数据库监控和保护系统方案建议书

1、信息中心数据库监控保护系统Imperva技术建议书中国区总代理商：北京信诺瑞得信息技术 胡传福HYPERLINK :/ sinogrid sinogrid 403853125163 目 录 TOC o 1-3 h z u HYPERLINK l _Toc195988268 1概述：数据库安全和审计的重要性 PAGEREF _Toc195988268 h 3 HYPERLINK l _Toc195988269 2数据库安全审计系统应具备的功能 PAGEREF _Toc195988269 h 5 HYPERLINK l _Toc195988287 3.xxx数据库保护系统

2、建议方案 PAGEREF _Toc195988287 h 12 HYPERLINK l _Toc195988288 2.1背景介绍 PAGEREF _Toc195988288 h 12 HYPERLINK l _Toc195988289 2.1配置原则 PAGEREF _Toc195988289 h 13 HYPERLINK l _Toc195988290 2.2配置说明 PAGEREF _Toc195988290 h 14 HYPERLINK l _Toc195988291 2.3针对xxx数据库安全保护解决方案的重要业务功能的实现 PAGEREF _Toc195988291 h 18 HY

3、PERLINK l _Toc195988292 3系统的管理. PAGEREF _Toc195988292 h 21 HYPERLINK l _Toc195988293 4 产品和功能详解 PAGEREF _Toc195988293 h 24概述：数据库安全和审计的重要性随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、成败。因此，如何有效地保证数据库系统的安全，

4、实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一。由于计算机和网络的普及和广泛应用，越来越多的关键业务系统运行在数据库平台上。数据库中的数据作为企业的财富发挥着越来越重要的作用，同时也成为不安定因素的主要目标。如何保证数据库自身的安全，已成为现代数据库系统的主要评测指标之一。数据库是信息技术的核心和基础，广泛应用在电信、金融、政府、商业、企业等诸多领域，当我们说现代经济依赖于计算机时， 我们真正的意思是说现代经济依赖于数据库系统。数据库中储存着诸如银行账户、医疗保险、 记录、生产或交易明细、 产品资料等极其重要和敏感的信息。尽管这些系统的数据完整性和安全性是相当重要的，

5、但对数据库采取的安全检查措施的级别 还比不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完整性并导致非法访问，这些因素包括复杂程度、 密码安全性较差、误配置、未被察觉的系统后门以及数据库安全策略的缺失等。 任何公司的主要电子数字资产都存贮在现代的关系数据产品中。商业机构和政府组织都是利用这些数据库服务器得到人事信息，如员工的工资表，医疗记录等。因此他们有责任保护别人的隐私，并为他们保密。数据库服务器还存有以前的和将来的敏感的金融数据，包括贸易记录、商业合同及帐务数据等。象技术的所有权、工程数据，甚至市场企划等决策性的机密信息，必须对竟争者保密，并阻止非法访问，数据库服务器还包括

6、详细的顾客信息，如财务帐目，信用卡号及商业伙伴的信用信息等。目前世界上七种主流的关系型数据库，诸如Oracle、Sybase、Microsoft SQL Server、IBM DB2/Informix、MySQL、PostgreSQL服务器都具有以下特征：用户帐号及密码、校验系统、优先级模型和控制数据库的特别许可、内置命令（存储过程、触发器等）、唯一的脚本和编程语言（例如PL/SQL、Transaction-SQL）、中间件、网络协议、补丁和服务包、强有力的数据库管理实用程序和开发工具。 数据库服务器的应用相当复杂，掌握起来非常困难。许多数据库管理员都忙于管理复杂的系统， 所以很可能没有检查出

7、严重的安全隐患和不当的配置，甚至根本没有进行检测。 所以，正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题，使数据库专业人员也通常没有把安全问题当作他们的首要任务。 在安全领域中，类似网页被修改、电脑中病毒、木马、流氓软件、弹出窗口等所造成的经济损失微乎其微， 而一旦数据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的。 安全是多个环节层层防范、共同配合的结果。也就是说在安全领域不能够仅靠某一个环节完成所有的安全防范措施。一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。数据库领域的安全措施通常包括：身份识别和身份验证、自主访问控

8、制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综合有关安全的各个环节，才能确保高度安全的系统。拙劣的数据库安全保障设施不仅会危及数据库的安全，还会影响到服务器的操作系统和其它信用系统。还有一个不很明显的原因说明了保证数据库安全的重要性数据库系统自身可能会提供危及整个网络体系的机制。例如，某个公司可能会用数据库服务器保存所有的技术手册、文档和白皮书的库存清单。数据库里的这些信息并不是特别重要的，所以它的安全优先级别不高。即使运行在安全状况良好的操作系统中，入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征，利用对数据库的访问，获取对本地操作系统的访问权限。这些程序可以发出管

