一、產(chǎn)品概述
®數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)(簡稱:DAS-DBAuditor)是信息在多年數(shù)據(jù)庫安全理論研究與實踐的基礎(chǔ)上,結(jié)合各類法令法規(guī)(如等級保護、分級保護、企業(yè)內(nèi)控、SOX、PCI等)對數(shù)據(jù)庫安全的要求,自主研發(fā)的業(yè)界首創(chuàng)細粒度審計、雙向?qū)徲?、全方位風(fēng)險控制的數(shù)據(jù)庫安全審計產(chǎn)品??蓭椭脩魩砣缦聝r值點:
全面記錄數(shù)據(jù)庫訪問行為,識別越權(quán)操作等違規(guī)行為,并完成追蹤溯源
跟蹤敏感數(shù)據(jù)訪問行為軌跡,建立訪問行為模型,及時發(fā)現(xiàn)敏感數(shù)據(jù)泄漏
檢測數(shù)據(jù)庫配置弱點、發(fā)現(xiàn)SQL注入等漏洞、提供解決建議
為數(shù)據(jù)庫安全管理與性能優(yōu)化提供決策依據(jù)
提供符合法律法規(guī)的報告,滿足等級保護、企業(yè)內(nèi)控等審計要求;
二、產(chǎn)品功能簡介
DBAuditor基于“金字塔模型”設(shè)計,分成原始信息收集、審計信息標(biāo)準化、審計信息篩選、預(yù)警與報表共四大模塊。
1. 原始信息收集
DBAuditor通過旁路鏡像的模式進行部署,可以在不改變用戶現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、不不占用數(shù)據(jù)庫服務(wù)器資源、不影響數(shù)據(jù)庫性能的情況下實現(xiàn)對數(shù)據(jù)庫的訪問行為審計。DBAuditor支持分布式部署,實現(xiàn)配置與報表的集中管理、并發(fā)流量采集與處理、多點存儲、多級管理。
DBAuditor提供自動定期發(fā)現(xiàn)功能,可及時發(fā)現(xiàn)新增或者一些未知的數(shù)據(jù)庫并告警,也可自動加載為審計對象。
2. 審計信息標(biāo)準化
DBAuditor支持國內(nèi)外主流數(shù)據(jù)庫,包括Oracle、SQL server、DB2、Mysql、Informix、Sybase、PostgreSQL 、神通OSCAR、達夢DM、人大金倉、南大通用Gbase、CACHé 、Teradata共13種協(xié)議。并將不同數(shù)據(jù)庫協(xié)議按照標(biāo)準化的格式進行展示,方便管理人員閱讀和分析。
3. 審計信息篩選
DBAuditor根據(jù)5W1H分析模型進行規(guī)制設(shè)計,提供豐富的規(guī)則條件和向?qū)降囊?guī)則配置方法,同時內(nèi)置了300多條安全相關(guān)的審計分析規(guī)則。
4. 預(yù)警與報表
DBAuditor提供Syslog、短信、郵件、SNMP、FTP等豐富的告警方式,可第一時間通知管理人員,并可與SOC、安管平臺等進行日志的整合。
DBAuditor內(nèi)置了40多種高價值、符合法律法規(guī)的分析報表,可從數(shù)據(jù)庫賬號增刪、密碼修改、權(quán)限變更、高危操作、違規(guī)告警、賬號復(fù)用、數(shù)據(jù)庫性能分析等角度進行分析,同時支持自定義的方式定制更多報表。
三、產(chǎn)品技術(shù)優(yōu)勢
1. 多核、多線程并行處理技術(shù),處理性能遙遙領(lǐng)先
DBAuditor選用國際領(lǐng)先的、適合審計產(chǎn)品特性的硬件平臺,通過intel多核CPU的強大計算能力,以及信息獨有的多線程分布式處理技術(shù),使得數(shù)據(jù)庫審計系統(tǒng)的處理能力大大提高,真正領(lǐng)先于國內(nèi)同類型產(chǎn)品。
2. 數(shù)據(jù)庫安全配置分析和漏洞評估
DBAuditor繼承了信息數(shù)據(jù)庫安全漏洞掃描技術(shù)優(yōu)勢,形成了從漏洞掃描、安全審計為一體的解決方案??赏ㄟ^定制化任務(wù)方式實現(xiàn)周期性的自動掃描,發(fā)現(xiàn)數(shù)據(jù)庫的配置不合理項、弱口令、安全漏洞。并可根據(jù)漏洞情況提供合理的安全建議和審計規(guī)則,生成安全漏洞掃描報告。
3. 智能關(guān)聯(lián)分析
