數(shù)據(jù)庫審計和防護(hù)系統(tǒng)

1. 概述

1.1 背景介紹

隨著政府部門、金融機(jī)構(gòu)、企事業(yè)單位、商業(yè)組織等對重要數(shù)據(jù)庫業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫應(yīng)用系統(tǒng)依賴程度的日益增強(qiáng)，數(shù)據(jù)庫安全及數(shù)據(jù)安全的問題受到普遍關(guān)注。由于信息化建設(shè)、業(yè)務(wù)增長、系統(tǒng)上云等因素，在各系統(tǒng)中的數(shù)據(jù)庫服務(wù)器也不斷增加，對數(shù)據(jù)庫的管理的方式和通道也日趨復(fù)雜多樣。在如此繁雜的情況下，引發(fā)了如濫用特權(quán)賬號、濫用合法權(quán)限、身份驗(yàn)證不規(guī)范、備份數(shù)據(jù)暴露、審計記錄不足等各類安全問題，并加大了IT內(nèi)控審計的難度。

與此同時，數(shù)據(jù)安全問題日益突出，如系統(tǒng)和數(shù)據(jù)庫的通信協(xié)議存在漏洞、SQL注入攻擊、拒絕服務(wù)攻擊、權(quán)限和賬號被盜、弱口令等，給攻擊者留下了可趁之機(jī)，也給管理者帶來了管理層面的麻煩與困難。

據(jù)風(fēng)險數(shù)據(jù)公司RBS統(tǒng)計，截至到2020年Q3，公開的數(shù)據(jù)泄露事件已發(fā)生2953起與2019和2018年對比都要低不少，與之形成強(qiáng)烈對比的是數(shù)據(jù)泄露條數(shù)達(dá)驚人的360億（較去年同期增長356%）。世界正在走向大數(shù)據(jù)、云和萬物互聯(lián)的數(shù)字化時代，而數(shù)字化的數(shù)據(jù)泄露加劇已成常態(tài)，千萬級別的數(shù)據(jù)泄漏已不鮮見，造成的損失觸目驚心。

1.2 風(fēng)險分析

數(shù)據(jù)庫安全風(fēng)險及需求，可以歸納為以下幾個方面：

1.2.1 內(nèi)部訪問風(fēng)險

有30%的數(shù)據(jù)庫威脅是來自內(nèi)部，如DBA、數(shù)據(jù)庫開發(fā)人員、操作人員等；容易出現(xiàn)權(quán)限濫用、誤操作、弱口令等問題，給管理帶來了很大困難，更加無法進(jìn)行有效的記錄和預(yù)警。

1.2.2 外部訪問風(fēng)險

有70%的數(shù)據(jù)庫威脅是來自外部，互聯(lián)網(wǎng)訪問者、外包人員通過互聯(lián)網(wǎng)途徑訪問；容易出現(xiàn)越權(quán)操作、惡意訪問、賬號密碼泄露等問題。甚至容易被黑客攻擊，如SQL注入、零日攻擊等，同樣給管理帶來了很大的難度。

1.2.3 傳統(tǒng)安全防護(hù)手段的缺陷

面對外部訪問威脅，通常的做法是利用傳統(tǒng)的安全系統(tǒng)進(jìn)行防護(hù)，如防火墻、IPS、IDS等，但是面對諸如SQL注入、零日攻擊等威脅，常常束手無策。

面對內(nèi)部訪問威脅，傳統(tǒng)安全系統(tǒng)也無法有效控制或記錄數(shù)據(jù)庫產(chǎn)生的風(fēng)險。

1.2.4 系統(tǒng)自身審計的缺陷

應(yīng)用系統(tǒng)或數(shù)據(jù)庫系統(tǒng)，自身都帶有系統(tǒng)日志，具備一定的分析作用。

但是，系統(tǒng)自身的日志不僅可讀性差，而且容易被篡改，更加不具備第三方獨(dú)立性和權(quán)威性；甚至，開啟自身記錄功能之后，直接影響了系統(tǒng)的性能以及穩(wěn)定性。

1.2.5 如何滿足合規(guī)要求

隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)已經(jīng)深入并融合到社會的各個階層和組織中，數(shù)據(jù)的安全已經(jīng)成為社會安全的重要組成部分。如何應(yīng)對海量數(shù)據(jù)應(yīng)用帶來的各種威脅，已經(jīng)成為上至國家、下至組織和個人關(guān)注的重點(diǎn)問題之一。

