XXX数据库安全防护系统Imperva技术建议书

xxxxxxXXX数据库安全防护系统Imperva技术建议书2011.07 xxxxxxXXX数据库安全防护系统Imperva技术建议书第28页目录1.概述：xxx系统数据库安全和审计的重要性 32.xxx数据库保护系统建议方案 62.1背景介绍 62.1配置原则 62.2配置说明 73.针对xxxxxxXXX数据库安全防护系统重要功能的实现 124系统的管理和报告功能 205产品和功能详解 22概述：xxx系统数据库安全和审计的重要性随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，包括能源行业的生产领域，比如本建议书覆盖的xxxxxx系统，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、成败。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一。由于物联网技术的发展，包括计算机和网络的普及和广泛应用，越来越多的关键业务系统运行在数据库平台上。数据库中的数据作为企业的财富发挥着越来越重要的作用，同时也成为不安定因素的主要目标。如何保证数据库自身的安全，已成为现代数据库系统的主要评测指标之一。数据库是信息技术的核心和基础，广泛应用在电信、金融、政府、商业、企业等诸多领域，当我们说现代经济依赖于计算机时，我们真正的意思是说现代经济依赖于数据库系统。数据库中储存着诸如生产或交易明细、产品资料等极其重要和敏感的信息。尽管这些系统的数据完整性和安全性是相当重要的，但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完整性并导致非法访问，这些因素包括复杂程度、密码安全性较差、误配置、未被察觉的系统后门以及数据库安全策略的缺失等。任何公司的主要电子数字资产都存贮在现代的关系数据产品中。商业机构和政府组织都是利用这些数据库服务器得到人事信息，如本次考虑的油气物联网中就有很多关键生产数据。因此他们有责任保护数据的安全和不被非法篡改。数据库服务器还存有以前的和将来的敏感的生产交易数据，包括贸易记录、商业合同及帐务数据等。象技术的所有权、工程数据，甚至市场企划等决策性的机密信息，必须对竟争者保密，并阻止非法访问。目前世界上七种主流的关系型数据库，诸如Oracle、Sybase、MicrosoftSQLServer、IBMDB2/Informix、MySQL、PostgreSQL服务器都具有以下特征：用户帐号及密码、校验系统、优先级模型和控制数据库的特别许可、内置命令（存储过程、触发器等）、唯一的脚本和编程语言（例如PL/SQL、Transaction-SQL）、中间件、网络协议、补丁和服务包、强有力的数据库管理实用程序和开发工具。但是数据库本身往往缺乏独立的第三方的安全管理设备和解决方案。数据库服务器的应用相当复杂，掌握起来非常困难。许多数据库管理员都忙于管理复杂的系统，所以很可能没有检查出严重的安全隐患和不当的配置，甚至根本没有进行检测。所以，正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题，使数据库专业人员也通常没有把安全问题当作他们的首要任务。在安全领域中，类似网页被修改、电脑中病毒、木马、流氓软件、弹出窗口等所造成的经济损失微乎其微，而一旦数据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的。安全是多个环节层层防范、共同配合的结果。也就是说在安全领域不能够仅靠某一个环节完成所有的安全防范措施。一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。数据库领域的安全措施通常包括：身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综合有关安全的各个环节，才能确保高度安全的系统。不完善的数据库安全保障设施不仅会危及数据库的安全，还会影响到服务器的操作系统和其它信用系统。还有一个不很明显的原因说明了保证数据库安全的重要性－数据库系统自身可能会提供危及整个网络体系的机制。例如，某个公司可能会用数据库服务器保存所有的技术手册、文档和白皮书的库存清单。数据库里的这些信息并不是特别重要的，所以它的安全优先级别不高。