数据库审计与风险控制系统白皮书

明御TM数据库审计与风险控制系统DAS-DBAuditor产品白皮书杭州安恒信息技术

版权申明本文档包含了来自杭州安恒信息技术机密的技术和商业信息，提供给杭州安恒信息技术的客户或合作伙伴使用。接受本文档表示同意对其内容保密并且未经杭州安恒信息技术书面认可，不得复制、泄露或散布本文档的全部或局部内容。本文档及其描述的产品受有关法律的版权保护，对本文档内容的任何形式的非法复制，泄露或散布，将导致相应的法律责任。杭州安恒信息技术保存在不另行通知的情况下修改本文档的权利，并保存对本文档内容的解释权。ThisdocumentcontainsconfidentialtechnicalandcommercialinformationfromHangzhouAnhengInfo&TechCo.Ltd.NopartofitmaybereproducedortransmittedinanyformormeanswithoutthepermissionofHangzhouAnhengInfo&TechCo.Ltd.Thisdocumentandtheproductitdescribesareprotectedbycopyrightaccordingtotheapplicablelaws.Theinformationinthisdocumentissubjecttochangewithoutnoticeanddescribesonlytheproductdefinedintheintroductionofthisdocumentation.HangzhouAnhengInfo&TechCo.Ltdwill,ifnecessary,explainissues,whichmaynotbecoveredbythedocument.AnhenglogoisaregisteredtrademarkofHangzhouAnhengInfo&TechCo.Ltd.Theotherproductnamesmentionedinthisdocumentmaybetrademarksoftheirrespectivecompanies,andtheyarementionedforidentificationpurposesonly.Copyright©2007-2010HangzhouAnhengInfo&TechCo.Ltd.Allrightsreserved.

目录1. 公司简介 42. 数据库面临的平安挑战 53. 法令法规的要求 64. 主要功能 74.1. 数据库静态审计 74.2. 实时监控与风险控制 84.3. 齐全的实时审计 94.4. 均衡的双向审计 134.5. 细粒度审计规那么 144.6. 精准的行为检索 154.7. 独有的三层审计 164.8. 完备的审计报表 174.9. 平安事件回放 194.10. 多形式的预警机制 204.11. 系统配置管理 214.12. 分部式部署管理 234.13. 自身日志的审计 235. 产品特点 255.1. 最全的数据库类型支持 255.2. 独立审计模式 255.3. 灵活的动态审计规那么 255.4. 全方位、细粒度审计分析 255.5. 合规的职责别离 265.6. 零风险部署 265.7. 完备的自身平安 266. 产品规格及型号 287. 典型案例 298. 产品资质 30

公司简介杭州安恒信息技术(DBAPPSecurity)，简称“安恒信息”，是业界领先的应用平安及数据库平安整体解决方案提供商，专注于应用平安前沿趋势的研究和分析，核心团队拥有多年应用平安和数据库平安的深厚技术背景以及最正确平安攻防实践经验，以全球领先具有完全自主知识产权的专利技术，致力于为客户提供给用平安、数据库平安、不良网站监测、平安管理平台等整体解决方案。安恒信息公司总部位于杭州高新区，在北京、上海、广东、四川、美国硅谷等地都设有分支机构、遍布全国的代理商体系以及销售与效劳网络能够为用户提供精准、专业的效劳。公司成立以来安恒人始终以建立民族自主品牌为己任，秉承“精品创新，恒久品质”的理念，力争打造中国信息平安产业应用平安与数据库平安第一品牌。多年来，安恒信息以其精湛的技术，专业的效劳得到了广阔客户的青睐，同时赢得了高度的商业信誉。其客户遍布全国，涉及金融、运营商、政府、公安、能源、教育、医疗、税务/工商、社保、等保评估/平安效劳机构、电子商务企业等众多行业。安恒信息目前拥有明鉴、明御两大系列自主研发产品，是应用平安、数据库审计、不良网站监测等领域的市场绝对领导者。其中明鉴系列应用扫描器被国家等级保护测评中心等国内权威等级保护测评机构广泛使用。未来，安恒信息将继续秉承诚信和创新精神，继续致力于提供具有国际竞争力的自主创新产品和效劳，全面保障客户应用与数据库的平安，为打造世界顶级的产品而不懈努力。作为2008北京奥组委平安产品和效劳提供商，安恒信息被奥组委授予“奥运信息平安保障杰出奉献奖”。在2009年建国60周年全国网站平安大检查中，公安部和工信部平安中心均选用安恒信息明鉴应用弱点扫描作为平安检查工具并发挥了重大作用。2010年，安恒信息作为上海世博会平安产品和效劳的提供商，为上海世博会信息平安保驾护航。

