数据安全与运维安全审计系统项目方案(DOC 45页).doc

目录目录 1概述概述 3 2项目背景项目背景 4 3数据安全解决方案数据安全解决方案 5 3 1风险分析 5 3 1 1操作系统安全 5 3 1 2数据库本身的安全风险 5 3 1 3数据库的全面防护 6 3 1 4数据库及其应用系统风险 6 3 1 5数据库前端应用风险 6 3 2项目需求 7 3 3总体设计方案 12 3 4建设目标与原则 13 3 5建设方案 14 3 5 1数据库审计目标服务器 15 3 5 2数据库登录情况 17 3 5 3策略应用情况 18 3 5 4各类前端应用系统对数据库的访问 18 3 5 5各类主机对数据库的访问 19 3 5 6修改数据库操作情况 20 3 5 7数据库异常与访问告警 21 3 6数据安全系统介绍 22 3 7运维安全系统介绍 25 3 8产品和功能详解 26 3 8 1数据库产品和功能详解 26 3 8 2运维安全产品和功能详解 34 4应用效果分析应用效果分析 41 5司简介及案例司简介及案例 46 1 1 概述概述 随着计算机技术的飞速发展 数据库的应用十分广泛 深入到各个领域 但随之而来 产生了数据的安全问题 各种应用系统的数据库中大量数据的安全问题 敏感数据的防窃 取和防篡改问题 越来越引起人们的高度重视 数据库系统作为信息的聚集体 是计算机 信息系统的核心部件 其安全性至关重要 关系到企业兴衰 成败 因此 如何有效地保 证数据库系统的安全 实现数据的保密性 完整性和有效性 已经成为业界人士探索研究 的重要课题之一 由于计算机和网络的普及和广泛应用 越来越多的关键业务系统运行在数据库平台上 数据库中的数据作为企业的财富发挥着越来越重要的作用 同时也成为不安定因素的主要 目标 如何保证数据库自身的安全 已成为现代数据库系统的主要评测指标之一 数据库 是信息技术的核心和基础 广泛应用在电信 金融 政府 商业 企业等诸多领域 当我 们说现代经济依赖于计算机时 我们真正的意思是说现代经济依赖于数据库系统 数据 库中储存着诸如银行账户 医疗保险 电话记录 生产或交易明细 产品资料等极其重 要和敏感的信息 尽管这些系统的数据完整性和安全性是相当重要的 但对数据库采取的 安全检查措施的级别 还比不上操作系统和网络的安全检查措施的级别 许多因素都可能 破坏数据的完整性并导致非法访问 这些因素包括复杂程度 密码安全性较差 误配置 未被察觉的系统后门以及数据库安全策略的缺失等 2 2 项目背景项目背景 数据库作为金融行业信息系统的核心和基础 承载着越来越多的关键业务系统 整 个业务流程过程中的操作 数据的变更 新增 删除都存储在数据库中 保存着客户的个 人以及资金等各类信息 信息一旦被篡改或者泄露 不仅损害到公民自身利益 机构的品 牌形象 甚至影响到公共秩序和国家利益 所以对数据库的保护是一项必须的 关键的 重要的工作任务 为了保证 XX 业务系统的更加稳定安全地运行 XX 对业务系统的数据库建设进行了完 善 不仅考虑数据库系统的集群 异常容错能力 更从业务系统的数据库操作安全方面进 行考虑 更加深入 细粒度地保证业务系统数据库操作的安全 从网络层上说 银行正从 应用层方面来保证业务系统数据库的安全 那么如何对业务系统的数据库操作安全进行检 查呢 我们采用数据库安全审计系统对业务系统的数据库操作进行审计 采用运维安全系我们采用数据库安全审计系统对业务系统的数据库操作进行审计 采用运维安全系 统对各种服务器本身进行审计 统对各种服务器本身进行审计 银行数据各类数据库系统 它们的特殊地位要求安全性极高 重点要考虑二方面的安 全风险 一是来自外部安全风险 利用弱口令设置 数据库系统漏洞 SQL 注入等攻击 数据库系统 非法进入数据库系统访问 拷贝和修改数据内容 另一个是内部安全风险 以合法授权身份进入业务系统对数据的访问和操作的违规性行为 以上安全风险会引发数 据库系统瘫痪 各种内部数据信息被泄露和篡改 涉密数据信息被窃取和失泄等信息安全 事件发生 所以重点要对这两部分的数据库及服务器进行防护 3 3 数据安全解决方案数据安全解决方案 3 13 1风险分析风险分析 任何公司的主要电子数字资产都存贮在现代的关系数据产品中 任何公司的主要电子数字资产都存贮在现代的关系数据产品中 商业机构和政府组织 都是利用这些数据库服务器得到人事信息 如员工的工资表 医疗记录等 因此他们有责 任保护别人的隐私 并为他们保密 数据库服务器还存有以前的和将来的敏感的金融数据 包括贸易记录 商业合同及帐务数据等 象技术的所有权 工程数据 甚至市场企划等决 策性的机密信息 必须对竟争者保密 并阻止非法访问 数据库服务器还包括详细的顾客 信息 如财务帐目 信用卡号及商业伙伴的信用信息等 目前世界上七种主流的关系型数 据库 诸如 Oracle Sybase Microsoft SQL Server IBM DB2 Informix MySQL PostgreSQL 服务器都具有以下特征 用户帐号及密码 校验系统 优先级模型和控制数据库的特别许可 内置命令 存储过程 触发器等 唯一的脚本和 编程语言 例如 PL SQL Transaction SQL 中间件 网络协议 补丁和服务包 强有 力的数据库管理实用程序和开发工具 3 1 13 1 1操作系统安全操作系统安全 