博睿勤数据库审计系统解决方案Vdec.doc
数据库安全审计系统解决方案2013年7月目录1 项目概述31.1 项目背景31.2 项目需求31.2.1 区域卫生平台特点31.2.2 合法权限滥用的监控需求31.2.3 存储过程的管理的需求31.2.4 历史操作的重现31.2.5 人为高危操作访问数据库的监控31.2.6 敏感数据库表的操作访问的监控31.2.7 应用系统级监控的定制31.2.8 应用系统调优的应用32 解决方案32.1 方案设计32.2 系统架构32.3 部署方式32.4 产品特点32.5 项目难点分析31 项目概述1.1 项目背景Cache数据库是后关系型数据库(Post Relational database)中的领头羊。Cache数据库对大多数国内IT人员来说还是比较陌生,然而在国外特别是国外的医疗领域,在美国与欧洲的HIS系统(医疗卫生管理信息系统)中,CACHE数据库所占的比例是最大的,被医疗界公认为首选数据库。官方数据显示,CACHE数据库的数据查询速度约为oracle的720倍,并方便的支持关系型数据库与对象型数据库。但由于主要信息化系统采用的是Cache数据库,这种数据库不是传统的Sql数据库,要实现安全审计是一个新的课题。博睿勤成立了联合项目组,研究针对Cache数据库的安全审计方法。1.2 项目需求1.2.1 区域卫生平台特点图1:区域医疗卫生平台区域卫生平台是一个开放的体系,用户角色繁多,承载的服务内容丰富多样,如何在这个开放的体系里来保证数据库的安全性,是目前区域平台建设的一个首要目标。区域平台的特点包括:(1) 各部门业务互相渗透,数据互相关联;(2) 数据交换与共享成为常态;(3) 作为核算心数据的居民健康档案应实现有限度的数据公开;(4) 用户来源多样化,身份认证困难;(5) 用户角色繁多,权责认定机制复杂。1.2.2 合法权限滥用的监控需求区域医疗信息系统的安全审计对医院工作站在班外时间段,由于业务操作引发的数据库访问,应用模块在非设定的工作站上发生了相关操作引发的数据库访问,出现业务系统之外的仿冒应用程序对业务数据库进行访问以及数据库管理人员在业务窗口进行远程数据库访问等进行实时监控。1.2.3 存储过程的管理的需求存储过程调用在网络上传输的是参数,没有具体的SQL语句,审计系统很难根据SQL语句的特征进行监控,对其监控主要是设置白名单,并对名单设置审计规则。出现业务系统约定以外的存储过程调用、合法存储过程调用时出现参数异常或者调用场所异常等进行实时监控。1.2.4 历史操作的重现重点监控工作站(医生工作站、医院前置机等)发生异常时,可以根据审计系统中记录的数据重现错误发生过程的场景,有利于异常原因的跟踪。1.2.5 人为高危操作访问数据库的监控删除数据库表、无条件批量删除或修改数据等数据库操作的监控审计。1.2.6 敏感数据库表的操作访问的监控对进行客户信息数据中的患者姓名、 、余额等,财务信息数据中的科目余额等,药品使用情况等敏感数据的修改、删除、查询、统计等操作的监控。1.2.7 应用系统级监控的定制根据应用需求实现重复预约挂号登记表、转检记录、医疗咨询申请等系统经常发生又缺乏有效监控的异常操作进行应用级监控。1.2.8 应用系统调优的应用对数据库应用的来源、类型、流量、压力、性能、效率等方面的分析,可对应用系统的数据操作层进行详细的诊断,反作用于应用系统设计合理性的验证。所以从数据安全的角度考虑,选择的数据库审计设备需要能够满足客户端通过HIS应用系统对数据库的访问审计,同时还要能够满足各种专业的数据库客户端工具直接对数据库的访问审计。因此要求数据库审计设备能够审计数据库的类型必须是丰富的、全面的。2解决方案2.1 方案设计博睿勤数据库审计系统是基于DPI+DFI技术的数据库审计系统,对来自应用系统客户端与DBA对数据库的访问行为进行全面审计,不仅针对SQL语句,还可以对FTP、TELETN等远程访问进行审计。审计系统能详细记录查询、删除、增加、修改等行为及操作结果,对危险操作还可以实时预警、及时阻止,从而达到保护数据库的良好效果。2.2 系统架构作为全业务审计系统,支持各种数据库操作方案、网络操作方式。如下图所示,包括:基于客户端的链接审计、基于ODBC/JDBC等链接访问、本地操作、网络网络操作等。