数据库安全审计Guardium介绍

企业数据库的安全审计

IBM软件部

胡穗聪

husuic@

监控

vs审计时间每秒的请求频率监控突发审计持续审计通过使用过滤减少实际审计的流量审计意味着需要将信息记录到磁盘监控意味着观察所有流量数据监控:三大商业驱动力外部威胁防止入侵内部威胁识别未授权的变更防止数据泄漏合规性简化流程降低成本AuditRequirementsCOBIT(SOX)PCI-DSSISO27002DataPrivacy&ProtectionLawsNISTSP800-53(FISMA)1.AccesstoSensitiveData(Successful/FailedSELECTs)2.SchemaChanges(DDL)

(Create/Drop/AlterTables,etc.)3.DataChanges(DML)(Insert,Update,Delete)4.SecurityExceptions(Failedlogins,SQLerrors,etc.)5.Accounts,Roles&Permissions(DCL)(GRANT,REVOKE)法规中的合规性要求DDL=DataDefinitionLanguage(akaschemachanges)DML=DataManipulationLanguage(datavaluechanges)DCL=DataControlLanguage1Guardium简介建立确保跨越数据库和应用基础设施关键数据安全的企业级平台。

愿景最为广泛使用的数据库行为监控、安全和审计解决方案客户认可100%的可视性和信息，对性能没有影响，无需改变基础设施

13个正在审批中的专利适合扩容的企业级架构

OracleMicrosoftIBMDB2IBMInformixSybaseASE,IQMySQL,TeradataDBMS

SolarisHP-UXAIXz/OS-Linux-WindowsOS

OracleEBSPeopleSoft,JDESiebelSAPCustom&other

packagedappsApplications

LDAPKerberosRSASecurIDAuthentication全方位的支持

BMCIBMEMCNEON(mainframe)NetApp(encryption)Technologypartners“5-StarRatings:Easyinstallation,sophisticatedreporting,strongpolicy-basedsecurity.”

“Enterprise-classdatasecurityproductthatshouldbeoneveryorganization'sradar."第三方的认可“Dominanceinthisspace”#1ScoresforCurrentOffering,Corporate&ProductStrategyStrategicInvestor

TCPIPCSHMNamedPipesOracleBEQ-TLIDBProtocols全球客户2全球顶级公司的选择全球排名前五的银行Citi，JP-Morgan全球排名前三的零售商中的两家全球排名前五的保险商中的三家全球两大饮料生产商Coca-cola，Pepsi最著名的PC厂商DELL政府机构FBI全球15家电信公司三大企业制造商大型能源公司大型医疗公司媒体&娱乐品牌电信/基建公司MEDITELCONFIDENTIAL金融公司CONFIDENTIAL能源公司CONFIDENTIAL政府机构CONFIDENTIAL金融公司，日处理百万条会话客户：拥有7千5百万用户的纽交所上市公司需求:增强

SOX合规性和数据监管阶段1:监控所有特权用户的活动，特别是数据库变化.阶段2:

专注于数据隐私.Environment:全球四个数据中心100多台服务器上的122个数据库实例Oracle,IBMDB2,Sybase,SQLServeronAIX,HP-UX,Solaris,WindowsPeopleSoftplus75in-houseapplications可选方案:本地审计因为性能开支不具操作性结果:目前每天审计百万条会话记录(GRANTs,DDL,etc.)捕获DBAs访问数据库的记录每日生成SOX的自动报告使用ticketIDs自动化变更管理调节通过两项外部审计为Dell简化企业安防需求:为

SOX,PCI&SAS70提高数据安全性简化并自动化合规性控制Guardium部署:阶段1:在10个数据中心部署了300个数据库服务器

(12周内)阶段2:部署其他725个数据库服务器环境

:Oracle&SQLServeronWindows,Linux;OracleRAC,SQLServerclustersOracleEBS,JDE,Hyperionplusin-houseapplications原先的解决方案:利用自开发的脚本本地记录

(MS)或审计

(Oracle)支持问题;DBA时间需求;大数据量问题;SOD问题.结果:自动化合规性报告;实时告警;集中化

PublishedcasestudyinDellPowerSolutionsGuardium解决方案3易损性评估配置评估行为评估基准设置100%可视化基于策略的行为异常发现实时阻止细粒度的访问控制和其他应用整合集中式监管合规审计报告自动升级安全审计池用以取证的数据挖掘长期保存可发现所有应用和客户可发现和分类敏感信息发现和分类评估和巩固监控和执行审计和报告Critical

DataInfrastructure全方位的安全和审计周期监控方式17E-BusinessSuiteSwitchorTAPGuardiumS-TAPs用以访问监控(sharedmemory,BEQ,namedpipes,etc.)Guardium网络监控应用和审计库用户应用无侵入性无需数据库变化最小影响无需基于传统数据库的本地日志（DBA可轻易修改）细粒度的策略和监控何人，何事，何时，如何实时告警监控包括本地特权用户访问在内的所有活动可伸缩的多层架构S-TAPS-TAP网络CollectorCentralManager&AggregationCollectorS-GATE远程人员和外包S-TAPz/OS财务HRCollectorOff-shoreZ-TAP功能举例4异常类型

1数据库异常分析1：Exceptionbytype

2：ExceptionbyserverIP3：ExceptionbyclientIP4：ExceptionbySQLcmd出现异常的服务器链接数据库产生异常的客户端地址详细的源程序，SQL命令假如我的客户代表一小时内查看了99条记录？属于正常吗？他看了些什么?2提取敏感信息问题:应用服务器通过常用服务账号访问数据库–

并没有识别是谁发起交易(连接池)解决方案:跟踪用户访问应用程序与特定的SQL命令支持主流的企业应用(OracleEBS,PeopleSoft,SAP,Siebel,BusinessObjects,Cognos,etc.)附加自定义应用(WebLogic,WebSphere,OracleAS,etc.)不改变应用服务ApplicationServerDatabaseServerJoeMarcAppUser3识别来自应用层上的欺诈S-GATEHoldSQLConnectionterminatedPolicyViolation:DropConnectionPrivilegedUsersIssueSQLCheckPolicyOnApplianceOracle,DB2,MySQL,Sybase,etc.“数据库