新闻

产品

网页防篡改产品(WTP) 文件安全网关(FAM/FFW) WEB应用防火墙(WAF) 新一代防火墙(NFW) 持续数据保护系统(CDP) 备份一体机系统(酷备) 数据保护防泄漏系统(I盾) 终端准入(NAC) 移动终端管理(MDM) 桌面终端管理(DM) 身份认证产品(iToken) 数据库防护与审计(DBA) IT运维管理与审计(OMA) IT综合业务监控及流程管理平台(IMP) 敏捷数据管理平台(ADM) LANDESK 审计套件 LANDESK 移动设备管理器 LANDESK IT 资产管理套件 LANDESK 补丁管理器 LANDESK 安全套件 LANDESK管理套件

信息安全、管理、运维

您当前位置:首页 > 产品 > 信息安全、管理、运维 > 数据库防护与审计(DBA...

数据库防护与审计(DBA)

InforCube 数据库安全审计系统-S是一款专业的、致力于全面保障数据安全的管理系统,它可以有效监控数据库访问行为,准确掌握数据库系统的安全状态,及时发现违反数据库安全策略的事件,并实时告警、记录,从而实现安全事件的定位分析,事后追查取证,以此保障数据库安全。

概述 对比选择 系统要求 支持和学习


产品介绍

        数据库作为业务系统信息的载体,与各种应用程序或应用系统接口,随着企业业务的发展及IT技术的进步,越来越多的关键业务系统运行在数据库平台上,但随之也产生了数据的安全隐患。

        InforCube数据库安全审计系统,是一款专业、致力于全面保障数据安全的专业管理系统,它可以有效监控数据库访问行为,准确掌握数据库系统的安全状态,及时发现违反数据库安全策略事件,并实时报警、记录,从而实现对安全事件的定位分析、事后追查取证,以此全面保障数据库的安全。系统以网络审计方式为主,同时兼顾数据库本地审计,对数据库的查询、提供数据管理者查询、分析和决策,产品分为标准版与医疗版,适用于各种大中型组织以及医疗数据库审计的安全需求。

        InforCube数据库安全审计系统具有高效的数据库入侵防御功能,对恶意攻击或者误操作等敏感行为进行实时报警。系统采用了优良的体系结构,支持超大容量的数据库审计条目,支持对ORACLE、MSSQLServer、Sybase 等各种主流数据库进行审计,适用于各种大中型组织数据库审计的安全需求。 

       对于B/S架构的应用系统而言,用户通过WEB服务器实现对数据库的访问,传统的数据库审计系统只能审计到WEB 服务器的相关信息,无法识别是哪个原始访问者发出的请求。InforCube数据库安全审计系统通过关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息(如:操作发生的URL、客户端的IP等信息),产品主要根据时间片、关键字等要素进行信息筛选,以确定符合数据库操作请求的WEB访问,通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。

需求背景

       法律法规和行业标准促使企事业单位把审计过程扩展到企业数据库中存储的敏感数据。审计人员和IT人员必须合作来证明数据库系统、ERP及定制的业务应用系统符合相关法规的管制要求。还必须监视数据库管理员的活动,并将其与企业规则和规定进行比较。

       不幸的是,审计任务关键的应用程序和数据库不是一项简单工作。它们服务于各有不同权限的大量用户,支持高事物处理率,还必须满足苛刻的服务水平要求。商业数据库软件内建的审计能力不能满足独立性的基本要求,还会降低数据库性能并增加管理费用。另一方面,第三方审计产品不能记录跟踪审计员所需的所有信息。InforCube数据库安全审计系统是一个独立的、完整的审计解决方案,不但能够满足各种法规符合性要求,还能够保持应用系统的性能。

相关安全规范

       法规控制在一些领域起了关键性的作用,例如在业务变更、业务流程验证、系统故障、人为违规操作等方面。因为数据库作为各项资产或者业务的核心,所以数据库审计在各类标准法规中非常重要。

在《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中对数据库安全审计做出了明确的要求:

        1.审计范围应覆盖到服务器的每个数据库用户;

        2.审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全相关事件;

        3.审计记录应包括事件的日期、时间、类型、主体标识(账号)、客体标识(数据库表级、数据库字段级)和结果等;

        4.应能根据记录数据进行分析,并生成审计报表;

        5.应保护审计进程,避免受到未预期的中断;

        6.应保护审计记录,避免受到未预期的删除、修改或覆盖等。

由财政部、证监会、审计署、银监会、保监会联合制定并发布的《企业内部控制基本规范》对安全审计做出了以下要求:

        1.企业应当对必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。

        2.企业应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。

在SOX法案中,依据COBIT建立企业信息技术内部控制,其中对数据库安全审计做出了明确的要求:

