启明星辰天玥数据库安全审计产品评测.docx

启明星辰天玥数据库安全审计产品评测2011年08月01日00:00 it168网站原创 作者：方建国 编辑：董建伟 评论：3条 【IT168 评测】随着企业业务的发展及IT技术的进步，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰成败甚至社会的稳定。近年来，数据库被攻击和数据窃取事件层出不穷：CNN财经网报导的4000 万信用卡信息被黑客窃取，导致严重的经济问题和社会问题;国内也出现几次电信运营商数据库服务器被攻击，给企业带来了经济和声誉上的损失等等。越来越多的大型企业意识到了数据库行为审计的重要性，现在采用独立的数据库审计产品已经成为业界的趋势。大部分企业在数据中心的数据库服务器中存储公司的核心数据信息，数据库的安全和审计就显得尤为重要。通常数据库管理主要面临以下挑战：管理风险：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等。离职员工的后门，致使安全事件发生时，无法追溯并定位真实的操作者。技术风险：数据库是一个庞大而复杂的系统，安全漏洞如溢出、注入层出不穷，每一次的 CPU(Critical Patch Update)都疲于奔命，而出于稳定性考虑，往往对补丁的跟进非常延后，更何况通过应用层的注入攻击使得数据库处于一个无辜受害的状态。目前的现实状况是很难通过外部的任何网络层安全设备(比如：防火墙、IDS、 IPS 等)来阻止应用层攻击的威胁。审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端，比如: 数据库审计功能的开启会影响数据库本身的性能、这一点在大型的数据库用户最能表现;数据库日志文件本身存在被篡改的风险、自己的日志审计也难以体现审计信息的有效性和权威性。通过上述的分析，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，对数据库的内容进行有效地审计，已经成为企业数据库安全管理与审计的当务之急。针对以上这些问题，我们选择了在安全产品及解决方案方面有着较高声誉的厂商启明星辰出品的，符合数据库安全及审计需求特点的、性价比较高的安全审计产品天玥网络安全审计系统(硬件+软件)，并配合天镜脆弱性扫描与管理系统(软件)，通过实际环境的测试，来展示在数据库(Oracle数据库)安全、审计等方面为企业带来的益处。本方将通过以下几个步骤来进行：一、天玥产品解决方案架构设计及评测环境介绍二、产品基本配置及管理方式三、数据库安全及审计测试目标四、主要功能测试示例及介绍1、产品自身安全及分角色管理2、数据库操作全面、实时审计(命令级别)3、高风险操作行为警报4、数据库安全漏洞评估5、事后调查取证6、多种组合查询、回放及报表输出7、三层关联功能8、等重要功能介绍五、测试总结一、天玥解决方案架构设计及评测环境1、 产品特性天玥网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，从而，加强内外部网络行为监管，保障核心资产(数据库、服务器、网络设备等)的正常运营。天玥系统能够审计各类业务网络中的协议，包括：数据库类协议(Oracle、Informix、DB2、DB2-DAS、Microsoft SQL Server、Sybase、MySQL、PostgreSQL、Teradata、Cache，Sybase)，运营维护类协议(SSH、Telnet、Rlogin、X11)，文件操作类协议(SCP、SFTP、FTP、NFS、SunRPC/PCNFSD、Windows网上邻居)，互联网类协议(HTTP 、SMTP、POP3)，以及其他一些协议类型(Windows远程桌面、Radius、自定义协议)。而天镜脆弱性扫描与管理系统是启明星辰自主研发的基于网络的脆弱性分析、评估和综合管理系统，根据“发现-扫描-定性-修复-审核” 弱点全面评估法则，能够快速发现网络资产，准确识别资产属性、全面扫描安全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而在弱点全面评估的基础上实现安全自主掌控。在本次测试中，将以天玥安全审计产品为主，天镜产品为辅进行对Oracle数据库安全审计及漏洞扫描评估等。