数据库审计解决方案.ppt

数据库审计解决方案 北京华青融天技术有限责任公司 目录 2 方案优势 案例分析 帕拉迪数据库安全监控审计解决方案 数据库现状及安全威胁 传统 国内数据库审计解决方案 数据库现状及安全威胁 数据库安全威胁 内部威胁根据最新研究显示 恶意内部人员和人为错误是对数据库安全的最大威胁 而不是外部入侵者 电信员工等23人出售手机用户信息被起诉 23人被控出卖公民个人信息 外部威胁花旗集团 黑客攻击影响客户超过36万美军方承包商机密数据遭泄漏 数据库现状及安全威胁 十大数据库安全威胁 数据库现状及安全威胁 企业数据库现状 内部用户 外部用户 数据库 权限滥用 恶意访问 误操作 越权使用 DBA数据库开发人员 黑客互联网应用 不了解数据库 被 怎么了 数据资产使用 有规无据 缺少数据库行之有效的 分析审计依据 数据库访问 暗箱操作 数据库访问不透明 数据库现状及安全威胁 目前数据库管理存在问题 无法有效分析数据来源 做到快速定位 没有数据库的完整审计记录 无法满足相关审计方面的要求 对关键数据的访问无记录 出现事故无法追踪 一旦数据库日志被清除 无法发现事故 无法做到事故定位 对于黑客攻击 无法做到有效防范和攻击留痕 非授权进入业务系统或误操作 越权操作 导致数据泄漏或被修改 不能实时监控对数据库的非法访问 没有预警 数据库现状及安全威胁 法规遵从 4 6安全审计数据库管理系统的安全审计应 a 建立独立的安全审计系统 b 定义与数据库安全相关的审计事件 c 设置专门的安全审计员 d 设置专门用于存储数据库系统审计数据的安全审计库 e 提供适用于数据库系统的安全审计设置 分析和查阅的工具 第十五条企业应当加强内部审计工作 保证内部审计机构设置 人员配备和工作的独立性 第四十四条企业应当根据本规范及其配套办法 制定内部控制监督制度 明确内部审计机构 或经授权的其他监督机构 和其他内部机构在内部监督中的职责权限 规范内部监督的程序 方法和要求 国际标准 萨班斯法案ISO27001 企业内部控制基本规范 计算机信息系统安全等级保护数据库管理技术要求 数据库现状及安全威胁 行业标准 解决问题之路 加强行政制度的规范 从数据库运维及业务系统使用行为角度 制定相应的规范和制度 通过强力的流程管理避免权限的越权及违规使用 监控数据库访问过程 通过技术手段 实时了解数据库的使用情况 筛选 记录核心数据的访问和使用过程 及时对违规事件进行告警 两者有效的配合 才是解决问题的根本方法 数据库现状及安全威胁 目录 10 方案优势 案例分析 帕拉迪数据库安全监控审计解决方案 数据库现状及安全威胁 传统 国内数据库审计解决方案 国内 传统数据库审计解决方案 数据库审计市场现状 数据库审计工作的基本需求 多数的产品不能完全满足 国内 传统数据库审计解决方案 传统审计模式盲点 国内 传统数据库审计解决方案 目前国内数据库审计系统盲点 国内数据库审计产品多数是基于IDS产品改造而成 存在以下的盲点 基于单个网络包 只能以SQL语句方式展现 只能实现单包返回状态分析 不能实现对查询结果进行分析 超长SQL语句无法支持 提供逃避审计通道 协议解码不完全 无会话技术就不可能完全解码 变量绑定不支持或不完整 审计素材有用性缺失 无法全部存储分析审计数据 记录之后 不能查询 无法记录下原始数据包 缺乏最原始的审计依据 事后报警 做不到事前防范 事中报警 长会话记录分散记录 审计困难 部分产品需要改变网络拓扑 甚至需要在数据库服务器上安装采集器 易造成安全漏洞 国内 传统数据库审计解决方案 数据库监控审计乱象总结 数据库审计乱象 新编用不熟 查不到 难解码 容易逃 抗压差 记不好 搜不动 审个毛 巧包装 被骗到 拖后腿 不用了 好产品 哪里找 在选择安全产品时 我们都会习惯性的首先关注国际上的明星产品 这些产品技术成熟 功能稳定 的确存有优势 但其逻辑复杂晦涩 使用门槛很高 进行一些简单的配置都让人望而生畏 购买了国外产品的用户 往往因为操作习惯的迥异 并没有真正的发挥产品的功能价值 另一方面 海外产品的设计初衷是为了满足海外法规的要求 并没有考虑到国内市场的实际需求 迫于处理及存储的压力大量丢弃了其认为 无用 的审计信息 在进行追溯时 这些所谓 无用 细节信息就已经无法查到 违背了审计的基本要求 国内 传统数据库审计解决方案 数据库监控审计乱象总结 数据库审计乱象 新编用不熟 查不到 难解码 容易逃 抗压差 记不好 搜不动 审个毛 巧包装 被骗到 