        1.对企业内部敏感数据的存取行为审计

        2.对数据的DML操作行为审计

        3.对数据表的DDL操作行为审计

        4.出现的账号登录失败、SQL访问关键错误等异常情况审计

        5.对账号和角色的操作行为,例如Grant、Revoke等命令的审计

产品特点

        1.自主知识产权的操作系统

        InforCube数据库安全审计系统的操作系统借鉴了成熟的Linux 2.6内核,采用模块化设计和并行数据处理理念。具有高效性、高安全性、高健壮性、扩展性、可移植性、模块化、标准化等特征。其核心的专家会诊系统(ECS)把传统的串行数据处理方式优化为并行处理模式, 通过系统策略配置各个功能模块,可以实现全方位的需求满足和安全控制,保障了系统安全快速的运行。

        2.高性能的数据通讯平台

       高速数据通信平台可以根据用户的实际需求制定相应策略来配置系统,达到对用户实际需求的无缝契合。模块化设计及并行数据处理,使得系统在数据峰值处理能力、高峰抗压能力、平均处理能力以及大数量级下的查询能力等方面都具有良好的性能。

       3.数据库专家

       数据库专家系统由三个部分组成:故障诊断专家、数据安全专家、系统优化专家。

       故障诊断专家为数据库提供稳定性保障,其作用是发现并减少数据库系统故障的发生,并在发生故障时帮助数据库管理人员,判断数据库故障原因,减少宕机时间。故障诊断专家可对目标数据库系统进行一键式体检服务,产生体检报告,还可对故障点场景进行还原记录,及统计失败的数据库操作。

       数据库安全专家为数据库提供安全性保障,其作用是发现系统内隐藏的安全问题,并通过报告、图表等方式,展示给数据库管理人员。使管理人员能够通过这些数据找到安全隐患,及正在发生的安全事故,并能追查原凶,还原现场等。通过管理员设置策略,产品可对目标数据库访问进行攻击行为分析、越权操作分析、安全状态分析。

       系统优化专家为数据库的优化提供数据支持。管理人员可能过系统优化专家分析整理出的数据、报告、图表等,找到系统中存在的瓶颈,调优SQL及调整操作时间等。

        4.全独立审计模式

       通过网络完全独立地采集,这使得数据库维护或开发小组,安全审计小组的工作进行适当的分离。而且,审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于系统自带的存储空间中,避免了数据库特权用户或恶意入侵数据库服务器用户,干扰审计信息的公正性。

         5.全跟踪细粒度审计

        全面性:针对业务层、应用层、数据库等各个层面的操作进行跟踪定位,包括数据库SQL执行情况、数据库返回值等。

        细粒度:精确到表、对象、记录内容的细粒度审计策略,实现对敏感信息的精细监控; 

        独立性:基于独立监控审计的工作模式,实现了数据库管理与审计的分离,保证了审计结果的真实性、完整性、公正性。

产品功能

        1.全面的数据库审计

        能够监视并记录对数据库服务器的各类操作行为,实时地、智能地解析对数据库服务器的各种操作。

        可以审计的内容包括:

        Ø  审计用户对数据库的登陆、注销

        Ø  审计用户到数据库表的查询、插入、修改、删除、创建……

        Ø  能够监控各类数据库的连接客户的操作

        Ø  审计数据库返回结果

        SQL语句的支持SQL92标准,主要包括以下几种类型的审计:

        Ø  DDL:Create 、Drop、Alter…

        Ø  DML:Select、Update、Insert、Delete…

        Ø  DCL:Grant、Deny、Revoke…

        Ø  TCL:Begin、Commit、Rollback…

        Ø  存储过程

         目前,InforCube数据库安全审计系统支持以下数据库系统的审计,能够满足不同用户、不同发展阶段情况下的数据库审计需求:

        Ø  Oracle

        Ø  SQL-Server

        Ø  Mysql

        Ø  Cache

        Ø  DB2

        Ø  Informix

        Ø  Sybase

         2.数据收集和集中管控

InforCube数据库安全审计系统通过旁路镜像的模式进行部署,可以在不改变用户现有网络结构、不占用数据库服务器资源、不影响数据库性能的情况下实现对数据库的访问行为审计。

        InforCube数据库安全审计系统使用管控中心可统一管理下属所有审计设备,可提供实时查看下属子设备在线、离线情况,统一下发策略,统一收集告警记录,生成不同的告警报表,满足一些企业需要集中管控的需求。

InforCube数据库安全审计系统提供手动发现和自动定期发现功能,可及时发现新增或者一些未知的数据库并告警,并可加载为审计对象。

        3.智能的关联分析

InforCube数据库安全审计系统通过自动学习,同时提取web业务端和数据库端的协议流量,分析出具体业务操作请求URL、POST/GET值、业务账号、原始客户端IP、MAC地址、提交参数等。通过智能自动多层关联,关联出每条SQL语句所对应URL,以及其原始客户端IP地址等信息,实现追踪溯源。