即使运行在安全状况良好的操作系统中，入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征，利用对数据库的访问，获取对本地操作系统的访问权限。这些程序可以发出管理员级的命令，访问基本的操作系统及其全部的资源。如果这个特定的数据库系统与其它服务器有信用关系，那么入侵者就会危及整个网络域的安全。20世纪90年代开始，各能源企业展开了以计算机技术代替手工业务的研究。到了90年代中后期，随着信息技术和互联网应用的发展，我国能源行业已经完成了以业务核算为核心的信息化发展历程，开始向管理信息化的方向转型，为今后的生产管理信息化奠定了良好的基础。生产系统信息化目标是实现生产信息的充分共享。在这种情况下，生产系统的数据库的重要性就尤为突出。如果数据库中的数据遭到篡改或泄漏，或者被人非法利用，将造成不可估量的损失。由此可见，数据库安全实际上是生产系统信息安全的核心，在这种情况下，有必要采用专业的新型数据库安全产品，专门对生产系统的数据库进行保护。xxx数据库保护系统建议方案综上所述，为了保证xxxxxx数据库系统的安全，我们建议在物联网的生产系统配备专业的数据库安全产品，来保证xxx的核心业务数据库（最重要的生产数据库）的安全。2.1背景介绍XXX系统为xxx十二五规划的重点项目，目的实现全国范围内的油气田的信息化建设。

XXX系统运行于企业内网，计划在油田公司级部署关系数据库，该数据库存储下层多个实时数据库的生产采集数据。同时关系数据库向WEB服务器提供数据，用于管理平台的展示。xxx是把地区、井场、站库等油田生产制造现场为数据采集源点；采用自动化数据采集设备（比如传感器），通过局域光纤网、GPRS/CDMA、微波通讯网等传输手段；将地震数据、井下测量的地层和井筒数据、井口测量的设备运行和流体属性数据等海量数据实时采集进入信息管理中心的数据仓库；按照科学的过程如数据模型进行数据的组织与管理，在此基础上通过大量的业务模型进行知识集成，通过应用智能识别、数据融合、移动计算、云计算等技术，进而支持石油地质综合研究、油藏分析等科学研究和在线模拟，完成生产实时诊断，科学研究的成果支持油田生产的综合决策，决策信息反馈到生产制造现场进而完成环境，在这种情况下，生产系统的数据库的安全性就尤为重要要对这两部分的数据库进行防护，在此建议采用Imperva公司的专业数据库安全防护设备进行数据库的保护和审计。2.1配置原则在为xxxxxx生产系统配置Imperva公司的数据库安全防护产品的时候，遵循一下的配置的基本原则：功能性满足本项目的实际需要，尤其是在数据库安全防护方面的要求：对关系数据库进行防护，要保证其中数据的存储安全，避免外界的篡改和窃取。

具体需求为：一方面对外界的非法盗用能够进行监控和报警，；另一方面具有相应的防护措施实现对非法操作的阻断保护数据安全。可以支持现有应用系统，如数据库类型、本版等处理性能满足系统的需要对现有系统的无影响，包括；IP地址空间、路由规划、无需调整应用系统（如设置Proxy，安装软件等）2.2配置说明鉴于以上的配置原则，针对油气物联网生产系统数据库保护项目，由于本身生产系统的系统应用比较复杂，流量比较大，起数据库在整个生产当中非常重要，因此在每个分支机构配备Imperva的SecureSphereX2500数据库安全防护产品，保护核心的生产系统的数据库，数据服务器可以是一台，也可以是多台，X2500通过交换机的镜像端口获得数据库的访问流量，然后进行流量的分析处理，实现包括审计在内的各种安全功能，然后对非法操作通过TCPReset进行阻拦，整个拓扑结构如下图所示：SecureSphereX2500提供全面的安全，而不影响数据库性能或稳定性。作为一个独立的网络硬件设备，SecureSphere不消耗数据库服务器处理，内存或硬盘资源。一个单一的SecureSphere网关足够满足多个数据库服务器的要求。SecureSphereX2500设备是SecureSphere系列业务监控和防护引擎的成员，它具备5个业务接口（可以扩展至9个），即可以提供4个在线监控桥接组（桥接模式），或监控9个不同的业务网段（旁路侦听模式）。它的处理能力也非常强大，SecureSphereX2500提供500Mbps吞吐量，每秒数万交易量，同时可以维持微秒级包延迟。其性能等级比竞争对手产品好几个数量级。