数据库审计解决方案-.pptx

2012 Fusionskye Confidential数据库审计解决方案北京华青融天技术有限责任公司北京华青融天技术有限责任公司 2012 Fusionskye Confidential2目 录2方案优势方案优势案例分析案例分析帕拉迪数据库安全监控审计解决方案帕拉迪数据库安全监控审计解决方案数据库现状及安全威胁数据库现状及安全威胁传统传统/ /国内数据库审计解决方案国内数据库审计解决方案 2012 Fusionskye Confidential3数据库现状及安全威胁数据库安全威胁数据库安全威胁内部威胁根据最新研究显示,恶意内部人员和人为错误是对数据库安全的最大威胁,而不是外部入侵者。电信员工等23人出售手机用户信息被起诉, 23人被控出卖公民个人信息。 外部威胁花旗集团：黑客攻击影响客户超过36万美军方承包商机密数据遭泄漏 2012 Fusionskye Confidential4数据库现状及安全威胁十大数据库安全威胁十大数据库安全威胁 2012 Fusionskye Confidential5数据库现状及安全威胁企业数据库现状企业数据库现状内部用户内部用户外部用户外部用户数据库数据库权限滥用权限滥用恶意访问恶意访问误操作误操作越权使用越权使用DBA数据库开发人员黑客互联网应用不了解数据库“被”怎么了！数据资产使用“有规无据”!缺少数据库行之有效的“分析审计依据“！数据库访问“暗箱操作”，数据库访问不透明！ 2012 Fusionskye Confidential6数据库现状及安全威胁目前数据库管理存在问题目前数据库管理存在问题无法有效分析数据来源，做到快速定位。无法有效分析数据来源，做到快速定位。没有数据库的完整审计记录，无法满足相关审计方面的要求。没有数据库的完整审计记录，无法满足相关审计方面的要求。对关键数据的访问无记录，出现事故无法追踪。对关键数据的访问无记录，出现事故无法追踪。一旦数据库日志被清除，无法发现事故，无法做到事故定位。一旦数据库日志被清除，无法发现事故，无法做到事故定位。对于黑客攻击，无法做到有效防范和攻击留痕。对于黑客攻击，无法做到有效防范和攻击留痕。非授权进入业务系统或误操作、越权操作，导致数据泄漏或被修改。非授权进入业务系统或误操作、越权操作，导致数据泄漏或被修改。不能实时监控对数据库的非法访问，没有预警不能实时监控对数据库的非法访问，没有预警。 2012 Fusionskye Confidential7数据库现状及安全威胁法规遵从法规遵从4.6安全审计 数据库管理系统的安全审计应： a) 建立独立的安全审计系统； b) 定义与数据库安全相关的审计事件； c) 设置专门的安全审计员； d) 设置专门用于存储数据库系统审计数据的安全审计库； e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具。 第十五条 企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。第四十四条 企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。国际标准国际标准v萨班斯法案萨班斯法案vISO27001企业内部控制基本规范企业内部控制基本规范计算机信息系统安全等级保护数据库管理技术要求计算机信息系统安全等级保护数据库管理技术要求 2012 Fusionskye Confidential8数据库现状及安全威胁行业标准行业标准行业行业法规标准法规标准互联网服务商互联网安全保护技术措施规定（82号令）电信行业中国移动集团内控手册中国移动业务支撑网安全域划分和边界整合技术规范中国电信股份有限公司内部控制手册中国网通集团信息质量问责管理若干规定 中国网通集团内部控制体系建设指导意见 金融保险行业银行业金融机构信息系统风险管理指引商业银行合规风险管理指引中国银行业监督委员会办公厅文件银监办通313号保险公司内部审计指引（试行）保险公司风险管理指引（试行）电子银行安全评估指引（2007）电子银行业务管理办法（2008）期货公司信息技术管理指引商业银行内部控制指引计算机信息系统的内部控制支付卡行业数据安全标准要求和安全评估程序（2008）国内上市企业深圳证券交易所上市公司内部控制指引 上海证券交易所上市公司内部控制指引 电力行业电力二次系统安全防护总体方案（2005）国家电网公司信息化“SG186”工程安全防护总体方案（实行）(2008)医疗行业互联网医疗保健信息服务管理办法(卫生部令第66号) 2012 Fusionskye Confidential9解决问题之路解决问题之路加强行政制度的规范从数据库运维及业务系统使用行为角度，制定相应的规范和制度。