帕拉迪数据库运维审计系统(解决方案)

帕拉迪数据库运维审计系统 前言 目录 过渡页 各大网站核心数据泄露 引发数据库安全问题 自2011年末开始CSDN的600万用户数据被泄露 垂直游戏网站多玩网被传泄露800万用户数据 天涯社区4000万用户数据包被疯传 51CTO CNZZ eNet UUU9 YY语音 百合网 开心网 人人网 美空网 珍爱网等相继被卷用户数据泄露风波 支付宝 当当网以及京东商城亦未幸免 网络传交通银行7000万及民生银行3500万用户卡号 姓名及密码泄露 恐慌感被推至高点 泄密门 达到高潮 最新新闻有支付宝1000万用户数据泄漏 腾讯7500万QQ群用户数据泄漏 关注数据库安全刻不容缓 数据库频繁遭受入侵 篡改 敏感信息泄露和数据篡改引发社会问题 某医院主任反馈 现在很多医生都知道数据库账号 共同个 当医生病历写错时 自己可以直接进行修改 如被人误改或恶意篡改会给病人带来生命危险 某医院病人病历遭篡改 导致医疗纠纷 病人院前静坐 社会影响严重 深圳市10万孕产妇个人信息遭泄漏 使得孕产妇遭受各类广告骚扰 事件1 事件2 事件3 事件4 某医院患者病例信息泄漏 老人上当受骗 引发心脏病去世 合法人做非法的事 70 的安全威胁来自于企业的内部 3 15移动联通网通 内鬼 泄密一调查公司的 私家侦探 涉案被抓后 牵出 移动 联通及原中国网通三大电信运营商的3个内鬼多次向其泄露公民个人信息 一事 2010年的3 15晚会上暴露出该电信行业内鬼泄密事件 事件的过程是内部坐席维护人员利用工作中的便利途径 获取客服操作员的工号 口令 利用该操作员身份登录客户应用系统 利用修改客服口令不需要旧口令的业务逻辑漏洞 直接修改用户客服密码 以用户的身份和修改后的新客服密码直接登录业务系统 导出短信 通话记录等信息 以此为私家侦探提供线索累计获利300多万 程稚瀚北京移动充值卡盗窃案2005年3月至8月间 被告人程稚瀚多次通过互联网 经由西藏移动通信有限责任公司 以下简称西藏移动公司 计算机系统 非法侵入北京移动通信有限责任公司 以下简称北京移动公司 充值中心 采取将数据库中已充值的充值卡数据修改后重新写入未充值数据库的手段 对已使用的充值卡进行非法充值后予以销售 非法获利人民币377 5万元 数据库故障无法及时定位排除 XXXX单位业务系统运行一端时间后就会出现获取连接超时 失败 或者报告这是一个无效的连接等问题 需要重新启动服务器才能正常运行 还有一些类似业务访问慢等问题 这类问题经常困扰着数据库工程师 故障快速定位 过渡页 企业数据中心面临的内外部安全挑战 内部用户 外部用户 数据库 权限滥用 恶意访问 误操作 越权使用 DBA数据库开发人员 黑客互联网应用 不了解数据库 被 怎么了 数据资产使用 有规无据 缺少数据库行之有效的 分析审计依据 数据库访问 暗箱操作 数据库访问不透明 各行业法规和条例对数据安全的保障 传统的安全手段无法解决数据库安全 传统安全手段也有鞭长莫及之处 数据库安全 迫切需要专业产品 数据库系统自身审计存在先天缺陷 业务系统自身审计 数据库自身审计 日志不具备第三方独立性 日志记录可读性差 影响数据库本身性能 无法记录脱离业务系统的操作 记录粒度不够 甚至无法记录SQL语句 日志不具备第三方独立性 记录无法与业务和操作人联系起来 五大因素衡量数据库审计产品优良 策略灵活 事件完整 独立可靠 自身安全 部署安全 数据库审计产品发展三阶段 该阶段实现了对OSI七层模型中的表示层到应用层的覆盖 利用关键字对SQL整个语句的进行模糊匹配 主要对数据库访问行为实现内容记录 如数据库登陆账号 