2、解决方案架构天玥网络安全审计系统采用审计数据中心、审计引擎分布部署，审计数据中心支持一对一或一对多的方式与审计引擎进行连接。审计数据中心连接在交换机的普通端口，负责审计数据的存储和提供管理入口;而审计引擎有两种监听方式：其一，采用旁路监听方式，连接在交换机的镜像端口，负责对镜像流量进行分析;其二，可以串接在数据库服务器前端，对所有流向数据库的网络流量进行截取及分析。一般情况下，企业偏向于第一种方式，对网络性能的影响最小，还不影响业务系统的连续性。值得注意的是，如果被审计的业务对象环境中的交换机启用了Trunk功能(如服务器虚拟化环境)，也是会受到天玥解决方案的支持的。管理员可以在网络中任何一台PC上通过浏览器对系统进行管理，系统提供审计策略管理、事件查询、报告等功能。下两图均来自官方：图一是单级部署方式，适合于中小企业，网络架构不复杂，且业务数据库量相对较少的环境;图二是多级分布式部署，适合于大型企业，或者网络架构复杂，安全审计业务需求类型较多的环境，同时，对于审计业务对象分布在全国各地的企业来说，通过互联网(VPN)实现总部到分支的一对多的分布式部署方式亦能支持。图示 天玥产品单级部署解决方案图示 天玥产品分布式部署解决方案3、评测环境介绍本次的评测环境为某大学的一个小型数据中心机房，中心内部署有多台oracle、mysql数据库。有一台三层核心交换机，具备端口镜像及VLAN功能。采用旁路接入的单级部署方式，两台设备，审计数据中心及审计引擎。审计数据中心为管理及审计日志存储端，而审计引擎则连接到三层交换机的镜像口及普通端口。而oracle数据库服务器是通过一台windows server 2003机器上安装sql plus客户端进行管理的。sql plus客户端所连接交换机端口流量镜像到镜像口，同时，天镜脆弱性扫描与管理系统安装部署在此台机器上。二、产品基本配置及管理方式1、 产品的基本配置本次测试设备为CA2300审计系统一套，包括：数据中心： 2U标准上架设备，6个管理网口，2T硬盘空间，内置专用安全操作系统和数据库。审计引擎：1U标准上架设备，4个千兆电口，4个SFP插槽，内置专用安全操作系统。2、 产品管理方式天玥采用B/S架构设计，方便用户管理。目前支持两种管理模式：设备的网络配置(修改IP路由等)可以通过超级终端连接串口进行，更为详细的配置和管理则可以通过Web进行。在任何计算机上运行Internet浏览器，使用HTTPS或HTTP连接，便能够对系统进行配置并管理。浏览器地址栏输入https:/数据中心IP或者http:/数据中心IP，用授权身份登录后，即可进入系统。管理员登录和使用天玥系统时，有多种认证方式，包括密码、认证令牌(USBKey)和Radius认证，如果采用认证令牌的认证方式登录，需要首先下载认证令牌控件并安装在登录的计算机上，否则计算机无法识别USBKey。系统分为管理和报表两个子系统，管理子系统主要提供系统配置维护、策略管理、实时日志查看等功能，报表子系统主要提供审计日志的查询统计和报表取证等功能。图示 管理子系统功能概览图示 报表子系统功能概览三、 数据库安全及审计测试目标借由本次测试，检测天玥网络安全审计系统在数据库实时保护、监控和审计方面的功能，以及检测天镜脆弱性扫描与管理系统在数据库漏洞扫描方面的功能。重点是针对数据库细粒度审计功能、数据库行为监控功能、对数据库高风险操作报警功能、对审计结果进行组合查询及报表输出等功能： 数据库操作审计功能：对所有外部或是内部用户访问数据库的各种操作行为(如：插入、删除、更新、用户自定义操作等)、内容，进行实时监控，精细还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等，实现数据库安全事件准确全程跟踪定位。 分角色管理：进行权限划分，划分不同的管理员角色，实现分级分层管理。 多层业务审计(三层关联)：提供全方位的多层(应用层、中间层、数据库层)的访问审计，通过多层业务审计可实现数据操作原始访问者的精确定位。 事件回放与追溯：根据事件发生的时间、用户、访问方式(客户端、TELNET、FTP)、用户IP、服务器等组合查询，并对过程进行回放和追溯。 实时监控与风险告警：针对于数据库的操作行为进行实时检测，根据预设置的风险控制策略，结合对数据库活动的实时监控信息，进行特征检测，任何尝试的攻击操作都会被检测到并进行阻断或告警;违规告警：可预设置安全策略;支持通过邮件、SYSLOG、SNMP、屏幕等方式告警。 