数据库审计与风险控制系统白皮书

产品白皮书 杭州安恒信息技术有限公司 第 1 页 共 31 页 0571 28860999 明御明御 TMTM 数据库审计与风险控制系统 数据库审计与风险控制系统 DAS DBAuditorDAS DBAuditor 产品白皮书产品白皮书 杭州安恒信息技术有限公司杭州安恒信息技术有限公司 产品白皮书 杭州安恒信息技术有限公司 第 2 页 共 31 页 0571 28860999 版权申明 本文档包含了来自杭州安恒信息技术有限公司机密的技术和商业信息 提供给杭州安 恒信息技术有限公司的客户或合作伙伴使用 接受本文档表示同意对其内容保密并且未经 杭州安恒信息技术有限公司书面认可 不得复制 泄露或散布本文档的全部或部分内容 本文档及其描述的产品受有关法律的版权保护 对本文档内容的任何形式的非法复制 泄露或散布 将导致相应的法律责任 杭州安恒信息技术有限公司保留在不另行通知的情况下修改本文档的权利 并保留对 本文档内容的解释权 This document contains confidential technical and commercial information from Hangzhou Anheng Info Tech Co Ltd No part of it may be reproduced or transmitted in any form or means without the permission of Hangzhou Anheng Info Tech Co Ltd This document and the product it describes are protected by copyright according to the applicable laws The information in this document is subject to change without notice and describes only the product defined in the introduction of this documentation Hangzhou Anheng Info Tech Co Ltd will if necessary explain issues which may not be covered by the document Anheng logo is a registered trademark of Hangzhou Anheng Info Tech Co Ltd The other product names mentioned in this document may be trademarks of their respective companies and they are mentioned for identification purposes only Copyright 2007 2010 Hangzhou Anheng Info Tech Co Ltd All rights reserved 产品白皮书 杭州安恒信息技术有限公司 第 3 页 共 31 页 0571 28860999 目 录 1 公司简介 4 2 数据库面临的安全挑战 5 3 法令法规的要求 6 4 主要功能 7 4 1 数据库静态审计 7 4 2 实时监控与风险控制 8 4 3 齐全的实时审计 9 4 4 均衡的双向审计 13 4 5 细粒度审计规则 14 4 6 精准的行为检索 15 4 7 独有的三层审计 16 4 8 完备的审计报表 17 4 9 安全事件回放 19 4 10 多形式的预警机制 20 4 11 系统配置管理 21 4 12 分部式部署管理 23 4 13 自身日志的审计 23 5 产品特点 25 5 1 最全的数据库类型支持 25 5 2 独立审计模式 25 5 3 灵活的动态审计规则 25 5 4 全方位 细粒度审计分析 25 5 5 合规的职责分离 26 5 6 零风险部署 26 5 7 完备的自身安全 26 6 产品规格及型号 28 7 典型案例 29 8 产品资质 30 产品白皮书 杭州安恒信息技术有限公司 第 4 页 共 31 页 0571 28860999 1 公司简介公司简介 