慧眼数据库审计系统技术白皮书-20100324-v1.0.docx

慧眼数据库审计系统技术白皮书 慧眼数据库审计系统技术白皮书国都兴业信息审计系统技术（北京）有限公司1Captech (China)Co.,Ltd. 版权声明本技术白皮书是对国都兴业信息审计系统技术（北京）有限公司慧眼数据库审计系统审计产品慧眼数据库审计系统产品的描述。与内容相关的权利归国都兴业信息审计系统技术（北京）有限公司所有。白皮书中的任何内容未经本公司许可，不得转印、复制。本资料将定期更新，如欲索取最新资料，请访问本公司网站：/cn您的意见或建议请发至：公司联系方式：国都兴业信息审计系统技术（北京）有限公司北京市海淀区东北旺西路8号中关村软件园10号楼106室邮政编码 100193106 Great Road Building, Zhongguancun Software Park, 8 Dongbeiwang Western RD, Haidian District, Beijing 100193,P.R.China电话 (Tel): +86-10-82585166传真 (Fax): +86-10-82825363电子信箱: 公司简介国都兴业信息审计系统技术（北京）有限公司创建于1998年，公司总部设立于北京中关村软件园，是最优秀的信息系统审计解决方案、产品和服务提供商，具有强大的自主研发实力，是通过ISO9001：2000质量管理体系认证的北京市高新技术企业。国都兴业致力于提升用户掌控信息系统风险的能力，在信息系统的安全性、可靠性、合规性等方面提供全面的IT审计解决方案和服务，开发和销售专业的IT审计产品，解决用户对信息系统监测、评估和控制管理等方面的各项需求。国都兴业是国内信息系统审计领域最具技术创新和产品研发实力的企业，是国内最早研发生产网络应用监控审计类产品的知名企业。国都兴业推出的“慧眼”信息审计系列产品，能够针对IT基础设施、信息安全、网络应用、数据库应用以及业务操作等方面，提供全方位地实时监测和审计，被广泛地应用于企业内部控制、企业风险管理、信息系统安全保障等方面。“慧眼数据库审计系统”连续两年入选中央国家机关网络安全产品协议供货商名录，通过国家、公安部、涉密、军队等信息安全产品认证，并被授予“2008年度最值得信赖品牌奖”。 国都兴业拥有来自军队、科研机构、国内知名院校的专家与学者组成的研发团队，拥有与国家信息技术安全研究中心（N&A）共同组建的网络安全监控技术实验室，在为政府、军队、金融、电信、能源、医疗、教育等行业提供了完善的网络安全解决方案和服务的同时，还承担了多项国家、军队科研攻关项目的研究工作。国都兴业以雄厚的技术实力、优秀的产品和优质的服务获得业界的广泛认可，荣获“中国信息化建设30周年杰出贡献单位奖”、“中国信息化建设30周年杰出贡献人物奖”，入选北京信息安全服务平台2008年度运维支持单位，并圆满完成2008年奥运网络安全评估与保障任务，被授予“共铸网络利剑，携手平安奥运”的嘉奖。国都兴业将秉承“诚信、兴业、自信、创新”的企业精神，致力于成为最优秀的IT审计企业、最值得客户信赖的企业、最吸引优秀人才的企业，为“提升企业驾驭IT的能力，创造信息系统新价值”而不懈努力！目录1前言12数据库审计的重要性22.1满足合规性要求22.2降低安全性风险42.2.1数据完整性安全42.2.2内部人员权限滥用52.2.3授权人员的非法操作52.2.4维护人员非法操作52.2.5技术风险52.3监测可用性风险62.4避免审计风险62.5弥补传统安全技术的盲点72.5.1传统安全设备的盲点72.5.2数据库自身日志审计的缺陷与危害83慧眼数据库审计系统简介103.1慧眼数据库审计系统介绍103.2慧眼数据库审计系统体系架构104产品功能特点124.1防止管理员权限滥用124.2降低维护人员的安全隐患134.3保护重要数据安全134.4保障业务连续性134.5优秀的处理性能