1、數據庫審計 解決方案 網神信息技術（北京）股份有限公司 http:/ 目錄 1 數據庫安全現狀 3 2 數據泄密途徑及原因分析 3 3 數據庫審計系統概述 4 4 數據庫審計基本要求 4 4.1 全面的數據庫審計 4 4.2 簡易部署 4 4.3 業務操作實時監控回放 5 5 數據庫審計系統主要功能 5 5.1 全方位的數據庫審計 5 5.1.1 多數據庫系統及運行平臺支持 5 5.1.2 細粒度數據庫操作審計 6 5.2 實時回放數據庫操作 6 5.3 事件精準定位 7 5.4 事件關聯分析 7 5.5 訪問工具監控 7 5.6 黑白名單審計 8 5.7 變量審計 8 5.8 關注字段值提取

2、 8 5.9 簡單易用 9 5.10 海量存儲 9 6 典型應用 1 7 產品選型 1 可編輯 1 數據庫安全現狀 目前，我國公安行業、 各政府部門、 企事業單位使用的數據庫系統絕大部分是由國外研制 的商用數據庫系統， 其內部操作不透明， 無法通過外部的任何安全工具來阻止內部用戶的惡意 操作、濫用資源和泄露機密信息等行為。 通常情況下， 信息安全側重于防備外來未授權用戶的 非法訪問，而對于內部合法用戶的訪問行為，則防范較弱。防火墻、入侵檢測系統可以抵御各 種外網活動所帶來的威脅， 但是不能有效防范內部威脅。 而這些都是現有系統訪問控制機制不 能防止的， 諸如此類的內部信息安全問題一旦出現， 所

3、造成的經濟損失和社會影響將是無法估 量的。面對可能的安全威脅， 建立一套有效的信息安全審計體系， 加強對數據庫信息的監管力 度，有效管理并盡量降低信息安全風險，是非常重要而且必要的。 2 數據泄密途徑及原因分析 數據庫系統是政企用戶最具有戰略性的資產， 隨著業務系統的不斷增加伴隨著數據庫信息 價值以及可訪問性提升， 使得數據庫面對來自內部和外部的安全風險大大增加， 如違規越權操 作、惡意入侵導致機密信息竊取泄漏， 但事后卻無法有效追溯和審計， 數據庫安全存在如下風 險： （1）核心數據維護人員越來越多，既有本公司的信息維護人員，也有系統開發商、第三 方運維外包公司的操作監控失效等等，致使安全事

4、件發生時，無法追溯并定位真實的操作者。 （2）授權人員的權限濫用；如：已授權的人員通過自己擁有可查詢、修改的權限進行濫 用。他們通過信息化系統如財務系統、0A系統、BI系統查詢核心數據庫敏感信息。 （3）現有的安全工具（比如：防火墻、IDS、IPS等）無法阻止內部用戶的惡意操作、濫 用資源和泄露機密信息等行為 3 數據庫審計系統概述 數據庫審計系統是對網絡訪問數據庫操作行為進行細粒度分析的安全設備， 它可提供實時 監控、違規響應、歷史行為回溯等操作分析功能，是滿足數據庫風險管理和內控要求、提升內 部安全監管，保障數據庫安全的有效手段。 4 數據庫審計基本要求 4.1 全面的數據庫審計 數據庫審

5、計系統能夠對業務網絡中 Oracle、SQL-Serve、r DB2、Informix 、Sybase、MySQL、 PostgreSQL Cache達夢等數據庫進行全方位的安全審計,數據庫審計數量不受限制。具體包 括： 1）數據訪問審計：記錄所有對保護數據的訪問信息，包括主機訪問、文件操作、數據庫執 行 SQL 語句或存儲過程等。系統審計所有用戶對關鍵數據的訪問行為，防止外部黑客入侵訪 問和內部人員非法獲取敏感信息。 2）數據變更審計：統計和查詢所有被保護數據的變更記錄，包括核心業務數據庫表結構、 關鍵數據文件的修改操作等等，防止外部和內部人員非法篡改重要的業務數據。 3）權限操作審計：統計

6、和查詢所有用戶的登錄成功和失敗嘗試記錄，記錄所有用戶的訪問 操作和用戶配置信息及其權限變更情況，可用于事故和故障的追蹤和診斷。 4）數據庫安全：支持對SQL注入、跨站腳本攻擊等web攻擊的識別與告警。 4.2 簡易部署 數據庫審計系統利用業務協議檢測技術，系統能夠識別各類數據庫的訪問協議、FTP協議、 TELNET 協議、 HTTP 等協議，經過審計引擎的智能分析，發現網絡入侵和操作違規行為。 數據庫審計系統部署方便， 即插即用，對業務網絡沒有影響。 系統不僅支持多個網段審計； 更可分布式部署，實現對大規模業務網絡的審計。 4.3 業務操作實時監控回放 數據庫審計系統對訪問數據庫操作進行實時、