杭州安恒信息技术有限公司 DBAPPSecurity 简称 安恒信息 是业界领先的应 用安全及数据库安全整体解决方案提供商 专注于应用安全前沿趋势的研究和分析 核心 团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验 以全球 领先具有完全自主知识产权的专利技术 致力于为客户提供应用安全 数据库安全 不良 网站监测 安全管理平台等整体解决方案 安恒信息公司总部位于杭州高新区 在北京 上海 广东 四川 美国硅谷等地都设 有分支机构 遍布全国的代理商体系以及销售与服务网络能够为用户提供精准 专业的服 务 公司成立以来安恒人始终以建立民族自主品牌为己任 秉承 精品创新 恒久品质 的理念 力争打造中国信息安全产业应用安全与数据库安全第一品牌 多年来 安恒信息以其精湛的技术 专业的服务得到了广大客户的青睐 同时赢得了 高度的商业信誉 其客户遍布全国 涉及金融 运营商 政府 公安 能源 教育 医疗 税务 工商 社保 等保评估 安全服务机构 电子商务企业等众多行业 安恒信息目前拥有明鉴 明御两大系列自主研发产品 是应用安全 数据库审计 不良网站监测等领域的市场绝对领导者 其中明鉴系列应用扫描器被国家等级保护测评中 心等国内权威等级保护测评机构广泛使用 未来 安恒信息将继续秉承诚信和创新精神 继续致力于提供具有国际竞争力的自主 创新产品和服务 全面保障客户应用与数据库的安全 为打造世界顶级的产品而不懈努力 作为作为 20082008 北京奥组委安全产品和服务提供商 安恒信息被奥组委授予北京奥组委安全产品和服务提供商 安恒信息被奥组委授予 奥运信息安奥运信息安 全保障杰出贡献奖全保障杰出贡献奖 在在 20092009 年建国年建国 6060 周年全国网站安全大检查中 公安部和工信部安全中心均选用安恒周年全国网站安全大检查中 公安部和工信部安全中心均选用安恒 信息明鉴应用弱点扫描作为安全检查工具并发挥了重大作用 信息明鉴应用弱点扫描作为安全检查工具并发挥了重大作用 20102010 年 安恒信息作为上海世博会安全产品和服务的提供商 为上海世博会信息安全年 安恒信息作为上海世博会安全产品和服务的提供商 为上海世博会信息安全 保驾护航 保驾护航 产品白皮书 杭州安恒信息技术有限公司 第 5 页 共 31 页 0571 28860999 2 数据库面临的安全挑战数据库面临的安全挑战 数据库是任何商业和公共安全中最具有战略性的资产 通常都保存着重要的商业伙伴 和客户信息 这些信息需要被保护起来 以防止竞争者和其他非法者获取 互联网的急速 发展使得企业数据库信息的价值及可访问性得到了提升 同时 也致使数据库信息资产面 临严峻的挑战 概括起来主要表现在以下三个层面 管理层面 主要表现为人员的职责 流程有待完善 内部员工的日常操作有待规 范 第三方维护人员的操作监控失效等等 致使安全事件发生时 无法追溯并定 位真实的操作者 技术层面 现有的数据库内部操作不明 无法通过外部的任何安全工具 比如 防火墙 IDS IPS 等 来阻止内部用户的恶意操作 滥用资源和泄露企业机密信 息等行为 审计层面 现有的依赖于数据库日志文件的审计方法 存在诸多的弊端 比如 数 据库审计功能的开启会影响数据库本身的性能 数据库日志文件本身存在被篡改 的风险 难于体现审计信息的真实性 伴随着数据库信息价值以及可访问性提升 使得数据库面对来自内部和外部的安全风 险大大增加 如违规越权操作 恶意入侵导致机密信息窃取泄漏 但事后却无法有效追溯 和审计 为了解决数据库信息安全领域的深层次 应用及业务逻辑层面的安全问题及审计需求 安恒公司在多年数据库安全的理论和实践经验积累的基础上 成功推出了业界首创的 面 向政府 企业核心数据库的安全产品 明御 TM数据库审计与风险控制系统 该产品重点 实现细粒度审计 精准化行为回溯 全方位风险控制 为您的核心数据库提供全方位 细 粒度的保护功能 产品白皮书 杭州安恒信息技术有限公司 第 6 页 共 31 页 0571 28860999 3 法令法规的要求法令法规的要求 1 计算机信息系统安全等级保护要求 计算机信息系统安全等级保护要求 计算机信息系统安全等级保护数据库管理技术要求 是计算机信息系统安全等级保 护技术要求系列标准之一 详细说明了计算机信息系统为实现 GB17859 所提出的安全等级 