9、理员级的命令，访问基本的操作系统及其全部的资源。如果这个特定的数据库系统与其它服务器有信用关系，那么入侵者就会危及整个网络域的安全。 在电子商务、电子贸易的着眼点集中于WEB服务器、Java和其它新技术的同时，应该记住这些以用户为导向和企业对企业的系统都是以Web服务器后的关系数据库为基础的。它们的安全直接关系到系统的有效性、数据和交易的完整性、保密性。系统拖延效率欠佳，不仅影响商业活动，还会影响公司的信誉。不可避免地，这些系统受到入侵的可能性更大，但是并未对商业伙伴和客户敏感信息的保密性加以更有效的防范。此外，ERP和管理系统，如ASPR/3和PeopleSoft等，都是建立在相同标准的数据

10、库系统中。无人管理的安全漏洞与时间拖延、系统完整性问题和客户信任等有直接的关系。 由此可见，数据库安全实际上是信息安全的核心，在这种情况下，有必要采用专业的新型数据库安全产品，专门对数据库进行保护。 数据库安全审计系统应具备的功能 做为解决上述问题的数据库安全审计系统，应包含一下主要特性：数据库使用情况评估检查真实的数据库网络流量以构建一个使用的基准模型，并自动创建数据库安全政策。管理员可以通过审查分析文件轻松掌握适当的数据库使用，非常灵活方便的制定数据库使用着的行为策略。数据库审计SecureSphere采集许多审计数据，并且提供内置的报告功能，可以灵活地满足内部或外部规定要求。Secure

11、Sphere的数据库审计包括数据库活动审计、实时告警审计、用户基本信息审计。数据库保护这是SecureSphere对数据库实时保护核心功能，包括：数据库应用保护客户化策略的实施数据库平台的保护识别复杂的攻击（通过多种手段的联动） 具体到设备的功能，应该具有以下特点：支持各种主流数据库 包括对各种版本和各种平台的Oracle、DB2、Informix、Sybase、MS SQL Server的支持。审计厂家必须和四大数据库厂家（Oracle，IBM, Sybase，MicroSoft）是官方认可的深层商业合作伙伴，从而能够保证审计结果的精确性和权威性设备的引入不应对正常业务和正常的数据库运行造成

12、任何影响，同时应满足权限分离的要求，不容许被审计人员对审计功能元进行修改和操作。对数据库没有影响的功能非常有利于部署实施，设备的部署不需要对数据库进行变动，或者对数据中心结构的其它方面进行变动。审计产品应是一个基于网络的应用解决方案，不需要数据库服务器管理权限或者安装主机软件。 其部署及运营可能由网络安全人员进行，而不会对数据库管理资源造成影响。这种方式通过保持安全功能的独立，从而遵守安全实践。审计设备可以审计所有针对数据库的访问，包括对数据库直接连接的访问，以及前台应用程序对数据库的访问；如果应用通过加密方式访问数据库，同样应该可以审计到。审计功能要求审计到尽可能详细的信息针对每一条数据库的

13、访问，审计记录要细致到每一次事务/查询的原始信息记录，应该可以记录所有的关键信息，至少包括以下各个方面：数据库服务器源IP目的IP原始的查询指令去除具体参数的查询指令源应用软件数据库用户名访问源操作系统用户名访问源操作主机名高级权限操作存储过程目标数据库和SchemaStream ID 操作回应内容操作返回的错误代码操作回应的时间操作回应的条目大小如果是前台用户通过Web利用应用服务器访问数据库（BS架构下），还应可以审计记录以下信息：前台应用程序的用户名前台程序的URL Web Session ID Web 客户端IP 对于通过Oracle EBS或SAP等应用服务器访问数据库（CS架构下）

14、，应该可以记录最终前台用户的用户名为了有效地记录数据库访问操作，审计人员需要尽可能详细的审计记录信息，详细到准确的查询和响应属性这一级别。数据库审计记录必须将所审计数据库事务归于特定用户。例如，SOX 合规审计机制要求必须记录对财务报告数据的每个更改及执行此更改的用户姓名。但是，当用户通过 Web 应用程序或SAP、Oracle E-Business Suite等应用服务器访问数据库时，数据库审计系统必须可以记录最终的责任用户。支持Bind Variable很多基于数据库的查询是通过Bind Variable完成的。这就要求审计系统不光要记录查询中Bind Variable的变量的名字，还要记

15、录Bind Variable的数值。举例来说：一个包含Bind Variable的SQL是：select * from aaa where name=:who, 审计系统不光把这个SQL记录下来，同时要记录:who=jimmy, 这样才是完整的包含Bind Variable的审计结果。审计策略可以非常灵活的定义由于对于实际的生产系统，需要审计的数据库访问量非常大，这就要求有灵活的审计策略可以定义想要审计的数据库操作的内容。可以定义审计策略的条件应该包括以下各个关键字的条件组合：源IP目的IP原始的查询指令去除具体参数的查询指令源应用软件数据库用户名访问源操作系统用户名访问源操作主机名高级权限操

16、作存储过程目标数据库和SchemaStream ID 操作回应内容操作返回的错误代码操作回应的时间操作回应的条目大小同样如果是前台用户通过Web利用应用服务器访问数据库（BS架构下），或对于通过Oracle EBS或SAP等应用服务器访问数据库（CS架构下），还应可以根据前台应用程序的用户名来定义审计记录的策略 可以定义敏感数据表，保护核心机密数据可将机密数据定义敏感表，任何用户对敏感表的非法和违规访问可以产生特别的报警审计结果的归档灵活方便为了提高整个数据库审计系统的扩展性，审计信息可以通过FTP,SCP等传输协议灵活的归档到外部的存储设备上，归档出来的数据格式应该是通用格式（CSV），归档