144.6强大的分析能力144.7快速响应预警机制144.8多角度的展现能力145产品优势165.1权能关联模型165.2不影响业务系统的可用性165.3满足合规性要求，促进IT审计165.4促进落实规章制度监督管理机制165.5贯彻执行权限管理原则（防止权限滥用）175.6提供多角度、多方位、精确的审计175.7定制化合规报表集，满足审计需求176产品典型应用环境186.1单级部署应用186.2多路负载均衡部署应用186.3多个监测审计点应用方法196.4多级分布式架构207典型用户218产品资质2221Captech (China) Co.,Ltd. 1 前言今天，几乎所有行业的用户业务都是建立在信息系统基础之上的。IT与业务的融合给用户带来了效率提升和持续竞争力，正如信息系统具有潜在的投资回报一样，信息系统同样具有潜在的风险，信息系统任何细微的变故，都有可能导致业务流程完全失效，信息系统在给电子政务、电子商务带来了高效和便捷的优越性同时，同样给外部和内部利用信息系统犯罪带来了容易性和隐蔽性。政府、行业和企业几乎所有的业务活动都是以信息系统作为支撑平台的，而信息系统又是以数据库系统作为核心，业务核心数据的处理与存储都是由数据库系统管理的。因此，数据库系统应作为信息系统安全性中最重要的重点加以保护，随着信息化技术的快速发展，数据库应用范围越来越广，数据库系统承载着本单位、本部门的各种业务数据，诸如财政账务数据、生产数据、人员档案数据等等，毫无疑问，如何保证这些重要数据信息的完整性和真实性已逐渐成为用户关注信息安全的主要内容之一。信息安全管理体系ISMS明确了安全组织体系是基本安全管理措施中的重要一环。内部组织管理中，职责分离是有效减少偶然或故意的未授权访问、误用和滥用的有效方法。可现实中，企业真正完全实现职责分离的却屈指可数。信息化建设的不断发展衍生了系统管理员、网络管理员、数据库管理员、安全管理员、系统分析员、系统程序员、应用程序员、数据录入员、计算机操作员等等岗位的职责分工。可企业信息划建设队伍的壮大却很难覆盖所有的岗位，企业信息人员身兼数职也就司空见惯了。为了避免未完全达到职责分离的现实情况给企业的信息系统带来的风险隐患，信息审计作为职责分工补偿成为了重要的完善企业内部控制的基本措施。而数据库审计能大大降低企业信息数据所存在的风险。2 数据库审计的重要性企业最核心、最重要、最有价值，同时也是最敏感的信息存储库数据库，很容易受到外部攻击者利用 Web 应用程序实施的攻击以及内部员工利用更直接的权限进行的违规操作。客户记录、财务报表以及患者数据都存在风险。因此，对于数据的安全管理和操作风险已经引起政府、行业和企业高层管理者的高度重视。 在安全风险管理方面，企业和政府部门随着信息化建设的不断发展促使信息价值不断提升。随着业务和IT融合不断地深入和数据共享需求的不断扩展，数据库安全面临着管理、技术和审计的多方面风险。图1-1 数据库安全风险2.1 满足合规性要求目前, “公司治理”(Corporate Governance)问题因上市公司频频“惊曝黑幕”而成为全球性的话题。前几年在美国出现的安然、世通、施乐等粉饰业绩，导致企业崩溃的案件，英国出现的巴林银行违规交易导致破产的事件，日本出现的雪印食品公司舞弊案件，中国出现的蓝田股份和银广厦的利润神话破灭事件，特别是今年的美国次级房贷引发的华尔街金融危机，进而引发了百年老店雷曼兄弟公司的破产，充分暴露了金融监管和企业风险控制的失控，使公司治理成为企业高层议事日程中最重要和迫切的任务之一。在信息环境下，作为“公司治理”最重要组成部分之一IT治理，在企业中扮演着越来越重要的角色。“如何通过IT审计对IT治理环境进行有效的控制，确保IT治理与企业战略目标相符”成为了企业及其监管部门最关心的问题之一。“萨班斯法案”是2002年美国国会通过的上市公司会计改革与投资者保护法案。