目前國內(nèi)、國際的很多標(biāo)準(zhǔn)、法案法規(guī)都要求相關(guān)組織單位建設(shè)安全的審計系統(tǒng)，并確保審計信息是安全、完整、可查及唯一的：

? 信息安全等保要求訪問來源識別、數(shù)據(jù)審計、日志記錄、審計報表等。

? ISO27001標(biāo)準(zhǔn)要求記錄用戶訪問、意外和信息安全事件的日志，以便為安全事件調(diào)查取證等。

? SOX法案要求組織設(shè)計和執(zhí)行了適當(dāng)?shù)臄?shù)據(jù)保護(hù)技術(shù)，以確保財務(wù)報表數(shù)據(jù)的可靠、可信等。

? 企業(yè)內(nèi)控規(guī)范要求企業(yè)嚴(yán)格執(zhí)行規(guī)范要求，以加強(qiáng)和規(guī)范內(nèi)部控制、提高風(fēng)險防范能力等。

? 等保2.0更是加強(qiáng)了對數(shù)據(jù)及數(shù)據(jù)庫安全的要求。

2. 產(chǎn)品介紹

閃捷數(shù)據(jù)庫審計與防護(hù)系統(tǒng)基于“CII”設(shè)計理念，設(shè)計出針對數(shù)據(jù)庫安全的專業(yè)解決方案，可以幫助您解決以下問題:

? n識別越權(quán)使用、權(quán)限濫用，管理數(shù)據(jù)庫帳號權(quán)限

? n自動跟蹤敏感數(shù)據(jù)訪問行為，及時發(fā)現(xiàn)敏感數(shù)據(jù)泄漏

? n自動檢測數(shù)據(jù)庫系統(tǒng)運(yùn)行弱點(diǎn)、發(fā)現(xiàn)SQL注入等漏洞

? n自動創(chuàng)建數(shù)據(jù)庫業(yè)務(wù)模型、及時發(fā)現(xiàn)異常SQL

? n實(shí)時監(jiān)測SQL交互量、TCP會話、風(fēng)險行為等態(tài)勢

? n為數(shù)據(jù)庫管理與優(yōu)化提供決策依據(jù)

? n滿足法律、法規(guī)要求，提供符合性報告

? n低成本且有效推行IT管理制度

閃捷數(shù)據(jù)庫審計與防護(hù)系統(tǒng)支持旁路審計、代理審計和插件審計三種工作模式，來獲取數(shù)據(jù)流量，通過對數(shù)據(jù)流量進(jìn)行深度解析來實(shí)現(xiàn)對數(shù)據(jù)庫的審計，幫助用戶實(shí)時統(tǒng)計訪問數(shù)據(jù)庫的請求和風(fēng)險，提升數(shù)據(jù)庫運(yùn)行監(jiān)控的透明度，降低人工審計成本，真正實(shí)現(xiàn)數(shù)據(jù)庫全業(yè)務(wù)運(yùn)行可視化、日常操作可監(jiān)控、危險操作可控制、所有行為可審計、安全事件可追溯。

閃捷數(shù)據(jù)庫審計與防護(hù)系統(tǒng)還提供靈活的告警策略、細(xì)粒度的審計日志和合規(guī)性的報表，解決客戶的核心數(shù)據(jù)庫面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅，滿足各類法令法規(guī)對數(shù)據(jù)庫審計的要求，廣泛適用于“政府、金融、運(yùn)營商、公安、能源、稅務(wù)、工商、社保、交通、衛(wèi)生、教育、電子商務(wù)及企業(yè)”等所有使用數(shù)據(jù)庫的行業(yè)。

2.1 設(shè)計理念

閃捷數(shù)據(jù)庫審計與防護(hù)系統(tǒng)是閃捷信息基于多年數(shù)據(jù)庫安全的理論和實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上，結(jié)合各類法令法規(guī)（如網(wǎng)絡(luò)安全法、SOX法案、等級保護(hù)、PCI、企業(yè)內(nèi)控管理等）對數(shù)據(jù)庫審計的要求，自主研發(fā)完成的業(yè)界首創(chuàng)智能自動學(xué)習(xí)、自動建模、風(fēng)險自識別、細(xì)粒度審計、精準(zhǔn)化行為告警、全方位的數(shù)據(jù)庫安全審計產(chǎn)品。