性能不同主要是由于SecureSphere透明检查内核级处理结构，其能用低延迟处理更多交易，它同时可以提供所有SecureSphere系列产品的所有业务功能。 对于数据库安全防护网关，初期的部署方式采用侦听模式，在这种方式下，需要系统配合的工作只是通过交换机的端口镜像，将需要保护的服务器的流量导入到数据库安全保护网关引擎的业务接口即可。网关完全处于业务通道外，这种部署是对现有系统影响最小的形式。这种方式可以提供完善的针对数据库的审计功能，并且可以对非法的访问或违反策略的访问进行实时的告警，然后对非法操作通过TCPReset进行阻拦。TCPReset可以中断非法操作的TCPsession，从而导致非法操作无法完成。通过此部署，可以实现数据库安全保护的以下重要的安全功能：智能而自动的建立用户对数据库访问的行为模型数据库安全保护设备应具有自动建立用户数据库访问行为模型的能力。自动智能建模功能可以自动学习、并且自动适应用户数据库及应用系统的各方面特点，自动建立“充分必要”的安全策略。同时，结合全面的、精细的手工定制和调优功能，在最大程度的降低管理工作量的同时，提供最佳的安全配置。所建立的用户的行为规则包括但不限于以下要点：访问源可为每个用户自动建立访问源信息模型，内容包括：源IP地址，源应用程序，源操作系统的主机名和用户名等。IP地址应用程序OS主机名OS用户名查询指令的策略为每个用户自动建立数据库访问操作指令的基线，内容是所有正常的、允许的SQL操作指令。表的访问和操作权限为每个用户自动建立对数据库的表进行访问及相关操作的基线，内容是所有正常的、允许的对各个表的操作权限。可访问的数据库和Schema为每个用户自动建立对数据库和Schema访问的基线，内容是可正常访问的数据库和Schema。用户访问模型自动建立功能分析实际数据库流量并使用复杂的学习算法创建每个访问数据库的用户或应用的所有合法活动分析模型。此模型不仅仅作为后来审计评估使用变化或应用行为的基准，并且是自动生成的数据库使用安全政策，允许信息安全小组不仅仅可以监视并审计使用，而且保护数据库免受非法行为。学习算法不断应用到实际流量中以便当用户活动随着时间发展时，有效变化将自动重新组织并集成到行为模型中。如果用户访问数据库的时候，行为模型的偏差将自动触发一个报警并可以根据严重性进行阻断。发现非法行为的实时告警功能这是在系统运行时，对正在进行的业务和管理层面的数据库交互活动进行检测。对其中违反既定的安全策略的行为可以即时发现，同时可以产生报警、阻断以及供事后分析和审计的依据。实时的监控和防护可以第一时间消除违规操作对系统的影响。设备具有实时告警的功能，针对非法访问行为和用户定义的访问行为可以实时告警。告警信息可以发送到SyslogServer,或通过Email发出。数据库保护这是数据库安全审计产品的重要功能，可以实时保护核心核心数据库免遭各种非法行为和破坏。在数据库操作所经过的网络、操作系统、应用软件方面，相应的安全规则就是：防火墙、IPS规则、应用协议保护；这部分规则可以是静态的，已经根据数据库和应用系统的要求做了精细的预设，同时还可以进一步的根据实际需要进行微调。此功能应包括：数据库应用保护审计设备连续比较数据库访问模型的真实用户操作的差异。来自分析的重要偏差生成警报，并且恶意的行为可以根据策略有选择性的阻止。客户化策略实施除了基于特征文件的安全政策外，管理可以定义任意粒度的客户政策。例如：管理员可以设置访问系统对象的查询策略，甚至对包含特定文本模式的查询。政策偏离可以生成一个警报或者迅速阻止活动。行为特征代码分析完成数据库平台保护应该具有(IPS)保护数据库基础设施免受针对数据库平台及操作系统软件中已知漏洞蠕虫及其它攻击。IPS功能主要通过检查数据库访问是否和特征代码库匹配来判断是否会触发数据库的漏洞。特征代码库要求和国际安全研究组织同步，并且可以包含自定义的SQL特征。特征代码要保证可以在线升级，可以使得系统在第一时间内抵御最新出现的针对数据库的非法危害行为以及在数据库没有打补丁的情况下，防止数据库厂家的安全漏洞造成的危害防火墙层面和SQL协议层面保护防火墙层面是在网络层面保护数据库免受各种网络层面的非法操作威胁。同时对于上层协议（SQL的通信）的合法性及滥用的检测，对于数据库服务器软件也非常重要。对此，审计设备应该专门提供SQL应用协议检测的功能，来检测SQL协议是否合法或符合标准的规定。