数据库安装于操作系统之上 对操作系统的安全防护也是至关重要的 运维人员可数据库安装于操作系统之上 对操作系统的安全防护也是至关重要的 运维人员可 以通过远程访问操作系统 达到本地操作数据库的目的 以通过远程访问操作系统 达到本地操作数据库的目的 系统口令及访问控制权限管理技 术手段薄弱 数据中心存在 交叉运维 现象 针对运维人员无详细操作记录 无法满足 审计检查对日志记录的要求 运维安全分析报告缺乏 因此 我院迫切需要采用必要的技 术手段来防范和减少运维操作风险 确保信息系统安全 稳定运行 3 1 23 1 2数据库本身的安全风险数据库本身的安全风险 数据库服务器的应用相当复杂 掌握起来非常困难 许多数据库管理员都忙于管理复数据库服务器的应用相当复杂 掌握起来非常困难 许多数据库管理员都忙于管理复 杂的系统 杂的系统 所以很可能没有检查出严重的安全隐患和不当的配置 甚至根本没有进行检所以很可能没有检查出严重的安全隐患和不当的配置 甚至根本没有进行检 测 测 所以 正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题 使数据 库专业人员也通常没有把安全问题当作他们的首要任务 在安全领域中 类似网页被修 改 电脑中病毒 木马 流氓软件 弹出窗口等所造成的经济损失微乎其微 而一旦数而一旦数 据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的 据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的 3 1 33 1 3数据库的全面防护数据库的全面防护 安全是多个环节层层防范 共同配合的结果 也就是说在安全领域不能够仅靠某一个 环节完成所有的安全防范措施 一个安全的系统需要数据库的安全 操作系统的安全 网 络的安全 应用系统自身的安全共同完成 数据库领域的安全措施通常包括 身份识别和 身份验证 自主访问控制和强制访问控制 安全传输 系统审计 数据库存储加密等 只 有通过综合有关安全的各个环节 才能确保高度安全的系统 3 1 43 1 4数据库及其应用系统风险数据库及其应用系统风险 拙劣的数据库安全保障设施不仅会危及数据库的安全 还会影响到服务器的操作系统拙劣的数据库安全保障设施不仅会危及数据库的安全 还会影响到服务器的操作系统 和其它信用系统 和其它信用系统 还有一个不很明显的原因说明了保证数据库安全的重要性 数据库系统 自身可能会提供危及整个网络体系的机制 例如 某个公司可能会用数据库服务器保存所 有的技术手册 文档和白皮书的库存清单 数据库里的这些信息并不是特别重要的 所以 它的安全优先级别不高 即使运行在安全状况良好的操作系统中 入侵者也可通过 扩展 入驻程序 等强有力的内置数据库特征 利用对数据库的访问 获取对本地操作系统的访 问权限 这些程序可以发出管理员级的命令 访问基本的操作系统及其全部的资源 如果 这个特定的数据库系统与其它服务器有信用关系 那么入侵者就会危及整个网络域的安全 3 1 53 1 5数据库前端应用风险数据库前端应用风险 在电子商务 电子贸易的着眼点集中于在电子商务 电子贸易的着眼点集中于 WEBWEB 服务器 服务器 JavaJava 和其它新技术的同时 应和其它新技术的同时 应 该记住这些以用户为导向和企业对企业的系统都是以该记住这些以用户为导向和企业对企业的系统都是以 WebWeb 服务器后的关系数据库为基础的 服务器后的关系数据库为基础的 它们的安全直接关系到系统的有效性 数据和交易的完整性 保密性 系统拖延效率欠佳 它们的安全直接关系到系统的有效性 数据和交易的完整性 保密性 系统拖延效率欠佳 不仅影响商业活动 还会影响公司的信誉 不仅影响商业活动 还会影响公司的信誉 不可避免地 这些系统受到入侵的可能性更大 但是并未对商业伙伴和客户敏感信息的保密性加以更有效的防范 此外 ERP 和管理系统 如 ASPR 3 和 PeopleSoft 等 都是建立在相同标准的数据库系统中 无人管理的安全漏洞 与时间拖延 系统完整性问题和客户信任等有直接的关系 由此可见 数据库安全实际上是信息安全的核心 在这种情况下 有必要采用专业的 新型数据库安全产品 专门对数据库及其操作系统进行保护 3 23 2项目需求项目需求 做为解决上述风险问题的数据系统 应包含一下主要特性 服务器运维安全服务器运维安全 针对直接登录操作系统的行为进行控制与审计 数据库使用情况评估数据库使用情况评估 检查真实的数据库网络流量以构建一个使用的基准模型 并自 动创建数据库安全政策 管理员可以通过审查分析文件轻松掌握适当的数据库使用 非常灵活方便的制定数据 库使用着的行为策略 数据库审计数据库审计 SecureSphere 采集许多审计数据 并且提供内置的报告功能 可以 灵活地满足内部或外部规定要求 SecureSphere 的数据库审计包括数据库活动审计 实 时告警审计 用户基本信息审计 数据库保护数据库保护 这是 SecureSphere 对数据库实时保护核心功能 包括 数据库应用保护 客户化策略的实施客户化策略的实施 数据库平台的保护 识别复杂的攻击 通过多种手段的联动 具体到设备的功能 应该具有以下特点 支持各种主流运维协议支持各种主流运维协议 字符型协议 Telnet SSH FTP