数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计。目前国内众多的数据库安全审计服务商中,我们以安华金和的数据库安全审计系统为例,系统剖析数据库安全审计系统的作用及功能。
【安华金和数据库审计系统概述】
安华金和数据库安全审计系统是结合网安法要求自主研发的第二代数据库安全审计类产品,采用更深层次的数据库通讯协议解析技术,并具备 sql 完全分析能力,保障数据库审计内容更全面、分析视角更多样。产品面向数据库运维人员和安全管理人员,针对数据库风险状况、运行状况、性能状况和语句分布状况提供实时监控能力,是一款面向数据库可提供安全、审计、监控能力的一体化工具。
该系统可审计的数据库类型涵盖国内外12种主流数据库。为适应大数据分析的市场需求,针对hbase、mongodb 等分布式、非关系型数据库,提供完善的审计与监控能力。
【安华金和数据库审计的作用】
1、全量的业务审计
系统可基于数据库镜像进行旁路审计;为适应“虚拟化”及“一体机审计”需求,提供“插件式”探针部署能力,不仅可以解决应用和数据库同机无法审计的难题,还可以采集虚拟化网络的数据库流量,适用于复杂的数据库网络环境。
为扩充审计范畴,产品支持 telent 协议解析,并以插件方式捕获远程登录后的本地操作行为;系统可以通过导入证书方式完成加密通讯协议解析,并且通过“授权账户”可以提取存储过程的调用内容。系统的审计范畴覆盖数据库各通讯链路,面向数据库提供全量的业务审计能力。
2、实时的风险告警
系统提供数据库风险告警能力,对于外部发起的数据库漏洞攻击、恶意的 sql 注入行为、非法的业务登录、高危的 sql 操作和批量的数据下载,系统可以基于灵活的策略配置,设置风险规则,提供实时的风险告警。告警方式包括:短信、邮件、snmp、syslog等多种方式。
3、多维度风险追溯
系统的分析视角包括:风险、语句、会话等多个维度。可查询的审计日志包括:应用信息、客户端信息、访问工具、操作行为、执行对象、响应时长、应答结果、影响范畴等20 多类元素,从而形成数据库的全量行为记录,可有效的追溯和定责。系统提供全局检索
能力,从访问来源角度实现多个数据库的关联查询,定位数据库风险;提供会话和语句的深度关联分析,展现会话和语句详情;提供应用关联分析能力,使数据库的访问行为有效定位到业务工作人员,进行有效的追溯和定责。
4、数据库行为建模
系统针对数据库通讯协议进行完全解析,可建立学习期,归类 sql 语句模板,并结合会话信息、应用关联信息,实现数据库行为建模。基于建模语句的波动情况,进行有效的分析和深入的挖掘,当隐藏在应用软件中的后门程序启动时,基于建模分析提供实时告警
能力,降低数据库信息泄露的损失。
5、数据库性能诊断
系统提供实时的数据库运行状态监控,针对数据库访问流量、并发吞吐量、解析语句量、语句归类模板量、sql 语句的响应速度进行专项的界面分析;可针对语句量执行最多、语句访问最慢的语句进行发现和排列,提供专业的性能诊断分析,帮助用户优化数据库性能。
6、海量日志合规存储
随着“网络安全法”的进一步普及,很多业务系统要求数据库审计产品存储的日志量达到数百亿条。因此,系统采用了先进的数据采集、存储机制,对海量的审计日志归档存储。并且根据现场的实际压力状态和备份语句量,提供【高压缩】和【高性能】两种数据
压缩方式,适用于不同的业务场景,最大限度利用存储空间。从硬件层面,产品支持raid 0/1/5 硬盘存储模型,并通过三级存储机制,实现了海量数据存储;产品提供对外数据传输接口,可以进行审计日志转储,或对接大数据平台进行二次分析。
【安华金和安全审计功能】
1、数据库发现与管理
系统可基于流量识别技术,自动发现、添加数据库并快速进行审计。自动识别的数据库信息包括:服务器 ip 地址、数据库类型、数据库版本、字符集等内容。系统针对网络内未知的数据库信息进行有效梳理,可以解决现场网络环境复杂、数据库资产不清晰等问题。
2、探针式数据采集
系统的部署方式多样,除了常规的旁路审计部署之外,还可以基于“探针”方式捕获数据库流量,可适用于复杂的虚拟化网络环境。产品在应用端或数据库服务器部署rmagent 组件(产品提供),通过虚拟环境分配的审计管理网口进行数据传输,完成数据库流量采集。系统支持多探针部署,并提供批量安装和统一管理功能。rmagent 具备良好的兼容性,可适用于 centos、redhat、solaris、aix 等主流操作系统。