保护要求对数据库管理系统的安全技术要求 以及确保这些安全技术所实现的安全功能达 到其应有的安全性而采取的保证措施 计算机信息系统安全等级保护数据库管理技术要求 第四章 数据库管理系统安全 技术要求 中第四节 数据库安全审计 中明确提出 数据库管理系统的安全审计应 a 建立独立的安全审计系统 b 定义与数据库安全相关的审计事件 c 设置专门的安全审计员 d 设置专门用于存储数据库系统审计数据的安全审计库 e 提供适用于数据库系统的安全审计设置 分析和查阅的工具 2 企业内部控制规范 企业内部控制规范 基本规范的内部审计机制基本规范的内部审计机制 第二十六条 健全内部审计机构 加强内部审计监督是营造守法 公平 正直的内部 环境的重要保证 企业应当加强内部审计工作 在企业内部形成有权必有责 用权受监督 的良好氛围 3商业银行内部控制指引商业银行内部控制指引 计算机信息系统的内部控制计算机信息系统的内部控制 4支付卡行业数据安全标准支付卡行业数据安全标准 要求和安全评估程序 要求和安全评估程序 2008 5电子银行安全评估指引 电子银行安全评估指引 2007 6电子银行业务管理办法 电子银行业务管理办法 2008 7期货公司信息技术管理指引期货公司信息技术管理指引 8 萨班斯萨班斯 SOX 法案法案 9 产品白皮书 杭州安恒信息技术有限公司 第 7 页 共 31 页 0571 28860999 4 主要功能主要功能 数据库审计与风险控制系统主要的功能模块包括 静态审计 实时监控与风险控制 实时审计 双向审计 细粒度审计规则 精准的行为检索 三层关联审计 完备的审计报 表 安全事件回放 审计对象管理 多形式的预警机制 系统配置管理 几个部分 4 1 数据库静态数据库静态审计审计 数据库静态审计的目的是代替繁琐的手工检查 预防安全事件的发生 DAS DBAuditor 依托其权威性的数据库安全规则库 自动完成对几百种不当的数据库不安全配置 潜在弱 点 数据库用户弱口令 数据库软件补丁 数据库潜藏木马等等静态审计 通过静态审计 可以为后续的动态防护与审计的安全策略设置提供有力的依据 静态审计由系统管理 项目管理 安全扫描 报表管理几个子模块组成 产品白皮书 杭州安恒信息技术有限公司 第 8 页 共 31 页 0571 28860999 基基线线创创建建 弱弱点点检检测测 安安全全扫扫描描 弱弱口口令令检检测测 项项目目管管理理 基基线线扫扫描描 弱弱点点分分析析 补补丁丁检检测测 系系统统管管理理 鉴鉴权权管管理理许许可可管管理理完完整整性性检检测测 项项目目打打开开 项项目目保保存存 项项目目编编辑辑 项项目目删删除除 项项目目新新增增 报报表表管管理理 历历史史报报表表 自自定定义义报报表表 报报表表导导入入 报报表表导导出出 当当前前报报表表 升升级级管管理理日日志志管管理理 存存储储过过程程检检测测 其中 风险趋势管理 通过基线创建生成数据库结构的指纹文件 通过基线扫描发现数 据库结构的变化 从而实现基于基线的风险趋势分析 弱点检测与弱点分析 根据内置自动更新的弱点规则完成对数据库配置信息的安 全检测及数据库对象的安全检测 弱口令检测 依据内嵌的弱口令字典完成对口令强弱的检测 补丁检测 根据补丁信息库及被扫描数据库的当前配置 完成补丁安装检测 存储过程检测 根据内嵌的安全规则 对存储过程进行安全检测 如 是否存在 SQL 注入漏洞 项目管理 按项目方式对扫描任务进行增 删 改管理 报表管理 提供扫描报告的存储 查看 多文件格式导入 导出功能 系统管理 提供鉴权管理 许可管理 日志管理 升级管理及自身完整性检测 4 2 实时监控与实时监控与风险控制风险控制 DAS DBAuditor 可保护业界主流的数据库系统 防止受到特权滥用 已知漏洞攻击 人为失误等等的侵害 当用户与数据库进行交互时 DAS DBAuditor 会自动根据预设置的 风险控制策略 结合对数据库活动的实时监控信息 进行特征检测及审计规则检测 任何 尝试的攻击或违反审计规则的操作都会被检测到并实时阻断或告警 产品白皮书 杭州安恒信息技术有限公司 第 9 页 共 31 页 0571 28860999 4 3 齐全的实时审计齐全的实时审计 DAS DBAuditor 基于 数据捕获 应用层数据分析 监控 审计和响应 的模式提供 各项安全功能 