综合查询及报表管理：提供详细的操作记录查询，包括库、表、字段、具体报文内容查询;提供所有或单个数据库登录用户、源IP、目的IP的审计规则统计、特征告警、对象访问、请求统计等报表功能，并提供用户自定义报表功能;能够自动导出WORD、PowerPoint、PDF等各种格式文件;柱状图、饼图等图文并茂式报表展现; 事后调查取证：对于所有行为能够进行事后查询、取证、调查分析，出具各类审计报表报告。四、主要功能测试示例及介绍在实际使用中，这两款产品配合使用有不少可以推介的功能。但正如“四、”中所描述的目标一样，本文中，我们只将依据既定的目标来展示或介绍。测试需要全面、深入的、长时间的测试，这样才能发现问题，同时也才能确认此功能在本企业机构应用的可能性。笔者在所服务的公司一直负责信息安全方面的工作，亦刚进行了数据库审计产品评测，以及招标工作。依据着日常数据库安全审计管理需求、用户的体验、老板的要求、企业网络特点，重点选择了一些功能进行说明和效果截图，为大家分享经验，供借签。1、产品自身安全及分角色管理作为一款安全审计产品，如果自身的安全性就不可靠，那就无从谈起审计其它的产品了。天玥产品采取了有效的安全保密措施以确保系统和数据资源的安全，并对违背安全的事件记录并报警。且产品支持工作标准的基于公钥体系(PKI)的分布式安全认证机制。通常，我们会把数据的灾备也归为安全的一部分，天玥产品本地存储采用了RAID5级别，把硬件故障带来的数据丢失以及业务持续性降低的影响减少到最低，同时支持对审计日志及报表进行网络存放及备份(加密过，只有在本产品上才能读取)：天玥产品根据角色不同，划分了不同的权限来限定对产品的操作，这样就避免了部分人违规对审计日志进行篡改的可能。同时不同等级的管理者，权责分明。2、数据库操作全面、实时审计(命令级别)天玥产品可以收集极为丰富的审计数据，并提供较为灵活的结果显示功能，可以满足所有内部或外部的合规性要求。审计管理人员不但可以为每个审计日志单独配置(选择所关心的属性组合)，亦能进行全面的日志记录，支持对会话或事件进行细粒度的数据库操作审计，可以审计到包含以下所有内容：发生的时间(开始及结束时间)协议名称源IP地址或MAC目的IP地址或MAC存活时间目的端口上下行流量数据库用户名协议ID错误码数据库名表名命令SQL语句响应时间实例名影响行数客户端程序名客户端用户名.图示 全面多样的审计内容图示 全面多样的审计结果一图示 全面多样的审计结果二图示 全面多样的审计结果三3、高风险操作行为警报天玥产品在运行时，可对正在进行的业务和管理层面的数据库交互活动进行检测，对其中违反既定的安全策略的行为(事件、会话)可以即时发现，同时可以形成报警、阻断等操作。通过灵活定义，任何用户对一些核心机密数据或表的非法和违规访问均可以产生特别的报警，并可通过内置功能如EMAIL、SYSLOG、SNMP方式来显示。我们以以下设置顺序来为你展示(只展示审计)：A、如何定义高风险的行为B、对这些高风险行业的响应方式C、结合高风险行为及响应方式，设定相应审计策略D、对审计策略的执行结果实施syslog日志方式的报警A、定义高风险的行为：本次评测的为 oracle数据库，天玥已经内置了一些高风险行为的定义，当然我们亦可根据需求灵活定义。通常会定义一些操作命令如drop、creat、grant等，以及对一些敏感信息的库、表、字段等(如员工工资表等)。B、针对高风险行为的响应方式：天玥产品了内置了一些响应方式(以级别分等级)，如紧急、高等，也可通过“新建”自定义一些较为直观的响应方式。C、设定审计策略：高风险行为定义了，响应方式也确定了，接下来就要设定审计策略或是会话策略了，可以自定义内容以及优先级别(通过上下箭头实现)。D、报警方式设定：天玥提供了至少三种的报警方式：Email、syslog、Snmp，同时也可以通过日志报告中的实时的审计(事件)日志或会话日志及时查看。首先在“事件过滤”设置对oracle协议的操作结果进行报警的有别及方式，如下图所示：其次就是设置 syslog日志服务器，如下图所示：此外，我们亦能通过实时的日志查看(通过此，也能看到一些错误的SQL内容，这也是此产品的一个不错的功能)：对“会话”产生报警的设定方式与事件相对，此处不再展示过程，以下图来说明会话的实时查看及阻断操作(天玥产品需要串接的方式)：4、数据库安全漏洞评估本功能的测试，是在启明星辰另外一款产品：天镜脆弱性扫描与管理系统。本产品不仅支持多种操作系统、网络设备作为扫描对象，还具备对各种数据库的扫描能力，涵盖范围最全。