SFTP 图形化协议 RDP Xwindows VNC http https AS400 及其他 支持各种主流数据库支持各种主流数据库 包括对各种版本和各种平台的 Oracle DB2 Informix Sybase MS SQL Server 的 支持 审计厂家必须和四大数据库厂家 Oracle IBM Sybase MicroSoft 是官方认可 的深层商业合作伙伴 从而能够保证审计结果的精确性和权威性 设备的引入不应对正常业务和正常的数据库运行造成任何影响 同时应满足权限分离设备的引入不应对正常业务和正常的数据库运行造成任何影响 同时应满足权限分离 的要求 不容许被审计人员对审计功能元进行修改和操作 的要求 不容许被审计人员对审计功能元进行修改和操作 对数据库没有影响的功能非常有利于部署实施 设备的部署不需要对数据库进行变动 或者对数据中心结构的其它方面进行变动 审计产品应是一个基于网络的应用解决方案 不需要数据库服务器管理权限或者安装 主机软件 其部署及运营可能由网络安全人员进行 而不会对数据库管理资源造成影响 这种方式通过保持安全功能的独立 从而遵守安全实践 审计设备可以审计所有针对数据库的访问 包括对数据库直接连接的访问 以及前台审计设备可以审计所有针对数据库的访问 包括对数据库直接连接的访问 以及前台 应用程序对数据库的访问 如果应用通过加密方式访问数据库 同样应该可以审计到 应用程序对数据库的访问 如果应用通过加密方式访问数据库 同样应该可以审计到 审计功能要求审计到尽可能详细的信息审计功能要求审计到尽可能详细的信息 针对每一条数据库的访问 审计记录要细致到每一次事务 查询的原始信息记录 应 该可以记录所有的关键信息 至少包括以下各个方面 数据库服务器 源 IP 目的 IP 原始的查询指令 去除具体参数的查询指令 源应 用软件 数据库用户名 访问源操作系统用户名 访问源操作主机名 高级权限操作 存 储过程 目标数据库和 Schema Stream ID 操作回应内容 操作返回的错误代码操作回 应的时间操作回应的条目大小 如果是前台用户通过 Web 利用应用服务器访问数据库 BS 架构下 还应可以审计记 录以下信息 前台应用程序的用户名 前台程序的 URL Web Session ID Web 客户端 IP 对于通过 Oracle EBS 或 SAP 等应用服务器访问数据库 CS 架构下 应该可以记录 最终前台用户的用户名 为了有效地记录数据库访问操作 审计人员需要尽可能详细的审计记录信息 详细到 准确的查询和响应属性这一级别 数据库审计记录必须将所审计数据库事务归于特定用户 例如 SOX 合规审计机制要求必须记录对财务报告数据的每个更改及执行此更改的用户姓 名 但是 当用户通过 Web 应用程序或 SAP Oracle E Business Suite 等应用服务器访 问数据库时 数据库审计系统必须可以记录最终的责任用户 支持支持 BindBind VariableVariable 很多基于数据库的查询是通过 Bind Variable 完成的 这就要求审计系统不光要记录查询 中 Bind Variable 的变量的名字 还要记录 Bind Variable 的数值 举例来说 一个包含 Bind Variable 的 SQL 是 select from aaa where name who 审计系统不光把这个 SQL 记录下来 同时要记录 who jimmy 这样才是完整的包含 Bind Variable 的审计结果 审计策略可以非常灵活的定义审计策略可以非常灵活的定义 由于对于实际的生产系统 需要审计的数据库访问量非常大 这就要求有灵活的审计策 略可以定义想要审计的数据库操作的内容 可以定义审计策略的条件应该包括以下各个关 键字的条件组合 源 IP 目的 IP 原始的查询指令 去除具体参数的查询指令 源应用软件 数据库用户 名 访问源操作系统用户名 访问源操作主机名 高级权限操作 存储过程 目标数据库 和 SchemaStream ID 操作回应内容 操作返回的错误代码 操作回应的时间 操作回应的条目大小 同样如果是前台用户通过 Web 利用应用服务器访问数据库 BS 架构下 或对于通过 Oracle EBS 或 SAP 等应用服务器访问数据库 CS 架构下 还应可以根据前台应用程序的 用户名来定义审计记录的策略 可以定义敏感数据表 保护核心机密数据可以定义敏感数据表 保护核心机密数据 可将机密数据定义敏感表 任何用户对敏感表的非法和违规访问可以产生特别的报警 审计结果的归档灵活方便审计结果的归档灵活方便 为了提高整个数据库审计系统的扩展性 审计信息可以通过 FTP SCP 等传输协议灵活的归 档到外部的存储设备上 归档出来的数据格式应该是通用格式 CSV 归档可以选择手动 及定时定期的自动方式 审计告警日志对外的接口审计告警日志对外的接口 审计结果告警日志可以通过 Syslog 或 SNMP 协议和外部的统一审计平台送出数据 进行互 通 审计结果可以自动生成符合专业合规审计 审计结果可以自动生成符合专业合规审计 SOXSOX 要求的审计报告 要求的审计报告 符合 SOX 合规性的 审计解决方案为生成 关键业务 如 财务 报告时使用的数据库提供全 面的数据审计和安全性 给审计人员带来了极大的便利性 数据库安全审计网关可以 