在数据库保护层面，对于非法操作，可以进行非常丰富的响应动作，分为三类：告警响应，即时行动，后续行动。即时行动可以将数据包丢弃，后续行动就是通过对外通信来通知管理人员有非法行为发生。数据库安全评估功能：对数据库的基础系统以及运行时的配置进行评估。数据库的基础系统包括，操作系统和数据库应用程序，它们通常会存在软件的缺陷或漏洞，容易被攻击者利用。可以主动评估数据库的安全状况，包括是否打了Patch，包括用户权限在内的各种安全设置是否合理。但是TCPReset是在发现非法操作之后发出的，有少数的操作是一个数据包就完成了，对于这种操作，但是因为网关不在数据通路中，无法对这一个包的非法访问阻断。如果想要对非法访问实时阻断，可以采用在线部署的方式，这种部署方式下，可以实时的阻断非法的访问，最大限度的保证核心数据库的安全性，我们可以在未来的扩容中考虑这种方式，其部署拓扑如下所示：3.针对xxxxxxXXX数据库安全防护系统重要功能的实现油气生产系统的数据库的安全保护是一个综合性的工程，生产系统的数据库面临的问题也是多方面的：做为解决上述问题的数据库安全防护系统，应包含一下主要特性：数据库使用情况评估—检查真实的数据库网络流量以构建一个使用的基准模型，并自动创建数据库安全政策。管理员可以通过审查分析文件轻松掌握适当的数据库使用，非常灵活方便的制定数据库使用着的行为策略。数据库审计——SecureSphere采集许多审计数据，并且提供内置的报告功能，可以灵活地满足内部或外部规定要求。SecureSphere的数据库审计包括数据库活动审计、实时告警审计、用户基本信息审计。数据库保护——这是SecureSphere对数据库实时保护核心功能，包括：数据库应用保护客户化策略的实施数据库平台的保护识别复杂的攻击（通过多种手段的联动）具体到设备的功能，应该具有以下特点：支持各种主流数据库包括对各种版本和各种平台的Oracle、DB2、Informix、Sybase、MSSQLServer的支持。审计厂家必须和四大数据库厂家（Oracle，IBM,Sybase，MicroSoft）是官方认可的深层商业合作伙伴，从而能够保证审计结果的精确性和权威性设备的引入不应对正常业务和正常的数据库运行造成任何影响，同时应满足权限分离的要求，不容许被审计人员对审计功能元进行修改和操作。对数据库没有影响的功能非常有利于部署实施，设备的部署不需要对数据库进行变动，或者对数据中心结构的其它方面进行变动。审计产品应是一个基于网络的应用解决方案，不需要数据库服务器管理权限或者安装主机软件。其部署及运营可能由网络安全人员进行，而不会对数据库管理资源造成影响。这种方式通过保持安全功能的独立，从而遵守安全实践。审计设备可以审计所有针对数据库的访问，包括对数据库直接连接的访问，以及前台应用程序对数据库的访问；如果应用通过加密方式访问数据库，同样应该可以审计到。审计功能要求审计到尽可能详细的信息针对每一条数据库的访问，审计记录要细致到每一次事务/查询的原始信息记录，应该可以记录所有的关键信息，至少包括以下各个方面：数据库服务器源IP目的IP原始的查询指令去除具体参数的查询指令源应用软件数据库用户名访问源操作系统用户名访问源操作主机名高级权限操作存储过程目标数据库和SchemaStreamID操作回应内容操作返回的错误代码操作回应的时间操作回应的条目大小如果是前台用户通过Web利用应用服务器访问数据库（BS架构下），还应可以审计记录以下信息：前台应用程序的用户名前台程序的URLWebSessionIDWeb客户端IP对于通过OracleEBS或SAP等应用服务器访问数据库（CS架构下），应该可以记录最终前台用户的用户名为了有效地记录数据库访问操作，审计人员需要尽可能详细的审计记录信息，详细到准确的查询和响应属性这一级别。数据库审计记录必须将所审计数据库事务归于特定用户。例如，SOX合规审计机制要求必须记录对财务报告数据的每个更改及执行此更改的用户姓名。但是，当用户通过Web应用程序或SAP、OracleE-BusinessSuite等应用服务器访问数据库时，数据库审计系统必须可以记录最终的责任用户。支持BindVariable很多基于数据库的查询是通过BindVariable完成的。这就要求审计系统不光要记录查询中BindVariable的变量的名字，还要记录BindVariable的数值。