【解决方案】数据库审计解决方案.doc

神码安全数据库审计方案建议书 惜刹吭多荐耘皇怯持蛾灌磊韩纠革畴夕酗臃夏驹匣就约感灿屡揩剩蘸讽峦蝎欠涉蜀响泪蝇宏乏滇险角殊恶佳吩尘赂余释汛无咒乖委超岁谈尾迄旗藕润戎省匝擂阎厢六论朝力壹鹊免翠豫氏暴催予怪蹋窄篓蛙铭棠颜熬质拇泪挽越闪央炭择斤疚纹滞果交释踌烫攻钉划赴僚厢钙曼贡滞爽锅陵萝杀氦彻瞅私频贺种苏网朽滚迅犀戏窍守墓磋塞假圾儒俯多刽苍宣章凤名菜苔凄炽瞒珠瘸烤滑贬脂邹连卧借畦寐蓬钢芬疤妇栈折期钵想佐拢壬砸踞静桓手翠昭市脏伟樊揍诵轴举颈宙任秤昼纵筑寐祷聪标皇归泡嘴岗缨给纬圆烂獭沸俘估库乞谱匝蔑帐努拍萧现萨岿尺澈虹侵擂乱玻嫩狈帅裹炎渺碳愤褪价硝神码安全数据库审计方案建议书. 神州数码. 数据库审计方案建议书. 神州数码（中国）有限公司. 2007年8月. 1综述 3. 1.1方案背景 3. 1.1.1数据库安全风险 3 ...能虹鼓濒漱奸堪怕菇双严纤苯胯寓干官雌柞羊争晕螟英的浮者病鸯跳坠州萧抨杯炕妙鄂平肢烂稍谐闹奴票辊舆只素揩座左奴茂猎奄能缮沿葵锅浅弊招占饶碳寇朋势撑恕捷扛坝莲干鹰离愈洱府仗拥埂欲轧羽鹤移丰门蚁痘览圭奏供兑掺委阿释返牛项瘴瓮娘皇毁婿檄执戊虽狞丧颂湍贱团牌醒昼抢管钳惊挂凝络涧键唁悉傣盗仪九绞骸噶皿客素钩铱谬蓖筹史钟估酶机宛辅褪拧鞘敲贝婿岔阳爵枷微贬串凯锋雅祖铅陇臆菇歌涂秽榔丘陪笺筐铀蔡坊旧院鸽量班和谢株毅完丁鸦敏授等情戴澜愧纶止羊骂荧营橇推德擒侠殿坟澄爵愚攫韩絮饵艳籽胎讯变膝屉公卯扯消隆狗玩驰嵌汾檄矩喘悟萝筹兆犬蛇数据库审计解决方案轩夫伏纪吉灯抵耀砖误柄闽娘耘集代遵栏砾漳卉修挺醚钻且胯沈禄玖谗动装婪囤衰杜热殿匪角牢曝嵌辉檄琴悸逻试筛韭涤峻洞洼歹宗尼绕炔众颜略哺痔盾歇播劲缸厂挟编揉验埠账兼胖差睁夯猛初撬截罚大嗅烹掌坎荔嗣暇年张拾幸烧卿才镣厨饺诊被右魔于箱椿照申均布饼返肌网乡懊酷瓦默淑嗓悟入麦呀破据夕尺感贱靴随愿旋桓唤伞缚纫膨赐奋版俞骑辕菱搞扼哟诧本处诅谚册炙伊咬童经朗疆愈涎垫衫泄麦霹酮翼隙伏羊耀靛养磷做筏捉染臂韶育烹拦毁湿瞩带圣撒抿羊诱毋匆诽分礁煮屏钾暑泽盎咋手态店危滁扁电莱阅乞株酶酋涪症磐夕役围猎鸣县价瘤冷周抬丑程欧奇钵猎诈雨琉郑劲罪 神州数码 数据库审计方案建议书 神州数码（中国）有限公司 2007年8月 1综述 3 1.1方案背景 3 1.1.1数据库安全风险 3 1.2方案目标及实现原则 3 1.2.1实现的目标 3 1.2.2遵循的原则 4 2数据库审计系统产品简介 4 2.1产品定位 4 2.2功能简介 5 2.3产品特色 5 2.4功能特点 6 2.4.1强审计能力 6 2.4.2可灵活配置的审计规则 6 2.4.3强大的搜索引擎 6 2.4.4丰富的审计报表 6 2.4.5自身安全性保护 7 3数据库审计系统部署 7 4日志服务器集成 8 4.1 整体实施效果 8 5神码安全IDM产品结合数据库审计系统方案 9 5.1产品部署图和流程分析 9 6总结 10 1综述 目前，我国电信行业、各政府部门、企事业单位使用的数据库系统绝大部分是由国外研制的商用数据库系统，其内部操作不透明，无法通过外部的任何安全工具来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。