通过强力的流程管理避免权限的越权及违规使用。监控数据库访问过程通过技术手段，实时了解数据库的使用情况。筛选、记录核心数据的访问和使用过程。及时对违规事件进行告警。数据库现状及安全威胁 2012 Fusionskye Confidential10目 录10方案优势方案优势案例分析案例分析帕拉迪数据库安全监控审计解决方案帕拉迪数据库安全监控审计解决方案数据库现状及安全威胁数据库现状及安全威胁传统传统/ /国内数据库审计解决方案国内数据库审计解决方案 2012 Fusionskye Confidential11国内/传统数据库审计解决方案数据库审计市场现状数据库审计市场现状 数据库审计工作的基本需求，多数的产品不能完全满足。 2012 Fusionskye Confidential12国内/传统数据库审计解决方案传统审计模式盲点传统审计模式盲点影响数据库性能；影响数据库性能；记录可读性差；记录可读性差；日志不具备第三方独立性；日志不具备第三方独立性；记录粒度不够，甚至无法记录记录粒度不够，甚至无法记录SQLSQL语句和绑定变量；语句和绑定变量；日志容易被清除或改写；日志容易被清除或改写；追溯事故原因及事故来源困难；追溯事故原因及事故来源困难； 2012 Fusionskye Confidential13国内/传统数据库审计解决方案目前国内数据库审计系统盲点目前国内数据库审计系统盲点国内数据库审计产品多数是基于国内数据库审计产品多数是基于IDSIDS产品改造而成，存在以下的盲点：产品改造而成，存在以下的盲点：基于单个网络包，只能以SQL语句方式展现;只能实现单包返回状态分析，不能实现对查询结果进行分析。超长SQL语句无法支持，提供逃避审计通道；协议解码不完全（无会话技术就不可能完全解码）；变量绑定不支持或不完整（审计素材有用性缺失）；无法全部存储分析审计数据，记录之后，不能查询；无法记录下原始数据包，缺乏最原始的审计依据；事后报警，做不到事前防范，事中报警；长会话记录分散记录，审计困难；部分产品需要改变网络拓扑，甚至需要在数据库服务器上安装采集器，易造成安全漏洞。 2012 Fusionskye Confidential14国内/传统数据库审计解决方案数据库监控审计乱象总结数据库监控审计乱象总结数据库审计乱象新编用不熟，查不到；难解码，容易逃。抗压差，记不好；搜不动，审个毛！巧包装，被骗到。拖后腿，不用了！好产品，哪里找？在选择安全产品时，我们都会习惯性的首先关注国际上的明星产品。这些产品技术成熟、功能稳定，的确存有优势。但其逻辑复杂晦涩，使用门槛很高。进行一些简单的配置都让人望而生畏。购买了国外产品的用户，往往因为操作习惯的迥异，并没有真正的发挥产品的功能价值。另一方面，海外产品的设计初衷是为了满足海外法规的要求，并没有考虑到国内市场的实际需求。迫于处理及存储的压力大量丢弃了其认为“无用”的审计信息。在进行追溯时，这些所谓“无用”细节信息就已经无法查到。违背了审计的基本要求。 2012 Fusionskye Confidential15国内/传统数据库审计解决方案数据库监控审计乱象总结数据库监控审计乱象总结数据库审计乱象新编用不熟，查不到；难解码，容易逃。抗压差，记不好；搜不动，审个毛！巧包装，被骗到。拖后腿，不用了！好产品，哪里找？再看国内产品。虽然，品牌众多但为了降低研发成本，多数产品是基于IDS技术进行再造的所谓“数据库审计”产品。由于基础技术框架的先天缺陷，导致此类产品对与数据库协议解码存在着困难。而且，由于IDS基于单包进行解析与策略匹配的技术特点，使其对超长SQL语句、绑定变量等难以完整解析。有心者，通过构造超长SQL语句隐藏攻击语句、逃避审计。例如：可在SQL语句中加入大量注释。超过1460长度，并在其后跟随破坏性语句。此类危险操作国内现有审计系统是无法发现的。 