使得它的审计功能大大优于基于日志收集的审计系统 通过收集一系列极 其丰富的审计数据 结合细粒度的审计规则 以满足对敏感信息的特殊保护需求 数据库动态审计可以彻底摆脱数据库的黑匣子状态 提供 4W who when where what 审计数据 通过实时监测并智能地分析 还原各种数据库操作 解析数据库的登录 注销 插入 删除 存储过程的执行等操作 还原 SQL 操作语句 跟 踪数据库访问过程中的所有细节 包括用户名 数据库操作类型 所访问的数据库表名 字段名 操作执行结果 数据库操作的内容取值等 全方位的数据库活动审计 实时监控来自各个层面的所有数据库活动以及活动的 内容 如 来自应用程序发起的数据库操作请求 来自数据库客户端工具的操作 请求 来自数据库管理人员远程登录数据库服务器产生的操作请求 操作返回的 结果等 绑定变量 Bind Variable 的支持 对业务系统中绑定变量的支持可通过多个 数据包中的关联 将绑业变量值转换到前 SQL 命令中组合而成 产品白皮书 杭州安恒信息技术有限公司 第 10 页 共 31 页 0571 28860999 潜在危险活动重要审计 提供对 DDL 类操作 DML 类操作的重要审计功能 重要 审计规则的审计要素可以包括 用户 源 IP 地址 操作时间 任意天 一天中 的时间 星期中的天数 月中的天数 使用的 SQL 操作类型 Select Insert Update Delete Truncate Create Drop Rollback Grant Alter C all Logout Login 当某个数据库活动匹配了事先定义的重要审计规则时 一 条报警将被记录以进行审计 重要审计规则设置 重要审计结果展示 产品白皮书 杭州安恒信息技术有限公司 第 11 页 共 31 页 0571 28860999 敏感信息细粒度审计 对业务系统的重要信息 提供完全自定义的 精确到字段 及记录内容的细粒度审计功能 自定义的审计要素包括登录用户 源 IP 地址 数据库对象 分为数据库用户 表 字段 操作时间段 本日 本周 本月 最近三小时 最近十二小时 最近二十四小时 最近七天 最近三十天 任意时 间段 使用的 SQL 操作类型 Select Insert Update Delete Truncate Create Drop Rollback Grant Alter Call Execute Logout Login 记录内容 根据操作类型及记录内容进行细粒度审计 产品白皮书 杭州安恒信息技术有限公司 第 12 页 共 31 页 0571 28860999 远程 ftp 操作审计与回放 对发生在数据库服务器上的 ftp 命令进行实时监控 审计及回放 审计的要素包括 ftp 用户 ftp 客户端 IP 地址 命令执行时间段 本日 本周 本月 最近三小时 最近十二小时 最近二十四小时 最近七天 最近三十天 任意时间段 执行的 ftp 命令 get put ls 等等 ftp 审计结果展示 ftp 回放 产品白皮书 杭州安恒信息技术有限公司 第 13 页 共 31 页 0571 28860999 远程 telnet 操作审计与回放 对发生在数据库服务器上的 Telnet 命令进行实时 监控 审计及回放 审计的要素包括 telnet 用户 telnet 客户端 IP 地址 命 令执行时间段 本日 本周 本月 最近三小时 最近十二小时 最近二十四小 时 最近七天 最近三十天 任意时间段 telnet 登录后执行的系统命令 login pwd root 等等 自定义 telnet 操作审计 会话分析与查看 单个离散的操作 Sql 操作 ftp 命令 telnet 命令 还不足 于了解用户的真实意图 一连串的操作所组成的一个完整会话展现 可以更加清 晰地判断用户的意图 违规的 粗心的 恶意的 Telent 操作审计会话查看 4 4 均衡的双向审计均衡的双向审计 系统通过对双向数据包的解析 识别及还原 不仅对数据库操作请求进行实时审计 而且还可对数据库系统返回结果进行完整的还原和审计 包括数据库命令执行时长 执行 的结果集等内容 产品白皮书 杭州安恒信息技术有限公司 第 14 页 共 31 页 0571 28860999 4 5 细粒度审计规则细粒度审计规则 系统支持对数据库对象 包括用户 数据库 表 字段 视图 索引 