17、可以选择手动及定时定期的自动方式。审计告警日志对外的接口审计结果告警日志可以通过Syslog或SNMP协议和外部的统一审计平台送出数据，进行互通。审计结果可以自动生成符合专业合规审计（SOX）要求的审计报告符合 SOX 合规性的 审计解决方案为生成关键业务（如财务）报告时使用的数据库提供全面的数据审计和安全性，给审计人员带来了极大的便利性。 数据库安全审计网关可以使用自动生成的专用的报告来证明对关键数据库实施控制，这些都是 404 条款的主要要求。通过专用的符合SOX的用户评估报告，合规性检查人员可以验证只有具有合法需求的用户才可以访问关键数据库。智能而自动的建立用户对数据库访问的行为模型审计

18、设备设备应具有自动建立用户数据库访问行为模型的能力。自动智能建模功能可以自动学习、并且自动适应用户数据库及应用系统的各方面特点，自动建立“充分必要”的安全策略。同时，结合全面的、精细的手工定制和调优功能，在最大程度的降低管理工作量的同时，提供最佳的安全配置。所建立的用户的行为规则包括但不限于以下要点：访问源可为每个用户自动建立访问源信息模型，内容包括：源IP地址，源应用程序，源操作系统的主机名和用户名等。IP地址应用程序OS主机名OS用户名查询指令的策略为每个用户自动建立数据库访问操作指令的基线，内容是所有正常的、允许的SQL操作指令。表的访问和操作权限为每个用户自动建立对数据库的表进行访问及

19、相关操作的基线，内容是所有正常的、允许的对各个表的操作权限。可访问的数据库和Schema为每个用户自动建立对数据库和Schema访问的基线，内容是可正常访问的数据库和Schema。用户访问模型自动建立功能分析实际数据库流量并使用复杂的学习算法创建每个访问数据库的用户或应用的所有合法活动分析模型。此模型不仅仅作为后来审计评估使用变化或应用行为的基准，并且是自动生成的数据库使用安全政策，允许信息安全小组不仅仅可以监视并审计使用，而且保护数据库免受非法行为。学习算法不断应用到实际流量中以便当用户活动随着时间发展时，有效变化将自动重新组织并集成到行为模型中。如果用户访问数据库的时候，行为模型的偏差将自

20、动触发一个报警并可以根据严重性进行阻断。发现非法行为的实时告警功能这是在系统运行时，对正在进行的业务和管理层面的数据库交互活动进行检测。对其中违反既定的安全策略的行为可以即时发现，同时可以产生报警、阻断以及供事后分析和审计的依据。实时的监控和防护可以第一时间消除违规操作对系统的影响。设备具有实时告警的功能，针对非法访问行为和用户定义的访问行为可以实时告警。告警信息可以发送到Syslog Server, 或通过Email发出。数据库保护这是数据库安全审计产品的重要功能，可以实时保护核心核心数据库免遭各种非法行为和破坏。在数据库操作所经过的网络、操作系统、应用软件方面，相应的安全规则就是：防火墙、

21、IPS规则、应用协议保护；这部分规则可以是静态的，已经根据数据库和应用系统的要求做了精细的预设，同时还可以进一步的根据实际需要进行微调。此功能应包括：数据库应用保护审计设备连续比较数据库访问模型的真实用户操作的差异。来自分析的重要偏差生成警报，并且恶意的行为可以根据策略有选择性的阻止。客户化策略实施除了基于特征文件的安全政策外，管理可以定义任意粒度的客户政策。例如：管理员可以设置访问系统对象的查询策略，甚至对包含特定文本模式的查询。政策偏离可以生成一个警报或者迅速阻止活动。行为特征代码分析完成数据库平台保护应该具有 (IPS)保护数据库基础设施免受针对数据库平台及操作系统软件中已知漏洞蠕虫及其

22、它攻击。IPS功能主要通过检查数据库访问是否和特征代码库匹配来判断是否会触发数据库的漏洞。特征代码库要求和国际安全研究组织同步，并且可以包含自定义的SQL特征。 特征代码要保证可以在线升级，可以使得系统在第一时间内抵御最新出现的针对数据库的非法危害行为以及在数据库没有打补丁的情况下，防止数据库厂家的安全漏洞造成的危害防火墙层面和SQL协议层面保护防火墙层面是在网络层面保护数据库免受各种网络层面的非法操作威胁。同时对于上层协议（SQL的通信）的合法性及滥用的检测，对于数据库服务器软件也非常重要。对此，审计设备应该专门提供SQL应用协议检测的功能，来检测SQL协议是否合法或符合标准的规定。在数据库