图2:系统架构2.3 部署方式数据库审计系统旁路部署方式,拓扑如下图:图3:网络部署方式2.4 产品特点一全独立审计模式博睿勤审计数据通过网络完全独立地采集,这使得数据库维护或开发小组,安全审计小组的工作进行适当的分离。而且,审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于自带的存储空间中,避免了数据库特权用户或恶意入侵数据库服务器用户,干扰审计信息的公正性。二全跟踪细腻度审计全面性:针对业务层、应用层、数据库等各个层面的操作进行跟踪定位,包括数据库SQL执行情况、数据库返回值等。细粒度:精确到表、对象、记录内容的细粒度审计策略,实现对敏感信息的精细监控;独立性:基于独立监控审计的工作模式,实现了数据库管理与审计的分离,保证了审计结果的真实性、完整性、公正性。三数据别名对表与字段进行别名设置,可以直观显示审计结果内容,方便非专业技术人员的查看。四隐秘数据对审计结果中敏感数据隐秘,非授权的用户不能正常查看隐秘数据;防止重要数据在数据库审计设备中导致的二次泄密问题。五权限分离博睿勤设置了权限角色分离,如系统管理员负责设备的运行设置;审计员负责查看相关审计记录及规则违反情况;日志员负责查看整体设备的操作日志及规则的修改情况等。六事件准确定位传统的数据库审计定位往往局限于IP地址与MAC地址,很多时候不具备可信性。博睿勤可以对IP、MAC、用户名、服务端等一系列进行关联分析,从而追踪到具体人。七独特报表功能合规性报表博睿勤报表与根据合规性要求,输出不同类型的报表。例如,可根据等级保护三级要求,输出符合等保相关项目满足的度的报表。策略定制化报表根据审计人员关系的主要稳定,定制符合需求的策略规则输出报告,使审计人员能够迅速的得到自己需要去审计信息。八完备的自身安全博睿勤全方位确保设备本身的高可用性,主要包括:硬件级安全冗余、系统级防攻击策略、告警措施等。项目难点分析Cache数据库是后关系型数据库(Post Relational database)中的领头羊。Cache数据库对大多数国内IT人员来说还是比较陌生,然而在国外特别是国外的医疗领域,在美国与欧洲的HIS系统(医疗卫生管理信息系统)中,CACHE数据库所占的比例是最大的,被医疗界公认为首选数据库。官方数据显示,CACHE数据库的数据查询速度约为oracle的720倍,并方便的支持关系型数据库与对象型数据库。一 Cache数据库特点Cache数据库的主要特点如下:1、速度快。Cache数据库在同等条件下查询相同数据比Oracle等普通数据库要快。原因是Cache数据库又叫做后关系型数据库(Post-Relation),顾名思义,Cache是基于普通关系型数据库如:Oracle, SQL server, Sybase等的基础之上并有所改进而产生的。2、使用简单。Cache数据库支持标准SQL语句,因此不太熟悉M语言的用户依然可以轻易对数据库中的数据进行操作。3、接口容易。Cache数据库支持ODBC标准接口,因此在与其他系统进行数据交换时非常容易。同时Cache亦可以将数据输出成文本文件格式以供其它系统访问调用。4、真正的3层结构。Cache数据库能够真正意义上实现3层结构,实现真正的分布式服务。升级扩容方便。正因为由上述分布式3层结构,所以当医院需要增加客户端PC或医院进行扩大规模时,不需要重新购买或更新主服务器,只需要适当增加二级服务器的数量即可,二级服务器相对来说要比主服务器要便宜许多,因此,医院可节约资金减少重复投资。5、对象型编辑。Cache数据库是真正的对象型数据库,开发时用户可直接用数据库定义自己想要的对象,然后再在其它开发工具中调用该对象的方法与属性即可完成开发工作,非常方便。6、支持远程映射与镜像。Cache数据库支持远程的映射与镜像,比如在不同城市之间,或在同一城市的不同区域之间,Cache可以进行镜像(Mapping),使不同区域的Cache数据库同步联系起来,虽然在不同区域,但大家使用起来就像共用一个数据库。7、支持WEB开发。Cache 数据库提供自带的Web开发工具,使用维护非常方便,符合当今软件业发展的趋势。二Cache数据库风险分析(1)第三方工具直接访问数据库,没有相应的安全防范,可以对数据库进行恶意破坏与非法统计。