举例来说：一个包含BindVariable的SQL是：select*fromaaawherename=:who,审计系统不光把这个SQL记录下来，同时要记录:who=jimmy,这样才是完整的包含BindVariable的审计结果。审计策略可以非常灵活的定义由于对于实际的生产系统，需要审计的数据库访问量非常大，这就要求有灵活的审计策略可以定义想要审计的数据库操作的内容。可以定义审计策略的条件应该包括以下各个关键字的条件组合：源IP目的IP原始的查询指令去除具体参数的查询指令源应用软件数据库用户名访问源操作系统用户名访问源操作主机名高级权限操作存储过程目标数据库和SchemaStreamID操作回应内容操作返回的错误代码操作回应的时间操作回应的条目大小同样如果是前台用户通过Web利用应用服务器访问数据库（BS架构下），或对于通过OracleEBS或SAP等应用服务器访问数据库（CS架构下），还应可以根据前台应用程序的用户名来定义审计记录的策略可以定义敏感数据表，保护核心机密数据可将机密数据定义敏感表，任何用户对敏感表的非法和违规访问可以产生特别的报警审计结果的归档灵活方便为了提高整个数据库审计系统的扩展性，审计信息可以通过FTP,SCP等传输协议灵活的归档到外部的存储设备上，归档出来的数据格式应该是通用格式（CSV），归档可以选择手动及定时定期的自动方式。审计告警日志对外的接口审计结果告警日志可以通过Syslog或SNMP协议和外部的统一审计平台送出数据，进行互通。审计结果可以自动生成符合专业合规审计（SOX）要求的审计报告高可用性审计设备应支持高可用性确保最大的正常运行时间及应用可用性。审计设备应具有在设备故障下应该不影响实际业务能力，同时审计设备支持主备配置方式，在合理配置下，可以达到小于1秒甚至更低的主备切换时延。保证数据库的安全和正常运行，其中一个重要的功能是数据库的审计功能。这是数据库周期性的业务运行状况的总结。其中即包括对一段时间内的总体运行状况的描述，也包括详细的分项说明，以及细致到每一次事务/查询的原始信息记录。Imperva的产品可以提供针对数据库操作的详细审计，入下图所示：不仅包括正常业务运行状况，对安全威胁和事件也进行特别重点和详细的报告。报告和审计对于企业提供符合专业规范（如：塞班斯）要求的审计依据具有重大的意义，更重要的是对数据库安全的整个维护和实施生命周期提供了不断自我检查，自我完善的依据。这是在系统运行时，对正在进行的业务和管理层面的数据库交互活动进行检测。对其中违反既定的安全策略的行为可以即时发现，同时可以产生报警、阻断以及供事后分析和审计的依据。实时的监控和防护可以第一时间消除共计和违规操作对系统的影响。SecureSphere自动处理数据库安全问题的核心是Imperva的”动态建模””技术。”动态建模””自动检测实时数据库通信，然后应用复杂的学习算法来创建包含访问数据库的每个用户和应用程序的所有合法活动的”业务模型”。“业务模型”不仅用作以后审计评估用户或应用程序行为更改的依据，而且还是针对数据库使用自动生成的安全策略，信息安全团队使用”业务模型”不仅能够监视和审计数据库使用状况，而且还可以防止数据库受到攻击。SecureSphere学习算法不断应用于实时通信中，这样，当用户活动随时间推移不断增加时，有效的更改被自动识别并合并到”业务模型”中。如果数据库行为与”业务模型”不同，则会自动触发警报，而且该行为可能会根据严重程度被阻止。每个”业务模型”都包括：用户名、源IP地址、访问的表、针对每张表所执行的SQL操作、查询、查询组、源应用程序、允许使用的日期和时间、存储过程以及授权的SQL操作。”动态建模””不仅适用于直接访问数据库的用户，同时也适用于代表用户与数据库进行交互的应用程序（如，SAP、PeopleSoft）。对于登录到数据库的每个应用程序，SecureSphere都会自动生成为该应用程序定制的安全策略。这样，SecureSphere可为访问数据库的应用程序生成与单独数据库用户一样的安全功能。以下部分描述动态配置的每个元素，以便您深入了解SecureSphere的评估和策略定义功能。“动态建模””自动创建每个数据库的合法用户列表，以及相关的数据库属性，如访问的数据库表、每张表的访问类型（如，select、update）、查询组、查询以及使用的存储过程。这些信息可用作评估数据库使用状况或日后进行审计的基础，并形成为每个用户自动生成的基于角色的安全策略。SecureSphere的”动态建模””技术可自动为每个用户创建基准安全策略（”业务模型”）。