数据库面临的平安挑战数据库是任何商业和公共平安中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。互联网的急速开展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面：管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待标准，第三方维护人员的操作监控失效等等，致使平安事件发生时，无法追溯并定位真实的操作者。技术层面：现有的数据库内部操作不明，无法通过外部的任何平安工具〔比方：防火墙、IDS、IPS等〕来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,比方:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于表达审计信息的真实性。伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的平安风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。为了解决数据库信息平安领域的深层次、应用及业务逻辑层面的平安问题及审计需求，安恒公司在多年数据库平安的理论和实践经验积累的根底上，成功推出了业界首创的、面向政府、企业核心数据库的平安产品明御TM数据库审计与风险控制系统，该产品重点实现细粒度审计、精准化行为回溯、全方位风险控制，为您的核心数据库提供全方位、细粒度的保护功能。

法令法规的要求1、计算机信息系统平安等级保护要求《计算机信息系统平安等级保护数据库管理技术要求》是计算机信息系统平安等级保护技术要求系列标准之一，详细说明了计算机信息系统为实现GB17859所提出的平安等级保护要求对数据库管理系统的平安技术要求，以及确保这些平安技术所实现的平安功能到达其应有的平安性而采取的保证措施。《计算机信息系统平安等级保护数据库管理技术要求》第四章“数据库管理系统平安技术要求”中第四节“数据库平安审计”中明确提出：数据库管理系统的平安审计应：建立独立的平安审计系统定义与数据库平安相关的审计事件设置专门的平安审计员设置专门用于存储数据库系统审计数据的平安审计库提供适用于数据库系统的平安审计设置、分析和查阅的工具2、企业内部控制标准--根本标准的内部审计机制第二十六条：健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。企业应当加强内部审计工作，在企业内部形成有权必有责、用权受监督的良好气氛。商业银行内部控制指引——计算机信息系统的内部控制支付卡行业数据平安标准——要求和平安评估程序〔2008〕电子银行平安评估指引〔2007〕电子银行业务管理方法〔2008〕期货公司信息技术管理指引《萨班斯SOX法案》………

