数据库审计专项方案

数据库审计和风险控制处理方案1概述1.1数据库面临安全挑战数据库是企业关键业务开展过程中最含有战略性资产，通常全部保留着关键商业伙伴和用户信息，这些信息需要被保护起来，以预防竞争者和其它非法者获取。互联网急速发展使得企业数据库信息价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻挑战，概括起来关键表现在以下三个层面：管理层面：关键表现为人员职责、步骤有待完善，内部职员日常操作有待规范，第三方维护人员操作监控失效等等，致使安全事件发生时，无法追溯并定位真实操作者。技术层面：现有数据库内部操作不明，无法经过外部任何安全工具(比如：防火墙、IDS、IPS等)来阻止内部用户恶意操作、滥用资源和泄露企业机密信息等行为。审计层面：现有依靠于数据库日志文件审计方法，存在很多弊端,比如:数据库审计功效开启会影响数据库本身性能、数据库日志文件本身存在被篡改风险，难于表现审计信息真实性。伴伴随数据库信息价值和可访问性提升，使得数据库面对来自内部和外部安全风险大大增加，如违规越权操作、恶意入侵造成机密信息窃取泄漏，但事后却无法有效追溯和审计。1.2数据库审计客观需求数据库审计和风险控制目标概括来说关键是三个方面：一是确保数据完整性;二是让管理者全方面了解数据库实际发生情况;三是在可疑行为发生时能够自动开启预先设置告警步骤，防范数据库风险发生。所以，怎样采取一个可信赖综合路径，确保数据库活动统计100%捕捉是极为关键，任何一个遗漏关键活动行为，全部会造成数据库安全上错误判定，而且干扰数据库在运行时性能。只有充足了解企业对数据库安全审计客观需求，才能够给出行之有效处理方案：捕捉数据访问：不管在什么时间、以什么方法、只要数据被修改或查看了就需要自动对其进行追踪;捕捉数据库配置改变：当“数据库表结构、控制数据访问权限和数据库配置模式”等发生改变时，需要进行自动追踪;自动防御：当探测到值得注意情况时，需要自动开启事先设置告警策略，方便数据库安全管理员立即采取有效应对方法，对于严重影响业务运行高风险行为甚至能够立即阻断;审计策略灵活配置和管理：提供一个直截了当方法来配置全部目标服务器审计形式、具体说明关注活动和风险来临时采取动作;审计统计管理：将从多个层面追踪到信息自动整合到一个便于管理，长久通用数据存放中，且这些数据需要独立于被审计数据库本身;灵活汇报生成：临时和周期性地以多种格式输出审计分析结果，用于显示、打印和传输;1.3现有数据库审计处理方案不足传统审计方案，或多或少存在部分缺点，关键表现在以下多个方面：传统网络安全方案：依靠传统网络防火墙及入侵保护系统(IPS)，在网络中检验并实施数据库访问控制策略。不过网络防火墙只能实现对IP地址、端口及协议访问控制，无法识别特定用户具体数据库活动(比如：某个用户使用数据库用户端删除某张数据库表);而IPS即使能够依靠特征库有限阻止数据库软件已知漏洞攻击，但她一样无法判别具体数据库用户活动，更谈不上细粒度审计。所以，不管是防火墙，还是IPS全部不能处理数据库特权滥用等问题。基于日志搜集方案：需要数据库软件本身开启审计功效，经过采集数据库系统日志信息方法形成审计汇报，这么审计方案受限于数据库审计日志功效和访问控制功效，在审计深度、审计响应实时性方面全部难以取得很好审计效果。同时，开启数据库审计功效，首先会增加数据库服务器资源消耗，严重影响数据库性能;其次审计信息真实性、完整性也无法确保。其它诸如应用程序修改、数据源触发器、统一认证系统授权等等方法，均只能统计有限信息，愈加无法提供细料度数据库操作审计。1.4本方案处理数据库安全问题为了处理企业数据库安全领域深层次、应用及业务逻辑层面安全问题及审计需求，杭州安恒信息技术依靠其对入侵检测技术深入研究及安全服务团体积累数据库安全知识，研制并成功推出了全球领先、面向企业关键数据库、集“全方位风险评定、多视角访问控制、深层次审计汇报”于一体数据库审计和风险控制设备，即明御数据库审计和风险控制系统，为企业关键数据库提供全方位安全防护。在企业业务支撑网络中布署了明御数据库审计和风险控制系统，能够实现企业关键数据库“系统运行可视化、日常操作可跟踪、安全事件可判定”目标，处理企业数据库所面临管理层面、技术层面、审计层面三大风险,以满足企业不停增加业务需要。明御数据库审计和风险控制系统对于企业数据库安全防护功效，概括起来表现在以下三个方面：首先：明御数据库审计和风险控制系统采取“网络抓包、当地操作审计”组合工作模式，结合安恒专用硬件加速卡，确保数据库访问100%完整统计，为后续日常操作跟踪、安全事件判定奠定了基础。其次：明御数据库审计和风险控制系统经过专利级双引擎技术，首先利用数据库安全研究团体多年积累安全知识库，预防无意危险误操作，阻止数据库软件漏洞引发恶意攻击;其次，依靠智能自学习过程中动态创建安全模型和异常引擎相结合，有效控制越权操作、违规操作等异常操作行为。