明御数据库审计和风险控制系统-文档资料

杭州安恒信息技术有限公司

十一月23明御数据库审计与风险控制系统－－业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库审计产品的安全产品

2目录数据库安全概述系统实现原理系统部署系统功能介绍

3第一部分数据库安全概述

4审计检查、验证目标的准确性和完整性，用以防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则萨班斯法案——美国史上最严厉的审计法则企业内部控制规范——国内审计规范，主要目的在于加强和规范企业内部控制，提高企业经营管理水平和风险行为防范能力财务审计、IT审计——信息安全审计

5信息安全审计收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源《萨班斯法案》强调加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制是紧密围绕信息安全审计这一核心的。巴赛尔新资本协定(BaselII)，要求全球银行必须做好风险控管(riskmanagement)，而这项“金融作业风险”的防范正需要业务信息安全审计为依托。《企业内部控制具体规范》明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。ISO27001、CC、PCI……

6数据库安全审计数据库安全审计，通过对数据库安全性相关的操作进行审计，监测指定用户的行为，掌握数据库使用状况。数据库审计是信息安全审计的重要组成部分。数据库审计的目的在于确保数据的完整性全面了解数据库实际发生的情况可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生

7典型的IT信息系统组成Internet专网防火墙局域网交换机骨干路由器数据库服务器应用服务器内部办公系统业务系统B共享存储专线路由器防火墙局域网交换机应用服务器业务系统A数据库服务器客户/合作伙伴数据库的安全是信息系统安全的核心是企业数据信息的最终载体是企业业务系统的核心不同于网络传输，数据如果在数据库中被篡改或丢失，是难于恢复的

8日趋严峻的数据库安全问题十个最普遍的数据库安全威胁

1.越权使用2.合法权限滥用3.权限盗用4.数据库平台漏洞5.SQL注入6.缺乏详尽审计7.拒绝服务攻击8.数据库通信协议漏洞9.弱鉴权机制10.备份数据的缺乏保护

9日趋严峻的数据库安全问题

11数据库面临的风险管理风险内部人员误操作、违规操作、越权操作第三方维护人员安全隐患最高权限用户操作多人共用一个帐号员工离职后泄漏公司信息技术风险网络层攻击操作系统漏洞应用程序攻击数据库攻击应用提供商的后门离职员工的后门……审计风险日志缺失或不完整安全事件难于追溯或定位复杂的业务应用+异构的网络环境+高度集中的信息共享使企业核心数据库面临更大的安全挑战

12由于数据库本身的重要性以及脆弱性，国家以及国际上都制定了相关的法律法规来指导并规范数据库信息系统的安全建设其中最重要的是明确了独立数据库审计系统的必要性和重要性数据库安全问题衍生了相关法案

13《信息安全等级保护测评准则》第六章“第二级安全控制测评”中第一节“安全技术测评”主机系统安全审计中明确提出：安全审计应覆盖到服务器上的每个操作系统用户和数据库用户安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等审计记录应受到保护避免受到未预期的删除、修改或覆盖等

14《等级保护数据库管理技术要求》第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应：建立独立的安全审计系统定义与数据库安全相关的审计事件设置专门的安全审计员设置专门用于存储数据库系统审计数据的安全审计库提供适用于数据库系统的安全审计设置、分析和查阅的工具第二部分系统实现原理实现原理

数据库安全审计系统主主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。

17谁做过操作?做过什么操作?做过多少操作?怎么知道事故发生时间?怎么追溯和调查取证?怎么规范数据库操作行为?谁该对恶意操作负责?如何进行数据库层的用户,动作等ACL控制明御数据库审计与风险控制系统DAS-DBAuditorDAS-DBAuditorDAS-DBAuditorDAS-DBAuditor主要功能包括：实时监测并智能地分析、还原各种数据库操作。根据规则设定及时阻断违规操作，保护重要的数据库表和视图。实现对数据库系统漏洞、登录帐号、登录工具和数据操作过程的跟踪，发现对数据库系统的异常使用。支持对登录用户、数据库表名、字段名及关键字等内容进行多种条件组合的规则设定，形成灵活的审计策略。提供包括记录、报警、中断和向网管系统报警等多种响应措施。具备强大的查询统计功能，可生成专业化的报表。