23、保护层面，对于非法操作，可以进行非常丰富的响应动作，分为三类：告警响应，即时行动，后续行动。即时行动可以将数据包丢弃，后续行动就是通过对外通信来通知管理人员有非法行为发生。数据库安全评估功能：对数据库的基础系统以及运行时的配置进行评估。数据库的基础系统包括，操作系统和数据库应用程序，它们通常会存在软件的缺陷或漏洞，容易被攻击者利用。可以主动评估数据库的安全状况，包括是否打了Patch，包括用户权限在内的各种安全设置是否合理。高性能要求审计设备的可以提供双向最低500Mbps，最高2Gbps的性能，毫微秒级延迟，支持的SQL交易数量从5万每秒到20万每秒。高可用性审计设备应支持高可用性确保最大的

24、正常运行时间及应用可用性。审计设备应具有在设备故障下应该不影响实际业务能力，同时审计设备支持主备配置方式，在合理配置下，可以达到小于1秒甚至更低的主备切换时延。集中管理，分部部署提供全分布式的三级网管架构，包括： 第一层业务探测和实施引擎，第二层网管服务器，第三层操作控制台。这种结构对于在数据库保护这样的大型网络系统中部署统一的安全策略具有至关重要的意义。来自多个网关的日志数据也将显示在单个视图中，并存储在单个管理服务器数据库中。这样可以增强管理的便利性，多网关的动态业务模型、IPS 策略和系统参数集中存储于管理服务器，策略更改在服务器上进行，通过简单操作可将这些更改自动发布到多个网关中，立刻

25、生效，方便快捷。xxx数据库保护系统建议方案综上所述，为了保证xxx数据库系统的安全，我们建议在xxx的信息中心配备专业的数据库安全产品，来保证xxx的核心业务数据库（比如财务和电子政务系统的数据库）安全。2.1背景介绍 xx行业在近几年的信息化建设上，按照统一平台、统一数据库、统一网络的要求，努力实现系统集成、资源整合、信息共享。从2003年，国家xx专卖局开始进行数据大集中，提出了一个“系统集成、资源整合、信息共享”的总体思路，要在数据资源上进行重新整合部署，其中包括“三统一，即“统一网络、统一平台，统一数据库”。北京市xx专卖局的信息中心以总局的精神为目标，经过多年建设，形成完善的信息化

26、系统，具体来说，其核心应用分成决策管理、电子商务和电子政务三大块。其具体网络结构如下图所示：ServerADB2 v8.1一打两扫及工商数据采集+经济运行ServerBDB2 v8.1打码到条及订单采集+数据库备份服务器Server1DB2 v8.1财务HAHAp595b15展现备份DB2 V8.2-12p595b29WII备份DB2 V9.1p595b33OA、网站备份DB2 V9.1p595b47其他电子政务DB2 V9.1P595-BHAHAHAHATPC SERVERX3464Websrv4TSM及内网MQv5.3(原来)AppServ22试运行数据库服务器+应用服务器+MQ服务器WA

27、S-CS4外网网站应用服务器AppSrv-o2一号工程外网应用WebsrvB0一号外网MQ v5.38B16AFireWall数据备份系统T3584数据存储系统DS81006/17B32-C数据存储系统FastT7008/19系统数据库备份系统IBM3583B32-AB32-BDMZ区Server2DB2 v8.1财务数据库备份服务器+其它电子商务系统p595a13数据展现DB2 V8.2-12p595a27WIIDB2 V9.1p595a31OA/外事/内外网网站DB2 V9.1p595a45专卖/科技/人力DB2 V9.1P595-A主干网 数据库服务器区 应用服务器区 决策管理 电子商务

28、 数据中心、电子政务JVM1（OA/外事/内网网站）JVM2(MQ通道)JVM4（人力资源）JVM3(专卖证件)P55A-CNDP55A-D3TSM备份服务器JVM1（OA/外事/内网网站）JVM2(MQ通道)JVM4（其他电子政务系统）JVM3(专卖证件)电子政务JVM3（财务）JVM4(安全)JVM2(工商协同)JVM1(经济运行)P55A-A1JVM3（打码到条+订单采集）JVM4(其他)JVM2(工商协同)JVM1(数据展现)P55A-B2电子商务一号工程内网应用+新代码系统AppServ11一号内网MQ v5.3MQ_in3ND决策管理在这其中，由于贯彻了总局的统一数据库的思路，三大

29、应用系统都采用的是IBM的DB2数据库。这其中的重要系统有：决策管理系统和电子商务系统，决策管理系统初步实现了卷烟生产经营数据的实时自动生成，有效保障了行业生产经营决策和宏观调控的科学性、及时性。电子商务系统，实行网上交易同时，以信息技术为手段的卷烟销售网络建设水平不断提高，有力地推进了xx行业的信息化建设。所以重点要对这两部分的数据库进行防护，在此建议采用Imperva公司的专业数据库安全防护设备进行数据库的保护和审计。2.1配置原则在为xxx信息中心配置Imperva公司的数据库安全防护产品的时候，遵循一下的配置的基本原则：功能性满足本项目的实际需要可以支持现有应用系统，如数据库类型、本版