SQL语句等 用户可以利用该技术实现对SQL操作进行记录 分析和统计 该阶段能够满足对数据库审计的基本需求 但是在响应和分析的精度上存在较大误差 难以满足大中型用户对数据库审计的需求 第二阶段 该阶段集中在应用层 实现对SQL语句的语义分析 尽可能的将操作数据库的SQL语句进行细粒度解析 比如账号名 数据库名 数据表名 字段名 字段值 返回码等 以满足针对各种违规行为的精确检测 响应和审计 第三阶段 该阶段实现了对OSI七层模型中的网络层到会话层的覆盖 主要对数据库访问行为进行分析和统计 如IP 端口 连接次数等 用户可以利用该技术实现对数据库访问流量进行分析和统计 第一阶段 深度语法协议解析 内容审计 流量行为审计 过渡页 数据库安全解决问题之路 加强行政制度的规范 从数据库运维及业务系统使用行为角度 制定相应的规范和制度 通过强力的流程管理避免权限的越权及违规使用 监控数据库访问过程 通过技术手段 实时了解数据库的使用情况 筛选 记录核心数据的访问和使用过程 及时对违规事件进行告警 两者有效的配合 才是解决问题的根本方法 数据库风险分析 安全监控解决方案 帕拉迪网络科技提供数据库安全整个生命周期的完整解决方案 帕拉迪产品部署模式 核心关键技术 唯一能精确对变量绑定值进行审计 实现三层业务审计 回溯业务流程账号 ID号 个人信息 IP等信息 唯一对协议进行全解析 实现对TNS TDS数据库协议的全解析PCAP包实现逆向解析及故障分析 唯一采用流技术对数据库进行审计 状态相关 把杂乱传输的数据包梳理成有序传输的数据流记录完整的TCP会话 超过1460个字节的SQL语句超过1460个字节的变量值 唯一能对超长SQL语句进行审计 创新实用的IO模型与全文检索 创新的IO模型与全文检索架构 1 提供来源IP白名单 SQL语句级别白名单2 记录白名单之外的一切协议解码详细数据3 实时告警并记录 输出关注事件4 利用全文索引 搜索定位可疑事件5 可选择记录原始PCAP流数据证据 产品功能优势 系统状态监控界面和可视化动态实时监控效果 实时了解数据库系统的连接数 性能等指标 可及时发现数据库的性能问题 为在系统出现问题前解决问题 提供了时间保障 1 数据库状态的实时监控2 1个月内数据库性能统计3 通过数据分析 判断业务负载情况和访问情况 不同业务系统访问的情况以及不同时间段业务的负荷情况 4 突发状况监控 业务突增 外部攻击 监控和分析 数据库PCAP包调试 提供原始数据包下载 辅助DBA诊断调试数据库网络活动 完整流会话审计 完整的会话审计与会话过滤功能 快速追踪事件信息 定位事件类型 超长SQL语句 能够解析超过1460字节以上SQL语句 支持超长SQL语句重组解析 绑定变量审计 数据库一般的处理过程 例如 select fromnamewherenameid 001 不使用绑定变量如果再查询 002 003 nnn 需要进行n次硬解析 大量浪费系统资源 例如 select fromnamewherenameid c did 使用绑定变量相同的查询语句只需要进行一次硬解析 数据库性能优化机制 绑定变量审计 使人员 操作 变量相关联 审计结果展现 灵活告警策略配置 灵活的告警策略配置 帕拉迪DBXpert拥有灵活的告警策略配置引擎 可关联数据库访问事件的细粒度条件 标准SQL命令客户端网络地址客户端应用程序数据库用户名称客户端主机名称客户端系统用户Select控制项返回或影响行数数据库执行时间目标表 列 多字段 多表联合匹配 灵活详细的策略告警 完善的可定制的报表系统 实时的数据库性能监测及风险统计 实时了解数据库系