3、加密协议解析
系统审计基于数据库通讯协议解析,例如 tns、telnet 等多种协议类型。市场上mysql5.7、sql server 等数据库有时会采用加密协议通讯,为审计解析带来了困难。针对 sql server 默认的数据库用户加密,系统无须插件可以通过“授权账户”方式获取数据库账户信息;针对更深层次的加密协议,系统可以通过“导入加密证书”的方式进行通讯协议解密。
4、应用关联审计与监控
常规的数据库通讯协议解析只能解析到客户端一层的信息,包括:客户端 ip、数据库用户、主机名、操作系统用户名等。利用上述信息可以实现运维侧的风险追溯,但是无法对应用侧风险行为进行追溯,因为在客户端之前还有应用系统信息,甚至业务中间件信息。
5、数据库入侵行为监测
系统提供针对数据库漏洞攻击的“检测”功能:当外部系统利用数据库漏洞进行数据库攻击时,系统可以实时捕获到对应的 sql 语句及相关会话信息并发送告警,帮助用户实时监控数据库漏洞风险并有效追溯风险来源。
除了数据库漏洞攻击行为,系统还可以针对 sql 注入和 xss 攻击行为进行审计和规则命中。基于精准的 sql 语法分析,系统可以准确定位 sql 语句中的操作谓词及常量表达式,保障注入、攻击行为监测的准确性。系统提供缺省的 sql 注入特征库,并支持用户自定义规则。
6、数据库异常行为监测
数据库审计产品的主体价值是帮助用户高效的完成风险行为的定责追溯。系统可针对数据库通讯协议进行完全解析;可学习、归类 sql 语句模板,并结合会话信息、应用关联信息,实现数据库行为建模。基于建模语句波动情况,进行有效的分析和深入的挖掘。当
数据库访问行为异常时,系统可提供实时的告警能力,降低数据泄露的损失。
7、数据库违规行为监测
系统提供丰富的规则类型,可以针对不同的数据库访问来源,提供对敏感表的访问权限、操作权限和影响行数的有效监控,并结合对 no where 语句风险的判断,避免大规模数据泄露和篡改。
系统利用审计到的数据库账号和客户端 ip 信息,针对指定周期内,同一 ip 或账号的频次性失败登录行为进行监控并形成告警,并将关联审计到的应用 ip 和应用账号,纳入数据库访问规则。
8、多维度关联分析
系统在纵向维度,提供数据库全局查询、分组查询和独立查询三种分析视角,用户可以根据业务需求进行综合分析。用户可以从访问源入手对多个数据库进行全局查询,快速定位风险访问来源;也可以针对某一数据库进行深度钻取分析,有效评定数据库风险。
系统在横向维度,提供三种分析维度,包括风险分析、语句分析、会话分析。
9、丰富的报表展现
系统将报表划分为以下几类,帮助安全管理人员更加便捷、深入的剖析数据库运行风险。
【综合报表】:日报、周报、月报,基于系统级和单库级别对审计信息做全量综合分析;
【合规性报表】:根据法案构成,包括 sox、pci、等保分析报表
【专项报表】:根据风险、性能、客户端、失败信息等多个维度分别建立独立分析报表;
【自定义报表】:用户可基于报表模型,自定义生成符合自身业务关注点的报表;系统为提高报表的展现效率,提供【报表预存】和【定时推送】功能。
【报表预存】:用户可以对关注的报表按照查询周期生成预存文件。当用户按周期查询报表时,系统调用预存文件可以快速生成报表。
【定时推送】:用户可以对关注的报表设置定时推送功能,定时查询周期内报表并生成 word、pdf、html 等文件格式,推送到指定的邮件或服务器,便于用户查阅。
10、数据库性能分析
系统的审计内容全面,可以对数据库的 sql 吞吐量、会话并发量进行实时监控,从而评估数据库运行状态和资源使用情况。
11、数据备份与恢复
系统将存储空间进行合理划分,分别存储“在线语句量”和“备份语句量”。系统提供在线语句量全文检索分析能力;并支持对备份语句的自动压缩、存储。根据不同的业务场景,可以按“高压缩比”存储,有效利用存储空间,或者按照“高性能”存储,有效利用系统资源。
12、对外数据传输接口
为便于第三方平台接收日志进行二次分析,系统提供数据对外传输能力,并提供标准化接口。
13、集群管理
系统提供多设备分布式部署能力,并支持数据集中化管理和分析。在网络内已部署多个审计节点的前提下,建立独立的集群管理中心。集群管理中心对各节点具备远程登录和系统管理,各节点通过上报、审批加入集群管理列表。
试用申请
产品咨询:4000 258 365 