7、 詳細的監控和審計， 支持過程回放， 真實地 展現用戶的操作。 借助基于會話的行為分析(Sessio n-based Behavior An aly)i技術，審計員可以對當前網絡 中所有訪問者進行基于時間的審查， 了解每個訪問者任意一段時間內先后進行了什么操作， 并 支持訪問過程回放。數據庫審計系統真正實現了對“誰、什么時間段內、對什么(數據) 、進 行了哪些操作、結果如何”的全程審計。 5 數據庫審計系統主要功能 5.1 全方位的數據庫審計 5.1.1 多數據庫系統及運行平臺支持 數據庫審計系統產品能夠對多種操作系統平臺下各個品牌、各個版本的數據庫進行審計。 產品能夠審計的數據庫系統包括：

8、Oracle 8i / 9i / 10g / 11g SQL Server 2000 / 2005 / 2008 IBM DB2 7.x / 8.x / 9.x IBM Informix Dynamic Server 9.x /10.x /11.x Sybase ASE12.x / 15.x MySQL 4.x / 5.x /6.x 國產數據庫，例如達夢 產品能夠審計的數據庫運行平臺包括：Windows、Linux、HP-UX、Solaris AIX 5.1.2細粒度數據庫操作審計 數據庫審計系統能夠深入細致地對數據庫的各種操作及其內容進行審計，并且能夠用戶通 過各種方式訪問數據庫的行為。 系

9、統審計的行為包括 DDL、DML、DCL，以及其它操作等行為；審計的內容可以細化到 庫、表、記錄、用戶、存儲過程、函數、調用參數，等等。如下表所示： 操作行為 內容和描述 用戶行為 數據庫用戶的登錄、注銷 數據定義語言（DDL ）操作 CREATE、ALTER、DROP等創建、修改或者刪除數據庫對象（表、 索引、視圖、存儲過程、觸發器、域，等等）的SQL指令 數據操作語言（DML ）操作 SELECT、DELETE、UPDATE、INSERT 等用于檢索或者修改數據 的SQL指令 數據控制語言（DCL ）操作 GRANT，REVOKE等定義數據庫用戶的權限的 SQL指令 其它操作 包括EXEC

10、UTE、COMMIT、ROLLBACK 等事務操作指令 5.2實時回放數據庫操作 傳統的數據庫或者網絡審計系統都采用基于指令的操作分析（Comma nd-basedRecord Analysis技術，可以顯示出所有與數據庫主機相關的操作，但是這些操作都是一條條孤立的 指令，無法體現這些操作之間的關聯，例如是否是同一用戶的操作、以及操作的時間先后，審 計員被迫從大量的操作記錄中自行尋找蛛絲馬跡，效率低下。借助基于會話的行為分析 （Sessio n-based Behavior An aly$i技術，審計員可以對當前網絡中所有訪問者進行基于時間的 審查，了解每個訪問者任意一段時間內先后進行了什么操

11、作， 并支持訪問過程回放。 數據庫審 計系統真正實現了對“誰、什么時間段內、對什么（數據） 、進行了哪些操作、結果如何”的 全程審計。 5.3 事件精準定位 在信息安全及虛擬化背景時代下， 單靠某一個信息去定位違規操作者已經成為不可能， 如 內網用戶大多采用 DHCP 分配 IP 地址，沒有做 IP-MAC 綁定及相應的準入規則，用戶可通過 更改操作系統名、IP地址、MAC地址等方式逃避追蹤，傳統的數據庫審計定位往往局限于 IP 地址和 MAC 地址，很多時候不具備可信性。因此只有通過關聯盡可能多的身份定位信息進行 定位以及做一定的準入權限設置， 其審計結果才具有可靠性， 才能作為電子證據。

