数据库审计工具-数据库安全审计系统
作者:安华金和 发布时间:2020-10-26


  数据库审计是数据库安全技术之一,能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。
  下面介绍一款市面上非常流行的数据库审计工具-安华金和数据库安全审计系统。
  【数据库审计核心技术】
  核心技术一:漏洞攻击监控技术
  漏洞攻击检测技术是本系统中的核心技术之一,通过该技术用户可以针对数据库漏洞攻击行为进行实时的检测,从而保证安全与应用稳定的平衡。
  漏洞攻击检测技术是系统通过协议解析技术,捕捉外部系统利用数据库漏洞进行的网络攻击行为并对其进行告警,从而监控通过已知漏洞对数据库的攻击。
  数据安全审计通过网络解析技术捕获以下访问特征:用户名、对象、操作、应用模块、语句内容,通过内部的漏洞攻击检测库进行访问行为匹配。当前本系统可以支持以下漏洞攻击行为的捕获:
  数据库安全审计之漏洞攻击监控技术
  核心技术二:SQL特征抽象技术
  SQL 语句的解析是识别 SQL 语句攻击行为的关键。传统的技术,往往采用正则表达式的方式,但该方式存在巨大的技术缺陷,一是正则匹配过程性能低下,二是对于复杂的参数情况容易产生匹配错误,三是通过语句的变体容易欺骗。
  本系统为了有效捕获 SQL 语句的特征,以及为了快速地对 SQL 语句进行策略判定,以实现高效处理,提供了专利性的 SQL 语法特征技术,实现了对 SQL 语句的重写。
  SQL 重写是在不改变原 SQL 语句的语义的情况下,本系统对捕捉到的 SQL 语句进行重写,替换原语句中的参数值。
  SQL 重写是一个抽象的过程,便于管理和操作。SQL 重写包括以下几个方面:
  除了单双引号内的内容,小写字母全部变为大写字母;
  准确区分正负号和加减号;
  将 SQL 语句中的数值、单引号引起的字符串各自重写为统一的占位符;
  将注释、换行重写为空格,将连续的空格合并为 1 个,去掉运算符两端等不影响语义的空格
  核心技术三:海量数据压缩
  采用先进的数据采集和存储机制,对海量的审计日志归档存储,并且根据现场的实际压力状态和备份语句量,提供【高压缩】和【高性能】两种数据压缩方式。
  【高压缩】:适用于压缩数据量大,而实时性能不高的情况;
  【高性能】:适用于实时性能较高,对压缩备份数据量不敏感的情况;
  数据安全审计之数据压缩技术

  【数据库审计功能】    
  1、数据库发现与管理    
  数据库审计可基于流量识别技术,自动发现、添加数据库并快速进行审计。自动识别的数据库信息包括:服务器 IP 地址、数据库类型、数据库版本、字符集等内容。系统针对网络内未知的数据库信息进行有效梳理,    可以解决现场网络环境复杂、数据库资产不清晰等问题。    
  通过系统自动发现和添加的数据库可以达到百量级,为提高数据库监管效率,系统提供海量数据库管理功能。    对百量级的数据库做合理管控并添加“关注”,提供可视化的状态监控界面,可以实时观测数据库的语句吞吐量和风险状况。支持数据库列表导入导出,可快速加载审计列表,并对同类或同业务数据库进行分组管理。为方便规则匹配,系统提供统一的策略配置入口,可快速关联到目标数据库并启动风险规则。    
  数据库审计可自定义用户管理审计系统,并基于用户的实际业务需求划分数据库管理权限,不同用户可以对指定的数据库组、或数据库单库进行专项的审计管理。
  2、探针式数据采集
  数据库审计的部署方式多样,除了常规的旁路审计部署之外,还可以基于“探针”方式捕获数据库流量,    可适用于复杂的虚拟化网络环境。    产品在应用端或数据库服务器部署Rmagent 组件(产品提供),通过虚拟环境分配的审计管理网口进行数据传输,    完成数据库流量采集。系统支持多探针部署,并提供批量安装和统一管理功能。Rmagent 具备良好的兼容性,可适用于 CentOS、RedHat、Solaris、AIX 等主流操作系统。
  探针式数据采集,还可以进行数据库本地行为审计,包括数据库和应用系统同机审计和远程登录后的客户端行为。    
  数据库安全审计系统功能    
  3、加密协议解析