使用自动生成的专用的报告来证明对 关键数据库实施控制 这些 都是 404 条款的主要要求 通过专用的 符合SOX 的用户评估报告 合规性检查人员可以验证 只有具有合法需求的用户才可以访问 关键数据库 智能而自动的建立用户对数据库访问的行为模型智能而自动的建立用户对数据库访问的行为模型 审计设备设备应具有自动建立用户数据库访问行为模型的能力 自动智能建模功能可 以自动学习 并且自动适应用户数据库及应用系统的各方面特点 自动建立 充分必要 的安全策略 同时 结合全面的 精细的手工定制和调优功能 在最大程度的降低管理工 作量的同时 提供最佳的安全配置 为每个用户自动建立对数据库和 Schema 访问的基线 内容是可正常访问的数据库和 Schema 用户访问模型自动建立功能分析实际数据库流量并使用复杂的学习算法创建每个访问数据 库的用户或应用的所有合法活动分析模型 此模型不仅仅作为后来审计评估使用变化或应用行为的基准 并且是自动生成的数据 库使用安全政策 允许信息安全小组不仅仅可以监视并审计使用 而且保护数据库免受非 法行为 学习算法不断应用到实际流量中以便当用户活动随着时间发展时 有效变化将自 动重新组织并集成到行为模型中 如果用户访问数据库的时候 行为模型的偏差将自动触 发一个报警并可以根据严重性进行阻断 发现非法行为的实时告警功能发现非法行为的实时告警功能 这是在系统运行时 对正在进行的业务和管理层面的数据库交互活动进行检测 对其 中违反既定的安全策略的行为可以即时发现 同时可以产生报警 阻断以及供事后分析和 审计的依据 实时的监控和防护可以第一时间消除违规操作对系统的影响 设备具有实时告警的功能 针对非法访问行为和用户定义的访问行为可以实时告警 告警信息可以发送到 Syslog Server 或通过 Email 发出 数据库保护数据库保护 这是数据库安全审计产品的重要功能 可以实时保护核心核心数据库免遭各种非法行 为和破坏 在数据库操作所经过的网络 操作系统 应用软件方面 相应的安全规则就是 防火墙 IPS 规则 应用协议保护 这部分规则可以是静态的 已经根据数据库和应用系 统的要求做了精细的预设 同时还可以进一步的根据实际需要进行微调 此功能应包括 数据库应用保护数据库应用保护 审计设备连续比较数据库访问模型的真实用户操作的差异 来自分析的重要偏差生成 警报 并且恶意的行为可以根据策略有选择性的阻止 客户化策略实施客户化策略实施 除了基于特征文件的安全政策外 管理可以定义任意粒度的客户政策 例如 管理员 可以设置访问系统对象的查询策略 甚至对包含特定文本模式的查询 政策偏离可以生成 一个警报或者迅速阻止活动 行为特征代码分析完成数据库平台保护行为特征代码分析完成数据库平台保护 应该具有 IPS 保护数据库基础设施免受针对数据库平台及操作系统软件中已知漏洞 蠕虫及其它攻击 IPS 功能主要通过检查数据库访问是否和特征代码库匹配来判断是否会 触发数据库的漏洞 特征代码库要求和国际安全研究组织同步 并且可以包含自定义的 SQL 特征 特征代码要保证可以在线升级 可以使得系统在第一时间内抵御最新出现的针对数据库 的非法危害行为以及在数据库没有打补丁的情况下 防止数据库厂家的安全漏洞造成的危 害 防火墙层面和防火墙层面和 SQLSQL 协议层面保护协议层面保护 防火墙层面是在网络层面保护数据库免受各种网络层面的非法操作威胁 同时对于上 层协议 SQL 的通信 的合法性及滥用的检测 对于数据库服务器软件也非常重要 对此 审计设备应该专门提供 SQL 应用协议检测的功能 来检测 SQL 协议是否合法或符合标准的 规定 在数据库保护层面 对于非法操作 可以进行非常丰富的响应动作 分为三类 告警 响应 即时行动 后续行动 即时行动可以将数据包丢弃 后续行动就是通过对外通信来 通知管理人员有非法行为发生 数据库安全评估功能 数据库安全评估功能 对数据库的基础系统以及运行时的配置进行评估 数据库的基础系统包括 操作系统和数 据库应用程序 它们通常会存在软件的缺陷或漏洞 容易被攻击者利用 可以主动评估数据库的安全状况 包括是否打了 Patch 包括用户权限在内的各种安全设 置是否合理 高性能高性能 要求审计设备的可以提供双向最低 500Mbps 最高 2Gbps 的性能 毫微秒级延迟 支持的 SQL 交易数量从 5 万每秒到 20 万每秒 高可用性高可用性 审计设备应支持高可用性确保最大的正常运行时间及应用可用性 审计设备应具有在设备 故障下应该不影响实际业务能力 同时审计设备支持主备配置方式 在合理配置下 可以 达到小于 1 秒甚至更低的主备切换时延 集中管理 分部部署集中管理 分部部署 提供全分布式的三级网管架构 包括 第一层 业务探测和实施引擎 第二层 网管服 务器 第三层 操作控制台 这种结构对于在数据库保护这样的大型网络系统中部署统一 的安全策略具有至关重要的意义 来自多个网关的日志数据也将显示在单个视图中 并存 储在单个管理服务器数据库中 这样可以增强管理的便利性 多网关的动态业务模型 IPS 策略和系统参数集中存储于管理服务器 策略更改在服务器上进行 通过简单操作可 将这些更改自动发布到多个网关中 立刻生效 方便快捷 3 33 3总体设计方案总体设计方案 根据 XX 数据库系统的网络架构和数据库服务器以及中间件服务器的部署特点 我们 提出了一套完整的解决方案 