12、數據庫審計 系統產品可以對IP、MAC、操作系統用戶名、使用的工具、應用系統賬號等一系列進行關聯 分析，從而追蹤到具體人。 5.4 事件關聯分析 數據庫審計系統可對響應事件進行關聯， 如根據 IP 關聯出某段時間內該 IP 所觸發的告警 數量等；根據一段時間內的數據庫或應用系統登錄失敗次數判斷出暴力破解密碼的可能性； 根 據賬號的多次登錄判斷賬號信息泄密或共享賬號的可能性；相似 SQL 語句執行時間過長從而 判斷該語句設計的合理性等。 根據事件關聯性分析， 自動涌現一批對客戶具有實用價值的信息， 幫助客戶管理和維護好現有應用。 5.5 訪問工具監控 數據庫審計系統自動掃描連接數據庫的訪問工具。

13、 從訪問數據庫的源頭進行分析， 應用系 統和客戶端工具根據不同的數據庫類型可通過 ODBC、JDBC、直連等方式連接數據庫，直接 連接工具如 Winsql、Plsql 及 C/S 架構的客戶端工具等。如發現審計記錄中出現未知的數據庫 連接工具或出現規定之外的連接工具，審計員可根據工具監控記錄分析出使用過該工具的 IP 及關聯的操作記錄，進而取證使用該工具的源頭及操作的合法性。 5.6 黑白名單審計 數據庫審計系統可根據客戶意見及實際審計情況，將IP、操作語句、賬號等相關信息加 入黑白名單。同時，在應用系統中，因應用系統對應后臺的 SQL 語句固定，一旦發現其中含 有危險信息則可將對應的 SQL

14、 加入黑名單，而一旦應用系統中有某些語句疑似風險操作但其 實際并不產生危害則可加入白名單。 5.7 變量審計 在不同數據庫及應用系統中，很多值的傳遞都是通過變量進行，如在 oracle數據庫中有綁 定變量，在其它數據庫中也有變量一說。如審計不到變量則無法對 SQL 指令的危險性進行判 斷。數據庫審計系統可對不同數據庫的不同變量進行審計。 5.8 關注字段值提取 數據庫審計系統可根據配置，自動提取 SQL 指令中某關鍵字段的值，如查詢語句中涉及 的時間范圍、查詢的條件。由其是在金融、高值耗材等信息中，可通過查詢條件查詢出財產、 費用、聯系人等敏感信息，通過提取關注字段的值，并通過該值設置規則，則

15、可更精確的對數 據庫訪問操作進行精確審計。 5.9 簡單易用 數據庫審計系統采用旁路偵聽的方式進行工作， 對業務網絡中的數據包進行應用層協議和 流量分析與審計， 就像真實世界的攝像機。 利用業務協議檢測技術， 能夠識別各類數據庫的訪 問協議、FTP協議、Telnet協議、Http等多種應用層協議，經過審計系統的智能分析，發現網 絡入侵和操作違規行為。 同時，借助業務流量監測技術， 數據庫審計系統識別網絡中各種應用 層協議的流量，及時發現流量違規和異常。 數據庫審計系統部署十分方便， 即插即用， 不必對業務網絡結構做任何更改， 對業務網絡 沒有任何影響。 數據庫審計系統可以同時審計多個不同的網段

16、； 多個系統可以級聯， 實現分布 式部署， 實現對大規模業務網絡的審計。 系統部署后立竿見影， 即可自動發現所偵聽網絡中的 數據庫訪問行為。 5.10 海量存儲 數據庫審計系統可以將采集到的所有數據包和告警信息統一存儲起來， 建立一個集中事件 存儲系統， 滿足國家標準和法律法規中對于事件存儲的強制性要求， 為安全事故增加追查取證 的信息來源和依據。 數據庫審計系統具有海量事件處理和存儲的能力。單臺數據庫審計系統能夠以每秒 6000 條到 24000條的規模接收數據包，能夠在線存儲 10億到 40億條事件記錄。加上系統的數據歸 檔與離線存儲功能， 數據庫審計系統能夠存儲的數據量大小僅取決于服務器磁盤存儲空間的大 ??；產品自帶1TB4TB的存儲空間，用戶亦可以在后期進行容量擴展。 數據庫審計系統在進行數據管理的時候， 對數據存儲算法進行了充分優化， 使得使用小型 數據庫的情況下就達到了上述性能。 此外， 用戶在使用本系統的時候， 無需購買額外的數據庫 管理系統和許可， 也不必花費專門的精力去維護數據庫， 這些都大大降低了用戶的總體擁有成 本。 6典型應用 數據庫審計系統可應用于大中小型政企用戶，專用于保護業務網中的數據庫，一般部署于 被保護數據源的附近，通過端口鏡像或者 TAP方式連接到網絡中。 數據庫審計系統放置在業務服務器集中的交換機上