2012 Fusionskye Confidential16目 录16方案优势方案优势案例分析案例分析帕拉迪数据库安全监控审计解决方案帕拉迪数据库安全监控审计解决方案数据库现状及安全威胁数据库现状及安全威胁传统传统/ /国内数据库审计解决方案国内数据库审计解决方案 2012 Fusionskye Confidential17帕拉迪数据库安全监控审计解决方案数据库风险分析、安全监控解决方案数据库风险分析、安全监控解决方案策略&分析 根据实际情况进行配置策略和控制对数据流进行分析，解析完整会话过程全面解析回话，提取出完整的SQL语句监测&告警 唯一、真实地展现数据库流量和回话的监控视窗完善和灵活的告警策略定制 多种告警机制 实时的策略告警审计&报表 细粒度全会话审计 会话记录多条件查询，精确定位 提供可模板化的报表展现，灵活可定制发现&分类 来源识别，自动发现主机IP，程序等信息 识别敏感数据，自定义分类 提供黑白名单模式，进行有效区分数据库安全全生命周期解决方案 2012 Fusionskye Confidential18帕拉迪数据库安全监控审计解决方案核心关键技术核心关键技术 2012 Fusionskye Confidential19帕拉迪数据库安全监控审计解决方案DbXpert革命性优势革命性优势 突破“流技术”壁垒，完整记录与解析流数据，取得革命性划代突破。 解决了最基本的“协议解码”问题，并创新“IO”存储与检索模型。实现超长SQL语句解析，实现变量绑定完全解析，实现SELECT返回行列结果解析。记录原始网络传输包，有效提高数据库排错、调优效率。事件来源参数捕获全面精确，更准确地判断责任归属。实现高效的未知协议解码适应能力真正准确的违规事件发现与告警 2012 Fusionskye Confidential20帕拉迪数据库安全监控审计解决方案效果展示效果展示可以自动发现到连入数据库的客户端主机、应用程序、帐号。可以自动发现到连入数据库的客户端主机、应用程序、帐号。 2012 Fusionskye Confidential21帕拉迪数据库安全监控审计解决方案效果展示效果展示灵活的告警策略配置帕拉迪DBXpert拥有灵活的告警策略配置引擎。可关联数据库访问事件的细粒度条件。标准SQL命令客户端网络地址客户端应用程序客户端主机名称客户端系统用户数据库用户名称目标表、列 2012 Fusionskye Confidential22帕拉迪数据库安全监控审计解决方案效果展示效果展示完整的会话审计与会话过滤功能，快速追踪事件信息，定位事件类型。完整的会话审计与会话过滤功能，快速追踪事件信息，定位事件类型。 2012 Fusionskye Confidential23帕拉迪数据库安全监控审计解决方案效果展示效果展示详尽的会话操作记录，追溯数据库操作过程。详尽的会话操作记录，追溯数据库操作过程。 2012 Fusionskye Confidential24帕拉迪数据库安全监控审计解决方案效果展示效果展示 提供原始数据包下载，为审计工作提供最原始的依据。提供原始数据包下载，为审计工作提供最原始的依据。 2012 Fusionskye Confidential25帕拉迪数据库安全监控审计解决方案效果展示效果展示告警信息完整记录，分析详尽。告警信息完整记录，分析详尽。 2012 Fusionskye Confidential26帕拉迪数据库安全监控审计解决方案效果展示效果展示实时的数据库性能监测及风险统计实时了解数据库系统的连接数、性能等指标。可及时发现数据库的性能问题。为在系统出现问题前解决问题，提供了时间保障。完善的可定制的报表系统完善的可定制的报表系统 2012 Fusionskye Confidential27帕拉迪数据库安全监控审计解决方案效果展示效果展示实时的数据库性能监测及风险统计实时了解数据库系统的连接数、性能等指标。可及时发现数据库的性能问题。为在系统出现问题前解决问题，提供了时间保障。系统状态监控界面和可视化动态实时监控效果系统状态监控界面和可视化动态实时监控效果 2012 Fusionskye Confidential28帕拉迪数据库安全监控审计解决方案产品部署模式产品部署模式 2012 Fusionskye Confidential29帕拉迪数据库安全监控审计解决方案创新实用的创新实用的IO模型与全文检索模型与全文检索创新的创新的IOIO模型与全文检索架构模型与全文检索架构1、提供来源、提供来源IP白名单、白名单、SQL语句级别语句级别白名单白名单2、记录白名单之外的一切协议解码详、记录白名单之外的一切协议解码详细数据细数据3、实时告警并记录、输出关注事件、实时告警并记录、输出关注事件4、利用全文索引，搜索定位可疑事件、利用全文索引，搜索定位可疑事件5、可选择记录原始、可选择记录原始PCAP流数据证据流数据证据 2012 Fusionskye Confidential30目 录30方案优势方案优势案例分析案例分析帕拉迪数据库安全监控审计解决方案帕拉迪数据库安全监控审计解决方案数据库现状及安全威胁数据库现状及安全威胁传统传统/ /国内数据库审计解决方案国内数据库审计解决方案 2012 Fusionskye Confidential31方案优势数据库业务活动监控，能对系统自身资源使用情况以及数据库业务数据库业务活动监控，能对系统自身资源使用情况以及数据库业务SQLSQL语句交语句交易量、并发连接、突发连接、网络流量等进行实施监控；易量、并发连接、突发连接、网络流量等进行实施监控；数据库异常接入监控，能有效发现数据泄密、非法接入、数据库异常接入监控，能有效发现数据泄密、非法接入、SQLSQL注入等多种安全注入等多种安全事件。