  数据库审计基于数据库通讯协议解析,例如 TNS、Telnet 等多种协议类型。针对 SQL Server 默认的数据库用户加密,系统无须插件可以通过“授权账户”方式获取数据库账户信息;针对更深层次的加密协议,系统可以通过“导入加密证书”的方式进行通讯协议解密。    
  4、应用关联审计与监控
  数据库审计为便于非技术人员解读审计日志,提供 SQL 语句业务翻译功能,并针对来源 IP设置业务别名,从而形成业务人员可读、    可操作的审计分析记录。
  数据库安全审计系统功能
  5、数据库入侵行为监测
  数据库审计提供针对数据库漏洞攻击的“检测”功能:当外部系统利用数据库漏洞进行数据库攻击时,    系统可以实时捕获到对应的 SQL 语句及相关会话信息并发送告警,帮助用户实时监控数据库漏洞风险并有效追溯风险来源。    
  除了数据库漏洞攻击行为,系统还可以针对 SQL 注入和 XSS 攻击行为进行审计和规则命中。基于精准的 SQL 语法分析,系统可以准确定位 SQL 语句中的操作谓词及常量表达式,保障注入、攻击行为监测的准确性。系统提供缺省的 SQL 注入特征库,并支持用户自定义规则。    
  6、数据库异常行为监测    
  数据库审计产品的主体价值是帮助用户高效的完成风险行为的定责追溯。系统可针对数据库通讯协议进行完全解析;可学习、归类 SQL 语句模板,并结合会话信息、应用关联信息,实现数据库行为建模。基于建模语句波动情况,进行有效的分析和深入的挖掘。当数据库访问行为异常时,    系统可提供实时的告警能力,降低数据泄露的损失。    
  7、数据库违规行为监测
  数据库审计提供丰富的规则类型,可以针对不同的数据库访问来源,提供对敏感表的访问权限、操作权限和影响行数的有效监控,并结合对 NO WHERE 语句风险的判断,避免大规模数据泄露和篡改。
  系统利用审计到的数据库账号和客户端 IP 信息,针对指定周期内,    同一 IP 或账号的频次性失败登录行为进行监控并形成告警,并将关联审计到的应用 IP 和应用账号,纳入数据库访问规则。    
  8、多维度关联分析
  数据库审计在纵向维度,提供数据库全局查询、    分组查询和独立查询三种分析视角,用户可以根据业务需求进行综合分析。用户可以从访问源入    手对多个数据库进行全局查询,快速定位风险访问来源;也可以针对某一数据库进行深度钻取分析,有效评定数据库风险。系统在横向维度,提供三种分析维度,包括风险分析、语句分析、会话分析。
  9、丰富的报表展现    
  【报表】功能是将审计日志进行数据化分析的具体表现形式。系统将报表划分为以下几类,帮助安全管理人员更加便捷、深入的剖析数据库运行风险。
  【综合报表】:日报、周报、月报,基于系统级和单库级别对审计信息做全量综合分析;    
  【合规性报表】:根据法案构成,包括 SOX、PCI、等保分析报表
  【专项报表】:根据风险、性能、客户端、失败信息等多个维度分别建立独立分析报表;
  【自定义报表】:用户可基于报表模型,自定义生成符合自身业务关注点的报表;    
  系统为提高报表的展现效率,提供【报表预存】和【定时推送】功能。
  【报表预存】:用户可以对关注的报表按照查询周期生成预存文件。当用户按周期查询报表时,系统调用预存文件可以快速生成报表。    
  【定时推送】:用户可以对关注的报表设置定时推送功能,定时查询周期内报表并生成 Word、PDF、HTML 等文件格式,推送到指定的邮件或服务器,便于用户查阅。
  10、数据库性能分析    
  数据库审计内容全面,可以对数据库的 SQL 吞吐量、会话并发量进行实时监控,从而评估数据库运行状态和资源使用情况。
  11、数据备份与恢复
  数据库审计将存储空间进行合理划分,分别存储“在线语句量”和“备份语句量”。系统提供在线语句量全文检索分析能力;    并支持对备份语句的自动压缩、存储。根据不同的业务场景,可以按“高压缩比”存储,有效利用存储空间,或者按照“高性能”存储,有效利用系统资源。    
  在满足和合规要求的基础上,系统为了最大限度的保留审计日志,    支持备份文件的对外传输,可自定义上传 FTP、SFTP、NFS 等服务平台做永久性留存。系统支持手动恢复能力,用户可以按“天”将备份数据恢复到在线系统进行检索分析。
