1、止匕處是Logo數據庫審計系統技術白皮書地址:電話:傳真:郵編:版權聲明本文中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬北京所有，受到有關產權及版權法保護。任何個人、機構未經北京的書面授權許可，不得以任何方式復制或引用本文的任何內容。版本變更記錄時間版本說明修改人2016.04.05V1.0初建適用性聲明文檔用于撰寫XX公司產品介紹、項目方案、解決方案、商業計劃書等。1 .產品概述12 .應用背景12.1 現狀與問題12.1.1 現狀12.1.2 問題12.2 需求分析32.2.1 政策需求 信息系統安全等級保護基本要求

2、 商業銀行信息科技風險管理指引32.2.2 技術需求42.2.3 管理需求42.2.4 性能需求42.2.5 環境與兼容性需求52.2.6 需求匯總53 .產品介紹53.1 目標53.2 產品功能63.2.1 數據庫訪問行為記錄63.2.2 違規操作告警響應63.2.3 集中存儲訪問記錄63.2.4 訪問記錄查詢73.2.5 數據庫安全審計報表73.3 產品部署73.3.1 旁路部署73.3.2 分布式部署83.4 產品特性93.4.1 安全便捷的部署方式93.4.2 日志檢索能力93.4.3 靈活的日志查詢條件103.4.4 靈活的數據庫審計配置策略103.4.5 數據庫入侵檢測能力103.

3、4.6 符合審計需求設計114 .用戶收益114.1 對企業帶來的價值114.2 全生命周期日志管理124.3 日常安全運維工作的有力工具121 .產品概述數據庫審計系統（以下簡稱xxx是一款專業、主動、實時監控數據庫安全的審計產品。本系統采用有效的對數據庫監控與審計方式，針對數據庫漏洞攻擊、SQl注入、風險操作等數據庫風險操作行為發生記錄與告警。能對不同的場景定制審計策略，如：信任，敏感模糊化和行為告警等策略。本系統可以有效的評估數據庫潛在風險；實時監控數據庫用戶的訪問行為；它通過對用戶訪問數據庫行為的記錄、分析和匯報，用來幫助用戶事后生成合規報告、事故追根溯源，同時加強內外部網絡行為記錄，

4、提高數據資產安全。2 .應用背景在高速信息化的今天，數據安全問題已涉及到各行各業中，數據泄漏所引發的社會問題持續高漲。信息安全成為國家安全戰略的重要部分。2.1 現狀與問題數據庫安全問題是亟待解決的安全核心痛點。2.1.1 現狀數據庫是數據信息存儲的最主要形式，而當前信息泄露案例的90犯上與數據庫相關80%勺數據庫沒有任何防護措施，面對數據篡改、數據破壞、數據泄漏等問題，追蹤、定責、挽回損失等方式顯得極為疲軟在傳統IT架構向云計算模式遷移過程中，數據安全成為客戶關注的核心問題2.1.2 問題互聯網的急速發展使得企業的數據庫信息價值及可訪問性得到了提升，同時，也致使數據庫信息資產面臨嚴峻的挑戰，

5、概括起來主要表現在以下三個層面：2016XXXXXXXXXX司政策層面：數據庫里保存著客戶信息和各類資金數據，數據庫的安全不僅關系到用戶自身的利益和品牌，還關系到公共秩序甚至國家利益。在國家等級保護、中國人民銀行及銀監會信息安全規范以及國際支付卡行業數據安全標準等都有著明確的要求。技術層面：數據庫自身存在重大安全缺陷（訪問控制缺陷、數據庫管理系統漏洞、明文存儲）更為復雜的數據庫應用環境（B/S架構的應用使數據庫間接暴露到互聯網、各種類型的外包工作人員直接訪問數據庫、數據庫共享使各種應用系統程序直連到數據庫）傳統防護方案具有局限性（網絡防火墻產品不對數據庫通訊協議進行控制、IPS/IDS/網絡審