其中最为严格的第404条款规定，在信息管理方面，萨班斯法案强调了三个核心内容：即信息的完整性，信息的保密性和要求信息能够在适当的时间以适当的格式被访问；明确规定了包括对信息保护、信息准确跟踪、信息长期保存的要求。萨班斯法案出台后，法国和日本也都先后出台了类似的新法规强化监管。随着中国本土企业全球化扩张步伐的加快，国内公司遵循的许多规范正在逐步与国际接轨，如在美上市的中资企业需遵循SOX法案（上市公司会计改革与投资者保护法案）；同时随着国家等级化保护基本要求、以及行业风险管理和内控指引的出台，用户合规审计需求日益凸显，政府、电信、金融、大型企业等都纷纷制定相关的规范，成为安全审计发展的重要促进因素。在中国，由于治理主体的明晰和到位，作为企业管理基础提升的企业治理已经成为现实问题。推进企业治理, 建立规范、高效的现代企业制度，使企业运行的每个环节都处于规范和可控制状态，达到“透明、控制和效率”的治理效果，正是中国国有企业改革和上市公司治理所要努力的方向。此外，电子商务的风险对交易双方都构成威胁。破坏者可以来自企业外部也可以来自内部。所面临的风险包括数据的失窃、毁坏、截取、改动、延误或传输路径的改变以及伪造信息。这些风险会破坏正常的交易秩序，给交易双方带来巨大的损失。财政部、证监会、审计署、银监会、保监会五部委发布的企业内部控制基本规范等都要求对信息系统做好审计工作，保证信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。国家对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统实施信息系统安全等级保护制度，被赋予等级为2级以上的信息系统的网络系统、主机系统和数据库系统都必须具有安全审计。通过数据库审计实现对信息系统中的网络操作及业务系统操作进行审计记录，以便及时发现可疑行为及违规操作，采取相应的措施。通过数据库安全审计，可对发生的安全事件及时响应，不断跟踪网络操作和安全事件的变化，准确掌握信息系统的安全状态，并依据变化进行调整，确保满足企事业单位的安全要求，保护重要业务数据的安全。2.2 降低安全性风险数据库存储着客户记录、财务数据以及患者数据等重要信息，很容易受到外部攻击者利用 Web 应用程序实施的攻击以及内部员工利用更直接的权限实施的攻击，存在着诸多安全性风险：l 利用信息系统的方便性，违反业务规范与流程操作l 在数据上弄虚作假，导致数据信息的不真实l 组织与机构的数据信息被泄露、窃取、篡改等问题这些都会给单位、企业、机构、群体和个人造成政治影响、经济损失、信誉损害和隐私暴露。因此，对于数据的安全管理和操作风险必须得到政府、企业高层管理者的高度重视。2.2.1 数据完整性安全王某是某公司商务技术代表。去年3月21日，他向公司发出离职邮件后自行离职。此后不久，王某被原公司告上法院。公司称进行服务器维护时，发现王某在离职前一天登录客户信息资料数据库，恶意更改了上百家客户的联系信息，因数据库更改后无法自行恢复，给公司造成了难以计算的经济损失。2.2.2 内部人员权限滥用2007年富达国民信息服务公司(Fidelity National Information Services)旗下子公司Certegy Check Services的一名高级数据库管理员利用权限访问，窃取了属于850余万个客户的记录。随后，他把这些资料以50万美元的价格卖给了一经纪人，该经纪人转手卖给了直接营销商。后来这名员工被判处四年以上徒刑，并处罚金320万美元。2.2.3 授权人员的非法操作中国青年报报道，上海一电脑高手，方某今年25岁，学的是计算机专业，曾是某超市分店资讯组组长。方某利用职务之便，设计非法软件程序，进入超市业务系统，即超市收银系统的数据库，通过修改超市收银系统的数据库数据信息，每天将超市的销售记录的20%营业款自动删除，并将收入转存入自己的账户。从2004年6月至2005年8月期间，方某等人截留侵吞超市3家门店营业款共计397万余元之多。