事件。监控超级嗅探提供数据库操作事件超级嗅探提供数据库操作事件RAW PacketRAW Packet，为调优、排错提供直接依据；，为调优、排错提供直接依据；辅助辅助DBADBA诊断调试数据库网络活动。诊断调试数据库网络活动。调试完整保存会话记录；完整保存会话记录；完整解析超长完整解析超长SQLSQL语句；语句；Bind VariableBind Variable（变量绑定）完美识别与匹配，精确还原语句意图；（变量绑定）完美识别与匹配，精确还原语句意图；SelectSelect返回行列结果解析，实现双向的完全审计；返回行列结果解析，实现双向的完全审计；登录参数完全捕获。登录参数完全捕获。审计灵活的告警策略配置，精确到字段，提供实时报警功能；灵活的告警策略配置，精确到字段，提供实时报警功能；白名单自学习功能，快速优化策略体系，提高存储效率；白名单自学习功能，快速优化策略体系，提高存储效率；完善的可定制的报表系统；完善的可定制的报表系统；多条件查询会话记录，精准快速的锁定审计信息；多条件查询会话记录，精准快速的锁定审计信息；PCAPPCAP原始会话数据包提供网络活动原始数据信息。原始会话数据包提供网络活动原始数据信息。分析方案优势方案优势 2012 Fusionskye Confidential32方案优势有效控制风险有效控制风险 快速查找故障原因快速查找故障原因 用户收益用户收益 满足满足IT审计合规性要求审计合规性要求 提高数据库安全可用性提高数据库安全可用性完善的责任认定体系完善的责任认定体系价值总结价值总结 2012 Fusionskye Confidential33目 录33方案优势方案优势案例分析案例分析帕拉迪数据库安全监控审计解决方案帕拉迪数据库安全监控审计解决方案数据库现状及安全威胁数据库现状及安全威胁传统传统/ /国内数据库审计解决方案国内数据库审计解决方案 2012 Fusionskye Confidential34案例分析案例分析一案例分析一XX XX单位业务系统运行一端时间后就会出现获取连接超时、失单位业务系统运行一端时间后就会出现获取连接超时、失败，或者报告这是一个无效的连接等问题，需要重新启动服务器败，或者报告这是一个无效的连接等问题，需要重新启动服务器才能正常运行，该问题困扰工程师好久？才能正常运行，该问题困扰工程师好久？在接入帕拉迪dbxpert系统后，我们通过会话记录发现中间件到数据库的会话长时间不释放，判断Connection Pool（连接池）设置问题，由于大量sleeping connection未释放以致出现上面的错误。找到问题后，通过采用以下方法最终解决了问题：（1）打开应用服务器连接池的“续连接支持开关”，就是说，在把池中的Connection对象返给Client端的时候（或从Client端回收的时候）做一次有效性验证，以确定这是一个有效连接。（2）打开连接池的无效连接定期回收机制，就是说，让连接池每经过一段时间，就对连接池中的那些已经无效的连接进行回收。（回收操作尽量不要过于频繁） 2012 Fusionskye Confidential35案例分析案例分析二案例分析二XXX单位业务系统临近下班，工程师小张观察单位业务系统临近下班，工程师小张观察dbxpert的实时监控的实时监控界面，发现数据库网络流量异常，连接数量较往日多好几倍，觉界面，发现数据库网络流量异常，连接数量较往日多好几倍，觉得有异常，于是得有异常，于是在系统会话中发现会话数量在短时间内增加几十倍，并且多数为空连接或无效连接，并且会话数量还在一直增加。立刻通知公司安全部门，安全部门判断为黑客攻击前兆，立刻采取有效措施将影响降到最低。为此小张受到公司领导的表彰。 2012 Fusionskye Confidential36案例分析典型客户典型客户 2012 Fusionskye ConfidentialTHANK YOU