存储过程 包等 进行审计规则定制 同时也提供细粒度的审计规则 如精细到表 字段 具体报文 内容的细粒度审计规则 实现对敏感信息的精细监控 基于 IP 地址 MAC 地址和端口号审 计 提供可定义作用数量动作门限 可设定关联表数目动作门限 根据 SQL 执行时间长短 根据 SQL 执行回应以及具体报文内容等设定规则 产品白皮书 杭州安恒信息技术有限公司 第 15 页 共 31 页 0571 28860999 4 6 精准的行为检索精准的行为检索 对于用户来讲 一旦发生安全事件都需要通过查询事件前后过程 获取有效的信息来 协助管理人员找到相应的操作过程 系统通过各种要素多重组合的方式进行查询 能够快 速地精确地定位到相应位置 产品白皮书 杭州安恒信息技术有限公司 第 16 页 共 31 页 0571 28860999 4 7 独有的三层审计独有的三层审计 对于 B S 架构的应用系统而言 用户通过 WEB 服务器实现对数据库的访问 传统的数 据库审计系统只能审计到 WEB 服务器的相关信息 无法识别是哪个原始访问者发出的请求 安恒 DAS DBAuditor 通过关联应用层的访问和数据库层的访问操作请求 可以追溯到应用 层的原始访问者及请求信息 如 操作发生的 URL 客户端的 IP 等信息 产品主要根据 时间片 关键字等要素进行信息筛选 以确定符合数据库操作请求的 WEB 访问 通过三层 审计更精确地定位事件发生前后所有层面的访问及操作请求 三层审计的部署示意图如下 产品白皮书 杭州安恒信息技术有限公司 第 17 页 共 31 页 0571 28860999 WEB 应用挖掘 4 8 完备的审计报表完备的审计报表 DAS DBAuditor 内嵌了功能强大的报表模块 除了按安全经验 行业需求分类的预定 义固定格式报表外 管理员还可以利用报表自定义功能生成定制化的报告 报告模块同时 支持 Word Excel PowerPoint Pdf 格式的数据导出 报表图如下 网络流量统计 产品白皮书 杭州安恒信息技术有限公司 第 18 页 共 31 页 0571 28860999 操作类型统计 应用协议流量统计 产品白皮书 杭州安恒信息技术有限公司 第 19 页 共 31 页 0571 28860999 目的 IP 访问趋势分析 4 9 安全事件回放安全事件回放 允许安全管理员提取历史数据 对过去某一时段的事件进行回放 真实展现当时的完 整操作过程 便于分析和追溯系统安全问题 很多安全事件或者与之关联的事件在发生一段时间后才引发相应的人工处理 这个时 候 作为独立审计的 DAS DBAuditor 就发挥特别的作用 因为所有的 FTP telnet 客户 端连接等事件都保存后台 包括相关的告警 对相关的事件做定位查询 缩小范围 使得 追溯变得容易 同时由于这是独立监控审计模式 使得相关的证据更具有公证性 Sql 操作回放示意图 产品白皮书 杭州安恒信息技术有限公司 第 20 页 共 31 页 0571 28860999 telnet 命令回放示意图 4 10 多形式的预警机制多形式的预警机制 对于违反告警及审计规则的信息 系统提供了多形式的预警 包括通过手机短信 邮 件 屏幕 以及 SYSLOG SNMP 等发送到明御综合日志中心管理平台或其它相应的网管中心 平台 产品白皮书 杭州安恒信息技术有限公司 第 21 页 共 31 页 0571 28860999 手机网关设置 SNMP 设置 4 11 系统配置管理系统配置管理 DAS DBAuditor 提供 WEB base 的管理页面 数据库安全管理员在不需要安装任何客户 端软件的情况下 基于标准的浏览器即可完成对 DAS DBAuditor 的相关配置管理 主要包 括 探测器配置 常规配置 系统配置 等 产品白皮书 杭州安恒信息技术有限公司 第 22 页 共 31 页 0571 28860999 下图为探测器配置示意图 下图为常规配置示意图 下图为系统配置示意图 产品白皮书 杭州安恒信息技术有限公司 第 23 页 共 31 页 0571 28860999 4 12 分部式部署管理分部式部署管理 系统支持对多个数据库审计节点的中心管理 包括数据归并 查询统计 告警通知 审计策略分发等管理 能够实现复杂网络环境下的数据库操作审计 产品白皮书 杭州安恒信息技术有限公司 第 24 