慧眼数据库审计系统v3.0.2

1、 产品用途及目标客户1 主要功能介绍2 优势亮点3 行业方案与成功案例4 l 目录内容 产品用途及目标客户 l第一部分 u数据库在哪里？数据库在哪里？ u数据库里有什么？数据库里有什么？ u数据库存在的安全风险？数据库存在的安全风险？ u有关部门对数据库审计有什么要求？有关部门对数据库审计有什么要求？ u数据库服务器自身审计？不，那样太逊。数据库服务器自身审计？不，那样太逊。 u数据库安全将何去何从数据库安全将何去何从 数据库在哪里？数据库在哪里？ 任何一个出色的信息系统背后总是隐藏着一个神 秘的数据库。有的叫ORACLE，有的叫SQL Server， 有的叫DB2 数据库里有什么？数据库里有

2、什么？ 数据库里存放各种信息，小到公民姓名、联系方 式、身份证号、资产信息，大到政务数据、国防数 据、金融数据、企业数据，只有你想不到的，没有 你看不到的。 数据库存在的安全风险？数据库存在的安全风险？ u获取数据库里的内容，出卖泄露给需要者，你的 秘密暴露无遗； u删除数据库里的内容，神不知鬼不觉，你的资产 就受到了损失； u增加数据库里的内容，莫须有，你怎么知道是谁 做的； u修改数据库里的内容，颠倒黑白，你看到的不一 定真实。 事件1 事件 2 事件 3 某医院主任反馈，现在很多医生都知道数据库账号（共同一个），当医生病历写错时， 自己可以直接进行修改。如被人误改或恶意篡改会给病人带来生

3、命危险。 某医院病人病历遭篡改，导致医疗纠纷，病人院前静坐，社会影响严重 l敏感信息泄露和数据篡改引发社会问题 l数据库频繁遭受入侵、篡改 A地运营商 l合法的人正在做非法的事 某工程师 u有关部门对数据库审计有什么要求？有关部门对数据库审计有什么要求？u有关部门对数据库审计有什么要求？有关部门对数据库审计有什么要求？ 有关部门对数据库审计有什么要求？有关部门对数据库审计有什么要求？ u刑法 u等级保护 u分级保护 uSOX u需要数据库审计的行业规定 刑法第二百五十三条后增加一条，作为第二百五十三条之一： “国家机关或者金融、电信、交通、教育、医疗等单位的工作 人员，违反国家规定，将本单位在

4、履行职责或者提供服务过程中获 得的公民个人信息，出售或者非法提供给他人，情节严重的，处三 年以下有期徒刑或者拘役，并处或者单处罚金。 窃取或者以其他方法非法获取上述信息，情节严重的，依照 前款的规定处罚。 单位犯前两款罪的，对单位判处罚金，并对其直接负责的主 管人员和其他直接责任人员，依照各该款的规定处罚。” l中华人民共和国刑法修正案保障数据安全 数据库安全，有法可依！ l各行业法规和条例保障数据安全 数据库服务器自身审计？不，那样太逊数据库服务器自身审计？不，那样太逊 什么是数据库自身审计 自身审计记录了有限的数据变更，但是没有记录是谁做的； 自身审计可以记录但是不能发告警给您，需要自己开

5、发程序； 自身审计可以记录但是不能出合规性报告，需要自己开发报表 程 序； ORACEL的记录方式和SQL Server的记录方式是不一样的， 需要 专业人员分析查看； 注意，设置的审计内容越多越细，对正常业务造成的影响越大； 注意，所有的这些信息数据库管理员都可以删除。 不包含威 胁特征的 恶意行为 l传统安全手段无法解决数据库安全问题 传统安全手段也有鞭长莫及之处，数据库安全，迫切需要专业产品 无法记录脱离业务系统的操作 日志不具备第三方独立性 记录粒度不够，甚至无法记录 SQL语句 影响数据库性能 记录可读性差 日志不具备第三方独立性 记录无法与业务，与人挂钩 l系统自身审计存在先天缺陷

6、 全面的数据库审计系统应具备的要素 数据库安全审计系统 核心需求 主要功能介绍 (参考文档：产品使用手册、 数据库审计产品规格说明-硬件) 第二部分 中高 端 高端 DBAudit2000(2U) 适用于省部级政府、中大企业、 DBAudit3000 (2U) 适用于大型企业、电信 l产品型号 中低 端 DBAudit500(1U) 适用于地市政府、中小企业、 DBAudit1000(1U) 适用于地市政府、中小企业、 低端 l产品体系架构 DBAudit审计系统三大构成：引擎、策略管理中心、web控制台 l系统工作原理 l产品部署方式 旁路部署 数据审计 产品部署不会给数据库、网络带来任何影