再者：明御数据库审计和风险控制系统依靠其独特数据库安全策略库，能够深入到应用层协议(如操作命令、数据库对象、业务操作过程)实现细料度安全审计，并依据事先设置安全策略采取诸如产生告警统计、发送告警邮件(或短信)、提升风险等级、加入黑名单、立即阻断等响应。同时，明御数据库审计和风险控制系统能够提供多视角审计汇报，即依据实时统计网络访问情况，提供多个安全审计汇报，更清楚地了解系统使用情况和安全事件发生情况，并可依据这些安全审计汇报深入修改和完善数据库安全策略库。2方案总体结构2.1关键功效以下图所表示，数据库审计和风险控制系统关键功效模块包含“静态审计、实时监控和风险控制、动态审计(全方位、细粒度)、审计报表、安全事件回放、审计对象管理、系统配置管理管理”多个部分。2.1.1数据库静态审计数据库静态审计目标是替换繁琐手工检验,预防安全事件发生。数据库审计和风险控制系统依靠其权威性数据库安全规则库，自动完成对几百种不妥数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等静态审计，经过静态审计，能够为后续动态防护和审计安全策略设置提供有力依据。2.1.2实时监控和风险控制数据库审计和风险控制系统可保护业界主流数据库系统，预防受到特权滥用、已知漏洞攻击、人为失误等等侵害。当用户和数据库进行交互时，数据库审计和风险控制系统会自动依据预设置风险控制策略，结合对数据库活动实时监控信息，进行特征检测及审计规则检测，任何尝试攻击或违反审计规则操作全部会被检测到并实时阻断或告警。2.1.3数据库动态审计数据库审计和风险控制系统基于“数据捕捉→应用层数据分析→监控、审计和响应”模式提供各项安全功效，使得它审计功效大大优于基于日志搜集审计系统，经过搜集一系列极其丰富审计数据，结合细粒度审计规则、以满足对敏感信息特殊保护需求。数据库动态审计能够根本摆脱数据库黑匣子状态，提供4W(who/when/where/what)审计数据。经过实时监测并智能地分析、还原多种数据库操作，解析数据库登录、注销、插入、删除、存放过程实施等操作，还原SQL操作语句;跟踪数据库访问过程中全部细节，包含用户名、数据库操作类型、所访问数据库表名、字段名、操作实施结果、数据库操作内容取值等。全方位数据库活动审计：实时监控来自各个层面全部数据库活动。如：来自应用程序提议数据库操作请求、来自数据库用户端工具操作请求、来自数据库管理人员远程登录数据库服务器产生操作请求等。完整双向审计：除可实时监控数据库请求操作以外，还能够实时监控全部请求操作后数据库回应信息，如命令实施情况，错误信息等。潜在危险活动关键审计：提供对DDL类操作、DML类操作关键审计功效，关键审计规则审计要素能够包含：用户、源IP地址、操作时间(任意天、一天中时间、星期中天数、月中天数)、使用SQL操作类型(Select/Delete/Drop/Insert/Update)。当某个数据库活动匹配了事先定义关键审计规则时，一条报警将被统计以进行审计。关键审计规则设置：关键审计结果展示：敏感信息细粒度审计：对业务系统关键信息，提供完全自定义、正确到字段及统计内容细粒度审计功效。自定义审计要素包含登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间段(本日、本周、本月、最近三小时、最近十二小时、最近二十四小时、最近七天、最近三十天、任意时间段)、使用SQL操作类型(select/delete/drop/insert/update/create/turncate)、统计内容。依据操作类型及统计内容进行细粒度审计：细粒度审计结果展示：远程ftp操作审计和回放：对发生在数据库服务器上ftp命令进行实时监控、审计及回放。审计要素包含：ftp用户、ftp用户端IP地址、命令实施时间段(本日、本周、本月、最近三小时、最近十二小时、最近二十四小时、最近七天、最近三十天、任意时间段)、实施ftp命令(get/put/ls等等)。自定义ftp操作审计：ftp审计结果展示：ftp回放：远程telnet操作审计和回放：对发生在数据库服务器上Telnet命令进行实时监控、审计及回放。审计要素包含：telnet用户、telnet用户端IP地址、命令实施时间段(本日、本周、本月、最近三小时、最近十二小时、最近二十四小时、最近七天、最近三十天、任意时间段)、telnet登录后实施系统命令(login/pwd/root等等)。自定义telnet操作审计：telnet操作审计结果展示：会话分析和查看：单个离散操作(Sql操作、ftp命令、telnet命令)还不足于了解用户真实意图，一连串操作所组成一个完整会话展现，能够愈加清楚地判定用户意图(违规\粗心\恶意)。Telent操作审计会话查看：2.1.4审计报表数据库审计和风险控制系统内嵌了功效强大报表模块，除了按安全经验、行业需求分类预定义固定格式报表外，管理员还能够利用报表自定义功效生成定制化汇报。