页 共 31 页 0571 28860999 4 13 自身日志的审计自身日志的审计 提供针对审计设备自身的操作日志进行详细记录 满足相关法令法规要求 4 14 故障自动排查平台故障自动排查平台 故障自动排查平台提供全方位的故障排查 无需使用客户端软件即可发现审计设备的 端口状态监听 镜像数据流量监控 设备服务状态检查 授权许可查看 前台系统配置等 内容自动检测 对报错的内容提供针对性的解决方案 产品白皮书 杭州安恒信息技术有限公司 第 25 页 共 31 页 0571 28860999 产品白皮书 杭州安恒信息技术有限公司 第 26 页 共 31 页 0571 28860999 5 产品特点产品特点 5 1 最全的数据库类型支持最全的数据库类型支持 DAS DBAuditor 支持目前市场上绝大部分的数据库类型 如 Oracle MS SQL server DB2 Sybase MySQL Informix Oscar 等 5 2 独立审计模式独立审计模式 作为一个网络安全设备 DAS DBAuditor 审计数据通过网络完全独立地采集 这使得 数据库维护或开发小组 安全审计小组的工作进行适当的分离 而且 审计工作不影响数 据库的性能 稳定性或日常管理流程 审计结果独立存储于 DAS DBAuditor 自带的存储空间中 避免了数据库特权用户或恶 意入侵数据库服务器用户 干扰审计信息的公正性 5 3 灵活的动态审计规则灵活的动态审计规则 DAS DBAuditor 使用审计引擎对所有的数据库活动 数据库服务器远程操作进行实时 的 动态的审计 审审计计引引擎擎 客客户户端端IP 登登录录用用户户 数数据据库库操操作作 Select Delete Insert Drop Update Create Turncate 执执行行时时间间 任任意意时时间间 一一天天中中的的时时间间 星星期期中中的的天天数数 月月中中的的天天数数 数数据据库库对对象象 Table View Procedure Function 操操作作内内容容 Field 5 4 全方位 细粒度审计分析全方位 细粒度审计分析 完整性 独一无二的三层审计 可针对应用层 中间层 数据层各层次进行关联 审计 产品白皮书 杭州安恒信息技术有限公司 第 27 页 共 31 页 0571 28860999 全方位 实时监控来自各个层面的所有数据库活动 包括 SQL 操作 ftp 操作 telnet 操作 细粒度 细粒度的审计规则 精准化的行为回溯 全方位的风险控制 敏感信息审计 精细到表 字段 记录内容的细粒度审计策略 实现对敏感 信息的精细监控 重要审计 提供对潜在危险活动 如 DDL 类操作 DML 类操作 的重要审 计优化视图 有效性 独有专利技术实现对数据库安全的各类风险 攻击风险 管理风险 的 有效控制 灵活的 可自定义的审计规则满足了各类内控和外审的需求 有效控 制误操作 越权操作 恶意操作等违规行为 公正性 基于独立监控审计的工作模式 实现了数据库管理与审计的分离 保证 了审计结果的真实性 完整性 公正性 5 5 合规的职责分离合规的职责分离 SOX 法案或者专业职责标准 如 PCI 中明确提出对工作人员进行职责分离 系统设置 了权限角色分离 如系统管理员负责设备的运行设置 规则配置员负责相关数据库操作规 则的设定 审计员负责查看相关审计记录及规则违反情况 日志员负责查看整体设备的操 作日志及规则的修改情况等 5 6 零风险部署零风险部署 DAS DBAuditor 可在不改变现有的网络体系结构 包括 路由器 防火墙 应用层负 载均衡设备 应用服务器等 的情况下快速部署 采用旁路镜像 TAP 分光 负载均衡分 流等方式 5 7 完备的自身安全完备的自身安全 DAS DBAuditor 全方位确保设备本身的高可用性 包括但不限于 物理保护 关键部件采用冗余配置 如 冗余电源 内置硬盘 RAID 等 掉电保护 设备掉电 如电源被不慎碰掉 时 网络流量将会直接贯通 系统故障保护 内置监测模块准实时地监测设备自身的健康状况 不间断的管理保护 在进行策略配置情况下 能保持网络的连接和保护 不丢包 基于硬件加速的接口卡 在高速环境下实现 100 数据包捕获 产品白皮书 杭州安恒信息技术有限公司 第 28 页 共 31 页 0571 28860999 冗余部署 在具备