在数据库交换机上做旁路镜像 将旁路信号入数据库审计设 备 完成对数据库服务器的访问 操作行为的实时监测审计 完整地记录所有的访问与操 作行为和内容 该系统还提供了数据库服务器负载状况监测 客户端访问操作的详细分类 统计和排名等功能 在交换机做旁路 部署运维安全设备 HAC 针对数据库服务器本身的 远程访问进行控制与审计 采用采用 ImpervaImperva 数据库安全审计网关作为数据库系统审计数据库安全审计网关作为数据库系统审计 其基本原理是 通过旁路监 听的方式 对网络数据进行实时采集过滤 对各种上层的数据库应用协议数据进行分析和 还原 然后再进行 SQL 语法解析 最后对审计记录进行存储 对违规的审计记录进行实时 报警 同时生成审计报表和统计报表信息 基于旁路监听的数据库审计的解决方案具有下面的一些优势 不需要对生产数据库进行任何设置 也不需要改变现有的网络架构和配置 采用旁路监听方式 不影响生产数据库的性能 不占用生产数据库服务器的网络 带宽 同时在对审计数据进行压缩备份时不影响业务系统的正常运行 与数据库管理系统本身的审计功能相比具有更快的响应速度 可以进行实时审计 和处理 审计数据更加安全 与原有的业务网络隔离 因此可以更有效地保护审计数据的 安全 同时审计数据传输过程中采用了加密隧道和身份认证机制 有效防止了审 计信息的被窃 被篡改与身份假冒 具有专门的审计日志格式和审计报表 易于查询 由于采用了动态建模技术 通过自动检测分析实时数据库通信 然后应用复杂的 学习算法来创建包含访问数据库的每个用户和应用程序的所有合法活动的 业务 模型 包括数据库客户端的计算机名 程序名 数据库用户名 数据库名 表 名以及详细的数据库操作内容等信息 业务模型 不仅用作以后审计评估用户 或应用程序行为更改的依据 而且还是针对数据库使用自动生成的安全策略 信 息安全团队使用 业务模型 不仅能够监视和审计数据库使用状况 而且还可以 防止数据库受到攻击 采用采用 HACHAC 运维安全产品对数据库服务器本身的运维进行安全审计运维安全产品对数据库服务器本身的运维进行安全审计 其基本原理是 运 维人员远程接入时 通过统一的登录入口 利用权限控制 访问不同的目标服务器资源 并对运维全过程进行实时 事后的监控与追溯 采用单臂模式部署时 其主要的优势是 不改变网络拓扑 安装调试过程简单 可按 照企业网络架构的实际情况灵活接入 具有以下特点 系统采用协议分析 基于数据包还原虚拟化技术 实现操作界面模拟 将所有的 操作转换为图形化界面予以展现 实现 100 审计信息不丢失 针对运维操作图形化审计功能的展现外 同时还能对字符进行分析 包括命令行 操作的命令以及回显信息和非字符型操作时键盘 鼠标的敲击信息 系统支持的审计协议以及工具包括 终端命令操作 Telnet SSH Windows 图形 RDP VNC Unix Linux 图形 Xwindows AS400 主机图形 AS400 文件上传和下载 FTP SFTP 基于 BS 的管理操作 Http Https 数据库管理工具 pcAnywhere DameWare PL SQL TOAD 等工具 3 43 4建设目标与原则建设目标与原则 在为 XX 配置实施数据安全整体解决方案时的时候 遵循以下的配置基本原则 功能性满足本项目的实际需要 可以支持现有应用系统 如数据库类型 本版等 处理性能满足系统的需要 对现有系统的无影响 包括 IP 地址空间 路由规划 无需调整应用系统 如设 置 Proxy 安装软件等 3 53 5建设方案建设方案 为了不影响数据库的正常使用和安全 数据库审计设备和运维安全设备以旁路方式部 署 通过在数据库交换机上做端口镜像的方式 把数据库数据流镜像到数据库审计网关 同时在数据库审计网关上配置管理 IP 方便远程管理 HAC 设备旁路部署在数据库交换机 上的任意端口 保证访问端 被访问端与 HAC 的 IP 路由可达 拓扑图如下图 为了全面及时地掌握 XX 数据库系统的运行 访问和操作情况 并即时进行必要的处 置 使数据安全管理问题得到了有效的解决 除了默认的全部审计策略 还需要制定适合 的策略来快速定位关键的 需要关注的各种操作 为了解决各种需求 我们建立了以下审计策略 1 关键数据库表审计 这个策略的作用条件为 根据我们的业务类型 部分数据库表中存在大量的敏感信息 对这类表我们要着重关注 2 非已知应用程序审计 网络中可能存在多条路径 多种终端 多种客户端软件 对我们的数据库进行访问 对此通过 imperva 我们可以关注到整个网络中各种终端 软件对数据库的访问 3 重要操作审计 这个策略的作用条件为两个 记录对数据库的插入 删除 更新 特权操作 排除对 已知应用程序的审计 这个策略是审计对数据库的重要操作 记录未知应用程序和客户端 软件对数据库写操作 防止数据库被无意或恶意的篡改 3 5 13 5 1数据库审计目标服务器数据库审计目标服务器 针对目标服务器 其审计概况如下 周期访问量 3 5 23 5 2数据库登录情况数据库登录情况 3 5 33 5 3策略应用情况策略应用情况 3 5 43 5 4各类前端应用系统对数据库的访问各类前端应用系统对数据库的访问 3 5 53 5 5各类主机对数据库的访问各类主机对数据库的访问 3 5 63 5 6修改数据库操作情况修改数据库操作情况 3 