(2)Cache集成工具包括Terminal与studio。Terminal访问Cache数据库,使用telnet协议,可执行M语言,对数据库进行读写操作;Studio主要是针对开发人员,进行源文件编译,调用M语言,访问数据库。这两个工具都可直接对数据库进行操作,这样就存在一定的风险。(3)通过HIS系统访问数据库,没有相应的权限控制,敏感信息没有被屏蔽,非法操作没法审计与追溯。三 Cache数据库风险解决方案针对Cache核心数据库存在的泄密风险,可通过博睿勤科技数据库审计产品来解决以上问题。如下图所示为Cache数据库主要存在的四个风险图4:数据库存在的4个风险下面通过我们产品来详细分析解决方案:风险一:客户端工具通过sql语句直接访问数据库:通过博睿勤数据库审计系统可以详细记录来自客户端工具对数据库的所有sql语句操作,通过规则设置,实时告警、快速溯源,第一时间知道什么人在什么时候通过什么工具访问了哪个数据库的什么内容,实时监控核心数据库。SQL DBX工具访问Cache的审计,如图5所示:图5:SQL DBX工具对Cache的操作审计说明:以上是通过第三方工具DBX直接访问Cache数据库,审计到信息包括操作系统用户名、主机名、客户端进程、表、字段、操作语句与执行结果等。风险二:Cache数据库集成的可以直接连数据库的工具Terminal:Cache数据库自身集成的工具Terminal可以直接访问数据库,其采用telnet方式,所以通过Terminal对所有数据库的操作,都会被详细记录,以telnet形式存储,可通过博睿勤数据库审计设备查看详细信息。Cache数据库自身集成的工具Terminal直接访问数据库,其采用telnet方式,所有通过Terminal对数据库的操作,都会被详细记录,审计结果如图6所示:图6:terminal对Cache的操作审计说明: Terminal客户端调用已编译文件中的runquery方法并传递参数。风险三:Cache数据库集成的供开发用的工具Studio:Cache数据库服务器自身集成工具Studio,主要是供开发人员编译与调试,它通过执行M语言直接访问,我们产品可以抓住关键操作,如调用M语言时的方法名、保存动作与编译动作,然后可以根据此操作服务器上的M语言内容判断操作内容。A)通过Studio工具直接对Cache数据库进类Run(运行)操作,结果如图7所示:图7:studio上的run操作审计说明:该审计结果是Studio工具调用内部已编译的文件对数据库进行操作。B)以下是对Cache数据库类进行Compile(编绎)操作时的审计,结果如图8所示:图8:studio上的compile class操作审计说明:该审计结果记录了studio编译useropera命名空间下的newclass1文件的操作。C)以下是对Cache数据库类文件进行save(保存)操作的审计,结果如图9所示:图9:studio上的save definition操作审计说明:上图是通过Studio编译文件,对其中内容进行“保存”操作,我们可以抓到保存动作及文件名。D)对Cache数据库进行debugger(调试)操作的审计,结果如图10所示:图10:studio上的debugger操作审计说明:上图为studio编译调试cinema命名空间下ticketconifrm文件中的onprehttp()方法。风险四:HIS系统访问Cache数据库:通过HIS系统访问数据库,因cache采用一种安全组件,对这部分数据做了加密处理,而HIS系统也不能进行解密,所以行业目前都无法进行解析,博睿勤科技给出以下解决方案建议:(1)通过HIS系统权限控制,给每个客户端或者不同部门分配不同访问数据库权限,并提供日志记录,严格控制核心数据泄密;(2)可通过架设防火墙进行隔离,让客户端只有访问HIS系统的权限,不能直接访问数据库,只有高级管理员可以直接访问数据库,做到HIS系统与数据库完全隔离。综上所述,只要能完全抓住来自数据库客户端工具访问数据库的数据,核心数据库泄密风险会大大降低,而博睿勤数据库审计系统可以解决以上问题,真正做到核心数据库安全、震慑作用,实现数据库安全稳定运行。第 12 页