  12、对外数据传输接口
  为便于第三方平台接收日志进行二次分析,数据库审计提供数据对外传输能力,    并提供标准化接口,还可以抽取“系统审计日志”并传输给第三方系统监管平台;    或者通过 SNMP 方式传递系统的 CPU、内存等操作系统层信息,便于用户对审计设备的监督、管理。    
  13、集群管理    
  数据库审计提供多设备分布式部署能力,并支持数据集中化管理和分析。在网络内已部署多个审计节点的前提下,建立独立的集群管理中心。集群管理中心对各节点具备远程登录和系统管理,各节点通过上报、审批加入集群管理列表。    
  数据库安全审计系统集群管理功能
  
  【数据库审计产品优势】
  一、系统可审计的数据库类型涵盖国内外 12 种主流数据库,包括:
  1)  国际主流:Oracle、SQL Server、DB2、Sybase、Informix、PostgreSQL、 CacheDB;    
  2)  国内主流:Gbase(南大通用)、DM(达梦)、Kingbase(人大金仓)、Oscar(神舟);
  为适应大数据分析的市场需求,针对 Hadoop 大数据和非关系型数据库,提供完善的审计与监控能力。    沿用关系型数据库的规则配置、业务分析流程,提高非关系型数据的分析能力。    
  二、  审计范围全面
  系统可审计的业务范畴全面,审计数据来源包括:    
  1)  旁路镜像审计;
  2)  探针式数据采集;
  3)  虚拟机 VDS 引流;    
  4)  远程登录行为审计;
  5)  本地回环口流量采集;
  6)  telnet 行为记录;
  7)  加密协议解析;
  三、 审计内容全面
  系统的审计元素覆盖数据库整体交互过程,包括:    
  1)  应用层信息:应用账户、应用 IP;
  2)  客户端信息:客户端 IP、主机名称、操作系统账号、客户端工具/应用程序;    
  3)  数据库信息:数据库 IP 地址、用户名、数据库类型、版本、字符集;
  4)  对象信息:实例、Schema、表、字段、包、存储过程、函数、视图;
  5)  响应信息:应答错误码、影响行数、返回结果集等;    
  6)  其他信息:登录时间、操作时间、SQL 响应时长等
  四、  分析角度全面    
  产品可提供的规则视角全面,可基于如下几个维度分析审计日志:
  1)  全库\数据库组\单库
  2)  语句与会话的关联审计
  3)  区分数据库实例审计    
  4)  会话深度分析
  5)  数据库性能异常分析(TopSQL 等)
  五、  策略配置全面
  本系统支持全局策略配置,根据【数据库类型】和【业务类型】添加不同的规则组,可引用不同的数据库开启监控策略,    提供全面的数据库攻击行为监控技术.
  【数据库审计部署方式】
  数据库安全审计系统部署方式主要分为旁路审计及虚拟化审计及本地审计三种:    
  【物理部署】
  mysql审计系统物理部署
  对于要求高吞吐量、高性能敏感度、高稳定性的业务系统,    将数据库审计系统旁路物理部署于网络中,持续监控系统的访问行为,    并对安全事件进行事后分析。
  数据库审计系统通过交换机镜像的数据流量实现对数据库行为的旁路监听,完全独立于数据库部署,不影响数据库的正常使用。    
  【虚拟化部署】
  mysql审计系统虚拟化部署    
  在无法通过交换机镜像引流时,将RMAgent插件部署于数据库服务器中,RMAgent从数据库服务器获取流量并将其通过网络发送给数据库安全审计系统,以完成数据采集。    
  【云化部署】
  mysql审计系统云化部署    
  数据库审计系统支持云化部署,为云环境部署提供API接口,适用于主流私有云环境部署,如:青云、华为云、阿里云、腾讯云等。
  【混合部署】
  mysql审计系统混合部署    
  数据库审计系统支持混合部署,在混合部署的场景下,推荐安装RMAgent插件,以实现审计复杂网络环境中的数据库流量。