5 73 5 7数据库异常与访问告警数据库异常与访问告警 3 63 6数据安全系统介绍数据安全系统介绍 SecureSphere 提供全分布式的三级网管架构 包括 第一层 业务探测和实施引 擎 第二层 MX 网管服务器 第三层 操作控制台 这种结构对于在 XX 数据库保护这样 的大型网络系统中部署统一的安全策略具有至关重要的意义 图 SecureSphere 的完整部署的示例 SecureSphere 的管理服务器的主要特点包括 图形报告图形报告 完整的 Crystal Reports 包和与 ODBC 兼容的数据库访问支持预配置报告 和自定义报告 预配置报告使性能 合规性 安全警报及使用情况的异常情况一目了然 SecureSphere 在整个企业内提供统一的报告 统一的实时警报监视统一的实时警报监视 来自多个 SecureSphere 安全层 动态 业务模型 IPS 等 的实时警报将被收集 按优先级排序并在一个统一的视图中显示给管理员 警报通知可通 过电子邮件 电话 呼机和 SNMP 消息发送 不需要连接到分布在数据中心的各个设备 来自多个网关的日志数据也将显示在单个视图中 并存储在单个 MX 管理服务器数据库中 警报审计警报审计 来自多网关的警报将被收集并存储于单个 MX 管理服务器数据库中 若要支 持审计功能 只需点击几下鼠标就可以根据多种参数来排序和搜索警报条目 即使是来自 不同 SecureSphere 安全服务 IPS 动态 业务模型 等 的特定用户违规行为 由会 话 ID 或 IP 地址标识 也可以被立即跟踪 智能攻击摘要智能攻击摘要 智能攻击摘要通过智能地将多个攻击导致的一系列事件聚合为一个需采 取措施的警报 从而提高管理员的工作效率 例如 相关扫描警报可聚合为一个攻击警报 而不是成千上万个攻击警报 如今 快速有效的响应变得极为重要 而这种高度集中的信 息能够使管理员快速准确地了解威胁聚合警报保留了形成警报的基本事件 以便进行详细 分析 集集中中式式策策略略分分布布 多网关的动态 业务模型 IPS 策略和系统参数集中存储于 MX 管 理服务器 更改在服务器上进行 通过单击可将这些更改自动发布到多个网关 4 登录错误审计 这个策略的作用条件为两个 记录登录操作 登录的结果为失败的操作 这个策略的 主要作用是记录登录失败的信息 防止有人尝试破解密码 损害数据库安全 3 73 7运维安全系统介绍运维安全系统介绍 运维安全审计系统 HAC 目标是为组织 IT 系统核心服务器的运维操作提供强有 力的监控 审计手段 使其切实满足内控管理中的合规性要求 HAC 可对主机 服务器 网络设备 安全设备等的管理维护进行安全 有效 直观的 操作审计 对策略配置 系统维护 内部访问等进行详细的记录 提供细粒度的审计 并 支持操作过程的全程回放 HAC 弥补了传统审计系统的不足 将运维审计由事件审计提升 为内容审计 并将身份认证 授权 管理 审计有机地结合 保证只有合法用户才能使用 其拥有运维权限的关键资源 HAC 为组织在 IT 操作风险控制 内控安全和合规性等方面 提供一套完善 有效的审计手段 HAC 系统提供了灵活的部署方式 既可以采取串连模式 也可以采用单臂模式接入到 企业内部网络中 采用串连模式部署时 HAC 具备一定程度上的网络控制的功能 可提高 核心服务器访问的安全性 采用单臂模式部署时 不改变网络拓扑 安装调试过程简单 可按照企业网络架构的实际情况灵活接入 分分支支机机构构 核核心心服服务务器器区区网网络络区区 组组网网 操操作作及及网网管管区区 HAC Internet Intranet 厂厂商商技技术术支支持持或或 外外包包人人员员 远远程程运运维维 无论串连模式还是在单臂模式 通过 HAC 访问 IT 基础服务资源的操作都将被详细的 记录和存储下来 作为审计的基础数据 HAC 的部署不会对业务系统 网络中的数据流向 带宽等重要指标产生负面影响 无需在核心服务器或操作客户端上安装任何软硬件系统 3 83 8产品和功能详解产品和功能详解 3 8 13 8 1数据库产品和功能详解数据库产品和功能详解 SecureSphere G8 G16 设备是 SecureSphere 系列业务监控和防护引擎的成员 它具 备四个业务接口 即可以提供两个在线监控桥接组 桥接模式 或监控四个不同的业务 网段 旁路侦听模式 它的处理能力也非常强大 可以提供 100 000 到 200 000 交易 秒 的处理能力 它同时可以提供所有 SecureSphere 系列产品的所有业务功能 包括前台 Web 应用的保护 后台数据库的监控和防护 并且可以在一个平台上同时提供这些功能 SecureSphere 系列 G8 和 G16 主要技术参数 技术参数技术参数 G8G8G16G16 吞吐量吞吐量 1Gbps2000 Mbps 每秒交易每秒交易 transactiontransaction 100000200000 延迟延迟低于百万分之一秒低于百万分之一秒 尺寸尺寸 1U4U 接口类型接口类型 电口 光纤 SX 光纤 LX 电口 光纤 SX 光纤 LX 在线故障短接能力在线故障短接能力 只用于桥接 只用于桥接 是是 硬盘硬盘250GB SATA FT 模式 热切换 250GB SATA 热切换 300GB SCSI 外部驱动外部驱动 CD ROMCD ROM 