7、响 TAP 方式 局域网 TAP 交换机 审计管理员 慧眼审计 镜像 端口 方式 数据库 局域网 审计管理员 慧眼审计 数据库 交换机 旁路镜像 内置多种策略； 用户自定义策略； 基于时间、来源、操作、 类型、库、表、资产、 事件、级别、状态、结 果影响行数等设定策略； 过滤无关数据； 多种响应方式； 策略持续优化、改进， 完整审计多； 全面还原sql语句； 中间件关联审计； 绑定变量关联审计； 精确定位； 多查询条件； 审计 Audit 监测 Monitor DBAudit l四大功能确保数据库安全不断提升 分析 Analyse 策略 Policy 特权、越权操作； 恶意、违规操作； 数据访

8、问异常； 敏感数据删改； 用户权限变更； 基于数据库、网络、 系统的攻击行为； 特征库定期升级； 内置合规性报表 自定义分析模板 客户端、服务器 全局分析数据库状况 延迟分析、定位 Sql执行量统计分析 报表自动生成 数据管理、长时间保存 避免CPU过多参与，提升处理能力 l“性能提升”确保数据源完整 应对突发流量 提高系统处理速度 l多层审计维度 实时监控、异常告警和关联分析确保审计的完备性和准确性，提供4W的审计数据; 监控多个数据库 l数据库审计状况实时展现 事件趋势分析 数据库访问事件类型 安全事件全面了解 设备接口状态 l数据库4W审计记录 完备4W的审计要素 详细信息展现 l“准确

9、定位”中间件关联审计 如不能对基于B/S架构下前台用户与后端操作的关联审计，一旦出现违 规事件无法准确定事件责任人 关联详细信息 前台用户与数据库操作关联 前台用户与中间件访问的关联 l“深度解析”绑定变量交叉关联 数据库一般的处理过程： 例如： select * from t_child where childid=001;/不使用绑定变量 如果再查询“002”，“003”，”nnn”需要进行n次硬解析，大量浪费系统资源 例如： select * from t_child where childid =: c_did;/使用绑定变量 相同的查询语句只需要进行一次硬解析 数据库性能优化机制 用

10、户登陆 操作1 操作2 用户登出 用户名、数据库名 SQL1、绑定变量1 SQL2、绑定变量2 交叉关联 绑定 变量 session SQL1+绑定变量1 SQL2+绑定变量2 正确的交叉关联 SQL1+绑定变量1 SQL2+绑定变量1 错误的关联导致 结果错误 无交叉关联导致 结果不准确 SQL1 绑定变量1 SQL2 绑定变量2 客户端 数据库 绑 定 变 量 交 叉 关 联 绑定变量审计 详细信息 使人员、操作、变量相关联 l审计结果展现 l人员实名定位 系统通过与用户身份认证系统联动，精确定位事件责任人。 l审计数据快速查询 数据库 基于时间 操作 客户端、状态等 所有条件组合查询，高

11、速检索数据 内置多种策略； 用户自定义策略； 基于时间、来源、操作、 类型、库、表、资产、 事件、级别、状态、结 果影响行数等设定策略； 过滤无关数据； 多种响应方式； 策略持续优化、改进， 完整审计； 多维度审计 全面还原sql语句； 中间件关联审计； 绑定变量关联审计； 精确定位； 多查询条件； 审计 Audit 监测 Monitor DBAudit l四大功能确保数据库安全不断提升 分析 Analyse 特权、越权操作； 恶意、违规操作； 数据访问异常； 敏感数据删改； 用户权限变更； 基于数据库、网络、 系统的攻击行为； 特征库定期升级； 内置合规性报表 自定义分析模板 客户端、服务器

12、 全局分析数据库状况 延迟分析、定位 Sql执行量统计分析 报表自动生成 数据管理、长时间保存 策略 Policy l产品内置策略模板 内置多种 事件类型 内置预警事件 事件响应方式 完全自定义 l丰富的策略相应条件 Who When What Where 策略以4W为要素 预警敏感表、字段等被访问 可对返回的错误信息设定条件 l来源、资产策略 来源策略 例如：通过来源条件重点关注公司内部 人员或者某个部门的某些人的访问行为， 其它外来人员访问可视为异常条件； 资产策略 例如：资产包括表、视图、函数等，可 以通过资产组的方式来实现对同一数据 库不同资产组根据重要程度来设定策略； l多级过滤策略