汇报模块同时支持Word、Excel、PowerPoint、Pdf格式数据导出。系统缺省提供以下报表：数据库攻击源统计示意图：数据库操作审计示意：同时提供灵活格式报表功效，能够方便依据业务逻辑来动态格式化报表元素，提供强大样式定义，对于熟悉CSS设计人员来说，能够设计出相当出色报表样式。2.1.5安全事件回放许可安全管理员提取历史数据，对过去某一时段事件进行回放，真实展现当初完整操作过程，便于分析和追溯系统安全问题。很多安全事件或和之关联事件在发生一段时间后才引发对应人工处理,这个时候,作为独立审计数据库审计和风险控制系统就发挥尤其作用.因为全部FTP、telnet、用户端连接等事件全部保留后台(包含相关告警),对相关事件做定位查询，缩小范围，使得追溯变得轻易;同时因为这是独立监控审计模式,使得相关证据更含有公证性。Sql操作回放示意图：telnet命令回放示意图：2.1.6综合管理数据库审计和风险控制系统提供WEB-base管理页面，数据库安全管理员在不需要安装任何用户端软件情况下，基于标准浏览器即可完成对数据库审计和风险控制系统相关配置管理，关键包含“审计对象管理、系统管理、用户管理、功效配置、风险查询”等。下图为审计对象配置示意图：下图为系统配置示意图：下图为风险查询示意图：2.2审计步骤明御数据库审计和风险控制系统数据库审计步骤以下图所表示：2.2.1审计数据采集明御数据库审计和风险控制系统审计数据采集方法包含：网络抓包、当地操作审计，采集内容关键包含：账号登录行为数据：采集对账号登录动作审计。具体包含：账号名称、登录成功或登录失败、用户终端IP/ID、登录时间等;对异常动作审计统计，应统计越权企图、用户终端IP/ID、登录时间等;账号登录后多种操作统计，统计多种操作操作人员、操作时间、操作内容，具体包含：对数据库通常操作统计;对关键数据操作统计;数据库特殊命令操作统计明御数据库审计和风险控制系统对审计数据采集大多数情况下是经过网络获取，因为其采取了专用硬件加速接口卡，能够在千兆环境下线速捕捉，所以确保了明御数据库审计和风险控制系统含有交换机一样高吞吐量和低延时、而且确保了审计信息不会丢失。2.2.2审计数据标准化审计数据起源自多个方法采集数据，而这些数据定义格式不尽相同。所以，审计数据标准化就必需把这些不一样格式事件转化成标准格式，然后写入审计数据库。在标准化过程中，也需要对多个方法采集数据进行排重处理。2.2.3审计数据归并对于标准化处理后审计数据必需对一些数据进行归并(会聚)。归并规则，就是在什么情况下，满足什么条件，对哪些字段进行归并。事件归并功效能够对海量审计数据依据归并条件进行归并，达成简化审计数据，提升审计数据正确率。审计数据归并规则包含以下属性：归并字段：归并处理审计数据字段，所列字段内容相同审计数据才进行归并;归并时间：归并审计数据时间窗口，指多长时间进行一次归并;归并数目：需要归并事件数量，指多少事件进行一次归并;对被归并审计数据处理方法：被归并审计数据以何种方法进行处理;被归并审计数据处理方法：丢弃：直接将被归并审计数据全部丢弃，不写入数据库;写入数据库：将被归并审计数据全部写入数据库;经过预设归并规则模板，方便对海量审计数据归并，明御数据库审计和风险控制系统提供以下预设模板：依据审计数据名称进行归并分析;依据审计数据类型进行归并分析;依据审计数据原始时间进行归并分析;依据受审计设备类型进行归并分析;2.2.4安全事件关联经过安全事件关联功效，来深度挖掘安全隐患、判定审计数据严重程度，包含关联分析类型和关联分析规则内容。基于时序关联规则：将账号登录行为和账号多种业务操作行为依据时序进行关联。经过时序关联，形成某一个账号连续登录行为和操作行为，依据制订审计策略判定其是否业务操作习惯;依据时序关联判定实施每个业务操作账号是否含有正常登录统计等;基于账号和关键操作行为关联：将对数据库系统关键业务操作时所使用账号信息进行关联，用来判定该账号是否正常使用;判定该账号是否含有该项权限所对应权限范围，是否为正当用户等等。基于账号和权限关联：将账号应该对应权限和实际系统中给予权限进行关联，用来审计账号访问权限是否合理;查询资源授权访问者，权限分配时间、分配者等是否和审批一致。2.2.5审计结果展现审计数据展现和安全风险管理是亲密相关。明御数据库审计和风险控制系统提供对审计数据进行实时监控和实时展现。在审计数据展现或响应中，能够支持邮件、弹出窗口、syslog、SNMPTrap、手机信息、声音报警等多个方法。2.2.6灵活汇报展现明御数据库审计和风险控制系统内嵌了功效强大报表模块，除了按安全经验、行业需求分类预定义固定格式报表外，管理员还能够利用报表自定义功效生成定制化汇报。汇报模块同时支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式数据导出。支持两种报表生成模式，即预置固定格式