数据库审计产品特性及部署方式
作者:安华金和 发布时间:2020-10-19


  随着互联网的快速发展,企业通过各种应用产生在数据库中的所有关于商业以及公共安全性的数据,已经成为各企事业单位最具有价值的资产。通常企业为了防止这些敏感数据被竞争对手或者黑客非法获取,用以谋求不正当的利益,都会通过各种方式将这些信息严密保护起来。
  但是,根据安华金和统计显示:企业绝大多数重要的敏感的数据存储于数据库,90%以上敏感信息泄露源于数据库。而外泄的敏感信息主要是个人信息泄露,包括:用户名、用户密码、电子邮件、电话号码、银行账号、个人财产信息等。对于数据泄露的方式,主要包括:外包商滥用、离职员工窃取、管理者滥用、使用者误操作、内部人员窃取以及黑客窃取等。这也表明,企业对数据库防护并没有想象中的那么完美,而是面临各种安全风险的挑战。
  而数据库安全审计系统可以对数据的访问操作行为做一个完整的记录,以备违反安全规则的事件发生后,能有效的追查责任和分析原因,必要时还可以为惩罚恶意攻击行为提供必要的证据。这就对数据库安全审计产品提出了一个最基本的要求:完整的纪录。
  法规控制在一些领域起了关键性的作用,例如在业务变更、业务流程验证、系统故障、人为违规操作等方面。因为数据库作为各项资产或者业务的核心,所以数据库审计在各类标准法规中非常重要。
  《萨班斯法案》强调加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制是紧密围绕信息安全审计这一核心的。
  巴赛尔新资本协定(Basel II)要求全球银行必须做好风险控管(risk management),而这项“金融作业风险”的防范正需要业务信息安全审计为依托。
  《企业内部控制具体规范》明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。
  《等级保护数据库管理技术要求》 第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应:建立独立的安全审计系统;定义与数据库安全相关的审计事件;设置专门的安全审计员;设置专门用于存储数据库系统审计数据的安全审计库;提供适用于数据库系统的安全审计设置、分析和查阅的工具。
  《ISO15408-2 安全功能要求》明确要求数据库安全审计应包括:识别、记录、存储和分析 那些与安全相关活动(即由TSP 控制的活动)有关的信息;检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。
  【数据库安全审计产品特性及主要优势】
  一、系统可审计的数据库类型涵盖国内外 12 种主流数据库,包括:
  1)  国际主流:Oracle、SQL Server、DB2、Sybase、Informix、PostgreSQL、 CacheDB;
  2)  国内主流:Gbase(南大通用)、DM(达梦)、Kingbase(人大金仓)、Oscar(神舟);
  为适应大数据分析的市场需求,针对 Hadoop 大数据和非关系型数据库,提供完善的审计与监控能力。 沿用关系型数据库的规则配置、业务分析流程,提高非关系型数据的分析能力。
  二、  审计范围全面
  系统可审计的业务范畴全面,审计数据来源包括:
  1)  旁路镜像审计;
  2)  探针式数据采集;
  3)  虚拟机 VDS 引流;
  4)  远程登录行为审计;
  5)  本地回环口流量采集;
  6)  telnet 行为记录;
  7)  加密协议解析;
  三、 审计内容全面
  系统的审计元素覆盖数据库整体交互过程,包括:
  1)  应用层信息:应用账户、应用 IP;
  2)  客户端信息:客户端 IP、主机名称、操作系统账号、客户端工具/应用程序;
  3)  数据库信息:数据库 IP 地址、用户名、数据库类型、版本、字符集;
  4)  对象信息:实例、Schema、表、字段、包、存储过程、函数、视图;
  5)  响应信息:应答错误码、影响行数、返回结果集等;
  6)  其他信息:登录时间、操作时间、SQL 响应时长等
  四、  分析角度全面
  产品可提供的规则视角全面,可基于如下几个维度分析审计日志:
  1)  全库\数据库组\单库
  2)  语句与会话的关联审计
  3)  区分数据库实例审计
  4)  会话深度分析
  5)  数据库性能异常分析(TopSQL 等)
  五、  策略配置全面
  本系统支持全局策略配置,根据【数据库类型】和【业务类型】添加不同的规则组,可引用不同的数据库开启监控策略, 提供全面的数据库攻击行为监控技术
  【数据库安全审计产品部署方式】
  数据库安全审计系统支持旁路审计、虚拟化审计以及本地审计三种部署方式。
  1、旁路审计
  系统支持旁路部署模式,在无须插件植入数据库的前提下,实现数据库通讯流量的全量解析和审计。旁路模式下系统并不直接接入数据库网络,而是将网络流量镜像传输给审计系统,系统通过网络监听口捕获镜像流量完成审计。
  2、虚拟化审计
  系统支持虚拟环境部署,可适用于主流私有云环境(如:青云、华为云、阿里云、腾讯云等),可以支持虚拟机环境部署(如 VMware、KVM 等)。系统可基于 CentOS 操作系统解压安装。
  3、本地审计
  数据库的本地操作行为包括:TCP 式协议访问、客户端工具直连访问。系统通过部署Rmagent 组件可以利用 npcap 抓取本地“回环口”流量,并将采集到的数据库本地通讯信息,通过内部网络传递给审计设备完成本地流量解析。
  数据库客户端工具(例如:SQLPlus)部署于数据库服务器,可以直连数据库 Server进行操作,此类信息无法通过回环口抓包获取。系统通过向客户端工具植入插件的方式,获取操作日志,并传递给 rmagent 完成信息采集,从而实现全量的数据库本地行为记录。