产品概述
明御数据库审计与风险控制系统(简称:DAS-DBAuditor)是安恒信息结合多年数据库安全的理论和实践经验积累的基础上,结合各类法令法规(如SOX、PCI、企业内控管理、等级保护等)对数据库审计的要求,自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库全业务审计产品。
DAS-DBAuditor以独立硬件审计的工作模式,灵活的审计策略配置,解决企业核心数据库面临的"越权使用、权限滥用、权限盗用"等安全威胁,满足各类法令法规(详细内容见附录)对数据库审计的要求,广泛适用于"政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业"等所有使用数据库的各个行业。DAS-DBAuditor支持Oracle、MS-SQL Server、DB2、Sybase、MySQL、Informix、OSCAR等业界主流数据库以及众多远程操作协议,如RDP(远程桌面)、SSH、VNC、Xwindow、TELNET、FTP、SFTP等,可以帮助用户提升数据库和主机运行监控的透明度,降低人工审计成本,真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。
典型部署
DAS-DBAuditor可以在不改变现有网络体系结构、不占用数据库服务器任何资源、不影响数据库性能的情况下,快速部署到业务系统网络中。
主要功能
多层业务关联审计:
通过应用层访问和数据库操作请求进行多层业务关联审计,实现访问者信息的完全追溯,包括:操作发生的URL、客户端的IP、请求报文等信息,通过多层业务关联审计更精确地定位事件发生前后所有层面的访问及操作请求,使管理人员对用户的行为一目了然,真正做到数据库操作行为可监控,违规操作可追溯。
细粒度数据库审计:
通过对不同数据库的SQL语义分析,提取出SQL中相关的要素(用户、SQL操作、表、字段、视图、索引、过程、函数、包…)
实时监控来自各个层面的所有数据库活动,包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等
通过远程命令行执行的SQL命令也能够被审计与分析,并对违规的操作进行阻断
系统不仅对数据库操作请求进行实时审计,而且还可对数据库返回结果进行完整的还原和审计,同时可以根据返回结果设置审计规则
精准化行为回溯:
一旦发生安全事件,提供基于数据库对象的完全自定义审计查询及审计数据展现,彻底摆脱数据库的黑盒状态
全方位风险控制:
灵活的策略定制:根据登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件
多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警等方式通知数据库管理员
多协议层的远程访问监控:
支持对客户端工具、应用层以及对服务器的远程访问(如:RDP、SSH、FTP、TELNET、VNC、Xwindow)实时监控及回放功能,有助于安全事件的定位查询、成因分析及责任认定
职权分离:
《计算机信息系统安全等级保护数据库管理技术要求》、《企业内部控制规范》、SOX法案或PCI中明确提出对工作人员进行职责分离,系统设置了权限角色分离。
友好真实的操作过程回放:
对于客户关心的操作可以回放整个相关过程,让客户可以看到真实输入及屏幕显示内容
对于远程操作实现对精细内容的检索,如执行删除表、文件命令、数据搜索等
业界首创的审计模式:
除了提供实时的动态审计功能,还提供了可选的扫描审计模块对数据库的不安全配置、弱口令等进行检测和审计
产品特点
完整性:独一无二的多层业务关联审计,可针对WEB层、应用中间层、数据层各层次进行关联审计
细粒度:细粒度的审计规则、精准化的行为检索及回溯、全方位的风险控制
有效性:独有专利技术实现对数据库安全的各类攻击风险和管理风险的有效控制;灵活的、可自定义的审计规则满足了各类内控和外审的需求(有效控制误操作、越权操作、恶意操作等违规行为)
公正性:基于独立审计的工作模式,实现了数据库管理与审计的分离,保证了审计结果的真实性、完整性、公正性
零风险:无需对现有数据库进行任何更改或增加配置,即可实现零风险部署
高可靠:提供多层次的物理保护、掉电保护、自我监测及冗余部署,提升设备整体可靠性
易操作:充分考虑国内用户的使用和维护习惯,提供Web-based全中文操作界面及在线操作提示
易操作:充分考虑国内用户的使用和维护习惯,提供Web-based全中文操作界面及在线操作提示。
产品规格
注:详细配置仅供参考,实际交付以合同约定为准。
堡垒主机(DAS-SA1000)
|
||
序号
|
名称
|
描述
|
1
|
硬件平台
|
标准2U机箱
|
2
|
日志保存量
|
不少于3个月保存期,RAID1可转储
|
3
|
工作口
|
RJ45,4*10/100/1000自适应电口(两对Bypass),2*SFP口, SFP多模模块(LC-LC跳线)
|
4
|
管理口模块
|
RJ45,10/100/1000自适应电口
|
5
|
电源
|
1+1冗余电源
|
典型应用案例
某省级电信运营商
由于电信运营商数据库系统用户众多,涉及数据库管理员、内部员工及合作方人员等,因此网络管理更加复杂,单位数据库面临的主要安全威胁与风险总结如下:
数据库账户和权限的滥用
数据库自身日志审计的缺陷
数据库与业务系统无法关联分析
数据库自身存在问题
数据库系统的运维存在安全隐患
安恒信息解决方案:
我们根据电信用户的需求进行分析,从全审计的角度出发考虑整体的数据库全业务安全审计,主要包括以下几个方面:
采用静态审计实现数据库软件自身安全隐患的审计,依托安恒信息其权威性的数据库安全规则库,自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等数据库软件存在的问题,为后续的动态防护与审计的安全策略设置提供了有力的依据。
采用数据库实时审计解决数据库操作中的细粒度审计,包括采用细粒度的审计策略对操作、访问及命令返回进行全监控,实现针对所有帐户对数据库操作、访问及命令的全面监测审计,加强对数据库临时帐户与高权限帐户的审计监测审计,加强针对重要敏感数据的访问审计监测,达到字段级的审计细粒度,提供详细的数据库审计记录及分类报表统计,根据多年数据库安全经验提供报表支持,实现数据库异常操作监测报警,并提供多种告警方式通知相关人员处置,采用独立审计的工作模式,不对现有系统造成任何影响,弥补了因数据库系统内置日志审计而带来的缺陷。
通过堡垒主机实现对所有远程操作的行为监测,堡垒主机基于网络、透明方式工作,不影响网络结构和业务系统,覆盖运营商采用的远程协议,如RDP、SSH、VNC、Xwindow、Telnet、FTP等协议,可以对操作进行回放和检索查询,帮助构建全面的审计平台。
应用系统与数据库操作进行关联,有效解决操作行为的追溯,根据时间片、关键字等要素进行信息筛选,以确定符合数据库操作请求的WEB访问,通过多层业务审计更精确地定位事件发生前后所有层面的访问及操作请求。
用户部署示意图
逻辑示意图