通過同時提取web業(yè)務(wù)端和數(shù)據(jù)庫端的協(xié)議流量,提取出具體業(yè)務(wù)操作請求URL、POST/GET值、業(yè)務(wù)賬號、原始客戶端IP、MAC地址、提交參數(shù)等。通過智能自動多層關(guān)聯(lián),關(guān)聯(lián)出每條SQL語句所對應(yīng)URL,以及其原始客戶端IP地址等信息,實現(xiàn)追蹤溯源。
4. 獨有的雙向?qū)徲?/strong>
DBAuditor通過信息多年的協(xié)議解析經(jīng)驗,可以實現(xiàn)真正的雙向?qū)徲?。雙向?qū)徲嫴坏藄ql語句執(zhí)行狀態(tài)、返回行數(shù)、返回時間等基本信息,最為關(guān)鍵是包含了數(shù)據(jù)庫的返回結(jié)果內(nèi)容。如下圖:
5. 數(shù)據(jù)庫行為軌跡分析
DBAuditor通過創(chuàng)新的行為軌跡分析方法,使得審計員擺脫了從成千上萬條日志進行枯燥分析的煩惱,大大提高了分析效率,提高了審計的易讀性和價值。
6. 數(shù)據(jù)庫行為模型分析
DBAuditor通過自動學(xué)習(xí)建立數(shù)據(jù)庫行為模型,行為模型是基于“總—分”邏輯分析思維,一層一層展示整個數(shù)據(jù)庫的行為狀態(tài)。通過行為模型的變更分析,可方便用戶掌握最新訪問動態(tài)。通過行為模型的對比分析則可以分析出兩個不同時間段的模型差異,可以非常方便的發(fā)現(xiàn)數(shù)據(jù)庫賬號、源IP、訪問工具類型、權(quán)限的增刪變更情況,方便進一步追蹤分析。
四、產(chǎn)品典型案例
信息助力“國內(nèi)證券公司”通過“等級保護”三級測評
1) 背景介紹和需求
某證券公司在信息科技建設(shè)方面一直走在行業(yè)前列,其對集中交易系統(tǒng)的網(wǎng)上交易系統(tǒng)、營業(yè)部交易系統(tǒng)等幾個核心數(shù)據(jù)庫部署數(shù)據(jù)庫安全審計系統(tǒng)來加強數(shù)據(jù)安全管理,以實現(xiàn)對數(shù)據(jù)庫非法行為的事前預(yù)防、實時告警、事后追查等功能,并滿足等級保護的測評要求。
2) 解決方案
集中交易系統(tǒng)是公司核心的資產(chǎn),而且數(shù)據(jù)流量比較大,安全可靠性要求高,調(diào)研討論后在集中交易系統(tǒng)的5個核心交易系統(tǒng)中分別部署一臺數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)采集器。在總控系統(tǒng)中部署1臺數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)采集器,并部署1臺數(shù)據(jù)庫審計管理中心。所有采集器通過網(wǎng)絡(luò)把數(shù)據(jù)上傳到管理中心,客戶通過管理中心統(tǒng)一進行查詢管理等。
3) 客戶價值
全面滿足國家等級保護三級測評要求,成功通過測評認證;
能夠從合法、合規(guī)的方面滿足證監(jiān)會對信息化的監(jiān)管要求;
從帳號管理、權(quán)限管理等多維度進行監(jiān)控,助力IT管理制度實施;
建立數(shù)據(jù)庫權(quán)限模型,為數(shù)據(jù)庫安全建設(shè)提供優(yōu)化經(jīng)驗;
4) 類似案例還包括:
國信證券、銀河證券、海通證券、招商銀行、浙江農(nóng)信、一汽集團、南方航空、鐵道部12306、快錢支付。
信息助某運營商實現(xiàn)創(chuàng)新安全審計
某運營商出于對敏感信息保護、集團安全考核、等級保護和塞班斯SOX法案合規(guī)等要求,在計費、CRM等共計30多個系統(tǒng)中部署了46套數(shù)據(jù)庫審計系統(tǒng),每天產(chǎn)生 12 億多條的安全審計日志;
審計分析規(guī)則:目前從帳號授權(quán)管理、認證管理、關(guān)鍵系統(tǒng)操作、敏感數(shù)據(jù)泄露、DDL 操作異常分析、安全攻擊等8種視角、50多個維度進行分析,形成了幾百條有效審計規(guī)則, 可以有效的識別數(shù)據(jù)庫的安全風(fēng)險;
審計分析報表:在系統(tǒng)智能告警基礎(chǔ)上,通過安全專家分析,定期為每個業(yè)務(wù) 系統(tǒng)制作《審計報告》,審計報表分為公司領(lǐng)導(dǎo)、技術(shù)管理人員、專業(yè)技術(shù)人員三個級別的報表,使不同級別的人員都能夠迅速了解整個審計系統(tǒng)的整體情況,及時發(fā)現(xiàn)審計問題。
"