2.2.4 维护人员非法操作2007年某工程师曾任华为技术有限公司工程师，负责西藏移动等公司的设备安装。多次侵入北京移动公司的充值中心数据库，修改充值卡原始数据并窃取充值卡密码后销售，共获得380万元的利润。2.2.5 技术风险美国东海岸连锁超市(East Coast)的母公司Hannaford Bros.称，该超市的用户数据库系统遭到黑客入侵，造成400多万个银行卡帐户信息泄露，因此导致了1800起与银行卡有关的欺诈事件。在持卡人认证过程中，有420万个单个的信用卡和借记卡信息泄露，成为迄今为止涉及用户规模最大的数据入侵事件之一。除黑客攻击外，数据库存在的技术风险还包括：l 网络层系攻击 l 操作系统漏洞 l 数据库攻击 l 应用系统后门 l 数据共享需求膨胀 2.3 监测可用性风险许多事件都可能造成业务中断，从内部系统故障到用户操作错误。因流程、人员或系统故障而使信息或应用程序无法访问，这些都可能造成信息资产损失，导致生产率下降、客户满意度降低、订单丢失、声誉品牌受损、公司收入和股价下降、面临法律诉讼风险使企业效率或价值大为降低。2.4 避免审计风险随着企业信息化系统业务的不断发展，数据库应用范围越来越广，数据库系统承载着企业的账务数据、贸易记录、工程数据等重要信息。然而企业数据库面临的安全威胁日渐增加，近年来不断发生的重要敏感数据被窃取、篡改问题，已经引起各方面的高度重视，成为迫切需要解决的问题。国家在强制性推行信息系统的安全等级保护，实质上是要求政府、企业加强内控和IT管理，要求IT部门的管理者对信息系统产生的数据（财务和业务数据）结果作为可靠性和唯一性的保证并承担风险责任。如果信息系统在日常运行过程中无审计机制，对于企业管理层来讲无法对建立和维护内部控制系统及相应控制程序做出充分有效的评价；同时也会导致安全事件难于追溯、安全事件难于定位、无法追溯事故责任人等问题。系统故障系统运行状态为快速恢复提供线索内部与外部恶意威胁防范权限滥用防范泄露重要信息应用程序性能和IT性能优化资源确保正确配置IT策略与外部法规确保全面控制自动收集证据2.5 弥补传统安全技术的盲点2.5.1 传统安全设备的盲点传统的安全设备，如：IDS/IPS、防火墙，都是针对于边界防护，而且防护的方向对外而不是对内的。根据资料窃盗资源中心（The Identity Theft Resource Center，ITSC）所公布的报告，2008 年数据外泄件数总计有 656 件，比 2007 年的 446 件增加了 47%；其中一般企业的数据外泄情况更有愈来愈严重的倾向。去年 8 月 ITSC 就曾发表相关数据，指出截至去年 8 月为止，资料外泄件数就已超越前年一整年的结果。不过，此一资料外泄增加的案件比例与去年相仿，2007 年的资料外泄件数亦比 2006 年增加 4 成。 ITSC 主要观察五个产业的资料外泄情况，包括一般企业、教育、政府及军事单位、健康及医药产业及金融产业，发现一般企业的资料外泄有愈来愈严重的倾向， 自 2006 年占 21% 增加到去年的 36.6%，教育领域则是自 28% 减少到 20%，政府及军事单位则是自 30% 大幅降低到 16.8%，健康医疗产业从前年的 13% 到去年的 14.8%，金融产业则是自 8% 增加到 11.9%。 根据 ITSC 的报告，所有的资料外泄案件中，只有 2.4% 采用加密等重要保护方式，只有 8.5% 有密码保护，这代表非常多的外泄数据完全没有加密或密码保护。 至于资料外泄的途径，ITSC 表示，虽然人为的疏失已有大幅改善，但仍占 35.2%；而旅行中数据遗失则占 20.7%，意外揭露占 14.4%，黑客恶意攻击及内部窃贼的比例约占 29.6%。其中，内部窃贼的比例达 15.7%，为前年的两倍，黑客则占 13.9%。 电子型态的数据外泄也以 82.3% 远超过文件数据外泄的 17.7%。