6、計并不能防范那些看起來合法的數據訪問、繞過WA朦統的刷庫行為屢見不鮮、無法解決來自于業務系統本身的安全威脅、忽略了內部人員的管控）運維管控存在泄密途徑（測試數據泄密、導出明文備份數據導致泄密、圖形化操作無法控制、無法控制返回結果集、惡意程序惡意訪問）內部信息泄漏（利用數據庫的漏洞攻擊、應用數據庫賬戶泄露、敏感信息以明文存儲、DBAS戶操作無法監管）管理層面：主要表現為人員的職責、流程有待完善，內部員工的日常操作有待規范，第三方維護人員的操作監控失效等等，致使安全事件發生時，無法追溯并定位真實的操作者。伴隨著數據庫信息價值以及可訪問性提升，使得數據庫面對來自內部和外部的安全風險大大增加，如違規越

7、權操作、惡意入侵導致機密信息竊取泄漏，但事后卻無法有效追溯和審計。2016XXXXXXXXXX司2.2 需求分析2.2.1 政策需求 信息系統安全等級保護基本要求依據信息安全等級保護要求，XXX;®用系統被定義為三級，在安全審計方面均有與數據安全相關的要求，以下為等保關于數據安全的內容。安全審計應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計；應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄。審計記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描述和結果等；應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能安全審計數據庫管理系

8、統的安全審計應：建立獨立的安全審計系統；定義與數據庫安全相關的審計事件；設置專門的安全審計員；設置專門用于存儲數據庫系統審計數據的安全審計庫；提供適用于數據庫系統的安全審計設置、分析和查閱的工具 商業銀行信息科技風險管理指引第二十六條商業銀行應通過以下措施，確保所有信息系統的安全：（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。（七）以書面或電子格式保存審計痕跡。（八）要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。第二十七條商業銀行應制定相關策略和流程，管理所有生產系統的活動日志，以支持有效的審核、安全取證分析和預防欺詐。日志可以在軟件的不同層次

9、、不同的計算機和網絡設2016XXXXXXXXXX司備上完成，日志劃分為兩大類：（一）交易日志。交易日志由應用軟件和數據庫管理系統產生，內容包括用戶登錄嘗試、數據修改、錯誤信息等。交易日志應按照國家會計準則要求予以保存。（二）系統日志。系統日志由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成，內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信息等。系統日志保存期限按系統的風險等級確定，但不能少于一年。商業銀行應保證交易日志和系統日志中包含足夠的內容，以便完成有效的內部控制、解決系統故障和滿足審計需要；應采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發生后應及時復查系統

10、日志。交易日志或系統日志的復查頻率和保存周期應由信息科技部門和有關業務部門共同決定，并報信息科技管理委員會批準。2.2.2 技術需求審計系統應能在保護數據庫安全的前提下，針對運維人員對數據庫的訪問行為進行審計，審計的內容包括了訪問的時間、地址、目標資源以及詳細的操作內容呈現。審計系統應對各類數據庫進行實時的監控管理，監控數據庫的運行狀態，保證數據的不中斷。能夠對各類的數據庫進行安全掃描，在發現配置或安全漏洞時提供有限的解決建議，保證數據庫的可靠性。審計系統應對重要數據庫操作進行審計，審計范圍包括數據庫維護人員、超級用戶以及應用用戶行為。審計系統應能夠對審計上來的日志有一定的保護能力，不能隨意修

11、改和刪除日志。日志的存儲應采用加密形式進行保存。2.2.3 管理需求應對第三方數據庫廠家以及超級權限用戶進行控制，能夠控制其訪問數據庫的操作，對其所做的操作進行全面的審計，保證重要數據的不丟失不泄密。2.2.4 性能需求為了保證系統的不間斷運行需對審計系統的性能有一定要求。在數據正常的情況下應保證：?2016XXXXXXXX便司峰值處理能力（SQL語句、條/秒）：18000吞吐量（Mb/sec）:2000Mbps一萬條審計日志搜索時間小于5秒2.2.5 環境與兼容性需求審計系統支持以下審計資源以及交換機類型，保證系統的正常上線和后續的使用審計資源數據庫類型版本端口OracleSybaseDB2

12、Mysql,網絡連接交換機類型版本鏡像端口,2.2.6 需求匯總通過對于用戶的環境的了解以及所提出問題的了解分析，具備需求體現在如下幾個方面:能夠滿足等級保護以及行業規定對于數據庫安全方面的要求。對登錄數據庫和操作數據庫的人員進行詳細的操作審計。能夠對用戶網絡內的數據庫系統進行監控與漏洞的掃描。對現有業務和系統不產生任何影響。整體審計系統具備一定的保密性，確保審計數據的安全性。維護簡單、具備專業的審計功能，節約人力，減少維護費用。三.產品介紹3.1 目標保護數據庫以及核心數據安全；提供靈活、便利的策略定制；通過事后的合規性分析，幫助您發現針對數據庫攻擊行為和安全隱患；?2016XXXXXXXX

