思福迪数据库审计

1、SAFETY INFORMATION TECHNOLOGY CO., LTD LOGBASE业务数据库审计系统介绍现在，掌控安全SAFETY INFORMATION TECHNOLOGY CO., LTDTopic背景分析产品介绍SAFETY INFORMATION TECHNOLOGY CO., LTD背景分析SAFETY INFORMATION TECHNOLOGY CO., LTD数据库风险分析泄密泄密破坏破坏篡改篡改直接访问通过主机通过应用SAFETY INFORMATION TECHNOLOGY CO., LTDTopic背景分析产品介绍SAFETY INFORMATION TECH

2、NOLOGY CO., LTD数据库综合审计方案*多途径、全访问审计方案SAFETY INFORMATION TECHNOLOGY CO., LTD高适用数据库审计：审计各种数据库系统运行平台2000/2005Oracle 8/9/10DB2 7/8/9MySQL 4.x/5.x12.5/ASE15 10/11.x国产国产数据数据库库SAFETY INFORMATION TECHNOLOGY CO., LTD操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言（DDL）操作CREATE，ALTER，DROP等创建、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域，等等）的S

3、QL指令数据操作语言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据的SQL指令数据控制语言（DCL）操作GRANT，REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令细粒度数据库审计：审计各种操作类型数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用、调用参数参数，任何细小改动都，任何细小改动都“难逃法网难逃法网”。SAFETY INFORMATION TECHNOLOGY CO., LTD 数据库服务器全方

4、位数据库审计：审计各种访问方式SQL*PlusPL/SQLODBC/JDBCWEB应用客户端程序OLEDB/ADO本地操作企业管理控制台TOADOracle操作日志TNSTNSFTP/TELNETFTP/TELNETSAFETY INFORMATION TECHNOLOGY CO., LTD可视化数据库审计：多种可视化的审计手段SAFETY INFORMATION TECHNOLOGY CO., LTD数据操作分类审计（查询、增改、删除、过程、其它（事务、维护等）SAFETY INFORMATION TECHNOLOGY CO., LTD数据库操作实时监控、过程回放SAFETY INFORMA

5、TION TECHNOLOGY CO., LTD系统功能概述行为记录异常检测违规阻断事后审计SAFETY INFORMATION TECHNOLOGY CO., LTDCS架构用户行为记录工号客户端名称发生时间IP地址端口MAC地址SQL语句操作结果数据库名表名DBA，CS用户SAFETY INFORMATION TECHNOLOGY CO., LTDCS架构详细用户行为记录SAFETY INFORMATION TECHNOLOGY CO., LTDBS架构应用行为记录WEB用户发生时间IP地址端口MAC地址SQL操作语句操作结果数据库名表名WEB应用用户中间件SAFETY INFORMATI

6、ON TECHNOLOGY CO., LTDBS架构业务审计策略SAFETY INFORMATION TECHNOLOGY CO., LTDBS架构详细业务行为记录SAFETY INFORMATION TECHNOLOGY CO., LTD异常行为检测服务器A服务器B服务器C数据库2数据库1数据库3表1表3表2表4selectupdatedelete存储过程其他记录记录/丢弃丢弃重点关注重点关注第一步：建立重点关注对象，缩小关注范围SAFETY INFORMATION TECHNOLOGY CO., LTD建立重点关注对象策略SAFETY INFORMATION TECHNOLOGY CO.,

7、 LTD异常行为检测第二步：建立关注语句分析规则库select name,pw from user_tab where name=laowang语句分析条件分析频率分析行为特征库结果：a.所有业务语句分类：黑名单、白名单、少量未分类语句b.业务语句相似性特点，少量规则即可过滤大量语句丢弃记录告警阻断SAFETY INFORMATION TECHNOLOGY CO., LTD建立关注语句分析规则库策略SAFETY INFORMATION TECHNOLOGY CO., LTD违规访问阻断超过频率操作阻断(CS模式下)Oracle按客户端工具名称阻断与Logbase运维审计系统向结合业务客户端业务

8、客户端plsqlsqlplusSAFETY INFORMATION TECHNOLOGY CO., LTD违规访问及频率解析阻断策略SAFETY INFORMATION TECHNOLOGY CO., LTD语句回溯执行可疑语句重新执行，方便审计员分析判断只允许执行查询语句，确保不会破坏数据内容SELECT S.OWNER, S.SYNONYM_NAME, S.TABLE_OWNER, S.TABLE_NAME, S.DB_LINK, O.CREATED, O.STATUS FROM ALL_SYNONYMS S, ALL_OBJECTS O WHERE S.OWNER = O.OWNER a

9、nd S.SYNONYM_NAME = O.OBJECT_NAME AND S.OWNER = SYSTEM查询查询审计员审计员SAFETY INFORMATION TECHNOLOGY CO., LTD语句回溯执行SAFETY INFORMATION TECHNOLOGY CO., LTD事后审计功能SAFETY INFORMATION TECHNOLOGY CO., LTD 产品部署CS应用应用业务数据库审计系统业务数据库审计系统镜像镜像数据库数据库SAFETY INFORMATION TECHNOLOGY CO., LTD产品部署CS应用应用业务数据库审计系统业务数据库审计系统中间件中间件数据库数据库镜像镜像SAFETY INFORMATION TECHNOLOGY CO., LTD 支持通过多种webserver和中间件进行的业务数据库访问