而有通报的外泄资料总计为 3570 万笔，但其中尚有 41.9% 的案例未通报，因此波及的数据笔数应该更多。依此比例换算，2008 年外泄的资料约达 8520 万笔。对于传统安全设备防护的外部威胁只占外泄的13.9，可见大量重要信息的泄露是由内部人员造成的，这基本上是传统安全设备的盲点。2.5.2 数据库自身日志审计的缺陷与危害通常数据库服务器具有自身的日志审计功能，这样的日志功能也分为多种类型，如：连接审计，C2审计，SQL语句跟踪等，可以通过对配置项的修改，设置为启动或关闭，然而这样的日志审计功能有着其自身的缺陷和危害：l 非智能设计：日志审计功能并不能进行灵活的配置，仅仅是简单的日志记录，并不能帮助管理者及时发现问题，快速定位问题；l 不能进行监测报警：数据库自身的日志审计，并不具有监测报警的功能，不能在第一时间将异常信息报告给数据库管理者，只能用于问题查证；l 日志记录可以被删除：日志审计的记录会存在一个特定文件或是一个表，恶意攻击者或是具有权限的合法用户都可以删除这样的日志文件，从而将记录毁灭；l 对数据库服务器的资源和性能都会产生影响：在开启某些日志审计功能后，有时候如果无法对日志文件进行写入时，就会导致数据库停止；还有一些日志审计功能一旦开启，记录量非常大，占用了大量的硬盘空间，同时大大降低数据库服务的性能，严重影响正常的应用的顺利进行。3 慧眼数据库审计系统简介3.1 慧眼数据库审计系统介绍慧眼数据库审计系统是国都兴业信息审计系统技术（北京）有限公司为数据库服务器高效运维和数据安全管理，数据安全审计而推出的合规性审计产品。通过旁路监听方式采集，分析处理，记录数据库服务器的所有操作，提供监测报警策略设置、数据库服务器负担状况统计分析、数据库客户端访问操作统计分析以及数据库客户端访问排名等功能，实现对数据库服务器应用（包括数据库系统操作，数据操作）的实时监测、报警、记录和审计。3.2 慧眼数据库审计系统体系架构慧眼数据库审计系统具有灵活的系统构架。可以根据用户的网络环境、应用需求、网络规模进行灵活的裁剪和定制，同时也便于系统的扩充，增加新的安全审计类型。采用了目前世界最先进的RIA (Rich Internet Application)开发技术，使得用户应用既具有Browser/Server 操作使用的方便性，又具有Client/Server 用户界面的丰富性。慧眼数据库审计系统的部署方式如下：1. 根据不同的审计范围部署一到多台审计引擎；慧眼数据库审计引擎需要部署在交换机镜像口或接入旁路分流器，并进行适当配置。2. 依据监测数据库服务器的数量以及数据库审计系统需要处理交易数量级部署一台到多台审计服务系统；3. 根据不同的监控需求，通过浏览器登陆综合审计管理中心进行策略的制定和审计监测。4 产品功能特点4.1 防止管理员权限滥用数据库的操作管理通常是由多个具有不同权限的用户进行分权管理，其中权限最大是超级用户，由于这样的账户基本上对数据库的所有操作都是没有任何限制的，一旦超级用户的账户被盗用或是超级账户的使用者故意对数据资源进行毁害或是盗取，这样的行为对企业和组织产生的影响无疑是非常巨大的，由此而引发的损失就是无可估量的！慧眼数据库审计系统提供全面记录审计数据库SQL级操作，还原出原始SQL语句，同时记录操作相关的各种信息，如：数据库服务器名称、IP地址、MAC地址、端口号、数据库操作发生详细日期、时间以及原始SQL语句。同时慧眼数据库审计系统提供多角度、全方位的报警策略制定与响应机制，如：基于角色、基于SQL语句类型、基于SQL语句关键操作库表、基于时间等，满足对超级管理员的各类审计需求。4.2 降低维护人员的安全隐患数据库的维护人员有时需要在数据库中建立一些临时的账户用于数据库的日常维护，这样的临时帐户只会存在很短的时间，然而这样的账户很可能被不良用心者利用，由于使用时间较短，数据库管理员基本上很难发现数据资源被窃取过或是被恶意损毁，当发现时已经对企业产生了无法弥补的损失，而且没有丝毫的线索提供给相关单位进行取证。