安华金和数据库审计系统

数据库访问行为全记录,性能状态实时监控,满足等保合规

数据库审计简介

  安华金和数据库审计系统(简称:DAS),是安华金和科技有限公司经过多年市场打磨,结合网安法要求自主研发的第二代数据库安全审计类产品。
  作为区别于传统的网络审计产品,安华金和数据库审计采用更深层次的数据库通讯协议解析技术,并具备 SQL 完全分析能力,保障数据库审计内容更全面、分析视角更多样。产品面向数据库运维人员和安全管理人员,针对数据库风险状况、运行状况、性能状况和语句分布状况提供实时监控能力,是一款面向数据库可提供安全、审计、监控能力的一体化工具。
  数据库审计率先倡导【免实施、免维护、免培训】的产品易用性设计原则。在满足合规性审计的同时,给用户带来愉悦的产品交互体验。产品适用于实体机环境和虚拟化网络,可基于流量识别自动发现并添加数据,并提供可视化的运行状态监控,针对网络内未知的数据库信息进行有效梳理,以解决现场网络环境复杂、数据库资产不清晰等问题。产品设计基于“用户视角”,秉承“一钻到底”的界面交互原则。引导用户从全局视角,向数据库组、数据库做“递进式”分析;并提供 20多种查询条件、层层筛选,帮助用户快速聚焦风险源,高效完成审计日志分析和风险定位。
  数据库审计系统提供默认风险规则,例如:SQL 语句黑白名单规则、客户端访问规则、账户口令攻击监控、DML/DCL 操作类规则、批量数据导入/导出规则,可适用于运维的数据库安全管控。
  数据库审计产品支持但不应局限于数据库运维侧的安全监控。面向外部应用访问,系统提供漏洞攻击检测、SQL 注入检测能力,默认提供 400 多种默认规则;针对应用系统访问,可提供应用关联审计和应用关联规则,追溯应用账户安全,实现应用侧数据库安全加固。
  信息系统的核心数据存在数据库中的,数据库是用户核心数据资产载体。系统可审计的数据库类型涵盖国内外 12 种主流数据库。为适应大数据分析的市场需求,针对Hbase、MongoDB 等分布式、非关系型数据库,提供完善的审计与监控能力。
  主流数据库支持Oracle、Microsoft SQL Server、MYSQL、MariaDB、Percona、OceanBase、IBM Db2、Informix、Sybase IQ、Sybase ASE;
  专用数据库支持Teradata、PostgreSQL、Greenplum、CacheDB、MongoDB、SAP HANA;
  国产数据库支持达梦DM、人大金仓Kingbase、南大通用Gbase、神通Oscar、华为GaussDB;
  大数据组件支持Elasticsearch、Redis、Hbase、Hive、Impala、Spark SQL;