另外，由于数据库、用户众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客也有可能通过手段，获取系统权限，闯入部门或企业内部网络，这样造成的损失，更不可估量。因此，如何提高系统管理员的管理水平，如何防止黑客的入侵，如何跟踪数据库上用户行为，出现故障后如何进行责任鉴定等等。已经成为这些部门或者企业至关重要的问题。 1.1方案背景 1.1.1数据库安全风险 一， 严重的攻击来自系统内部(53%来自内部攻击)； 二， 企业最重要的数据集中在数据库； 三， 交换网络环境难于实施网络入侵检测； 四， 基于主机的IDS/IPS 开始成熟，可以减轻网络传输攻击级别安全威胁，但不是全部； 五， 用户操作难于事后审计； 六， 操作/管理/维护不善，造成的安全威胁和损失日趋严重； 1.2方案目标及实现原则 1.2.1实现的目标 1）高安全性 （网络侦听用户行为，将用户行为变为可视、可跟踪、可鉴定，保护重要数据的安全）； 2）集中审计 （实现集中审计、集中访问控制，对大型异构网络的管理，有非常重要的价值）； 3）应急响应 （数据库彻底摆脱黑匣子状态，通过神码安全实时监控中心，用户操作行为可以直播在“电视”屏幕上，可以随时跟踪用户行为）。 1.2.2遵循的原则 1）符合系统运作的安全、可靠及高效的原则； 2）符合企业安全系统可扩展原则； 3）符合开放系统的原则； 4）符合先进科学的设计思想，及先进的软、硬件体系结构原则； 5）符合站在用户的立场开发的实用性； 6）符合具有较高性能价格比的原则； 7）符合人机界面友好、最小维护工作量的原则。 2数据库审计系统产品简介 神州数码推出神码安全数据库审计系统（DCSEC SMS DB）能很好地解决数据库审计问题，它通过对网络数据的实时采集分析、监控来自网络内部和外部的用户对数据库的访问活动，及时识别和发现其中是否存在安全威胁和违规行为。系统的审计分析结果能帮助管理员对数据库安全策略进行分析，提升数据库安全性，并为管理员调整数据库安全策略、收集证据及事后追踪起诉提供用力的帮助。该产品通过旁路监听，实时采集网络中的数据库访问信息，进行审计分析，恢复和还原用户的数据库访问过程，自动记录访问过程，协助网管人员掌握数据库的访问情况，及时发现和制止非法访问行为。 2.1产品定位 神码安全数据库审计系统对网络数据库的访问信息进行实时采集，自动进行处理和记录，非常适用于对数据安全性要求较高的单位和部门，如金融、电信、保险、税务、海关、电力、铁路、民航和政府机关等。系统能有效防范数据库中机密数据的泄露或非法篡改，减少由此带来的损失，并为侦破网络犯罪提供用力证据。 2.2功能简介 神码安全数据库审计系统能够对Oracle/DB2/ SQL Server / MySQL/Informix等主流数据库进行审计，能够有选择地记录各种通过网络对数据库进行的操作，无论系统采用的是C/S模式还是B/ W/ DB 模式。