13、XX司幫助您從多角度了解數據庫活動現狀;幫助您滿足合規/審計的要求；簡化您審計的工作。3.2 產品功能3.2.1 數據庫訪問行為記錄數據庫審計系統支持對多種類數據庫的操作行為進行采集記錄，探測器通過旁路接入，在相應的交換機上配置端口鏡像，對用戶訪問數據庫的數據流進行鏡像采集并保存信息日志。數據庫審計系統能夠詳細記錄每次操作的發生時間、數據庫類型、源MACM址、目的MAO址、源端口、目標端口、數據庫名、用戶名、客戶端IP、服務器端IP、操作指令、操作返回狀態值。數據庫審計系統支持記錄的行為包括：數據操作類（如select、insert、delete、update等）結構操作類（如create、d

14、rop、alter等）事務操作類（如BeginTransaction、CommitTransaction、RollbackTransaction等）用戶管理類以及其它輔助類（如視圖、索引、過程等操作）等數據庫訪問行為，并對違規操作行為產生報警事件。3.2.2 違規操作告警響應數據庫審計系統可通過規則設置對各類數據庫操作訪問行為進行實時監測，對網絡中的異常數據庫操作行為及時進行告警響應，實時顯示告警信息并記錄存儲。告警信息可通過郵件或短信等方式通知管理員，以確保管理員在第一時間發現用戶對數據庫的違規操作。3.2.3 集中存儲訪問記錄通過數據庫審計系統可以將分布在網絡不同位置、不同類型的數據庫的訪

15、問信息集中到統一的安全審計系統中進行存儲，便于對記錄數據進行分析。?2016XXXXXXXXXX司3.2.4 訪問記錄查詢數據庫審計系統采用專有的特殊文件系統對規范化的日志進行存儲，同時也支持Mysql等標準數據庫存儲，文件存儲機制是根據日志系統的特殊性進行專門研發，為海量日志的存儲及檢索進行了優化設計。產品內置高容量的硬盤存儲空間，采用Raid硬盤陣列，可有效防止由于硬盤硬件問題而帶來的數據丟失，同時數據庫審計系統還支持外掛存儲系統，從而實現存儲空間的海量擴充。3.2.5 數據庫安全審計報表數據庫審計系統通過動態報表的方式對數據庫操作行為審計結果進行統計分析。系統默認內置豐富的報表模板，其中

16、大部分報表均符合SOXt案、等級保護等法規、標準對信息系統的審計需求，同時，用戶也可以根據自身的實際需求自定義報表內容，生成審計報表，審計報表可以以HTTPf口EXCE咯式導出。3.3 產品部署3.3.1 旁路部署設備旁路在數據庫前端交換機，通過接收交換機端口鏡像數據流對數據庫進行審計，該拓撲方案無需更改任何現有拓撲結構，同時也不會對現網造成任何影響。?2016XXXXXXXXXX司筆記本PC終蠲sag岸眼若圖i旁路部署拓撲圖3.3.2 分布式部署和單一部署類似，設備旁路在數據庫前端交換機，通過接收交換機端口鏡像數據流對數據庫進行審計，該拓撲方案無需更改任何現有拓撲結構，不會對現網造成任何影響

17、；多臺設備通過管理口通訊級聯對規則策略進行同步。?2016XXXXXXXX便司jb'里.。核心交換機總部機房分支機構圖2分布式部署拓撲圖3.4 產品特性3.4.1 安全便捷的部署方式數據庫審計系統對數據庫操作訪問行為采用全旁路方式進行審計，無需串聯在網絡設備中；不在數據庫主機上安裝客戶端軟件；不改變客戶原有的任何登錄方式；部署便捷，不會破壞本身網絡結構，不影響數據庫系統的性能，實施成本較低。數據庫審計系統進行維護、升級時不會影響到正常業務的運行，也不會影響到網絡性能。3.4.2 日志檢索能力數據庫審計系統采用了公司自主開發的基于海量日志索引的日志檢索引擎，避免了采用關系型數據庫在處理海