通過“CII”的設(shè)計理念，為客戶的核心數(shù)據(jù)庫資產(chǎn)構(gòu)建“最后一道安全防線”。

2.2 基本工作原理

閃捷數(shù)據(jù)庫審計和防護(hù)系統(tǒng)，利用風(fēng)險智能識別技術(shù)對異常和高危的數(shù)據(jù)庫訪問進(jìn)

2.3 部署模式

閃捷數(shù)據(jù)庫審計與防護(hù)系統(tǒng)不僅適用于物理環(huán)境，而且可直接部署在云端，幫助客戶防護(hù)和審計云端數(shù)據(jù)庫；可以適用于公有云、混合云的環(huán)境

2.3.1 旁路部署

閃捷數(shù)據(jù)庫審計與防護(hù)系統(tǒng)，采用“旁路偵聽”的部署模式，部署在核心交換中，通過端口鏡像方式捕獲數(shù)據(jù)流量，系統(tǒng)利用Smart審計引擎進(jìn)行數(shù)據(jù)分析與告警，不改動網(wǎng)絡(luò)拓?fù)?、不影響業(yè)務(wù)數(shù)據(jù)、不改變使用習(xí)慣。

2.3.2 云部署模式

在云主機(jī)中安裝數(shù)據(jù)庫審計Agent，獲取數(shù)據(jù)庫操作日志?？芍С帜壳爸髁鞯臄?shù)據(jù)庫，保證數(shù)據(jù)審計兼容、有效。

在訪問數(shù)據(jù)庫的應(yīng)用系統(tǒng)服務(wù)器上部署數(shù)據(jù)庫審計Agent，獲取數(shù)據(jù)庫訪問的日志數(shù)據(jù)，用作日志審計。

3. 產(chǎn)品優(yōu)勢

3.1 支持多種數(shù)據(jù)庫協(xié)議

不僅支持主流的數(shù)據(jù)庫，如oracle、sqlserver、mysql、DB2、informix、sybase；而且支持國產(chǎn)數(shù)據(jù)庫和專業(yè)的數(shù)據(jù)庫，同時還支持云數(shù)據(jù)庫及大數(shù)據(jù)組件的解析與審計。

3.2 超高設(shè)備性能，業(yè)界領(lǐng)先

閃捷數(shù)據(jù)庫審計系統(tǒng)支持超高的SQL處理能力，最高性SQL處理能可達(dá)18萬。

3.3 業(yè)界領(lǐng)先的實(shí)時會話展現(xiàn)形式

閃捷數(shù)據(jù)庫審計實(shí)時顯示當(dāng)前會話列表，讓數(shù)據(jù)庫訪問變得“一目了然”，實(shí)時定位風(fēng)險預(yù)警級別，讓數(shù)據(jù)庫風(fēng)險變得“不再隱蔽”！

3.4 細(xì)粒度的全面日志審計

通過5“W”的設(shè)計理念和數(shù)據(jù)流量的深度協(xié)議解析，最終實(shí)現(xiàn)能審計詳細(xì)的SQL日志信息，包括，來源信息、目標(biāo)信息、操作內(nèi)容、字段信息、語句類型等二十多種數(shù)據(jù)庫請求日志信息。

3.5 基于自動學(xué)習(xí)的用戶行為模型

閃捷數(shù)據(jù)庫審計與防護(hù)系統(tǒng)利用secsmart審計引擎，根據(jù)賬號、sql語句特征和訪問特征等內(nèi)置了智能的自動建模機(jī)制，最終實(shí)現(xiàn)正常與異常的數(shù)據(jù)分析能力；不僅幫助客戶梳理常態(tài)化的數(shù)據(jù)類型，而且可以有效快速的發(fā)現(xiàn)異常訪問；一旦發(fā)現(xiàn)異常則及時告警并通知管理員。

3.6 實(shí)時風(fēng)險趨勢展示

閃捷數(shù)據(jù)庫審計與防護(hù)系統(tǒng)基于深度分析技術(shù)引擎。自動分析數(shù)據(jù)庫的數(shù)據(jù)交互情況，能實(shí)時監(jiān)測到數(shù)據(jù)庫的SQL請求量、TCP會話量、威脅行為；能實(shí)時分析出數(shù)據(jù)庫的運(yùn)行狀態(tài)，通過數(shù)據(jù)威脅風(fēng)險的級別，對數(shù)據(jù)庫進(jìn)行分值評估，為管理層提供數(shù)據(jù)庫優(yōu)化的依據(jù)和建議報告。