13、 如：公司内部人员对某些资源 的访问属于正常行为，不需要 审计记录。 IP过滤策略 （1级）可按ip地址过滤无关的访问日志 操作、来源过滤策略 （2级）可按操作行为、来源进行设定策略， 如：业务系统对数据库的访问 属于正常行为，不需要对这部 分数据进行审计记录。 事件类型过滤策略 （3级）可按操作行为、来源进行设定策略， l安全检测异常策略 系统内嵌专业安全检测引擎，采用静态和行为检测机制，及时发现、预警危 害数据库的行为。 1、系统内置数百种安全规则库，自动根据预设置策略针对诸如sql注入、已 知数据库漏洞、口令猜解、缓冲区溢出等违规行为实时监测、预警。 2、系统提供权限预警机制，实时监控数

14、据库的所有操作。针对最高权限滥 用、误操作、恶意操作等行为进行告警和定位。 l安全规则库类型 系统提供三种攻击对象模型，监测危险事件 数据库对象特征规则 自定义报警级别 特征库定期升级，应对最新安全事件 内置多种策略； 用户自定义策略； 基于时间、来源、操作、 类型、库、表、资产、 事件、级别、状态、结 果影响行数等设定策略； 过滤无关数据； 多种响应方式； 策略持续优化、改进， 完整审计； 多维度审计 全面还原sql语句； 中间件关联审计； 绑定变量关联审计； 精确定位； 多查询条件； 审计 Audit DBAudit l四大功能确保数据库安全不断提升 分析 Analyse 特权、越权操作；

15、 恶意、违规操作； 数据访问异常； 敏感数据删改； 用户权限变更； 基于数据库、网络、 系统的攻击行为； 特征库定期升级； 内置合规性报表 自定义分析模板 客户端、服务器 全局分析数据库状况 延迟分析、定位 Sql执行量统计分析 报表自动生成 数据管理、长时间保存 策略 Policy 监测 Monitor l窃取机密信息 经查证员工冒用公司领导账号操作 数据库审计系统设定策略，除了公司高管外，所有访问客户关系系统的事件均为异常事件 事件：公司重要的客户关系系统，只有公司高管才可以访问。普通员工的访问可能 导致公司重要机密信息的泄露。 l篡改业务记录 事件二：工作时间，某公司销售部某职员非法修改

16、公司财务应收数据，导致月 底公司财务报账难以平衡。 事件一：工作时间，某内科医生非法删除病人的病历，导致医院的医疗纠纷。 多维要素预警异常事件 l越权、违规操作 事件：管理员在数据库中创建了一个新的用户账号test并为此账户赋予权限， 此行为没有得到任何授权，导致其他人员通过该账户登录。 系统针对管理员对客户关系系统的特权操作设定策略，一旦违规及时发现 l恶意攻击监测 定位目标系统 定位源头 定位事件类型 一旦发生攻击事件管理员可快速定位及时处理 数据库承载着企业核心的商业信息，如何及时发现针对数据库的恶意攻击 行为？ 内置多种策略； 用户自定义策略； 基于时间、来源、操作、 类型、库、表、资

17、产、 事件、级别、状态、结 果影响行数等设定策略； 过滤无关数据； 多种响应方式； 策略持续优化、改进， 完整审计； 多维度审计 全面还原sql语句； 中间件关联审计； 绑定变量关联审计； 精确定位； 多查询条件； 审计 Audit DBAudit l四大功能确保数据库安全不断提升 特权、越权操作； 恶意、违规操作； 数据访问异常； 敏感数据删改； 用户权限变更； 基于数据库、网络、 系统的攻击行为； 特征库定期升级； 内置合规性报表 自定义分析模板 客户端、服务器 全局分析数据库状况 死锁分析、定位 Sql执行量统计分析 报表自动生成 数据管理、长时间保存 策略 Policy 监测 Moni

18、tor 分析 Analyse l数据库安全状况分析 了解安全事件的等级 了解动向和具体事件 l数据库应用状况分析 了解数据库的访问 量，从而评估数据 库的性能 了解针对数据库哪 些操作比较多 l性能优化分析 Step 1定位可能发生死锁或异常时间范围 Step 2定位引发事件的人员、操作 Step 3定位相关数据库、表 Step 4解决问题、优化策略避免问 题重复出现 每天上午9点30-10点左右，有人员反馈表单提缓慢或无法提交。导致业务无 法正常工作 通过网管软件分析无异常流量，管理员不清楚具体问题的原因 分析1：9点30-10点之间 分析2：9：34-9：47 分析3：通过该语句判断是业务系统的哪个模块，哪个功能出了问题，反馈给 软件商很快解决了问题 l应用分析-排查问题 192.1.118.100的语句执行比其他主机要多 在重复对数据库执行一条select语句 l完全自定义报表 系统内置多种 报表模板 可添加模板