LinkTrust数据库审计系统专业技术白皮书

1、领信安全审计系统数据库审计2010 年北京安氏领信科技发展有限公司版权所有目录第一章概述3第二章为什么需要领信数据库审计产品3第三章领信安全数据库审计系统介绍43.1产品简介43.2领信安全数据库审计主机43.3支持的数据库种类4第四章产品功能54.1数据库访问行为记录54.2违规操作的告警响应54.3集中存储访问记录54.4访问记录查询64.5数据库安全审计报表6第五章产品特性65.1安全便捷的部署方式65.2强大的日志采集分析65.3高速的日志检索能力75.4灵活的日志査询条件75.5海量日志安全保障75.6符合审计需求设计8第六章部署方式9第七章产品规格与指标9第一章概述随着信息化进程的

2、深入和互联网的迅速发展，人们的工作、学习和生活方式正在发 生乜大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化 发展而來的网络安全问题日渐凸出，如果不能很好地解决这个问题，必将阻碍信息化发 展的进程。由此可见，信息安全在社会生活的各个方面已受到更为广泛的关注，其重要 性也日益明显。信息领域的严峻斗争使我们认识到，只讲信息应用是不行的，必须同时 考虑信息安全问题。数据库作为企业最核心的信息资产，在黑客攻击日趋商业化的今夭，获得以及篡改 数据库内容往往能够给攻击者带來乜大的商业利益，而企业内部的管理人员对数据库的 误操作以及蓄意的破坏也会给企业带來乜大的损失。因此，如何保护

3、企业的数据库安全 已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。数据库安全审计是整个数据库系统安全的有机组成部分，完善的领信安全数据库审 计系统结合有效的审计制度，能够有效地避免内部人员进行数据库破坏活动，并及时发 现外部攻击者的行为，避免因数据库内容泄露或破坏造成企业损失。北京安氏领信科技发展有限公司是国内安全审计领域的领先者，其产品领信安全审 计系统-数据库审计（以下简称领信安全数据库审计系统）正是针对上述问题而提出的 一种数据库操作审计产品。通过对网络数据的实时采集、实时分析和还原，对各种违规 行为实时告警，以帮助网络管理员或政府机构对数据库资源进行有效的管理和维护。第

4、二章为什么需要领信数据库审计产品目前，大部分企业的信息安全建设是利用防火墙、入侵监测等安全设备对非法入侵 者进行防范，然而，根据CERT的年度研究报告显示，高达50%以上的数据破坏是由内 部人员造成的，内部人员对口己的信息系统非常熟悉，乂位丁防火墙的后端，对数据库 系统的误操作或者蓄意的破坏会对企业造成恶劣的影响以及重大损失，因此，对企业的 核心数据库进行审计非常必要。另外，许多立法和规范要求，如针对上市公司的SOX法案，规定公司和组织必须采 取一定措施來确保关键数据库的安全性，对数据库进行安全审计。公安部国家电子政务 等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与

5、涉密敏感信 息、业务系统相关的网络行为进行安全审计。传统的数据库安全审计系统往往依赖丁数据库口身的审计功能，或者需要在数据库 服务器上安装审计系统客户端软件，这种审计方式将降低数据库系统的运行效率，甚至可能由兼容性问题或程序bug而导致系统瘫痪，攻击者一旦获得权限，也总是会想方 设法地删除日志内容，从而导致审计系统失效。所以，我们需要一个更加安全有效的数据库安全审计系统來保护企业数据库系统的 安全。第三章领信安全数据库审计系统介绍3.1产品简介领信安全数据库审计系统是安氏领信科技发展公司口主研发的拥有口主知识产权 的专业数据库安全审计产甜，主耍针对各类数据库系统进行安全监控及操作审计。对信息系

6、统中各类数据库系统的用户访问行为进行实时采集、实时分析，用户登录、 登出数据库，对数据表内容做插入、删除、修改等操作，都可以被记录和分析，记录内 容可以精确回放SQL操作语句。可以通过规则设置及时发现数据库非法访问行为并产 生告警，可以以短信或邮件方式通知管理员。采集到的信息经过规范化、过滤和归并等 处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志审计报表及关联 分析功能，管理员能方便高效的对数据库系统进行有针对性的安全审计，实现对数据库 系统安全状况的全面审计。遇到特殊安全事件和系统故障，可以确保日志完整性和可用 性，协助管理员进行故障快速定位，并提供客观依据进行追查和恢复。可

7、以帮助用户有效降低数据库系统的故障而带來的损失，降低数据库系统的运维成 本和管理的复朵度，显著提高系统整体的安全性、可靠性和运行效率，降低信息系统的 整体安全风险。目前支持的数据库种类包含:Oracle、DB2、MSSQL、Sybase Informix Mysql 3.2领信安全数据库审计主机数据库审计主机基于嵌入式Linux系统，作为整个审计系统的核心，它主要负责管 理和审计功能，将采集的数据通过规则过滤生成原始、重要、告警或者丢弃日志并分类 存储；管理员通过IE访问主机，查看、查询或审计日志内容。3.3支持的数据库种类领信安全数据库审计系统支持以下主流数据库进行安全审计：Oracle：1

