一、產(chǎn)品概述
®數據庫審計與風(fēng)險控制系統(簡(jiǎn)稱(chēng):DAS-DBAuditor)是信息在多年數據庫安全理論研究與實(shí)踐的基礎上,結合各類(lèi)法令法規(如等級保護、分級保護、企業(yè)內控、SOX、PCI等)對數據庫安全的要求,自主研發(fā)的業(yè)界首創(chuàng )細粒度審計、雙向審計、全方位風(fēng)險控制的數據庫安全審計產(chǎn)品??蓭椭脩?hù)帶來(lái)如下價(jià)值點(diǎn):
全面記錄數據庫訪(fǎng)問(wèn)行為,識別越權操作等違規行為,并完成追蹤溯源
跟蹤敏感數據訪(fǎng)問(wèn)行為軌跡,建立訪(fǎng)問(wèn)行為模型,及時(shí)發(fā)現敏感數據泄漏
檢測數據庫配置弱點(diǎn)、發(fā)現SQL注入等漏洞、提供解決建議
為數據庫安全管理與性能優(yōu)化提供決策依據
提供符合法律法規的報告,滿(mǎn)足等級保護、企業(yè)內控等審計要求;
二、產(chǎn)品功能簡(jiǎn)介
DBAuditor基于“金字塔模型”設計,分成原始信息收集、審計信息標準化、審計信息篩選、預警與報表共四大模塊。
1. 原始信息收集
DBAuditor通過(guò)旁路鏡像的模式進(jìn)行部署,可以在不改變用戶(hù)現有網(wǎng)絡(luò )結構、不不占用數據庫服務(wù)器資源、不影響數據庫性能的情況下實(shí)現對數據庫的訪(fǎng)問(wèn)行為審計。DBAuditor支持分布式部署,實(shí)現配置與報表的集中管理、并發(fā)流量采集與處理、多點(diǎn)存儲、多級管理。
DBAuditor提供自動(dòng)定期發(fā)現功能,可及時(shí)發(fā)現新增或者一些未知的數據庫并告警,也可自動(dòng)加載為審計對象。
2. 審計信息標準化
DBAuditor支持國內外主流數據庫,包括Oracle、SQL server、DB2、Mysql、Informix、Sybase、PostgreSQL 、神通OSCAR、達夢(mèng)DM、人大金倉、南大通用Gbase、CACHé 、Teradata共13種協(xié)議。并將不同數據庫協(xié)議按照標準化的格式進(jìn)行展示,方便管理人員閱讀和分析。
3. 審計信息篩選
DBAuditor根據5W1H分析模型進(jìn)行規制設計,提供豐富的規則條件和向導式的規則配置方法,同時(shí)內置了300多條安全相關(guān)的審計分析規則。
4. 預警與報表
DBAuditor提供Syslog、短信、郵件、SNMP、FTP等豐富的告警方式,可第一時(shí)間通知管理人員,并可與SOC、安管平臺等進(jìn)行日志的整合。
DBAuditor內置了40多種高價(jià)值、符合法律法規的分析報表,可從數據庫賬號增刪、密碼修改、權限變更、高危操作、違規告警、賬號復用、數據庫性能分析等角度進(jìn)行分析,同時(shí)支持自定義的方式定制更多報表。
三、產(chǎn)品技術(shù)優(yōu)勢
1. 多核、多線(xiàn)程并行處理技術(shù),處理性能遙遙領(lǐng)先
DBAuditor選用國際領(lǐng)先的、適合審計產(chǎn)品特性的硬件平臺,通過(guò)intel多核CPU的強大計算能力,以及信息獨有的多線(xiàn)程分布式處理技術(shù),使得數據庫審計系統的處理能力大大提高,真正領(lǐng)先于國內同類(lèi)型產(chǎn)品。
2. 數據庫安全配置分析和漏洞評估
DBAuditor繼承了信息數據庫安全漏洞掃描技術(shù)優(yōu)勢,形成了從漏洞掃描、安全審計為一體的解決方案??赏ㄟ^(guò)定制化任務(wù)方式實(shí)現周期性的自動(dòng)掃描,發(fā)現數據庫的配置不合理項、弱口令、安全漏洞。并可根據漏洞情況提供合理的安全建議和審計規則,生成安全漏洞掃描報告。
3. 智能關(guān)聯(lián)分析