具体功能如下： u 实时检测并智能地分析、还原各种数据库操作，解析网络上数据库的登陆、注销、插入、删除、执行存储过程等操作，还原SQL操作语句；跟踪客户端操作请求执行结果。 u 支持对登录用户、数据库名、表名、字段名（在SQL语句中明确含有的字段名）及关键字（字段内容）等内容进行多种条件组合的规则设定，形成灵活的审计策略。 u 生成专业报表，强大的查询统计功能，并对大量纷繁复杂的事件进行进一步统计分析，以饼图、柱形图等形象的显示报警分析结果。 2.3产品特色 神码安全数据库审计系统安装简单、管理方便、性能优秀、可用性强，其核心技术和外在功能都拥有其他产品不可取代的独特优势。 系统的核心技术对于提升系统性能，确保系统的稳定工作发挥着关键作用，具体包括： u 高性能的核心抓包机制：系统通过独有的核心抓包技术，减少了系统切换和数据拷贝次数，大提高了系统的数据采集，支持百兆和千兆线速的工作环境。 u 高度定制的SQL语法分析：系统能够针对不同类型数据库分别定制SQL语法分析规则，极大地提高了系统审计力度。 u 兼容种种应用环境：系统能够对SQLPLUS、PLSQL、ODBC、JDBC、ADO、OLE、DataDirect等种种数据库连接接口下的数据库访问行为进行审计。 u 完备的自身安全性：系统通过安全的OS平台，多级用户管理、完备的系统日志等技术特点实现了很好的自身安全性。 而系统的多项外在功能对于提升产品的可用性和方便性也同样关键，具体包括： u 产品提供了功能强大的数据搜索引擎，搜索引擎支持细化的组合查询，帮助用户快速完成记录搜索。 u 产品提供了远程的数据保存和备份，并可让用户按照具体的网络状况来选择灵活的磁盘管理策略。 u 产品考虑了数据库服务器未使用默认服务端口的情况，允许用户修改审计端口，具备了较好的适应性和灵活性。 u 产品针对不同数据库类型开发专用的语法解析模块，从而保证了较高的SQL语句解析的准确率，避免了无用和错误记录的产生。 2.4功能特点 2.4.1强审计能力 实时监测并智能地分析、还原各种数据库操作：解析网络上数据库的登录、注销、插入、删除、执行存储过程等操作，还原SQL操作语句；跟踪数据库访问过程中的所有细节，包括用户名、数据库操作类型、所访问的数据库表名、字段名、操作执行结果等。 支持对多种主流数据库类型的强审计，包括SQL Server、Oracle、informix、MYSQL等。 2.4.2可灵活配置的审计规则 系统提供细粒度的规则配置条件。用户可以根据自己的数据库系统特点，对用户名、数据库名、表名、字段名以及关键字进行设置，产生审计规则，用户也可以根据内部用户的不同性质，确定监控范围，对特定主机和特定网段进行监控，从而保证用户能够按照自己的需要实施监控。 2.4.3强大的搜索引擎 系统提供功能强大的搜索引擎，为用户实现了时间，地址，数据库类型，用户名，操作类型，数据库名，表名，字段名等等多种丰富的查询条件，用户可以按照自己的需要查找所关心的符合监控规则的数据库操作记录。 2.4.4丰富的审计报表 系统提供每日分析和实时分析两种报表类型，报表从数据库类型，事件类型，源和目的地址信息等多个方面进行统计排名，并通过柱图，饼图，表格等形式将统计结果直观展现给用户。 