标准机架标准机架19 英寸机架19 英寸机架 重量重量40lbs 18 公斤 90lbs 41 公斤 电源电源500W FT 模式 双工 热 切换 520W 双工 热切换 1470W ACAC 电压要求电压要求100 240V 50 60HZ220 240V 50 60HZ 物理尺寸物理尺寸宽 16 93 430mm 深 26 46 672mm 高 1 7 43mm 宽 17 6 447mm 深 27 8 706mm 高 6 8 173mm 操作环境操作环境5 C 41 F 到35 C 95 F 5 C 41 F 到 35 C 95 F 非操作环境非操作环境 40 C 40 F 到 70 C 158 F 相对 湿度 95 非凝结 35 C 95 F 40 C 40 F 到 70 C 158 F 相对 湿度 95 非凝结 35 C 95 F 电磁兼容性电磁兼容性 FCC Part 15 ICES 003 CE VCCI FCC Part 15 ICES 003 CE VCCI 数据库的安全防护是一个系统工程 它的实施 或说是生命周期包括一下四个环节 4Imperva Confidential 数数据据库库应应用用安安全全维维护护的的生生命命周周期期数数据据库库应应用用安安全全维维护护的的生生命命周周期期 Imperva 实现真正的整个安全流程Imperva 实现真正的整个安全流程 评评估估 测试 发现数据库配 置状况 评估潜在的威胁 发现谁在使用数据 他们在做什么 定定义义策策略略 自动定义安全策略 并跟随应用不断调整 配置策略以及控制行为 量量化化和和报报告告 内置的合规性报告 数据的回溯和细节展示 安全事件的分析 客户化报告 多种报告格式 监监视视和和控控制制 保证人员分工的隔离 保证用户的可明确追溯 捕捉细节 提供各层面的安全 实时的告警和阻断 图 数据库及应用安全维护的生命周期 数据库的评估数据库的评估 是一个事前 或周期性的工作 它的工作内容是 对数据库的基础系统以及运行时的 配置进行评估 数据库的基础系统包括 操作系统和数据库应用程序 它们通常会存在软 件的缺陷或漏洞 容易被攻击者利用 而运行配置的内容则包括数据库系统在运行时不同 的用户对数据库的系统和业务对象的管理操作能力和权限 合理的 好的配置策略可以 极大的限制违规操作和非法操作发生的可能性 安全策略的制定安全策略的制定 是安全防护的核心之一 它的内容是从安全角度定义数据库访问的权限的各个方面 主要内容是 对于用户 操作权限 数据库对象三个属性 还可以辅助以地址 时间等 的数据库与用户 管理员和应用系统间交互的各种限定性规范的制定 它可以包括正向规 则和反向规则两方面的内容 同时以自动建模的方式为主 辅以人工微调和优化 得到充 分必要的安全规则 基于安全规则的监控和防护基于安全规则的监控和防护 这是在系统运行时 对正在进行的业务和管理层面的数据库交互活动进行检测 对其 中违反既定的安全策略的行为可以即时发现 同时可以产生报警 阻断以及供事后分析和 审计的依据 实时的监控和防护可以第一时间消除共计和违规操作对系统的影响 报告和审计报告和审计 是周期性的业务运行状况的总结 其中即包括对一段时间内的总体运行状况的描述 也包括详细的分项说明 以及细致到每一次事务 查询的原始信息记录 不仅包括正常业 务运行状况 对安全威胁和事件也进行特别重点和详细的报告 报告和审计对于企业提供 符合专业规范 如 塞班斯 要求的审计依据具有重大的意义 更重要的是对数据库安全 的整个维护和实施生命周期提供了不断自我检查 自我完善的依据 以下对上述数据库安全实施环节的具体内容进行详细阐述 数据库的安全评估 数据库的评估主要采用两种技术手段 主动的漏洞扫描评估和被动的使用情况评估 数数据据库库使使用用情情况况的的评评估估 要确保数据库的安全 首先要了解其使用情况 SecureSphere 的 自动建模 通过 检测实时数据库网络通信来生成使用情况的基准模型 然后自动创建数据库安全策略 管理员通过检查 业务模型 可轻松掌握相应数据库的使用情况 这对于不太了解 数据库技术的安全和检查团队来说特别有用 Imperva 的基于角色的管理支持 只读 访 问权限 以便需要评估使用情况的用户 非 SecureSphere 管理员 可访问此类重要信息 必要时 具有管理特权的管理员可修改 业务模型 制定的策略 以使其符合企业安全策 略或规章制度 例如 查询组就是 业务模型 中一个功能强大 表达简练的概念 它用于建立合法 业务活动模型 查询组在 自动建模 中表示为对数据库表和表的操作 如 Table1 Select 和 Table2 Update 这些查询组是基于 SecureSphere 自动建模 算法 从特 定数据库用户的查询中派生的 查询组通过将所有访问相同表集 如 book of the week 和使用相同操作 如 select 的查询分成组 来标识正常的业务活动 数数据据库库漏漏洞洞 业业务务模模型型 SecureSphere 除了提供数据库使用情况的微观细节外 还提供数据库使用潜在漏洞 的详细情况 许多漏洞都与特定的数据库部署或使用情况相关 只有在数据库投入使用后 通过观察实时数据库用户活动 这些漏洞才会显现出来 SecureSphere 的 数据库漏洞 业务模型 提供一种连续 一致 全面的方法 来确定由于与最佳做法相左而产生的安全 