30、等处理性能满足系统的需要对现有系统的无影响，包括；IP地址空间、路由规划、无需调整应用系统（如设置Proxy，安装软件等）2.2配置说明鉴于以上的配置原则，针对xxx信息中心数据库保护项目，由于本身信息中心的系统应用比较复杂，同时考虑到这是首次引进世界先进的数据库安全保护系统，广大业务管理人员也有一个熟悉的过程，因此我们本着“分步实施，逐步完善”的原则，建议针对信息中心的两部分核心数据库系统：决策系统和电子商务系统的数据库，采用分期完成的方案逐步推进信息中心的数据库安全保护系统的建设。具体来说，整个项目可以分三期进行，一期我们选取比较关键的决策管理系统，利用Imperva的G8产品，保护核心的

31、决策管理系统的数据库，即实现“一打两扫及工商数据采集+经济运行”功能的DB2 v8.1数据库。同时，为了提供统一的管理和配置平台，以及考虑到以后的扩展性，配置MX作为集中网管平台，对数据库监控和防护网关进行统一的管理，第一期是G8, 到后期上了其它的监控保护网关后，都可以统一纳入MX的管理范畴，从而提供统一的管理界面。整个拓扑结构如下图所示：SecureSphere G8 设备是SecureSphere系列业务监控和防护引擎的成员，它的处理能力也非常强大，可以提供1Gbps的吞吐量处理能力以及100,000交易/秒的处理能力。在第二期的部署的时候，考虑到统一平台的另外两个重要应用系统：电子商务

32、和电子政务。xxx专卖局建设了电子商务系统，所有的采购和销售都实行网上交易，所以电子商务系统运行着重要的业务，其核心数据库需要重点的保护。考虑到电子商务和商务系统的可扩展性，因此在二期的时候，建议采用Imperva的数据库安全网关G16产品，保护核心的电子商务和电子政务的数据库。同时采用两台G8以在线的方式保护决策管理系统，其结构如下图所示：SecureSphere G16设备是SecureSphere系列业务监控和防护引擎的成员，它的处理能力也非常强大，可以提供2Gbps的吞吐量处理能力以及200,000交易/秒的处理能力。在第三期的部署的时候，考虑到提高整个数据库安全保护平台的非法访问实时

33、阻断问题，可以采用在线部署的的方式，来保证整个数据库安全保护平台的安全性。因此在三期的时候，建议分别各采用两台Imperva的数据库安全网关G16保护电子商务和电子政务系统，总之，都采用在线部署的方式用来保证保护核心的数据库的安全性，最大限度的防止非法操作。其结构如下图所示：对于数据库安全防护网关，初期的部署方式采用侦听模式，在这种方式下，需要系统配合的工作只是通过交换机的端口镜像，将需要保护的服务器的流量导入到数据库安全保护网关引擎的业务接口即可。网关完全处于业务通道外，这种部署是对现有系统影响最小的形式。这种方式可以提供完善的针对数据库的审计功能，并且可以对非法的访问或违反策略的访问进行实

34、时的告警。但是因为网关不在数据通路中，无法对非法访问阻断。如果想要对非法访问实时阻断，可以采用在线部署的方式，这种部署方式下，可以实时的阻断非法的访问，最大限度的保证核心数据库的安全性。2.3针对xxx数据库安全保护解决方案的重要业务功能的实现数据库的安全是一个综合性的工程。它面临的问题是多方面的。保证数据库的安全和正常运行，其中一个重要的功能是数据库的审计功能。这是数据库周期性的业务运行状况的总结。其中即包括对一段时间内的总体运行状况的描述，也包括详细的分项说明，以及细致到每一次事务/查询的原始信息记录。Imperva的产品可以提供针对数据库操作的详细审计，入下图所示：不仅包括正常业务运行状

35、况，对安全威胁和事件也进行特别重点和详细的报告。报告和审计对于企业提供符合专业规范（如：塞班斯）要求的审计依据具有重大的意义，更重要的是对数据库安全的整个维护和实施生命周期提供了不断自我检查，自我完善的依据。这是在系统运行时，对正在进行的业务和管理层面的数据库交互活动进行检测。对其中违反既定的安全策略的行为可以即时发现，同时可以产生报警、阻断以及供事后分析和审计的依据。实时的监控和防护可以第一时间消除共计和违规操作对系统的影响。SecureSphere 自动处理数据库安全问题的核心是 Imperva 的”动态建模”技术。”动态建模”自动检测实时数据库通信，然后应用复杂的学习算法来创建包含访问数

36、据库的每个用户和应用程序的所有合法活动的”业务模型”。“业务模型”不仅用作以后审计评估用户或应用程序行为更改的依据，而且还是针对数据库使用自动生成的安全策略，信息安全团队使用”业务模型”不仅能够监视和审计数据库使用状况，而且还可以防止数据库受到攻击。SecureSphere 学习算法不断应用于实时通信中，这样，当用户活动随时间推移不断增加时，有效的更改被自动识别并合并到”业务模型”中。如果数据库行为与”业务模型”不同，则会自动触发警报，而且该行为可能会根据严重程度被阻止。每个”业务模型”都包括：用户名、源 IP 地址、访问的表、针对每张表所执行的 SQL 操作、查询、查询组、源应用程序、允许使