        4.精确的绑定变量审计

        InforCube数据库安全审计系统支持对绑定变量的审计,不仅可以审计到调用绑定变量的数据库操作,同时也能够审计到对该变量真实的赋值过程,并进行关联分析。

        5.事件预警与报表功能

        InforCube数据库安全审计系统提供了网页、Syslog、短信、邮件等丰富的告警方式,可在第一时间通知管理人员,并可与IMP进行告警日志的集中展现。

        InforCube数据库安全审计系统内置了30多种高价值、符合法律法规的分析报表,可从数据库账号增删、权限变更、高危操作、审计记录、违规告警、账号复用、数据库性能分析等角度进行分析,同时支持自定义的方式定制更多报表。

        6.详细的双向审计

InforCube数据库安全审计系统通过协议解析,可以实现真正的双向审计。双向审计不但包含了SQL语句执行状态、返回行数、返回时间等基本信息,最为关键是包含了数据库的返回结果内容,并可对敏感信息进行屏蔽。

         7.数据库特征模型和基线管理

InforCube数据库安全审计系统通过对审计到的数据库行为进行自动分析,建立数据库访问行为的特征库和基线。一旦成功建立了行为的特征库和基线,审计系统就可以将审计到的操作与特征库和基线行为进行比较,可分析出不同时间段与基线行为的差异,非常方便的发现数据库账号、源IP/MAC、访问工具类型、操作系统主机名、操作系统用户名等操作情况,并发现数据库上存在的潜在风险操作,生成异常的违规操作记录,并以多种方式给客户进行提醒。

         8.灵活的审计策略

使用审计引擎对所有的数据库活动、数据库服务器远程操作进行实时的、动态的审计,并根据审计到客户端(IP、MAC、用户名……)、服务端(返回值、响应时间……)信息,自定义策略,实现审计可视化、可管理化。

         9.强大的故障诊断专家

         故障诊断专家为数据库提供稳定性保障,其作用是发现并减少数据库系统故障的发生以及在发生故障时帮助数据库管理人员,判断数据库故障原因,减少宕机时间。故障诊断专家可对目标数据库系统进行一键式体检服务,产生体检报告,还可对故障点场景进行还原记录,及统计失败的数据库操作。

          10. 全面的数据安全专家

         数据库安全专家为数据库提供安全性保障,其作用是发现系统内隐藏的安全问题,并通过报告、图表等方式,展示给数据库管理人员。使管理人员能够通过这些数据找到安全隐患,及正在发生的安全事故,并能追查原凶,还原现场等。通过管理员设置策略,产品可对目标数据库访问进行攻击行为分析、越权操作分析、安全状态分析。

          11. 实用的系统优化专家

          系统优化专家为数据库的优化提供数据支持。管理人员可通过系统优化专家分析整理出的数据、报告、图表等,找到系统中存在的瓶颈,调优SQL及调整操作时间等。

产品部署

        在部署方式上,采用了零风险的旁路部署方式。只要在交换机上设置镜像端口,而不需要对现有的网络体系结构进行调整,也无需对现有数据库进行任何更改或增加配置。

典型部署

图6-1 DBA典型部署示意图

院方部署

图6-2 DBA院方部署示意图

有中间件部署

图6-3 DBA中间件审计部署示意图

多级部署

图6-4 DBA多级部署示意图

应用效果

        1.满足合规性要求,顺利通过IT 审计

       目前,越来越多的单位面临一种或者几种合规性要求。比如,在美上市的中国移动集团公司及其下属分子公司就面临SOX 法案的合规性要求;而商业银行则面临Basel协议的合规性要求;政府的行政事业单位或者国有企业则有遵循等级保护、分级保护的合规性要求。

       InforCube数据库安全审计系统为用户核心系统提供了独立的审计解决方案,有助于完善组织的IT内控体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。

        2.有效减少核心信息资产的破坏和泄漏

       对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用InforCube数据库安全审计系统,能够加强对这些关键系统的审计,一旦出现违反安全的事件,及时告警,通知相关负责人,从而有效地减少对核心信息资产的破坏和数据泄漏。

        3.追踪溯源,便于事后追查原因与界定责任

       一个单位里负责运维的部门通常拥有数据库管理系统的最高权限(掌握DBA帐号的口令),因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。InforCube数据库安全审计系统能够帮助企业进行事后追查原因与界定责任。

        4.直观掌握业务系统运行状况,保障稳定运行

       业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说,网络环境的安全状况事关重大。InforCube数据库安全审计系统提供业务流量监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况,为数据库定期体检,对漏洞进行提前预警,提出优化建议,保障数据库性能的稳定。

        5.彻底杜绝违规统方行为的发生

       在不影响医院HIS系统、PACS系统、LIS系统、EMR系统等应用系统正常使用的前提下,在核心业务服务区增设防统方审计设备,通过对网络中的海量、无序的数据进行处理、分析,一旦出现违规统方事件,系统能够准确记录何人、何时、何地、以何种方式进行违规统方,供相关人员分析。系统既满足了医院信息建设中的合规性审计要求,又可以对越权操作、违规操作实时监控并追根溯源,实现了防统方手段从制度约束到技术限制的跨越,使工作人员从技术上远离统方禁区,有助于医院行风建设,树良好公众形象。