漏洞和风险 它还可以找出由于生产环境的配置复杂性而产生的安全漏洞 例如 SecureSphere 可确定对默认存储过程 默认用户账户和系统对象的非管理性访问 所有 这些操作都与数据库安全的最佳做法相冲突 SecureSphere 的 漏洞 业务模型很容易 确定其他漏洞工具无法检测到的数据库漏洞 这使其成为传统渗透测试和漏洞扫描工具的 有益补充 SecureSphere 的 漏洞模型 报告的几个示例如下所示 数据库默认数据包和存储过程评估数据库默认数据包和存储过程评估 重点评估非管理用户使用默认存储过程的情况 最佳做法通常建议非管理用户不要使 用默认存储过程 数据库用户评估数据库用户评估 列出最佳做法通常建议非管理用户不要使用的活动默认数据库账户 数据库系统对象访问评估数据库系统对象访问评估 此报告列出访问数据库系统对象的非管理用户 默认情况下 这些对象对于任何用户 都是可访问的 不过 大多数系统对象包含有非管理用户不应使用的信息 数据库的安全策略制定 部署 监控和防护 Imperva 的数据库安全策略包括许多层次 数据库基础设施的安全策略 针对数据库的基础设施 网络 操作系统 应用软件方面 相应的安全规则就是 防火墙 IPS 规则 应用协议保护 这部分规则可以是静态的 已经根据数据库和应用系 统的要求做了精细的预设 同时还可以进一步的根据实际需要进行微调 此外 对上层协议 SQL 的通信 的合法性及滥用的检测 对于数据库服务器软件也 非常重要 对此 专门提供了应用协议检测的功能 数数据据库库查查询询组组 合合法法业业务务活活动动建建模模 动态建模 自动创建每位用户的合法查询组和特定查询基准 这使安全管理人员 可以制定针对单个用户的查询级别安全策略 查询组所提供的查询级别策略比手动创建的 策略更有效 更精确 更便于维护 而且比某些产品提供的基于角色的 通用 查询策略 更精细 毕竟 并不是每个人都完全符合角色的定义 相同角色的不同用户 其查询行为 可能有很大的不同 而这些不同对于建立强大的安全策略至关重要 现有数据库活动监视产品的主要缺点是不能对其生成的大量数据进行深入分析 大多 数解决方案无法区分用户活动的正常变化和重要的攻击信号 那些声称能够提供精确攻击 警报的产品需要不断地进行调整 因此很难提供可靠的警报 为此大多数解决方案只记录 下数据库活动 以进行审计 SecureSphere 动态建模 的 查询组 组件通过自动标识每位用户的一致行为模式 来解决这一问题 通过将所有新查询与此前为每位用户建立的模式进行比较 SecureSphere 能够区分出攻击行为和无害的用户行为变化 查询组在 动态建模 中表 示为数据库表和表操作对 如 Table1 Select 和 Table2 Update 这些信息是基于 SecureSphere 动态建模 算法 从特定数据库用户的查询中派生的 与查询组 Accounts Select Sales Select 匹配的每个新查询都被添加到 业 务模型 中 以进行审计 在动态查询组情况下 新的查询不属于异常事件 不会生成重 复的警报 但是 当财务分析员突然试图通过 UPDATE 操作修改销售表时 SecureSphere 将此查询识别为不属于他的查询组 并相应地发出警报 自自定定义义策策略略定定义义 除了 动态建模 所提供的自动策略定义外 SecureSphere 还允许安全管理员定义 特定的策略 以便基于 SQL 查询的特定属性来生成警报和阻止通信 自定义策略规则以 手动方式来配置 用于执行通过 业务模型 和协议冲突规则不能或不便实现的操作 当 SQL 查询与某个自定义策略规则匹配时 将记录一条用于进行审计的警报 并且 可根据该自定义策略规则的策略阻止该查询 自定义策略规则可以是以下属性的组合 源 IP 地址 发出查询的源 IP 地址 表 出现在查询中的数据库表的名称 操作 出现在查询中的数据库操作 如 Select 或 Update 应用程序 用于生成查询的源应用程序 用户 生成查询的数据库用户 SecureSphere 冲突 此 SQL 查询触发的与 业务模型 协议 防火墙和签名的冲 突 检测这些方面的冲突 为强制执行安全策略提供了一种功能强大的灵活机制 基于数据库安全策略的监控和防护 数据库安全策略制定之后 必须有相应的部署和保障机制来落实 在 SecureSphere 中 它的实现又 SecureSphere 的引擎完成 在规则制定完成之后就可立即进行实施 在运行的过程中 对于安全威胁 SecureSphere 可以进行非常丰富的响应动作 分 为三类 告警响应 Alert 即时行动 Immediate Action 后续行动 Followed Action 对外通信 告警响应告警响应 告警响应可以对直接触发网管界面中的告警 并且在告警终端界面里对告警的性质 原因 原始数据 知识库进行详细展示 所有被监控系统的告警都可以被呈现在一个窗口中 在统一的规则下 告警可以被 自动汇聚 可以被搜索 排序 过滤 这样极大的方便了管理员对多个系统的安全事件进 行对比和关联分析 即时行动和后续行动即时行动和后续行动 即时行动是对于明确定位 且具有严重前在危害的数据包进行即时阻断的动作 而后 续行动是在安全威胁确认后对在一段时间之内对攻击源进行的阻断 即时动作的功能在于 可以对攻击进行立即的响应 而后续行动保