数据库安全审计系统介绍

数据库审计系统功能

【功能一:数据库发现与管理】
  系统可基于流量识别技术,自动发现、添加数据库并快速进行审计。自动识别的数据库信息包括:服务器 IP 地址、数据库类型、数据库版本、字符集等内容。系统针对网络内未知的数据库信息进行有效梳理,可以解决现场网络环境复杂、数据库资产不清晰等问题。
  【功能二:探针式数据采集】
  系统的部署方式多样,除了常规的旁路审计部署之外,还可以基于“探针”方式捕获数据库流量,可适用于复杂的虚拟化网络环境。产品在应用端或数据库服务器部署Rmagent 组件(产品提供),通过虚拟环境分配的审计管理网口进行数据传输,完成数据库流量采集。系统支持多探针部署,并提供批量安装和统一管理功能。Rmagent 具备良好的兼容性,可适用于 CentOS、RedHat、Solaris、AIX 等主流操作系统。
  【功能三:加密协议解析】
  系统审计基于数据库通讯协议解析,例如 TNS、Telnet 等多种协议类型。市场上MySQL5.7、SQL Server 等数据库有时会采用加密协议通讯,为审计解析带来了困难。针对 SQL Server 默认的数据库用户加密,系统无须插件可以通过“授权账户”方式获取数据库账户信息;针对更深层次的加密协议,系统可以通过“导入加密证书”的方式进行通讯协议解密。
  【功能四:应用关联审计与监控】
  常规的数据库通讯协议解析只能解析到客户端一层的信息,包括:客户端 IP、数据库用户、主机名、操作系统用户名等。利用上述信息可以实现运维侧的风险追溯,但是无法对应用侧风险行为进行追溯,因为在客户端之前还有应用系统信息,甚至业务中间件信息。
  【功能五:数据库入侵行为监测】
  系统提供针对数据库漏洞攻击的“检测”功能:当外部系统利用数据库漏洞进行数据库攻击时,系统可以实时捕获到对应的 SQL 语句及相关会话信息并发送告警,帮助用户实时监控数据库漏洞风险并有效追溯风险来源。
  除了数据库漏洞攻击行为,系统还可以针对 SQL 注入和 XSS 攻击行为进行审计和规则命中。基于精准的 SQL 语法分析,系统可以准确定位 SQL 语句中的操作谓词及常量表达式,保障注入、攻击行为监测的准确性。系统提供缺省的 SQL 注入特征库,并支持用户自定义规则。
  【功能六:数据库异常行为监测】
  数据库审计产品的主体价值是帮助用户高效的完成风险行为的定责追溯。系统可针对数据库通讯协议进行完全解析;可学习、归类 SQL 语句模板,并结合会话信息、应用关联信息,实现数据库行为建模。基于建模语句波动情况,进行有效的分析和深入的挖掘。当
  数据库访问行为异常时,系统可提供实时的告警能力,降低数据泄露的损失。
  【功能七:数据库违规行为监测】
  系统提供丰富的规则类型,可以针对不同的数据库访问来源,提供对敏感表的访问权限、操作权限和影响行数的有效监控,并结合对 NO WHERE 语句风险的判断,避免大规模数据泄露和篡改。
  系统利用审计到的数据库账号和客户端 IP 信息,针对指定周期内,同一 IP 或账号的频次性失败登录行为进行监控并形成告警,并将关联审计到的应用 IP 和应用账号,纳入数据库访问规则。
  【功能八:多维度关联分析】
  系统在纵向维度,提供数据库全局查询、分组查询和独立查询三种分析视角,用户可以根据业务需求进行综合分析。用户可以从访问源入手对多个数据库进行全局查询,快速定位风险访问来源;也可以针对某一数据库进行深度钻取分析,有效评定数据库风险。
  系统在横向维度,提供三种分析维度,包括风险分析、语句分析、会话分析。
  【功能九:丰富的报表展现】
  系统将报表划分为以下几类,帮助安全管理人员更加便捷、深入的剖析数据库运行风险。
  综合报表:日报、周报、月报,基于系统级和单库级别对审计信息做全量综合分析;
  合规性报表:根据法案构成,包括 SOX、PCI、等保分析报表
  专项报表:根据风险、性能、客户端、失败信息等多个维度分别建立独立分析报表;
  自定义报表:用户可基于报表模型,自定义生成符合自身业务关注点的报表;系统为提高报表的展现效率,提供报表预存和定时推送功能。
  报表预存:用户可以对关注的报表按照查询周期生成预存文件。当用户按周期查询报表时,系统调用预存文件可以快速生成报表。
  定时推送:用户可以对关注的报表设置定时推送功能,定时查询周期内报表并生成 Word、PDF、HTML 等文件格式,推送到指定的邮件或服务器,便于用户查阅。
  【功能十:数据库性能分析】
  系统的审计内容全面,可以对数据库的 SQL 吞吐量、会话并发量进行实时监控,从而评估数据库运行状态和资源使用情况。
  【功能十一:数据备份与恢复】
  系统将存储空间进行合理划分,分别存储“在线语句量”和“备份语句量”。系统提供在线语句量全文检索分析能力;并支持对备份语句的自动压缩、存储。根据不同的业务场景,可以按“高压缩比”存储,有效利用存储空间,或者按照“高性能”存储,有效利用系统资源。
  【功能十二:对外数据传输接口】
  为便于第三方平台接收日志进行二次分析,系统提供数据对外传输能力,并提供标准化接口。
  【功能十三:集群管理】
  系统提供多设备分布式部署能力,并支持数据集中化管理和分析。在网络内已部署多个审计节点的前提下,建立独立的集群管理中心。集群管理中心对各节点具备远程登录和系统管理,各节点通过上报、审批加入集群管理列表。