第三部分系统部署配置注意事项

由于目前设备采用旁路方式，安装及配置时需要注意：1：需由用户协同或许可的情况下将设备置于网络中。2：由于设备旁路方式，需要用户做好端口镜像，需要把被保护的数据库的流量镜像到我们设备上3：配置数据库审计系统的管理IP、子网掩码、及网关。4：配置完成后需要询问用户是否配置规则审计规则，如需配置需要知道详细的规则内容。第四部分系统功能介绍

22明御数据库审计与风险控制系统产品定位业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库审计产品。用途静态审计（数据库弱配置、补丁等）数据库攻击检测三层审计双向审计细粒度审计细粒度行为检索灵活的策略定制多形式的实时告警友好真实的操作过程回放多协议的远程访问监控目的：数据库运行状况可视化、日常操作可监控危险操作事中报警、安全事件事后鉴定、所有行为全程审计产品概述

232、动态审计全方位的实时审计细粒度的行为检索友好真实的操作过程回放1、静态审计数据库不安全配置；潜在弱点；数据库用户弱口令；数据库软件补丁；数据库潜藏木马等3、风险控制灵活的策略定制多形式的实时告警安全事件精确定位远程访问监控明御数据库审计与风险控制系统全数据安全生命周期：静态审计－动态审计－风险控制

24明御数据库审计与风险控制系统----功能概述系统管理配置管理实时监控审计及回放系统管理权限管理数据维护运行状态监控升级管理报表呈现审计对象配置审计规则配置采集端口配置引擎配置预警配置审计与风险控制数据捕获协议解析操作还原规则匹配审计记录生成预警发送关注行为查看审计记录查看风险查看会话查看会话回放操作日志快速配置添加物理端口

进入保护对象菜单，新增物理端口，填入保护对象的IP地址、选择业务系统、版本、端口和运行环境，点保存。如下图所示：（添加IP:192.168.3.21、业务类型:oracle版本:10g端口：1521运行环境：linux）

添加业务系统和挂载物理端口

添加业务系统，输入业务系统名称，点保存。（如：信息查询平台）选择业务系统，添加业务主机群，输入业务主机群名称，选择类型，点保存。（如：后台数据库，类型为oracle）挂载物理端口，选择物理端口，点挂载。（如：192.168.3.21:1521(ORACLE10g）

功能配置

配置当前业务主机群的启动引擎、采集设备、动作引擎。首先切换到需要配置的业务主机群，如果只有一个业务主机群，则登录后默认进入此业务主机群。

功能应用

审计引擎所有对该服务主机群的操作将被记录，可在[审计]选项卡中查看详细内容。特征引擎即启动系统自带的安全策略库，在这里我们统一称之为特征。当发生符合特征的行为时系统将自动产生告警事件，在[告警]选项卡中可查看详细内容，即所有标记为特征的事件。日志引擎即启动系统发送日志的功能，启动后根据常规配置—syslog服务器的配置，就可以将系统的日常审计记录及告警信息实时发送给外系统的SYSLOG服务器。

引擎配置

选择采集设备配置采集数据的网口。点击[挂载]，选择采集设备，点击采集设备旁边的，挂载成功。动作引擎配置不同级别的系统采取的动作，如以下以高危事件为例进行配置。选择事件级别：高危事件阻断配置（需要交换机或防火墙联动支持）如级别为高的阻断3600秒：选择阻断设备，输入阻断时长，点击[添加]通知配置如级别为高的告警通过邮件发送给admin用户，admin用户的邮箱地址在[用户]选项卡中用户信息里配置。Syslog配置如级别为高的告警发送到用户syslog服务器，事件类别为user-levelmessages，等级为Emergency，状态启用，点击[添加]。审计规则

审计规则快速配置

第一步：新增审计对象组，输入审计对象组名称点保存。选择需要添加的对象类别，手工输入对象，点添加按钮,如图（添加表对象customers）第二步：新增规则组，输入规则名称，点保存，第三步：新增规则，输入规则名称—>选择属于哪个规则组、规则对应哪个对象组—>选择规则条件—>选择定性行为—>选择作用的业务主机群—>点保存.

