资料库安全审计系统主要用于监视并记录对资料库伺服器的各类操作行为,通过对网路数据的分析,实时地、智慧型地解析对资料库伺服器的各种操作,并记入审计资料库中以便日后进行查询、分析、过滤,实现对目标资料库系统的用户操作的监控和审计。
资料库安全技术之一,资料库安全技术主要包括:资料库漏扫、资料库加密、资料库防火墙、数据脱敏、资料库安全审计系统。
资料库安全风险包括:拖库、刷库、撞库。
基本介绍
- 软体名称:资料库安全审计系统
- 软体平台:一般是基于Linux
- 英文名字:InforCube DBA
概述
英文:Database security audit system
它可以监控和审计用户对资料库中的资料库表 、视图、序列、包、存储过程、函式、库、索引、同义词、快照、触发器等的创建、修改和删除等,分析的内容可以精确到SQL操作语句一级。它还可以根据设定的规则,智慧型的判断出违规运算元据库的行为,并对违规行为进行记录、报警。由于资料库安全审计系统是以网路旁路的方式工作于资料库主机所在的网路,因此它可以在根本不改变资料库系统的任何设定的情况下对资料库的操作实现跟蹤记录、定位,实现资料库的线上监控,在不影响资料库系统自身性能的前提下,实现对资料库的线上监控和保护,及时地发现网路上针对资料库的违规操作行为并进行记录、报警,有效地弥补现有套用业务系统在资料库安全使用上的不足,为资料库系统的安全运行提供了有力保障。
一、资料库安全审计系统主要功能包括:
· 实时监测并智慧型地分析、还原各种资料库操作过程。
· 根据规则设定及时阻断违规操作,保护重要的资料库表和视图。
· 实现对资料库系统漏洞、登录帐号、登录工具和数据操作过程的跟蹤,发现对资料库系统的异常使用。
· 支持对登录用户、资料库表名、栏位名及关键字等内容进行多种条件组合的规则设定,形成灵活的审计策略。
· 提供包括记录、报警、中断和向网管系统报警等多种回响措施。
· 具备强大的查询统计功能,可生成专业化的报表。
二、资料库安全审计系统主要特点
· 採用旁路技术,不影响被保护资料库的性能。
· 使用简单,不需要对被保护资料库进行任何设定。
· 支持SQL-92标準,适用面广,可以支持Oracle、MS SQL Server、Sybase、Informix等多类资料库。
· 审计精细度高,可审计并还原SQL操作语句。
· 採用分散式监控与集中式管理的结构,易于扩展。
· 完备的"三权分立"管理体系,适应对敏感内容审计的管理要求。
三、资料库安全审计管理系统示意图
市场分析
国外厂家和产品
1、以色列的Imperva,该系统功能还是满强大的,通过IDP探针,串联部署,阻断资料库数据安全威胁。但国内用户使用由于全英文界面,加上配置资料库安全策略很複杂,非专业资料库DAB操作起来很困难。更重要的是国内使用该产品,其技术手段需要依靠合作的资料库厂商来做支持。
2、IBM的Guardium:该系统强过国内的大部分产品,但由于其设计思路的原因,部署上需要在资料库伺服器端安装“S-TAP” 轻量级系统探针;分级部署时需在资料库伺服器端安装“S-GATE”,在总控伺服器安装“Z-TAP”。该系统按照国外的审计需求,只针对满足国外需求的审计数据进行审计。过滤了大部分可能对国内用户有实用价值的审计信息。也是全英文界面,资料库安全审计策略配置很複杂,非专业资料库DAB操作起来很困难。
以上两个产品是国外的主流产品,国内市场上基本数据高端专业客户使用,价格很高。对国内绝大多数用户来说,具有有用性,但缺乏实用性,操作维护困难。只记录“关注”事件,逃避“IO”,失去“事后”追蹤有用性, 增加“事前”管理和使用难度。
国内厂家和产品
国内资料库产品主要厂商:
1、上讯信息——资料库安全审计系统;
2、北京安信通——资料库审计系统;
3、北京国都兴业——慧眼资料库审计系统;
4、深圳昂楷科技——资料库多重审计系统AAS;
5、安华金和——资料库监控与审计系统;
6、安恆信息——明御资料库审计和风险控制系统;
7、北京天融信——网路卫士资料库审计系统TopAudit-DB (简称 TA-DB)
8、北京启明星辰——天玥网路安全审计系统
9、北京莱克斯科技——ClearNet DBA资料库审计系统
10、杭州思福迪——LOGBASE业务资料库审计系统
11、杭州帕拉迪——DBxpert资料库审计系统
12、福建海峡信息——黑盾资料库安全审计系统
主要分为:国内原先具有网路审计产品的厂商,在网路审计产品的基础上经过简单包装,推出的资料库审计产品;国内厂商专门针对资料库通讯协定的特点,开发出专门的资料库审计产品;国外的资料库审计产品;OEM第三方的资料库审计产品,OEM对象可能是国内的产品,也可能是国外的产品。
区分这些资料库安全审计产品可以从几个方面来测试:
1、双向审计:只能实现单包返回状态分析,不能实现对查询结果进行分析。
2、长SQL语句漏审:超长SQL语句无法解析记录,提供逃避审计通道;
3、完全协定解析:解析协定解码不完全(无会话技术就不可能完全解码);
4、参数值与SQL语句匹配:变数绑定不支持或不完整(审计素材有用性缺失);
5、海量数据分析:无法全部存储分析审计数据,记录之后,不能查询;
6、海量存储:无法记录下原始数据包,缺乏最原始的审计依据;
7、及时警告:事后报警,做不到事前防範,事中报警;
8、多语句无法有效分割:长会话记录分散记录,审计困难;
9、客户影响:部分产品需要改变网路拓扑,甚至需要在资料库伺服器上安装採集器,易造成安全漏洞。
10、套用用户关联:三层套用用户关联有20%以上会出现漏审和错审,尤其在高并发下更是如此。
这里重点评价一下好的资料库审计系统要求:能展现资料库完整会话操作的系统。採用资料库访问协定完全解析技术,能实现对超过1460位元组长度的SQL语句完整解析。除了能解析资料库绑定变数,还能解析该绑定变数的值。能完整记录SQL语句的返回结果集。同时由于是国内厂家自主智慧财产权,技术支持也比国外产品更直接、更有效。
如果说好的资料库审计系统的特徵如下:
智码资料库安全审计
智码资料库安全审计1、能展现资料库完整会话操作;
2、具备对超过1460位元组长度的SQL语句完整解析;
3、具备解析资料库绑定变数和该绑定变数的值;
4、能完整记录SELECT语句的返回结果集;
市场和政策
上市公司:萨班斯法案的要求
电信、军工、菸草、电力等行业需求
等级保护、分级保护的要求
部署方式
在部署方式上,资料库安全审计系统採用了零风险的旁路部署方式。只要在交换机上设定镜像连线埠,而不需要对现有的网路体系结构进行调整,也无需对现有资料库进行任何更改或增加配置。
部署图