数据库安全审计系统功能

数据库审计系统优势

【优势一: 数据库支持的全面】
  数据库审计支持国内外各大主流数据库,包括:
  1) 国际主流:Oracle、SQL Server、DB2、Sybase、Informix、PostgreSQL、CacheDB;
  2) 国内主流:Gbase(南大通用)、DM(达梦)、Kingbase(人大金仓)、Oscar(神舟);
  为适应大数据分析的市场需求,针对 Hadoop 大数据和非关系型数据库,提供完善的审计与监控能力。沿用关系型数据库的规则配置、业务分析流程,提高非关系型数据的分析能力。
  一、 审计范围全面
  数据库审计的业务范畴全面,审计数据来源包括:
  1) 旁路镜像审计;
  2) 探针式数据采集;
  3) 虚拟机 VDS 引流;
  4) 远程登录行为审计;
  5) 本地回环口流量采集;
  6) telnet 行为记录;
  7) 加密协议解析;
  二、 审计内容全面
  数据库审计元素覆盖数据库整体交互过程,包括:
  1) 应用层信息:应用账户、应用 IP;
  2) 客户端信息:客户端 IP、主机名称、操作系统账号、客户端工具/应用程序;
  3) 数据库信息:数据库 IP 地址、用户名、数据库类型、版本、字符集;
  4) 对象信息:实例、Schema、表、字段、包、存储过程、函数、视图;
  5) 响应信息:应答错误码、影响行数、返回结果集等;
  6) 其他信息:登录时间、操作时间、SQL 响应时长等
  三、 分析角度全面
  产品可提供的规则视角全面,可基于如下几个维度分析审计日志:
  1) 全库\数据库组\单库
  2) 语句与会话的关联审计
  3) 区分数据库实例审计
  4) 会话深度分析
  5) 数据库性能异常分析(TopSQL 等)
  四、 策略配置全面
  数据库审计支持全局策略配置,根据【数据库类型】和【业务类型】添加不同的规则组,可引用不同的数据库开启监控策略,提供全面的数据库攻击行为监控技术:
  1) 漏洞攻击检测技术:针对 CVE 公布的漏洞库,提供漏洞特征检测技术;
  2) SQL 注入监控技术:提供 SQL 注入特征库;
  3) 口令攻击监控:针对指定周期内风险客户端 IP 和用户的频次性登录失败行为监控;
  4) 高危访问监控技术:在指定时间周期内,根据不同的访问来源,如:客户单 IP、数据库用户、MAC 地址、操作系统、主机名,以及应用关联的用户、IP 等元素设置访问策略;
  5) 高危操作控制技术:针对不同访问来源,提供对数据库表、字段、函数、存储过程等对象的高危操作行为监控,并且根据关联表个数、执行时长、错误代码、关键字等元素进行限制;
  6) 返回行超标监控技术:提供对敏感表的返回行数监控;
  7) SQL 例外规则:根据不同的访问来源,结合指定的非法 SQL 语句模板添加例外规则,以补充风险规则的不足,形成完善的审计策略。
  【优势二:快速的入库检索】
  数据库审计具备高效的日志检索能力,实现审计记录的快速查询。当设备旁路进入网络,即可对添加的数据库进行协议解析,并对解析内容快速入库建立索引文件,从而在审计分析时实现高效的查询机制,大型审计记录分析运算入库时间小于 30s,亿级别数据规模单条记录查询响应时间小于 10s,达到业界领先水平。索引文件和数据表文件如果损坏,系统会启用自动修复机制,以确保系统日志查询时的有效性和准确性。
  【优势三:准确的识别定位】
  传统数据库审计产品,存在巨大缺陷:
  1) 对于复杂应用,无法有效关联参数和语句,造成大量漏审;
  2) 对于复杂 SQL 语句,无法有效解析,出现访问对象误报;
  3) 基于三层关联技术的数据库审计产品,通过时间与参数实现模糊关联匹配,在并发量较高的系统下存在 20%以上的失真率,造成业务用户与SQL 语句的错误关联;
  数据库审计基于精确协议分析、完全 SQL 解析、参数化匹配、长语句解析、多语句解析和100%应用关联技术,创造了业界准确的数据库审计产品,为可信审计追踪提供了坚实的基础。
  数据库审计提供数据库行为建模能力和精确的应用关联分析功能。数据库行为模型以 SQL语句为原点与应用层的请求行为关联,可以追溯到应用层的原始访问者和请求信息(如:操作发生的 URL、客户端的 IP 等信息),从而实现 URL 行为分析和应用系统识别。
  【优势四:节约合规成本】
  数据库审计提供 3 级存储机制,包括在线存储库、历史压缩库和远程备份库,使千亿级数据存储不再困难。通过在线存储库保证高效响应,在历史压缩库中提供 10 倍以上压缩比,通过远程备份库完成第三方存储设备利用,并通过专项接口与外部高效存储阵列对接。
  产品在硬件层面支持 RAID 0/1/5 硬盘存储模型,并支持 SSD 固态硬盘提高 I/O 读写速率。系统在保障审计日志高效入库的同时,在硬件层面实现冗余存储。高端设备以可插拔硬盘方式实现存储空间的动态扩容,可实现 60T 硬盘存储。

数据库安全审计系统优势