常规

全部审计是指系统无条件记录所有访问记录（默认全部审计，不需要修改。）满足条件审计是指只有满足审计规则的访问记录才能被系统记录。选择需要的审计选项，点保存。如下图所示。

审计对象组

审计规则配置必须先定义审计对象组。对象指SQL作用的对象，可以是表、过程、函数等。规则

规则白名单

在白名单中的来源IP不会进行规则检测。规则白名单在[常规配置]-[客户端IP用途]中配置。

审计

功能说明：记录下用户对数据库的所有操作。例如数据库用户通过客户端PL/SQL连接到数据库，他对数据库进行的所有操作都将被记录到明御系统中。管理员通过明御系统可以查看此用户具体对数据库做了哪些操作，并且可以自定义回放这些操作。管理员还能自定义审计规则，将指定对象及操作列为危险动作，当违反此规则时系统将通过告警、发邮件等方式通知系统管理员或立即进行阻断。

关注行为

查看所有审计规则定义成关注行为的审计事件。自定义查询条件如下：审计规则名称时间段

日常行为

自定义查询所有审计记录。自定义查询选择查询条件，点击[查询]按钮，如不选择查询条件，默认查询最近12小时的记录。回放

模拟终端对数据库的实际操作界面，对符合条件的审计信息进行回放。选择回放条件。条件选择请参考审计的自定义查询，如选择操作类型：create,点击[回放]，查询结果将以实际发生时间的先后进行回放，效果如下：

风险

此处风险即指告警事件，当符合用户定义的审计规则将会产生标记为审计的告警事件，当符合系统自带的特征时将会产生标记为特征的告警事件。

常规配置

引擎管理启用/禁用系统引擎，默认开启所有引擎。如果某引擎在此被禁用，则不论单个业务主机群是否加载此引擎都将无效。一般不建议用户禁用系统引擎。数据来源可根据数据来源即客户端工具对审计记录进行划分。指定IP审计如果在这里配置了某个业务类型的客户端IP，那么在这个系统中只能审计到该客户端的对应业务类型的数据，不再审计并记录其它源IP或业务系统过来的记录了。客户端IP用途定义来访客户网络、规则白名单、规则信任主机数据来源等级根据配置指定的数据来源，调整报文等级或者不审计。报文等级根据配置指定的报文内容，精确匹配审计记录，调整报文等级或者不审计。IP等级根据配置指定的源IP，调整报文等级或者不审计。查询参数可设置SQL查询超时时间；可设置查询结果每页显示条数；可设置查询结果总记录数。

设备

系统链路数据库审计系统是旁路方式，点击后会提示：旁路部署，不提供配置。采集设备配置采集设备阻断设备旁路方式的阻断通过和交换机或防火墙联动实现，在此配置阻断设备。通知

短信进行短信发送配置。邮件配置系统默认发件人，邮件接收人在[用户]中配置。权限管理

本系统提供严格的权限管理机制，支持自定义各种角色。权限划分如下：系统管理、策略配置、操作审计查询、告警查询、审计查询、引擎管理、报表查询。数据维护

手动备份通过指定数据的发生时间段进行备份，在备份的同时可以选择是否删除数据。备份文件保存在本地服务器上，可以导出到客户端机器，导出后可删除服务器上的备份文件。自动清理清理动作门限可配置，默认80%，即当数据分区的磁盘空间被占用超过80%后，会自动清理数据直到空间占用小于70%（默认值，可配置），由最老的数据开始清理。出厂设置清理业务数据删除全系统所有业务相关的数据，包括告警、审计、报表等，但不会删除所有配置，请慎重执行！恢复出厂设置删除全系统所有数据及配置信息，恢复到出厂状态，请慎重执行！运行状态查看系统自身运行状态，包括CPU使用率、内存使用率、引擎运行状态、采集设备运行状态。

系统工具IP包捕获在页面上可以设置停止捕获的数据文件长度以及停止捕获的时长，还可以设置IP使用的过滤串，过滤哪个IP的哪个网口的数据。(例如：用采集口eth3抓来自192.168.3.21的数据包，过滤串可以这么写：-ieth3-s0host192.168.3.21–whost321.pcap)其他

升级系统升级目前实现的是手动升级功能。用户从软件销售商处获得升级包后通过页面递交到系统，系统将自动进行升级，