白皮书下载1 引言
企业最核心、最重要、最有价值,同时也是最敏感的信息存储库——数据库,很容易受到外部攻击者利用 Web 应用程序实施的攻击以及内部员工利用更直接的权限进行的违规操作。客户信息、财务报表以及患者数据都存在风险。因此,对于数据的安全管理和操作风险已经引起政府、行业和企业高层管理者的高度重视。在安全风险管理方面,企业和政府部门随着信息化建设的不断发展促使信息价值不断提升。随着业务和IT融合不断地深入和数据共享需求的不断扩展,数据库安全面临着管理、技术和审计的多方面风险。
2 迪普数据库审计管理平台简介
2.1 产品定位
迪普数据库审计管理平台(DPtech DSP)集多核多线程并行处理、精准协议解析、海量日志存储和检索等技术于一身。具有性能高、支持数据库种类多、数据库协议解析精确等优势。平台可旁路部署在网络中,通过对访问数据库的行为、内容等进行采集、存储、分析,实现完全独立于数据库的审计功能,并生成合规报告,便于事故追根溯源,提高数据资产安全。
2.2 产品架构
数据库审计管理平台分为软件形态和硬件形态,硬件主要为1U和2U产品,产品架构如下:
数据获取与存储层:该层完成数据的获取和存储。数据获取功能主要实现各种访问数据的获取,存储功能实现SQL日志、规则、状态信息等的存储。
数据处理层:该层实现数据处理逻辑。包括各种规则的检测、SQL注入攻击的检测、数据存储分包管理、审计规则的匹配,以及日志的查询能力。
展示与接口层:该层实现用户接口以及与其它系统之间的接口。包括报表显示、状态显示、系统配置管理,以及日志查询分析界面等。
3 产品功能
3.1 数据发现功能
能够扫描网络中的开放的服务,自动发现网络中存在的数据库系统,能够自动或手动将这些服务进行安全防护,能够对数据库服务器进行扫描,自动发现数据库中存在的身份证、手机号、姓名等超过13种数据特征,能够对敏感数据分布情况进行统计,并可以图表展示和报表导出。
3.2 数据风险扫描功能
支持弱口令检测,数据库系统用户权限分配风险扫描以及安全配置检测,能够提供扫描报告,对扫描结果进行分析、报告,并提供修复建议。
3.3 数据库状态监控功能
状态监控:支持对数据库系统进行全面的状态监控,实时监测数据库系统运行参数,包括监视器信息、连接时间、用户活动、表空间状态、SGA状态、数据文件性能、回滚段、缓冲区、锁统计、cache信息、线程信息等参数,保证数据库系统稳定运行。
3.4 三层关联审计功能
三层关联审计,能够实现完整的业务审计。可以完成从真实用户访问应用程序、应用程序访问数据库之间的行为进行关联。能够将真实用户计算机IP地址、登陆的用户名、数据库IP地址、SQL语句、访问发生的时间等信息记入审计日志,从而定位到网络中具体的人,实现全方位的立体审计。
3.5 超长语句审计功能
支持跨包的SQL语句拼接功能,能够完整解析与审计超长SQL语句(超过64K字节),屏蔽逃逸审计通道。
3.6 入侵检测功能
可以对网络中存在的SQL注入、缓冲区溢出、权限提升等漏洞攻击行为进行审计和告警。
3.7 日志模糊化功能
用其它内容或符号代替日志中存在的敏感信息(如身份信息、联系方式),在日志存储和检索过程中显示的模糊化后的内容。
3.8 日志报表功能
具备强大的报表模板以及可定制的客户化报表,满足不同层次用户的需要。可提供DPA、SOX、等保、医疗防统方等行业性报表模板。
3.9 三权分立功能
采取三权分立的账户管理模式,实现安全管理员、系统管理员与安全审计员权限分离,满足相关法案法规要求。
4 特点与优势
4.1 审计性能高
采用领先的、适合审计特性的硬件平台,借助多路并行总线技术和零拷贝技术可提供国内高级别的审计能力,高端环境中可达20万 SQL/秒,通过端口高速转发技术实现毫秒级的延迟。
4.2 日志存储检索能力强
采用非结构化的存储方式,比传统的结构化存储方式效率提高了10倍,1T硬盘可以存储20亿到30亿条日志;同时配合海量日志存储分析检索技术使得审计日志的检索分析变得更加高效。
4.3 支持的数据库种类多
审计兼容性强,支持关系型数据库oracle、mysql、DB2、Sybase、达梦、南大通用、人大金仓、浪潮KDB以及非关系型数据库Hive、MongoDB等超过20种数据库的安全防护。
4.4 审计功能全面
支持双向审计、三层关联审计、超长语句解析、变量绑定、攻击检测等功能,能够支持在线、旁路、探针、代理等部署方式,可以满足不同用户、不同部署环境的安全审计需求。
5 产品价值
5.1 便于事后追溯
数据库审计管理平台可以涵盖访问数据的所有途径,无论是内部、外部,还是直接、间接的访问行为,均可进行审计,通过权限分立可以避免受到未预期的删除、修改或覆盖,为用户提供稳定可靠的事后追溯的依据和来源。
5.2 安全合规
满足《网络安全法》、《信息系统安全等级保护基本要求》、《涉及国家秘密的信息系统分级保护技术要求》、《企业内部控制基本规范》等关于数据库安全审计的相关要求,能够提供相对应的安全审计报表,协助用户通过相关测评。
5.3 及时响应
针对于服务器状态异常、数据库漏洞攻击、高危操作、特权操作、违规操作、越权访问以及其它自定义安全策略的情况,提供实时的告警功能。支持通过声音、短信、邮件、SNMP、syslog等方式通知管理人员,做到及时响应。
5.4 协助调优
能够直观的展现数据库运行状态、SQL语句执行时长、数据库文件性能、连接数、SQL语句分布、TOP10语句等信息,协助用户针对性的进行调整优化、提高数据库可用性。
6 应用场景及安装部署
6.1 应用场景
合规驱动类
等保2.0政策以及数据安全法中关于数据安全防护的要求;
事件驱动类
针对行业突发的数据泄露事件,如微盟“删库事件”,建设银行数据泄露事件,需要安全加固的场景;
安全需求类
针对存储有国家政务数据、医疗数据、社保数据、个人信息等需要重点保护的行业和场景。
6.2 部署方式
旁路镜像:
采用旁路镜像的方式接入用户的网络环境中,具有对网络零改造、适应性高部署方便等特点。
探针部署:
对于应用于数据库在同一台服务器的情况以及云计算虚拟化环境,采用探针部署,有效地解决了本地审计困难的问题。