拖后腿 不用了 好产品 哪里找 再看国内产品 虽然 品牌众多但为了降低研发成本 多数产品是基于IDS技术进行再造的所谓 数据库审计 产品 由于基础技术框架的先天缺陷 导致此类产品对与数据库协议解码存在着困难 而且 由于IDS基于单包进行解析与策略匹配的技术特点 使其对超长SQL语句 绑定变量等难以完整解析 有心者 通过构造超长SQL语句隐藏攻击语句 逃避审计 例如 可在SQL语句中加入大量注释 超过1460长度 并在其后跟随破坏性语句 此类危险操作国内现有审计系统是无法发现的 目录 16 方案优势 案例分析 帕拉迪数据库安全监控审计解决方案 数据库现状及安全威胁 传统 国内数据库审计解决方案 帕拉迪数据库安全监控审计解决方案 数据库风险分析 安全监控解决方案 数据库安全全生命周期解决方案 帕拉迪数据库安全监控审计解决方案 核心关键技术 帕拉迪数据库安全监控审计解决方案 DbXpert革命性优势 突破 流技术 壁垒 完整记录与解析流数据 取得革命性划代突破 解决了最基本的 协议解码 问题 并创新 IO 存储与检索模型 实现超长SQL语句解析 实现变量绑定完全解析 实现SELECT返回行列结果解析 记录原始网络传输包 有效提高数据库排错 调优效率 事件来源参数捕获全面精确 更准确地判断责任归属 会话单位完整记录数据库访问过程 实现高效的未知协议解码适应能力 真正准确的违规事件发现与告警 帕拉迪数据库安全监控审计解决方案 效果展示 可以自动发现到连入数据库的客户端主机 应用程序 帐号 帕拉迪数据库安全监控审计解决方案 效果展示 灵活的告警策略配置 帕拉迪DBXpert拥有灵活的告警策略配置引擎 可关联数据库访问事件的细粒度条件 标准SQL命令客户端网络地址客户端应用程序客户端主机名称客户端系统用户数据库用户名称目标表 列 帕拉迪数据库安全监控审计解决方案 效果展示 完整的会话审计与会话过滤功能 快速追踪事件信息 定位事件类型 帕拉迪数据库安全监控审计解决方案 效果展示 详尽的会话操作记录 追溯数据库操作过程 帕拉迪数据库安全监控审计解决方案 效果展示 提供原始数据包下载 为审计工作提供最原始的依据 帕拉迪数据库安全监控审计解决方案 效果展示 告警信息完整记录 分析详尽 帕拉迪数据库安全监控审计解决方案 效果展示 实时的数据库性能监测及风险统计 实时了解数据库系统的连接数 性能等指标 可及时发现数据库的性能问题 为在系统出现问题前解决问题 提供了时间保障 完善的可定制的报表系统 帕拉迪数据库安全监控审计解决方案 效果展示 实时的数据库性能监测及风险统计 实时了解数据库系统的连接数 性能等指标 可及时发现数据库的性能问题 为在系统出现问题前解决问题 提供了时间保障 系统状态监控界面和可视化动态实时监控效果 帕拉迪数据库安全监控审计解决方案 产品部署模式 帕拉迪数据库安全监控审计解决方案 创新实用的IO模型与全文检索 创新的IO模型与全文检索架构 1 提供来源IP白名单 SQL语句级别白名单2 记录白名单之外的一切协议解码详细数据3 实时告警并记录 输出关注事件4 利用全文索引 搜索定位可疑事件5 可选择记录原始PCAP流数据证据 目录 30 方案优势 案例分析 帕拉迪数据库安全监控审计解决方案 数据库现状及安全威胁 传统 国内数据库审计解决方案 方案优势 方案优势 方案优势 有效控制风险 快速查找故障原因 用户收益 满足IT审计合规性要求 提高数据库安全可用性 完善的责任认定体系 价值总结 目录 33 方案优势 案例分析 帕拉迪数据库安全监控审计解决方案 数据库现状及安全威胁 传统 国内数据库审计解决方案 案例分析 案例分析一 XXXX单位业务系统运行一端时间后就会出现获取连接超时 失败 或者报告这是一个无效的连接等问题 需要重新启动服务器才能正常运行 该问题困扰工程师好久 在接入帕拉迪dbxpert系统后 我们通过会话记录发现中间件到数据库的会话长时间不释放 判断ConnectionPool 连接池 设置问题 由于大量sleepingconnection未释放以致出现上面的错误 找到问题后 通过采用以下方法最终解决了问题 1 打开应用服务器连接池的 续连接支持开关 就是说 在把池中的Connection对象返给Client端的时候 或从Client端回收的时候 做一次有效性验证 以确定这是一个有效连接 2 打开连接池的无效连接定期回收机制 就是说 让连接池每经过一段时间 就对连接池中的那些已经无效的连接进行回收 回收操作尽量不要过