慧眼数据库审计系统不但提供基于数据库原始SQL语句的审计，而且提供各类远处维护操作协议的审计，如：FTP、Telnet等协议命令级的回放。同时慧眼数据库审计系统详细分析记录详细分析记录数据库系统级操作，包括用户访问、特权访问以及数据库特有操作，保证审计的完整性与针对性。从而保证对数据库帐户的建立、删除，数据库帐户权限的更改等进行细致的审计，并可依据帐户建立机制设定不同的报警策略，帮助企业数据库管理员更好的管理数据库的信息资源。4.3 保护重要数据安全数据库服务器中保留了许多重要的数据资源，其中有些数据资源对企业来讲是举足轻重的，如果这些数据遭到破坏，可能会给组织带来毁灭性的影响。企业应对数据库数据信息进行分类，重点监测所有敏感数据的操作，及时发现非法操作以及授权用户的违规操作。慧眼数据库审计系统提供对于各种复杂的SQL语句（诸如超长SQL语句、多语句等）可以进行完整的分析、还原与记录，提供自动识别各类中文编码，保证完整还原原始SQL语句与存储过程。同时不但能够记录查询中Bind Variable的变量的名字，还能够记录Bind Variable的数值。制定针对于数据库的操作库、数据库操作表、数据库操作关键信息、数据库操作关键值等策略。4.4 保障业务连续性慧眼数据库审计系统要能够对记录的所有审计信息进行分类统计，并提供方便快捷的使用策略，帮助用户及时发现问题，减少损失，并提供完整的数据操作记录，协助用户发现违规操作的事件之后的线索查询和取证的顺利进行。慧眼数据库审计系统可以通过审计、统计和排名的关联功能可以快速帮助用户发现潜在的安全隐患。用户可以通过统计、排名功能发现数据库操作的访问异常现象，通过关联审计功能第一时间发现恶意的数据库访问者。4.5 优秀的处理性能在峰值处理能力、高峰抗压能力、平均处理能力以及大数量级下的查询能力都具有十分卓越的表现4.6 强大的分析能力自动识别中文编码、支持Bind Variable解析、完整分析复杂SQL语句与存储过程，全面记录SQL级、系统级、用户自定义级的操作行为。对运维远程访问、应用中间件访问等操作，提供多维度、多层次的细粒度审计分析4.7 快速响应预警机制慧眼数据库审计系统能够定义一些正常的操作过程，如果发现任何操作不属于正常定义的操作，即会产生报警，警示用户尽快查明原因，排除问题，这样就可以降低数据的使用风险。慧眼数据库审计系统提供多种响应策略，保证快速及时发现问题：1. 完整记录相应的操作过程；2. 向综合审计管理中心发出报警信息；3. 向审计管理员发送邮件报告；4. 在日常审计报告提供报警统计分析；4.8 多角度的展现能力 提供丰富的审计查询条件和细致的统计分析条件，通过多样化的关联查询分析能力，保证数据展现的灵活多样。同时提供强大的报表模板以及可定制的客户化报表，满足用户不同层次的需要。5 产品优势5.1 权能关联模型通过建立用户操作权限模型并统计用户历史操作行为摘要形成权能关联模型，分析操作行为是否违反权限或历史规律。5.2 不影响业务系统的可用性慧眼数据库审计系统通过旁路方式部署在网络上，不需要修改数据库服务器、企业内部网络环境或应用部署等基础架构。同时在不影响数据库性能、管理和可用性的条件下提供深入的监测与审计。5.3 满足合规性要求，促进IT审计“如何通过IT审计对IT治理环境进行有效的控制，确保IT治理与企业战略目标相符”成为了企业及其监管部门最关心的问题之一。国内公司遵循的许多规范正在逐步与国际接轨，如在美上市的中资企业需遵循SOX法案（上市公司会计改革与投资者保护法案）；同时随着国家等级化保护基本要求、以及行业风险管理和内控指引的出台，用户合规审计需求日益凸显，政府、电信、金融、大型企业等都纷纷制定相关的规范，成为安全审计发展的重要促进因素。慧眼提供了一系列独立的IT审计解决方案，有助于完善组织的IT内控与审计体系，从而满足各种合规性要求，并且使