当未记录在”业务模型”中的新用户试图访问数据库时，将记录一条用于进行审计的警报，并且根据策略可能会阻止该用户。管理员可手动将新用户添加到允许的用户列表中，也可以指定应拒绝访问数据库的用户。SecureSphere还可通过报告默认数据库用户帐户访问的数据库和用户是否“共享”数据库帐户来评估执行操作的是否符合最佳做法。安全管理员可使用此信息来重新配置数据库或警告用户停止进行不适当的操作。管理员还可选择接收警报或阻止使用默认用户帐户的方式。“动态建模””为每个用户自动创建合法的源IP地址列表。这些信息用来自动生成控制每个用户的源位置的安全策略。SecureSphere管理员可手动在此列表中删除或添加源IP地址，也可以指定用户可以从任何源IP地址访问数据库。如果源IP地址与该基准不同，则会生成警报，并且可根据策略阻止该访问。还可指定未经授权的网段，并且记录从这些网段进行登录的尝试以便进行审计，从这些网段登录会生成警报或被阻止。由于从未经授权的网段或新IP地址登录的用户活动会危害登录凭据，因此许多组织要求能够检查用户IP地址。例如，CRM应用程序所使用的数据库登录名可以与带有已定义IP地址的服务器池唯一关联。“借用”CRM登录名从PC访问数据库的人可标识为非法用户，并被立刻阻止。审计报告可包括有关基准IP地址、使用的新IP地址以及从未经授权的网段进行连接的信息。生成源应用程序”业务模型”可有效防止滥用应用程序的用户帐户。如果恶意用户可访问某个应用程序（如，java应用程序或CRM或ERP包）所用的凭据，则此用户就可以使用此登录信息通过标准查询工具（如MicrosoftSQLQueryAnalyzer或Excel）或专用数据库黑客工具访问数据库。对于每位数据库用户，SecureSphere可记录其用于访问数据库的源应用程序。SecureSphere管理员可手动在此列表中删除或添加源应用程序，也可以指定用户可以使用任何应用程序访问数据库。当未在”业务模型”中记录的源应用程序尝试访问数据库时，将记录一条用于进行审计的警报，并且根据策略可能会阻止该查询。SecureSphere管理员可限制允许单个用户连接到数据库的时间（按天）和天（按周）。如果用户在未经授权时间尝试连接数据库，将记录一条用于进行审计的警报，并且根据策略可能会阻止该访问。SecureSphere可对预定义的“授权操作”进行特定的策略和审计控制。授权操作列表包括各种敏感数据库操作（如，删除表、关闭、删除等）。默认情况下，这些操作都会生成警报。但是，安全管理人员可为特定的用户（通常为数据库管理员）创建允许的授权操作列表。审计报告详细记录了每位用户进行授权操作的所有情况，以及所有与”业务模型”不匹配的授权操作xxxxxxXXX数据库安全防护系统Imperva技术建议书“动态建模””自动创建每位用户的合法存储过程基准。同样，管理员也可以在安全策略中定义各个存储过程，指定可使用的存储过程、应生成警报的存储过程或将被阻止的存储过程。审计报告可记录所有存储过程的使用情况、特定默认存储过程或危险存储过程的使用情况，以及不符合”业务模型”的存储过程的使用情况。4系统的管理和报告功能SecureSphere提供全分布式的三级网管架构，包括：第一层—业务探测和实施引擎，第二层—MX网管服务器，第三层—操作控制台。这种结构对于在xxx生产系统数据库保护这样的大型网络系统中部署统一的安全策略具有至关重要的意义。在初期部署的时候，我们可以启用网关上面的管理功能，当网关逐渐增多后，我们可以采用单独的管理器MX对所有的网关进行统一的管理。SecureSphere的管理功能的主要特点包括：图形报告-完整的CrystalReports™包和与ODBC兼容的数据库访问支持预配置报告和自定义报告。预配置报告使性能、合规性、安全警报及使用情况的异常情况一目了然。 SecureSphere在整个企业内提供统一的报告。统一的实时警报监视–来自多个SecureSphere安全层（动态”业务模型”、IPS等）的实时警报将被收集、按优先级排序并在一个统一的视图中显示给管理员。警报通知可通过电子邮件、电话、呼机和SNMP消息发送。不需要连接到分布在数据中心的各个设备。来自多个网关的日志数据也将显示在单个视图中，并存储在单个MX管理服务器数据库中。警报审计–来自多网关的警报将被收集并存储于单个MX管理服务器数据库中。若要支持审计功能，只需点击几下鼠标就可以根据多种参数来排序和搜索警报条目。