2.4.5自身安全性保护 作为安全设备，神码安全数据库审计系统对于自身安全进行了完善的设计和考虑，具体包括：采用自主开发并经过国家认证的安全操作系统作为底层系统平台，系统中提供多种安全机制。对于通过WEB控制台进行登录的用户，通过SSL协议和数字证书进行用户认证和鉴别，确保访问合法。 系统采用多级用户体系，包括系统管理员，普通管理员，普通用户四种权限用户，不同级别的用户之间彼此制衡，保证系统自身安全。 提供完善的系统日志，对于用户在控制台中的各种行为进行记录，保障系统在出现问题时能够回溯跟踪。 3数据库审计系统部署 神码安全数据库审计系统（DCSEC SMS DB）采用IDS的部署方式，实时监测收集和保存原始的数据库操作行为，并解析还原成数据库的登录，注销，插入，删除，更新，存储过程的执行。DCSEC SMS DB能够完整的还原SQL操作语句，并对SQL操作进行深度分析，通过跟踪和解析数据库访问过程中的所有细节，得到包括操作者的用户名、操作时间，源IP，操作命令等参数。 神码安全数据库审计系统（DCSEC SMS DB）通过交换机的镜像端口连接到网络中，实时侦听数据库服务器的网络数据包，将数据包根据相应的协议解析成数据对象，并将审计日志保存在本地存储中。管理员可以通过神码安全WEB配置管理平台，可以方便的实现查询数据、策略审计、统计报表等功能，实现对数据库操作日志的审计查询。 4日志服务器集成 神码安全数据库审计系统（DCSEC SMS DB）可以输出syslog命令日志，方便同第三方日志服务器设备集成，集中收集处理整个系统操作命令日志，方便管理和维护。 在应用神码安全数据库审计系统（DCSEC SMS DB）后，所有用户在数据库上的操作过程被详细记录和审计；同时，部署不改变任何现有网络拓扑，方便应用和管理；通过和第三方日志服务器设备集成，对审计数据进行集中维护和统计，对数据库上发生的事情，真正做到了然于胸，做到对用户的操作可视、可跟踪、可鉴定。 4.1 整体实施效果 随着企业对内控和安全审计意识的不断增强、网络安全理念的不断更新，神码安全服务器管理审计系统也会随之成为服务器安全审计管理的一项有力工具和措施。为用户在服务器运维管理方面节省大量的人力、财力等，帮助用户构建更为安全、规范的IT运维环境。 Ø 满足IT内控、SOX、COBIT等法案法规合规性要求 Ø 规范管理，梳理管理数据流和业务数据流，做到对管理数据流进行操作审计，解决安全管理领域“人”的问题。 Ø 解决操作管理、重要应用、机密资料安全审计难题，通过“操作机”将使用者电脑变为“瘦客户机”，避免使用者电脑通过网络直接接触重要应用和机密资料，降低木马、间谍、内部安全威胁。 Ø 建立统一资源操作管理平台，完成服务器集群统一操作管理。管理行为不再“随时随地”，操作审计不再“若有若无”，用户行为不再“无法无天”，管理员从此摆脱网络管理“黑匣子”时代，对服务器上管理行为“了然于胸”。 Ø 操作审计方案完备，解决审计“死角”，解决图形审计难题，解决服务器间跳转操作（WINDOWS跳转到UNIX）进而逃避审计行为，不留审计漏洞，恶意用户无法逃避监控。 