8、/1MSSQL：Sybase：Informix；Mysql：第四章产品功能4.1数据库访问行为记录支持对多种类数据库的操作行为进行采集记录，领信安全数据库审计产品通过旁路 接入，在相应的交换机上配置端口镜像，对用户访问数据库的数据流进行镜像采集并保 存信息日志。能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC 地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操 作返回状态值。支持记录的行为包括：数据操作类（如 selectinsert、delete、update 等）结构操作类（如create、drop、alter等）事务操作类（如 Begin

9、 Transaction、Commit Transaction Rollback Transaction 等）用户管理类以及其它辅助类（视图、索引、过程等操作）等数据库访问行 为，并对违规操作行为产生报警事件。4.2违规操作的告警响应可通过规则设置对各类数据库操作访问行为进行实时监测，对网络中的异常数据库 操作行为及时进行告警响应，实时显示告警信息并记录存储。告警信息可通过邮件或短 信方式在通知管理员，以确保管理员在第一时间发现用户对数据库的违规操作。43集中存储访问记录通过领信安全数据库审计系统可以将分布在网络不同位置、不同类型的数据库的访 问信息集中到统一的安全审计系统中进行存储，便于对记

10、录数据进行分析。采用专有的特殊文件系统对规范化的日志进行存储，同时也支持Mysql等标准数据 库存储，文件存储机制是根据日志系统的特殊性进行专门研发，为海量日志的存储及检 索进行了优化设计。产品内置高容量的硬盘存储空间，采用Raid硬盘阵列，可有效防止 由丁硬盘硬件问题而带來的数据丢失，同时还支持外挂存储系统，从而实现存储空间的 海量扩充。4.4访问记录查询用户在检索历史日志记录时，可以通过多条件相结合的方式进行日志查询，根据日 志的类型、发生时间、不同字段内容等进行精细匹配，如：日志源IP、日志发生时间、 数据库操作信息字段内容等，从而实现日志的快速准确定位。4.5数据库安全审计报表通过动态

11、报表的方式对数据库操作行为审计结果进行统计分析。系统默认内置丰富 的报表模板，其中大部分报表均符合sox法案、等级保护等法规、标准对信息系统的审 计需求，同时，用户也可以根据口身的实际需求自定义报表内容，生成审计报表，审计 报表可以以HTTP和EXCEL格式导出。第五章产品特性5.1安全便捷的部署方式目前主流数据库系统都有口身的审计功能，但其审计能力有限，而1L存在对数据库 系统的运行效率影响大、审计日志查看与统计不方便、审计日志容易彼篡改等缺点，因 而不利于对大型的重要的数据库业务系统所釆用。对数据库操作访问行为采用全旁路方式进行审计，不在网络中串联设备；不在主机 上安装客户端软件；不改变客

12、户原有的登陆方式，部署便捷，不会破坏本身网络结构， 不影响数据库系统的性能。系统进行维护、升级时不会影响到正常业务的运行，也不会 影响到网络性能。5.2强大的日志采集分析系统目前支持采集的数据库系统有:Oracle、DB2 MSSQL、Sybase、InformixMysql o 种类丰富，能适应绝大多数的单位应用。针对不同种数据库协议，对采集到的数据包进行分析，还原SQL语句，并通过内置 的规则库对违规操作产生告警，用户也可根据口身需求來定义规则，对用户的数据库操 作进行实时监控。5.3高速的日志检索能力系统采用了安氏领信科技发展公司口主开发的基F海量日志索引的日志检索引擎， 避免了采用关系

13、型数据库在处理海量日志数据时的低效率问题，采用“基丁预测的动态 索引技术”、“数据正交分组技术”及“适应磁盘的索引存储”“即时结果反馈技术” 等核心技术手段，实现了对日志的高速检索能力。对于在缓存中的日志（最近入库的日志），以四重以内组合条件查询，能够在5秒 内即返回完整的检索结果。对丁任意时间段内的历史数据査询，也能够在数秒钟内即反 馈符合要求的检索结果。5.4灵活的日志査询条件系统支持不限次数的多重条件查询规则设定，管理员可根据日志的类型、发生时间、 不同字段内容等条件组合进行精细匹配。支持： 、二、不等于、包含、时间区间、或、与等十多种常见逻辑符号，支持 跨日志査询，管理员能够通过设定规则条件，对日志进行精确定位。5.5海量日志安全保障对釆集到的数据库操作行为日志能做到全方位的安全保障：系统底层高度精简、优化的Linux内核，在内核级别保障系统口身的安全性及稳定 性；系统大容量存储空间，采用Raid阵列，既能保障日志信息在设备内的安全存储蛊 求，又能保障高效的检索速度：系统采用安氏领信口主研发的专有数据库，避免了主流数据库白身带來的安全问 题；系统内置安全防火墙系统，可以设定严格的访问源，从而避免了绝大部分的无关流 量，进一步保障系统本身的安全性；系统对内部的管理帐号具有严格的访问权限控制，能够有效防止内部管理员的越权 访问，避免数据库被恶意删除。