即使是来自不同SecureSphere安全服务（IPS、动态”业务模型”等）的特定用户违规行为（由会话ID或IP地址标识），也可以被立即跟踪。智能攻击摘要–智能攻击摘要通过智能地将多个攻击导致的一系列事件聚合为一个需采取措施的警报，从而提高管理员的工作效率。例如，相关扫描警报可聚合为一个攻击警报，而不是成千上万个攻击警报。如今，快速有效的响应变得极为重要，而这种高度集中的信息能够使管理员快速准确地了解威胁聚合警报保留了形成警报的基本事件，以便进行详细分析。•MX管理服务器。更改在服务器上进行，通过单击可将这些更改自动发布到多个网关。5产品和功能详解SecureSphereX2500设备是SecureSphere系列业务监控和防护引擎的成员，它具备最多9个业务接口，即可以提供4个在线监控桥接组（桥接模式），或监控9个不同的业务网段（旁路侦听模式）。它的处理能力也非常强大，可以提供500Mbps数据库的处理能力。它同时可以提供所有SecureSphere系列产品的所有业务功能，包括前台Web应用的保护，后台数据库的监控和防护。并且可以在一个平台上同时提供这些功能。SecureSphere系列（X2500）主要技术参数：技术参数X2500吞吐量500Mbps延迟低于百万分之一秒尺寸1U接口缺省6*10/100/1000Mbps（最多10个）(最大4光纤接口)接口类型电口/光纤SX/光纤LX最大桥接网段/监听网段4/9在线故障短接能力（只用于桥接）是硬盘500GBSATA；两个SATARAID1外部驱动CD-ROM标准机架19英寸机架重量40lbs（18公斤）电源500W；FT模式：双工，热切换520WAC电压要求100-240V，50-60HZ物理尺寸宽：16.93”(430mm深；26.46”(672mm高：1.7”(43mm操作环境5°C(41°F)到非操作环境-40°C(-40°F)到70°非凝结35°C(电磁兼容性数据库的安全防护是一个系统工程。它的实施，或说是生命周期包括一下四个环节：图数据库及应用安全维护的生命周期数据库的评估是一个事前、或周期性的工作，它的工作内容是，对数据库的基础系统以及运行时的配置进行评估。数据库的基础系统包括，操作系统和数据库应用程序，它们通常会存在软件的缺陷或漏洞，容易被攻击者利用。而运行配置的内容则包括数据库系统在运行时不同的用户对数据库的系统和业务对象的管理操作能力和权限——合理的、好的配置策略可以极大的限制违规操作和非法操作发生的可能性。安全策略的制定是安全防护的核心之一。它的内容是从安全角度定义数据库访问的权限的各个方面。主要内容是，对于用户－操作权限－数据库对象三个属性（还可以辅助以地址、时间等）的数据库与用户、管理员和应用系统间交互的各种限定性规范的制定。它可以包括正向规则和反向规则两方面的内容；同时以自动建模的方式为主，辅以人工微调和优化，得到充分必要的安全规则。基于安全规则的监控和防护。这是在系统运行时，对正在进行的业务和管理层面的数据库交互活动进行检测。对其中违反既定的安全策略的行为可以即时发现，同时可以产生报警、阻断以及供事后分析和审计的依据。实时的监控和防护可以第一时间消除共计和违规操作对系统的影响。报告和审计是周期性的业务运行状况的总结。其中即包括对一段时间内的总体运行状况的描述，也包括详细的分项说明，以及细致到每一次事务/查询的原始信息记录。不仅包括正常业务运行状况，对安全威胁和事件也进行特别重点和详细的报告。报告和审计对于企业提供符合专业规范（如：塞班斯）要求的审计依据具有重大的意义，更重要的是对数据库安全的整个维护和实施生命周期提供了不断自我检查，自我完善的依据。以下对上述数据库安全实施环节的具体内容进行详细阐述。数据库的安全评估数据库的评估主要采用两种技术手段：主动的漏洞扫描评估和被动的使用情况评估。要确保数据库的安全，首先要了解其使用情况。SecureSphere的“自动建模”通过检测实时数据库网络通信来生成使用情况的基准模型，然后自动创建数据库安全策略。管理员通过检查”业务模型”，可轻松掌握相应数据库的使用情况。这对于不太了解数据库技术的安全和检查团队来说特别有用。Imperva的基于角色的管理支持“只读”访问权限，以便需要评估使用情况的用户（非SecureSphere管理员）可访问此类重要信息。必要时，具有管理特权的管理员可修改”业务模型”制定的策略，以使其符合企业安全策略或规章制度。