18、量日志數據時的低效率問題，采用“基于預測的動態索引技術”、“數據正交分組技術”及“適應磁盤的索引存儲”“即時結果反饋技術”等核心技術手段，實現了對日志的高速檢索能力。數據庫審計系統對于在緩存中的日志（最近入庫的日志），以四重以內組合條件查詢，能?2016XXXXXXXX便司夠在5秒內即返回完整的檢索結果。對于任意時間段內的歷史數據查詢，數據庫審計系統也能夠在數秒鐘內即反饋符合要求的檢索結果。3.4.3 靈活的日志查詢條件數據庫審計系統支持不限次數的多重條件查詢規則設定，管理員可根據日志的類型、發生時間、不同字段內容等條件組合進行精細匹配。數據庫審計系統支持：、=、不等于、包含、時間區間、或、與

19、等十多種常見邏輯符號，支持跨日志查詢，管理員能夠通過設定規則條件，對日志進行精確定位。3.4.4 靈活的數據庫審計配置策略數據庫審計系統提供了靈活和易于操作的策略配置管理。策略配置為高效而全面地實現數據庫安全審計起到了決定性的作用。數據庫審計系統有以下多種配置策略：全面審計策略：所有的數據庫請求都會被審計，保證審計的全面性；審計過濾策略：在某些高吞吐量場景，過高的負載將使實時處理和存儲壓力過大，通過系統提供的白名單過濾、白名單規則可以對常規安全語句、安全來源實現審計過濾，使系統能夠在過載的情況下，集中在危險或異常的SQL語句審計上；重點語句告警策略：無論是否執行全面審計的策略，系統都可以對需要

20、重點監視的語句進行特殊對待，可以通過黑名單、正則表達、重點用戶、重點IP、返回行數等策略完成對重點關注對象和行為的定義，對這些重點對象和行為的語句可以將其放入到告警審計中，可以通過syslog、snmp郵件或短信等多種途徑對這些語句進行土煞口目。3.4.5 數據庫入侵檢測能力數據庫審計系統提供了強大的數據庫入侵檢測能力，對入侵行為進行重點告警；數據庫審計系統對數據庫的入侵檢測行為提供了大量的檢測策略定義方法，包括：危險客戶端登錄：通過IP、用戶、數據庫客戶端工具、時間等多維定義可能具有入侵風險的登錄；危險訪問行為：通過用戶、敏感對象、時間、返回行數、操作是否有Where是否使2016XXXXX

21、XXX便司用了系統對象、高危操作子等多種方式定義了危險訪問行為；SQL注入：系統提供了系統性的SQL注入庫，以及基于正則表達式或語法抽象的SQL注入描述擴展；漏洞攻擊庫：系統提供了針對數據庫漏洞進行攻擊的描述模型，使對這些典型的數據庫攻擊行為被迅速發現；黑名單：提供準確而抽象的方式，對系統中的特定訪問SQL語句進行描述，使這些SQL®句出現時能夠迅速報警。3.4.6 符合審計需求設計數據庫審計系統對數據庫操作行為日志的采集分析及審計報表均根據各行業審計需求、國家法規需求進行專門設計，如：國家保密標準BMZ2-2001涉及國家秘密的計算機信息系統安全保密方案設計指南國家保密標準BMZ1

22、-2000涉及國家秘密的計算機信息系統保密技術要求國家保密標準計算機信息系統保密管理暫行規定（國保發19981號）國家標準GB17859-1999,計算機信息系統安全保護等級劃分準則國家標準GB/T18336.2-2001，信息技術安全技術信息技術安全性評估準則第2部分：安全功能要求ISO27001/ISO17799:2005/BS7799,信息安全管理技術規范國家標準GB/T22239信息系統安全等級保護基本要求四.用戶收益4.1 對企業帶來的價值數據庫審計系統從不同層面為企業和組織的用戶帶來價值回報。1）對于安全管理員、安全分析員、安全運維人員：明確工作職責，各類安全管理人員各司其職，協同合作提高工作效率，更加快速準確的識別安全告警，發現違規行為，進行應急響應發生安全問題，事后調查有據可循2）對于安全負責人，負責安全的高管：2016XXXXXXXXXX司有助于建立一套可行的安全策略的執行方針，并通過數據庫審計系統真正落實通過持續有效的安全事件分析識別安全事故、策略沖突