37、用的日期和时间、存储过程以及授权的 SQL 操作。”动态建模”不仅适用于直接访问数据库的用户，同时也适用于代表用户与数据库进行交互的应用程序（如，SAP、PeopleSoft）。对于登录到数据库的每个应用程序，SecureSphere 都会自动生成为该应用程序定制的安全策略。这样，SecureSphere 可为访问数据库的应用程序生成与单独数据库用户一样的安全功能。以下部分描述动态配置的每个元素，以便您深入了解 SecureSphere 的评估和策略定义功能。 “动态建模”自动创建每个数据库的合法用户列表，以及相关的数据库属性，如访问的数据库表、每张表的访问类型（如，select、update

38、）、查询组、查询以及使用的存储过程。这些信息可用作评估数据库使用状况或日后进行审计的基础，并形成为每个用户自动生成的基于角色的安全策略。SecureSphere 的”动态建模”技术可自动为每个用户创建基准安全策略（”业务模型”）。当未记录在”业务模型”中的新用户试图访问数据库时，将记录一条用于进行审计的警报，并且根据策略可能会阻止该用户。管理员可手动将新用户添加到允许的用户列表中，也可以指定应拒绝访问数据库的用户。SecureSphere 还可通过报告默认数据库用户帐户访问的数据库和用户是否“共享”数据库帐户来评估执行操作的是否符合最佳做法。安全管理员可使用此信息来重新配置数据库或警告用户停止

39、进行不适当的操作。管理员还可选择接收警报或阻止使用默认用户帐户的方式。源 IP 地址“动态建模”为每个用户自动创建合法的源 IP 地址列表。这些信息用来自动生成控制每个用户的源位置的安全策略。SecureSphere 管理员可手动在此列表中删除或添加源 IP 地址，也可以指定用户可以从任何源 IP 地址访问数据库。如果源 IP 地址与该基准不同，则会生成警报，并且可根据策略阻止该访问。还可指定未经授权的网段，并且记录从这些网段进行登录的尝试以便进行审计，从这些网段登录会生成警报或被阻止。由于从未经授权的网段或新 IP 地址登录的用户活动会危害登录凭据，因此许多组织要求能够检查用户 IP 地址。

40、例如，CRM 应用程序所使用的数据库登录名可以与带有已定义 IP 地址的服务器池唯一关联。“借用”CRM 登录名从 PC 访问数据库的人可标识为非法用户，并被立刻阻止。审计报告可包括有关基准 IP 地址、使用的新 IP 地址以及从未经授权的网段进行连接的信息。源应用程序生成源应用程序”业务模型”可有效防止滥用应用程序的用户帐户。如果恶意用户可访问某个应用程序（如，java 应用程序或 CRM 或 ERP 包）所用的凭据，则此用户就可以使用此登录信息通过标准查询工具（如 Microsoft SQL Query Analyzer 或 Excel）或专用数据库黑客工具访问数据库。对于每位数据库用户，

41、SecureSphere 可记录其用于访问数据库的源应用程序。SecureSphere 管理员可手动在此列表中删除或添加源应用程序，也可以指定用户可以使用任何应用程序访问数据库。当未在”业务模型”中记录的源应用程序尝试访问数据库时，将记录一条用于进行审计的警报，并且根据策略可能会阻止该查询。天（按周）和时间（按天）限制SecureSphere 管理员可限制允许单个用户连接到数据库的时间（按天）和天（按周）。如果用户在未经授权时间尝试连接数据库，将记录一条用于进行审计的警报，并且根据策略可能会阻止该访问。授权操作SecureSphere 可对预定义的“授权操作”进行特定的策略和审计控制。授权操作

42、列表包括各种敏感数据库操作（如，删除表、关闭、删除等）。默认情况下，这些操作都会生成警报。但是，安全管理人员可为特定的用户（通常为数据库管理员）创建允许的授权操作列表。审计报告详细记录了每位用户进行授权操作的所有情况，以及所有与”业务模型”不匹配的授权操作存储过程“动态建模”自动创建每位用户的合法存储过程基准。同样，管理员也可以在安全策略中定义各个存储过程，指定可使用的存储过程、应生成警报的存储过程或将被阻止的存储过程。审计报告可记录所有存储过程的使用情况、特定默认存储过程或危险存储过程的使用情况，以及不符合”业务模型”的存储过程的使用情况。3系统的管理SecureSphere提供全分布式的三

43、级网管架构，包括： 第一层业务探测和实施引擎，第二层MX网管服务器，第三层操作控制台。这种结构对于在xxx信息中心数据库保护这样的大型网络系统中部署统一的安全策略具有至关重要的意义。图SecureSphere的完整部署的示例 SecureSphere 的管理服务器的主要特点包括：图形报告 - 完整的 Crystal Reports 包和与 ODBC 兼容的数据库访问支持预配置报告和自定义报告。预配置报告使性能、合规性、安全警报及使用情况的异常情况一目了然。SecureSphere 在整个企业内提供统一的报告。统一的实时警报监视 来自多个 SecureSphere 安全层（动态”业务模型”、IP