主要功能数据库审计与风险控制系统主要的功能模块包括“静态审计、实时监控与风险控制、实时审计、双向审计、细粒度审计规那么、精准的行为检索、三层关联审计、完备的审计报表、平安事件回放、审计对象管理、多形式的预警机制、系统配置管理”几个局部。数据库静态审计数据库静态审计的目的是代替繁琐的手工检查,预防平安事件的发生。DAS-DBAuditor依托其权威性的数据库平安规那么库，自动完成对几百种不当的数据库不平安配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等静态审计，通过静态审计，可以为后续的动态防护与审计的平安策略设置提供有力的依据。静态审计由系统管理、工程管理、平安扫描、报表管理几个子模块组成：其中：风险趋势管理：通过基线创立生成数据库结构的指纹文件，通过基线扫描发现数据库结构的变化，从而实现基于基线的风险趋势分析；弱点检测与弱点分析：根据内置自动更新的弱点规那么完成对数据库配置信息的平安检测及数据库对象的平安检测；弱口令检测：依据内嵌的弱口令字典完成对口令强弱的检测；补丁检测：根据补丁信息库及被扫描数据库的当前配置，完成补丁安装检测存储过程检测：根据内嵌的平安规那么，对存储过程进行平安检测，如：是否存在SQL注入漏洞；工程管理：按工程方式对扫描任务进行增/删/改管理；报表管理：提供扫描报告的存储、查看、多文件格式导入/导出功能；系统管理：提供鉴权管理、许可管理、日志管理、升级管理及自身完整性检测；实时监控与风险控制DAS-DBAuditor可保护业界主流的数据库系统，防止受到特权滥用、漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时，DAS-DBAuditor会自动根据预设置的风险控制策略，结合对数据库活动的实时监控信息，进行特征检测及审计规那么检测，任何尝试的攻击或违反审计规那么的操作都会被检测到并实时阻断或告警。齐全的实时审计DAS-DBAuditor基于“数据捕获→应用层数据分析→监控、审计和响应”的模式提供各项平安功能，使得它的审计功能大大优于基于日志收集的审计系统，通过收集一系列极其丰富的审计数据，结合细粒度的审计规那么、以满足对敏感信息的特殊保护需求。数据库动态审计可以彻底摆脱数据库的黑匣子状态，提供4W〔who/when/where/what〕审计数据。通过实时监测并智能地分析、复原各种数据库操作，解析数据库的登录、注销、插入、删除、存储过程的执行等操作，复原SQL操作语句；跟踪数据库访问过程中的所有细节，包括用户名、数据库操作类型、所访问的数据库表名、字段名、操作执行结果、数据库操作的内容取值等。全方位的数据库活动审计：实时监控来自各个层面的所有数据库活动以及活动的内容。如：来自应用程序发起的数据库操作请求、来自数据库客户端工具的操作请求、来自数据库管理人员远程登录数据库效劳器产生的操作请求、操作返回的结果等。绑定变量〔BindVariable〕的支持：对业务系统中绑定变量的支持可通过多个数据包中的关联，将绑业变量值转换到前SQL命令中组合而成。潜在危险活动重要审计：提供对DDL类操作、DML类操作的重要审计功能，重要审计规那么的审计要素可以包括：用户、源IP地址、操作时间〔任意天、一天中的时间、星期中的天数、月中的天数〕、使用的SQL操作类型〔Select/Insert/Update/Delete/Truncate/Create/Drop/Rollback/Grant/Alter/Call/Logout/Login〕。当某个数据库活动匹配了事先定义的重要审计规那么时，一条报警将被记录以进行审计。重要审计规那么设置：重要审计结果展示：敏感信息细粒度审计：对业务系统的重要信息，提供完全自定义的、精确到字段及记录内容的细粒度审计功能。自定义的审计要素包括登录用户、源IP地址、数据库对象〔分为数据库用户、表、字段〕、操作时间段〔本日、本周、本月、最近三小时、最近十二小时、最近二十四小时、最近七天、最近三十天、任意时间段〕、使用的SQL操作类型〔Select/Insert/Update/Delete/Truncate/Create/Drop/Rollback/Grant/Alter/Call/Execute/Logout/Login〕、记录内容。根据操作类型及记录内容进行细粒度审计：远程ftp操作审计与回放：对发生在数据库效劳器上的ftp命令进行实时监控、审计及回放。审计的要素包括：ftp用户、ftp客户端IP地址、命令执行时间段〔本日、本周、本月、最近三小时、最近十二小时、最近二十四小时、最近七天、最近三十天、任意时间段〕、执行的ftp命令〔get/put/ls等等〕。ftp审计结果展示：ftp回放：远程telnet操作审计与回放：对发生在数据库效劳器上的Telnet命令进行实时监控、审计及回放。审计的要素包括：telnet用户、telnet客户端IP地址、命令执行时间段〔本日、本周、本月、最近三小时、最近十二小时、最近二十四小时、最近七天、最近三十天、任意时间段〕、telnet登录后执行的系统命令〔login/pwd/root等等〕。自定义telnet操作审计：会话分析与查看：单个离散的操作〔Sql操作、ftp命令、telnet命令〕还缺乏于了解用户的真实意图，一连串的操作所组成的一个完整会话展现，可以更加清晰地判断用户的意图〔违规的\粗心的\恶意的〕。Telent操作审计会话查看：均衡的双向审计系统通过对双向数据包的解析、识别及复原，不仅对数据库操作请求进行实时审计，而且还可对数据库系统返回结果进行完整的复原和审计，包括数据库命令执行时长、执行的结果集等内容；细粒度审计规那么系统支持对数据库对象〔包括用户〔数据库〕、表、字段、视图、索引、存储过程、包等〕进行审计规那么定制，同时也提供细粒度的审计规那么，如精细到表、字段、具体报文内容的细粒度审计规那么，实现对敏感信息的精细监控；基于IP地址、MAC地址和端口号审计；提供可定义作用数量动作门限、可设定关联表数目动作门限、根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规那么。精准的行为检索对于用户来讲，一旦发生平安事件都需要通过查询事件前后过程，获取有效的信息来协助管理人员找到相应的操作过程。系统通过各种要素多重组合的方式进行查询，能够快速地精确地定位到相应位置。独有的三层审计对于B/S架构的应用系统而言，用户通过WEB效劳器实现对数据库的访问，传统的数据库审计系统只能审计到WEB效劳器的相关信息，无法识别是哪个原始访问者发出的请求。安恒DAS-DBAuditor通过关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息〔如：操作发生的URL、客户端的IP等信息〕，产品主要根据时间片、关键字等要素进行信息筛选，以确定符合数据库操作请求的WEB访问，通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。三层审计的部署示意图如下：WEB应用挖掘完备的审计报表DAS-DBAuditor内嵌了功能强大的报表模块，除了按平安经验、行业需求分类的预定义固定格式报表外，管理员还可以利用报表自定义功能生成定制化的报告。报告模块同时支持Word、Excel、PowerPoint、Pdf格式的数据导出。报表图如下：网络流量统计操作类型统计应用协议流量统计目的IP访问趋势分析平安事件回放允许平安管理员提取历史数据，对过去某一时段的事件进行回放，真实展现当时的完整操作过程，便于分析和追溯系统平安问题。很多平安事件或者与之关联的事件在发生一段时间后才引发相应的人工处理,这个时候,作为独立审计的DAS-DBAuditor就发挥特别的作用.因为所有的FTP、telnet、客户端连接等事件都保存后台(包括相关的告警),对相关的事件做定位查询，缩小范围，使得追溯变得容易；同时由于这是独立监控审计模式,使得相关的证据更具有公证性。Sql操作回放示意图：telnet命令回放示意图：多形式的预警机制对于违反告警及审计规那么的信息，系统提供了多形式的预警，包括通过短信、邮件、屏幕、以及SYSLOG、SNMP等发送到明御综合日志中心管理平台或其它相应的网管中心平台。网关设置SNMP设置系统配置管理DAS-DBAuditor提供WEB-base的管理页面，数据库平安管理员在不需要安装任何客户端软件的情况下，基于标准的浏览器即可完成对DAS-DBAuditor的相关配置管理，主要包括“探测器配置、常规配置、系统配置”等。下列图为探测器配置示意图：下列图为常规配置示意图：下列图为系统配置示意图：分部式部署管理系统支持对多个数据库审计节点的中心管理，包括数据归并、查询统计、告警通知、审计谋略分发等管理。能够实现复杂网络环境下的数据库操作审计。自身日志的审计提供针对审计设备自身的操作日志进行详细记录，满足相关法令法规要求。故障自动排查平台故障自动排查平台提供全方位的故障排查，无需使用客户端软件即可发现审计设备的端口状态监听、镜像数据流量监控、设备效劳状态检查、授权许可查看、前台系统配置等内容自动检测，对报错的内容提供针对性的解决方案。