例如，查询组就是”业务模型”中一个功能强大、表达简练的概念，它用于建立合法业务活动模型。查询组在“自动建模”中表示为对数据库表和表的操作（如Table1,Select和Table2,Update）。这些查询组是基于SecureSphere“自动建模”算法，从特定数据库用户的查询中派生的。SecureSphere除了提供数据库使用情况的微观细节外，还提供数据库使用潜在漏洞的详细情况。许多漏洞都与特定的数据库部署或使用情况相关，只有在数据库投入使用后，通过观察实时数据库用户活动，这些漏洞才会显现出来。SecureSphere的“数据库漏洞业务模型”提供一种连续、一致、全面的方法，来确定由于与最佳做法相左而产生的安全漏洞和风险。它还可以找出由于生产环境的配置复杂性而产生的安全漏洞。例如，SecureSphere可确定对默认存储过程、默认用户帐户和系统对象的非管理性访问，所有这些操作都与数据库安全的最佳做法相冲突。SecureSphere的“漏洞”业务模型””很容易确定其他漏洞工具无法检测到的数据库漏洞，这使其成为传统渗透测试和漏洞扫描工具的有益补充。SecureSphere的“漏洞模型”报告的几个示例如下所示：数据库默认数据包和存储过程评估重点评估非管理用户使用默认存储过程的情况。最佳做法通常建议非管理用户不要使用默认存储过程。数据库用户评估列出最佳做法通常建议非管理用户不要使用的活动默认数据库帐户。数据库系统对象访问评估-此报告列出访问数据库系统对象的非管理用户。默认情况下，这些对象对于任何用户都是可访问的。不过，大多数系统对象包含有非管理用户不应使用的信息。数据库的安全策略制定、部署、监控和防护Imperva的数据库安全策略包括许多层次。数据库基础设施的安全策略针对数据库的基础设施——网络、操作系统、应用软件方面，相应的安全规则就是：防火墙、IPS规则、应用协议保护；这部分规则可以是静态的，已经根据数据库和应用系统的要求做了精细的预设，同时还可以进一步的根据实际需要进行微调。此外，对上层协议（SQL的通信）的合法性及滥用的检测，对于数据库服务器软件也非常重要。对此，专门提供了应用协议检测的功能。“动态建模””自动创建每位用户的合法查询组和特定查询基准。这使安全管理人员可以制定针对单个用户的查询级别安全策略。查询组所提供的查询级别策略比手动创建的策略更有效，更精确，更便于维护，而且比某些产品提供的基于角色的“通用”查询策略更精细。毕竟，并不是每个人都完全符合角色的定义。相同角色的不同用户，其查询行为可能有很大的不同，而这些不同对于建立强大的安全策略至关重要。现有数据库活动监视产品的主要缺点是不能对其生成的大量数据进行深入分析。大多数解决方案无法区分用户活动的正常变化和重要的攻击信号。那些声称能够提供精确攻击警报的产品需要不断地进行调整，因此很难提供可靠的警报。为此大多数解决方案只记录下数据库活动，以进行审计。SecureSphere”动态建模””的“查询组”组件通过自动标识每位用户的一致行为模式，来解决这一问题。通过将所有新查询与此前为每位用户建立的模式进行比较，SecureSphere能够区分出攻击行为和无害的用户行为变化。查询组在”动态建模””中表示为数据库表和表操作对（如Table1,Select和Table2,Update）。这些信息是基于SecureSphere”动态建模””算法，从特定数据库用户的查询中派生的。与查询组(Accounts,Select)(Sales,Select)匹配的每个新查询都被添加到”业务模型”中，以进行审计。在动态查询组情况下，新的查询不属于异常事件，不会生成重复的警报。但是，当财务分析员突然试图通过UPDATE操作修改销售表时，SecureSphere将此查询识别为不属于他的查询组，并相应地发出警报。除了”动态建模””所提供的自动策略定义外，SecureSphere还允许安全管理员定义特定的策略，以便基于SQL查询的特定属性来生成警报和阻止通信。自定义策略规则以手动方式来配置，用于执行通过”业务模型”和协议冲突规则不能或不便实现的操作。当SQL查询与某个自定义策略规则匹配时，将记录一条用于进行审计的警报，并且可根据该自定义策略规则的策略阻止该查询。自定义策略规则可以是以下属性的组合：源IP地址：发出查询的源IP地址。表：出现在查询中的数据库表的名称。操作：出现在查询中的数据库操作（如Select或Update）。应用程序：用于生成