44、S 等）的实时警报将被收集、按优先级排序并在一个统一的视图中显示给管理员。警报通知可通过电子邮件、 、呼机和 SNMP 消息发送。不需要连接到分布在数据中心的各个设备。来自多个网关的日志数据也将显示在单个视图中，并存储在单个 MX 管理服务器数据库中。警报审计 来自多网关的警报将被收集并存储于单个 MX 管理服务器数据库中。若要支持审计功能，只需点击几下鼠标就可以根据多种参数来排序和搜索警报条目。即使是来自不同 SecureSphere 安全服务（IPS、动态”业务模型”等）的特定用户违规行为（由会话 ID 或 IP 地址标识），也可以被立即跟踪。智能攻击摘要 智能攻击摘要通过智能地将多个攻击

45、导致的一系列事件聚合为一个需采取措施的警报，从而提高管理员的工作效率。例如，相关扫描警报可聚合为一个攻击警报，而不是成千上万个攻击警报。如今，快速有效的响应变得极为重要，而这种高度集中的信息能够使管理员快速准确地了解威胁聚合警报保留了形成警报的基本事件，以便进行详细分析。 集中式策略分布 多网关的动态”业务模型”、IPS 策略和系统参数集中存储于 MX 管理服务器。更改在服务器上进行，通过单击可将这些更改自动发布到多个网关。4 产品和功能详解 SecureSphere G8/G16 设备是SecureSphere系列业务监控和防护引擎的成员，它具备四个业务接口，即可以提供两个在线监控桥接组（桥

46、接模式），或监控四个不同的业务网段（旁路侦听模式）。它的处理能力也非常强大，可以提供100,000到200,000交易/秒的处理能力。它同时可以提供所有SecureSphere系列产品的所有业务功能，包括前台Web应用的保护，后台数据库的监控和防护。并且可以在一个平台上同时提供这些功能。SecureSphere系列（G8和G16）主要技术参数：技术参数G8G16吞吐量1Gbps2000 Mbps每秒交易（transaction）100000200000延迟低于百万分之一秒低于百万分之一秒尺寸1U4U接口类型电口/光纤SX/光纤LX电口/光纤SX/光纤LX在线故障短接能力（只用于桥接）是是硬盘2

47、50GB SATA；FT模式：热切换250GB SATA热切换300GB SCSI外部驱动CD-ROMCD-ROM标准机架19英寸机架19英寸机架重量40lbs（18公斤）90lbs（41公斤）电源500W；FT模式：双工，热切换520W双工，热切换1470WAC电压要求100-240V，50-60HZ220-240V，50-60HZ物理尺寸宽：16.93”(430mm)深；26.46”(672mm)高：1.7”(43mm)宽：17.6”(447mm)深；27.8”(706mm)高：6.8”(173mm)操作环境5C (41F)到35C (95F)5C (41F)到35C (95F)非操作环境

48、-40C (-40F) 到 70C (158F)相对湿度 95%,非凝结 35C (95F)-40C (-40F) 到 70C (158F)相对湿度 95%,非凝结 35C (95F)电磁兼容性FCC Part 15, ICES-003, CE, VCCIFCC Part 15, ICES-003, CE, VCCI数据库的安全防护是一个系统工程。它的实施，或说是生命周期包括一下四个环节：图 数据库及应用安全维护的生命周期数据库的评估是一个事前、或周期性的工作，它的工作内容是，对数据库的基础系统以及运行时的配置进行评估。数据库的基础系统包括，操作系统和数据库应用程序，它们通常会存在软件的缺陷或

49、漏洞，容易被攻击者利用。而运行配置的内容则包括数据库系统在运行时不同的用户对数据库的系统和业务对象的管理操作能力和权限合理的、好的配置策略可以极大的限制违规操作和非法操作发生的可能性。安全策略的制定是安全防护的核心之一。它的内容是从安全角度定义数据库访问的权限的各个方面。主要内容是，对于用户操作权限数据库对象三个属性（还可以辅助以地址、时间等）的数据库与用户、管理员和应用系统间交互的各种限定性规范的制定。它可以包括正向规则和反向规则两方面的内容；同时以自动建模的方式为主，辅以人工微调和优化，得到充分必要的安全规则。基于安全规则的监控和防护。这是在系统运行时，对正在进行的业务和管理层面的数据库交

50、互活动进行检测。对其中违反既定的安全策略的行为可以即时发现，同时可以产生报警、阻断以及供事后分析和审计的依据。实时的监控和防护可以第一时间消除共计和违规操作对系统的影响。报告和审计是周期性的业务运行状况的总结。其中即包括对一段时间内的总体运行状况的描述，也包括详细的分项说明，以及细致到每一次事务/查询的原始信息记录。不仅包括正常业务运行状况，对安全威胁和事件也进行特别重点和详细的报告。报告和审计对于企业提供符合专业规范（如：塞班斯）要求的审计依据具有重大的意义，更重要的是对数据库安全的整个维护和实施生命周期提供了不断自我检查，自我完善的依据。以下对上述数据库安全实施环节的具体内容进行详细阐述。