产品特点最全的数据库类型支持DAS-DBAuditor支持目前市场上绝大局部的数据库类型，如Oracle、MSSQLserver、DB2、Sybase、MySQL、Informix、Oscar等。独立审计模式作为一个网络平安设备，DAS-DBAuditor审计数据通过网络完全独立地采集，这使得数据库维护或开发小组，平安审计小组的工作进行适当的别离。而且，审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于DAS-DBAuditor自带的存储空间中，防止了数据库特权用户或恶意入侵数据库效劳器用户，干扰审计信息的公正性。灵活的动态审计规那么DAS-DBAuditor使用审计引擎对所有的数据库活动、数据库效劳器远程操作进行实时的、动态的审计。全方位、细粒度审计分析完整性：独一无二的三层审计，可针对应用层、中间层、数据层各层次进行关联审计；全方位：实时监控来自各个层面的所有数据库活动，包括SQL操作、ftp操作、telnet操作；细粒度：细粒度的审计规那么、精准化的行为回溯、全方位的风险控制：敏感信息审计：精细到表、字段、记录内容的细粒度审计谋略，实现对敏感信息的精细监控；重要审计：提供对潜在危险活动〔如：DDL类操作、DML类操作〕的重要审计优化视图；有效性：独有专利技术实现对数据库平安的各类风险〔攻击风险、管理风险〕的有效控制；灵活的、可自定义的审计规那么满足了各类内控和外审的需求〔有效控制误操作、越权操作、恶意操作等违规行为〕公正性：基于独立监控审计的工作模式，实现了数据库管理与审计的别离，保证了审计结果的真实性、完整性、公正性；合规的职责别离SOX法案或者专业职责标准(如PCI)中明确提出对工作人员进行职责别离，系统设置了权限角色别离，如系统管理员负责设备的运行设置；规那么配置员负责相关数据库操作规那么的设定；审计员负责查看相关审计记录及规那么违反情况；日志员负责查看整体设备的操作日志及规那么的修改情况等。零风险部署DAS-DBAuditor可在不改变现有的网络体系结构〔包括：路由器、防火墙、应用层负载均衡设备、应用效劳器等〕的情况下快速部署。采用旁路镜像、TAP分光、负载均衡分流等方式。完备的自身平安DAS-DBAuditor全方位确保设备本身的高可用性，包括但不限于：物理保护；关键部件采用冗余配置〔如：冗余电源、内置硬盘RAID等〕。掉电保护：设备掉电〔如电源被不慎碰掉〕时，网络流量将会直接贯穿。系统故障保护：内置监测模块准实时地监测设备自身的健康状况。不间断的管理保护：在进行策略配置情况下，能保持网络的连接和保护。不丢包：基于硬件加速的接口卡，在高速环境下实现100%数据包捕获。冗余部署：在具备冗余体