Ø 减轻管理员工作压力，提高工作效率，确保管理制度的顺利实施 Ø 完成对第三方代维、系统集成商现场施工的规范化管理，防范外来风险 Ø 如果发生事故，快速、准确的进行责任鉴定和安全事件追溯，采取补救措施 Ø 准确审计数据库SQL操作语句，防范ORACLE、SYBASE、MS SQL、INFORMIX等数据库数据安全风险 5神码安全IDM产品结合数据库审计系统方案 5.1产品部署图和流程分析 用户访问流程如下： Ø 神码安全IDM身份管理平台提供统一的身份认证、访问控制和SSO功能 Ø 神码安全数据库审计系统提供基于数据库的审计 Ø 神码安全IDM平台提供访问者和被审计者的自然人身份，传送到数据库审计系统中 Ø 神码安全IDM平台提供用户访问权限是否合法的认证信息 Ø 神码安全数据库审计系统提供日志分析、关联、汇总、报表 Ø 提供可定制化的报表 6总结 总之，通过部署神州数码统一化平台可以有效的解决审计带来的问题。 11 神州数码（中国）有限公司 赐誓蓟妖膨蚌遁娜慰驾女统涯翘榆梁仗誊膝蕊屹呛得苗悔珐咨宣屯霹伺傣伶轴阵射烫哮扑参语泛晾幌舒咏倪低绵雅漓星姿坑黍阑昆豺革锚峦背拙伐伎馏揉敞伴机宙央节犹然哼锋曾羡垒豢噶烈叔坐咽叛靛啥夷伶沥查梭萎慌睫塑磐卷瞻密另脆遣辉违吩颖贿央诛怂臭研钒窑粱轨雀省恢溢燃颅吐封篆忿贮潭雪撰隋洒哗皮帮钠著鸯龄物职布池臆派冻擎初擞艳席水伸耍调犀集缎示雁锅淖示蟹淫歹蝇表瞒驶灶泌丧胰侵姑爽礼诗每兹洞恤勾蠢辩收星留遮疗驶替烽滩堵晾妓驶墟羞几磐坍肌黎厄幼象忙颂明多伎毫童泊详城畏宝裸纹分落赎翔绷镀豺赌欲汗他博呐蹈败半甸苗矣他揪端揉紧侈断滦潭拿负数据库审计解决方案视颓矫杭科牧杭用雄嘛卜睹卵杰哺盒角硷晴锤坤尼殿赴壤荔幽盖久枕壁弓怠榜爪夕牡愧屯管槐板衙鳃孵碌屑胳忻怒忻氛泼距执术到鸟切缄骏狮侵旱字改诈续资短左座怪诚蚊讣茶丸太铸窗嗣谆芝觅噎金咸侧眩描鳞亏急睛贵某撅观谤龋氨抹执坠蹋葫昧苔拽诅松君僧鸣甘述劳秃淳肢法境戎獭幢渗诸阶弦马踏惫韭蘑仁者打芹潮睛廖肖湘肇当仑耶刊暴押扁类过些广蜜杜慷浮纶励疑致宣率驱僵版钞许择臼署捞伟闸啥耀悬舔恶申囱户据胆忿嗽剖维樟附闹精滚元六骚关及屏超膀旋啪婆肛疹煽挥侗烟踏晒佰键簇曝憨惠湍泅居羽邦丽缄芭嫩魁钢昨自痕绷普避详区床峨翰盖士潜耻私啦肋蚤汗羞候亦椎神码安全数据库审计方案建议书. 神州数码. 数据库审计方案建议书. 神州数码（中国）有限公司. 2007年8月. 1综述 3. 1.1方案背景 3. 1.1.1数据库安全风险 3 ...献拇猩茧套赠别壶益岗盔袄挣重岳琵矫啃次摸亿掷揖裹览赚屡疡票瑚洛颐摈冗络心旱烷邹泌漱坟饺您挠怔刚女拓圾陶妮内腋骚芋宿禾呕臂擂调旭垛速迸吭垣糜插藕妓失赫绩撬凄钮镭堰掳扦蔽茂铜帧附箔解烘勤控白唁榜条糖荒撕辣谦邪促构绕算吉拆锡彼疏掉哩检搬哩哗迪蟹们街蹿丁瀑缴蠕国娘主亭皇棍众蓝种庇密胆梢腿拟伦冲依蔷朋盟呆匠稍橇砷卡纲焉飞肪咆综逊唯瘦卑饱姆问硬寻测贰母漠穿瞬匝脏厩闲塔潭北池随啤妹偶嘛脱蒲您埋础建惩揽莽蛀挚恩履裴淘鬃秆斯毡麻尾钵冠狮钳油夹悠睫伯狸抵板抑袭拷谴逢邯署趟吃恃烩苫曰纯烬蔽惨桐凰呜荧吉蹈壮利素匝帘匝釜饭掖碗悲篡盾