51、数据库的安全评估数据库的评估主要采用两种技术手段：主动的漏洞扫描评估和被动的使用情况评估。数据库使用情况的评估要确保数据库的安全，首先要了解其使用情况。SecureSphere 的“自动建模”通过检测实时数据库网络通信来生成使用情况的基准模型，然后自动创建数据库安全策略。管理员通过检查”业务模型”，可轻松掌握相应数据库的使用情况。这对于不太了解数据库技术的安全和检查团队来说特别有用。Imperva的基于角色的管理支持“只读”访问权限，以便需要评估使用情况的用户（非 SecureSphere 管理员）可访问此类重要信息。必要时，具有管理特权的管理员可修改”业务模型”制定的策略，以使其符合企业安全

52、策略或规章制度。例如，查询组就是”业务模型”中一个功能强大、表达简练的概念，它用于建立合法业务活动模型。查询组在“自动建模”中表示为对数据库表和表的操作（如 Table1, Select 和 Table2, Update）。这些查询组是基于 SecureSphere“自动建模”算法，从特定数据库用户的查询中派生的。查询组通过将所有访问相同表集（如 book_of_the_week）和使用相同操作（如 select）的查询分成组，来标识正常的业务活动。数据库漏洞”业务模型”SecureSphere 除了提供数据库使用情况的微观细节外，还提供数据库使用潜在漏洞的详细情况。许多漏洞都与特定的数据库部

53、署或使用情况相关，只有在数据库投入使用后，通过观察实时数据库用户活动，这些漏洞才会显现出来。SecureSphere 的“数据库漏洞业务模型”提供一种连续、一致、全面的方法，来确定由于与最佳做法相左而产生的安全漏洞和风险。它还可以找出由于生产环境的配置复杂性而产生的安全漏洞。例如，SecureSphere 可确定对默认存储过程、默认用户帐户和系统对象的非管理性访问，所有这些操作都与数据库安全的最佳做法相冲突。SecureSphere 的“漏洞”业务模型”很容易确定其他漏洞工具无法检测到的数据库漏洞，这使其成为传统渗透测试和漏洞扫描工具的有益补充。SecureSphere 的“漏洞模型”报告的几

54、个示例如下所示：数据库默认数据包和存储过程评估重点评估非管理用户使用默认存储过程的情况。最佳做法通常建议非管理用户不要使用默认存储过程。数据库用户评估列出最佳做法通常建议非管理用户不要使用的活动默认数据库帐户。数据库系统对象访问评估 - 此报告列出访问数据库系统对象的非管理用户。默认情况下，这些对象对于任何用户都是可访问的。不过，大多数系统对象包含有非管理用户不应使用的信息。数据库的安全策略制定、部署、监控和防护Imperva的数据库安全策略包括许多层次。数据库基础设施的安全策略针对数据库的基础设施网络、操作系统、应用软件方面，相应的安全规则就是：防火墙、IPS规则、应用协议保护；这部分规则可

55、以是静态的，已经根据数据库和应用系统的要求做了精细的预设，同时还可以进一步的根据实际需要进行微调。此外，对上层协议（SQL的通信）的合法性及滥用的检测，对于数据库服务器软件也非常重要。对此，专门提供了应用协议检测的功能。数据库查询组 - 合法业务活动建模“动态建模”自动创建每位用户的合法查询组和特定查询基准。这使安全管理人员可以制定针对单个用户的查询级别安全策略。查询组所提供的查询级别策略比手动创建的策略更有效，更精确，更便于维护，而且比某些产品提供的基于角色的“通用”查询策略更精细。毕竟，并不是每个人都完全符合角色的定义。相同角色的不同用户，其查询行为可能有很大的不同，而这些不同对于建立强大

56、的安全策略至关重要。现有数据库活动监视产品的主要缺点是不能对其生成的大量数据进行深入分析。大多数解决方案无法区分用户活动的正常变化和重要的攻击信号。那些声称能够提供精确攻击警报的产品需要不断地进行调整，因此很难提供可靠的警报。为此大多数解决方案只记录下数据库活动，以进行审计。SecureSphere”动态建模”的“查询组”组件通过自动标识每位用户的一致行为模式，来解决这一问题。通过将所有新查询与此前为每位用户建立的模式进行比较，SecureSphere 能够区分出攻击行为和无害的用户行为变化。查询组在”动态建模”中表示为数据库表和表操作对（如 Table1, Select 和 Table2,

57、Update）。这些信息是基于 SecureSphere”动态建模”算法，从特定数据库用户的查询中派生的。与查询组 (Accounts, Select) (Sales, Select) 匹配的每个新查询都被添加到”业务模型”中，以进行审计。在动态查询组情况下，新的查询不属于异常事件，不会生成重复的警报。但是，当财务分析员突然试图通过 UPDATE 操作修改销售表时，SecureSphere 将此查询识别为不属于他的查询组，并相应地发出警报。自定义策略定义除了”动态建模”所提供的自动策略定义外，SecureSphere 还允许安全管理员定义特定的策略，以便基于 SQL 查询的特定属性来生成警报和阻止通信。自定义策略规则以手动方式来配置，用于执行通过”业务模型”和协议冲突规则不能或不便实现的操作。当 SQL 查询与某个自定义策略规则匹配时，将记录一条用于进行审计的警报，并且可根据该自定义策略规则的策略阻止该查询。自定义策略规则可以是以下属性的组合：源 IP 地址：发出查询