数据库安全审计适用范围-核心技术-部署方式-支持类型
作者:安华金和 发布时间:2020-10-14


  【数据库安全审计概念】
  数据库安全审计提供旁路模式审计功能,通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警。同时,数据库安全审计可以生成满足数据安全标准(例如Sarbanes-Oxley)的合规报告,对数据库的内部违规和不正当操作进行定位追责,保障数据资产安全。
  【数据库安全审计适用范围】
  助力企业满足等保合规要求
  满足等保测评数据库审计需求
  满足国内外安全法案合规需求,提供满足数据安全标准(例如Sarbanes-Oxley)的合规报告
  支持备份和恢复数据库审计日志,满足审计数据保存期限要求
  支持风险分布、会话统计、会话分布、SQL分布的实时监控能力
  提供风险行为和攻击行为实时告警能力,及时响应数据库攻击
  帮助您对内部违规和不正当操作进行定位追责,保障数据资产安全
  数据库安全审计采用数据库多种类型部署方式,在不影响用户业务的提前下,可以对数据库进行灵活的审计。
  基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。
  从风险、会话、SQL注入等多个维度进行分析,帮助您及时了解数据库状况。
  提供审计报表模板库,可以生成日报、周报或月报审计报表(可设置报表生成频率)。同时,支持发送报表生成的实时告警通知,帮助您及时获取审计报表。
  【数据库安全审计核心技术】
  核心技术一:漏洞攻击监控技术
  漏洞攻击检测技术是本系统中的核心技术之一,通过该技术用户可以针对数据库漏洞攻击行为进行实时的检测,从而保证安全与应用稳定的平衡。
  漏洞攻击检测技术是系统通过协议解析技术,捕捉外部系统利用数据库漏洞进行的网络攻击行为并对其进行告警,从而监控通过已知漏洞对数据库的攻击。
  数据安全审计通过网络解析技术捕获以下访问特征:用户名、对象、操作、应用模块、语句内容,通过内部的漏洞攻击检测库进行访问行为匹配。当前本系统可以支持以下漏洞攻击行为的捕获:
  数据库安全审计之漏洞攻击监控技术
  核心技术二:SQL特征抽象技术
  SQL 语句的解析是识别 SQL 语句攻击行为的关键。传统的技术,往往采用正则表达式的方式,但该方式存在巨大的技术缺陷,一是正则匹配过程性能低下,二是对于复杂的参数情况容易产生匹配错误,三是通过语句的变体容易欺骗。
  本系统为了有效捕获 SQL 语句的特征,以及为了快速地对 SQL 语句进行策略判定,以实现高效处理,提供了专利性的 SQL 语法特征技术,实现了对 SQL 语句的重写。
  SQL 重写是在不改变原 SQL 语句的语义的情况下,本系统对捕捉到的 SQL 语句进行重写,替换原语句中的参数值。
  SQL 重写是一个抽象的过程,便于管理和操作。SQL 重写包括以下几个方面:
  除了单双引号内的内容,小写字母全部变为大写字母;
  准确区分正负号和加减号;
  将 SQL 语句中的数值、单引号引起的字符串各自重写为统一的占位符;
  将注释、换行重写为空格,将连续的空格合并为 1 个,去掉运算符两端等不影响语义的空格
  核心技术三:海量数据压缩
  采用先进的数据采集和存储机制,对海量的审计日志归档存储,并且根据现场的实际压力状态和备份语句量,提供【高压缩】和【高性能】两种数据压缩方式。
  【高压缩】:适用于压缩数据量大,而实时性能不高的情况;
  【高性能】:适用于实时性能较高,对压缩备份数据量不敏感的情况;
  数据安全审计之数据压缩技术
  【数据库安全审计部署】
  部署方式一:旁路审计
  数据安全审计支持旁路部署模式,在无须插件植入数据库的前提下,实现数据库通讯流量的全量解析和审计。旁路模式下系统并不直接接入数据库网络,而是将网络流量镜像传输给审计系统,系统通过网络监听口捕获镜像流量完成审计。
  部署方式二:虚拟化审计
  系统支持虚拟环境部署,可适用于主流私有云环境(如:青云、华为云、阿里云、腾讯云等),可以支持虚拟机环境部署(如 VMware、KVM 等)。系统可基于 CentOS 操作系统解压安装,可基于以下两种方式进行实时数据采集:
  1、虚拟交换机引流
  适用于数据库和应用在同一虚拟化环境下,依赖虚拟交换机(VSwitch)进行流量镜像,网络配置方式类似于物理机设备的“旁路镜像”。
  2、Rmagent 插件部署
  虚拟环境中,虽然支持 VSwitch(虚拟交换机)功能,实现在虚拟环境下的数据镜像,但在实施过程中往往受到环境影响无法完成数据引流。为了适应虚拟环境下的灵活部署,数据安全审计产品可基于 rmagent 插件部署于数据库服务器从而完成数据采集。
  其思路是:在被审计的机器上安装 rmagent 插件,可以从网卡上进行抓包,然后通过TCP 连接,把此网络包发送给审计设备。审计系统提供接口和 rms 程序用于接收 rmagent传输的数据包,接受后传输到数据区进行协议解析并形成常规的审计。Rmagent 具备良好的兼容性,可适用于 CentOS、RedHat、Solaris、AIX 等主流操作系统。
  部署方式三:本地审计
  数据库的本地操作行为包括:TCP 式协议访问、客户端工具直连访问。系统通过部署Rmagent 组件可以利用 npcap 抓取本地“回环口”流量,并将采集到的数据库本地通讯信息,通过内部网络传递给审计设备完成本地流量解析。
  数据库客户端工具(例如:SQLPlus)部署于数据库服务器,可以直连数据库 Server进行操作,此类信息无法通过回环口抓包获取。系统通过向客户端工具植入插件的方式,获取操作日志,并传递给 rmagent 完成信息采集,从而实现全量的数据库本地行为记录。
  【数据库安全审计支持的数据库类型】
  主流数据库:Oracle、Microsoft SQL Server、MYSQL、MariaDB、Percona、OceanBase、IBM Db2、Informix、Sybase IQ、Sybase ASE;
  专用数据库:Teradata、PostgreSQL、Greenplum、CacheDB、MongoDB、SAP HANA;
  国产数据库:达梦DM、人大金仓Kingbase、南大通用Gbase、神通Oscar、华为GaussDB;
  大数据组件:Elasticsearch、Redis、Hbase、Hive、Impala、Spark SQL;