒng)對象、高危操作子等多種方式定義了危險訪問行為；SQL注入：系統(tǒng)提供了系統(tǒng)性的SQL注入庫，以及基于正則表達式或語法抽象的SQL注入描述擴展；漏洞攻擊庫：系統(tǒng)提供了針對數(shù)據(jù)庫漏洞進行攻擊的描述模型，使對這些典型的數(shù)據(jù)庫攻擊行為被迅速發(fā)現(xiàn)；黑名單：提供準確而抽象的方式，對系統(tǒng)中的特定訪問SQL語句進行描述，使這些SQL®句出現(xiàn)時能夠迅速報警。3.4.6 符合審計需求設計數(shù)據(jù)庫審計系統(tǒng)對數(shù)據(jù)庫操作行為日志的采集分析及審計報表均根據(jù)各行業(yè)審計需求、國家法規(guī)需求進行專門設計，如：國家保密標準BMZ2-2001涉及國家秘密的計算機信息系統(tǒng)安全保密方案設計指南國家保密標準BMZ1

22、-2000涉及國家秘密的計算機信息系統(tǒng)保密技術(shù)要求國家保密標準計算機信息系統(tǒng)保密管理暫行規(guī)定（國保發(fā)19981號）國家標準GB17859-1999,計算機信息系統(tǒng)安全保護等級劃分準則國家標準GB/T18336.2-2001，信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第2部分：安全功能要求ISO27001/ISO17799:2005/BS7799,信息安全管理技術(shù)規(guī)范國家標準GB/T22239信息系統(tǒng)安全等級保護基本要求四.用戶收益4.1 對企業(yè)帶來的價值數(shù)據(jù)庫審計系統(tǒng)從不同層面為企業(yè)和組織的用戶帶來價值回報。1）對于安全管理員、安全分析員、安全運維人員：明確工作職責，各類安全管理人員各司其職，協(xié)同合作提高工作效率，更加快速準確的識別安全告警，發(fā)現(xiàn)違規(guī)行為，進行應急響應發(fā)生安全問題，事后調(diào)查有據(jù)可循2）對于安全負責人，負責安全的高管：2016XXXXXXXXXX司有助于建立一套可行的安全策略的執(zhí)行方針，并通過數(shù)據(jù)庫審計系統(tǒng)真正落實通過持續(xù)有效的安全事件分析識別安全事故、策略沖突