通過(guò)同時(shí)提取web業(yè)務(wù)端和數據庫端的協(xié)議流量,提取出具體業(yè)務(wù)操作請求URL、POST/GET值、業(yè)務(wù)賬號、原始客戶(hù)端IP、MAC地址、提交參數等。通過(guò)智能自動(dòng)多層關(guān)聯(lián),關(guān)聯(lián)出每條SQL語(yǔ)句所對應URL,以及其原始客戶(hù)端IP地址等信息,實(shí)現追蹤溯源。
4. 獨有的雙向審計
DBAuditor通過(guò)信息多年的協(xié)議解析經(jīng)驗,可以實(shí)現真正的雙向審計。雙向審計不但包含了sql語(yǔ)句執行狀態(tài)、返回行數、返回時(shí)間等基本信息,最為關(guān)鍵是包含了數據庫的返回結果內容。如下圖:
5. 數據庫行為軌跡分析
DBAuditor通過(guò)創(chuàng )新的行為軌跡分析方法,使得審計員擺脫了從成千上萬(wàn)條日志進(jìn)行枯燥分析的煩惱,大大提高了分析效率,提高了審計的易讀性和價(jià)值。
6. 數據庫行為模型分析
DBAuditor通過(guò)自動(dòng)學(xué)習建立數據庫行為模型,行為模型是基于“總—分”邏輯分析思維,一層一層展示整個(gè)數據庫的行為狀態(tài)。通過(guò)行為模型的變更分析,可方便用戶(hù)掌握最新訪(fǎng)問(wèn)動(dòng)態(tài)。通過(guò)行為模型的對比分析則可以分析出兩個(gè)不同時(shí)間段的模型差異,可以非常方便的發(fā)現數據庫賬號、源IP、訪(fǎng)問(wèn)工具類(lèi)型、權限的增刪變更情況,方便進(jìn)一步追蹤分析。
四、產(chǎn)品典型案例
信息助力“國內證券公司”通過(guò)“等級保護”三級測評
1) 背景介紹和需求
某證券公司在信息科技建設方面一直走在行業(yè)前列,其對集中交易系統的網(wǎng)上交易系統、營(yíng)業(yè)部交易系統等幾個(gè)核心數據庫部署數據庫安全審計系統來(lái)加強數據安全管理,以實(shí)現對數據庫非法行為的事前預防、實(shí)時(shí)告警、事后追查等功能,并滿(mǎn)足等級保護的測評要求。
2) 解決方案
集中交易系統是公司核心的資產(chǎn),而且數據流量比較大,安全可靠性要求高,調研討論后在集中交易系統的5個(gè)核心交易系統中分別部署一臺數據庫審計與風(fēng)險控制系統采集器。在總控系統中部署1臺數據庫審計與風(fēng)險控制系統采集器,并部署1臺數據庫審計管理中心。所有采集器通過(guò)網(wǎng)絡(luò )把數據上傳到管理中心,客戶(hù)通過(guò)管理中心統一進(jìn)行查詢(xún)管理等。
3) 客戶(hù)價(jià)值
全面滿(mǎn)足國家等級保護三級測評要求,成功通過(guò)測評認證;
能夠從合法、合規的方面滿(mǎn)足證監會(huì )對信息化的監管要求;
從帳號管理、權限管理等多維度進(jìn)行監控,助力IT管理制度實(shí)施;
建立數據庫權限模型,為數據庫安全建設提供優(yōu)化經(jīng)驗;
4) 類(lèi)似案例還包括:
國信證券、銀河證券、海通證券、招商銀行、浙江農信、一汽集團、南方航空、鐵道部12306、快錢(qián)支付。
信息助某運營(yíng)商實(shí)現創(chuàng )新安全審計
某運營(yíng)商出于對敏感信息保護、集團安全考核、等級保護和塞班斯SOX法案合規等要求,在計費、CRM等共計30多個(gè)系統中部署了46套數據庫審計系統,每天產(chǎn)生 12 億多條的安全審計日志;
審計分析規則:目前從帳號授權管理、認證管理、關(guān)鍵系統操作、敏感數據泄露、DDL 操作異常分析、安全攻擊等8種視角、50多個(gè)維度進(jìn)行分析,形成了幾百條有效審計規則, 可以有效的識別數據庫的安全風(fēng)險;
審計分析報表:在系統智能告警基礎上,通過(guò)安全專(zhuān)家分析,定期為每個(gè)業(yè)務(wù) 系統制作《審計報告》,審計報表分為公司領(lǐng)導、技術(shù)管理人員、專(zhuān)業(yè)技術(shù)人員三個(gè)級別的報表,使不同級別的人員都能夠迅速了解整個(gè)審計系統的整體情況,及時(shí)發(fā)現審計問(wèn)題。
"