前文提到，数据库补丁更新一直是DBA的一大恶梦，打与不打的利与弊每次均要权衡很久：会不会影响业务连续性、会不会造成数据库性能下降、会不会造成数据库甚至操作系统无法正常运行、不打会不会有安全问题等等。而天镜脆弱性扫描与管理系统能帮助我们及时发现数据库服务器的安全隐患以及配置不合现的地方，并提供合理建议进行纠正。本文只配合本次对oracle的安全审计进行相关的漏洞扫描，而实际上天镜产品完全可以独立出来，成为一个安全方面的解决方案。A、 简要介绍：天镜产品是一个软件，只需要安装在windows操作系统上便可，管理界面简单易懂。使用的方法简述就是：通过新建任务向导，根据内置策略(也可自定义，下面会讲一)，创建扫描任务，进行扫扫描，输出报表形式的结果，并能根据向导进行修复及审核。B、 内置扫描策略：多样化、深层次的漏洞扫描策略默认策略是不可更改的，如果需要进行一定的变化，可以在此默认策略的基础上进行自定义：图示 oracle默认策略图示 修改后的oracle扫描策略(oracle_727)C、 新建扫描任务oracle_727并执行扫描：图示 根据自定义的oracle扫描策略新建扫描任务oracle_727图示 执行扫描任务后的结果显示D、 可利用报表分析中心对扫描后形成的报表进行对比及趋势分析：5、事后调查取证事后调查取证，主要是针对出现问题后，根据之前设定的事件或会话规则，开成报表等进行取证，以得到问题出现的原因及责任人(由谁在什么时间用使用什么样的方式做了什么事情，亦即所谓的4W1H)。天玥的取证功能，属于报表子系统。可以针对文件、运维、用户及数据库的特性进行取证。本文只测试了用户及数据库相关的取证功能。A、 用户取证：通过对源IP、用户、用户组的设定，可以得到规定时间内的操作次数。图示 取证条件图示 取证结果在用户信息子功能下，也能通过条件查询得到规定时间操作的用户名称：B、 数据库取证：根据数据库相关的设定属性(如命令、库名、响应时间等)进行取证。首先，设定关键字对象，如下图所示：其次，进行数据库取证条件(当然也可以直接进行数据库取证)，如下图所示：最后，得到取证结果，如果想查看更详细的结果，请单击数字。如下图所示：6、多种组合查询、回放及报表输出在前面的几种功能展示中，已展示出了天玥产品在数据库审计方面的全面及细粒度的审计，在查询子功能模块亦是如此。A、针对事件，通过设定不同的查询条件，可以得出多样化的结果(可通过添加条件进行更多条件的选择)：B、 针对会话，设置方式和事件一样，只是条件多了个回放功能是否启用。图示 启用回放功能图示 会话查询结果(注意红线标注的回放)天玥产品所提供的回放功能，是需要下载后，使用一文本编辑工具打开的。内容为本会话执行的命令的时间、目的或来源IP地址，以及命令执行的结果等。如下图所示(单击上图的回放按钮后)：C、天玥产品具有灵活多样的报表模块，也可以修改及自宝义报表模板。这些模板符合SOX、PCI等要求的报告。同时可以灵活设置如何生成报告和展现数据，展现数据的报告(表)可能是图形也可以是列表。如下图所示，在报表-配置项中，有三类内置的报表模板：日、周、月报表，可以通过后面的编辑按钮进行编辑：如下两图所示，可以自定义报表分类：如下图所示，是根据预定义的报表模板生成的报表，在每个的表后面，可以看到所能导出的格式。点击每个报表，会显示如下图所示的报表内容，内容分类丰富多样化，可谓应有尽有，完全能满足不同客户的需要：7、三层关联功能介绍本节将要介绍的三层关联功能，是天玥产品在数据库审计方面的一大特点，也是区别于其它同类产品功能的特色之处，本文将花一定篇幅重点介绍。背景介绍：当前B/S应用程序已相当流行，浏览器、Web服务器、后台数据库三层架构的典型部署也已经很普遍。在这种部署方式中，由于所有的后台数据库访问都是通过WEB应用服务器来执行的，对于后台数据库的访问能否关联到前台的访问者，不但是企业IT管理者在做数据库安全审计所关心的问题，同时也考量着提供审计解决方案厂商的能力。而由启明星辰提供的天玥审计解决方案，可以很好的解决此问题。三层关联介绍：所谓三层关联，是根据Web服务器的部署方式命名,即浏览器Web服务器数据库服务器，确定HTTP访问和数据库访问的关联。例如正常情况下，针对Web服务器它接受URL访问，Web服务器在根据用户的提交动作发出SQL命令去访问另一台数据库服务器，有了三层关联，就可以查询到HTTP访问所触发的数据库访问，也可以查询到某个数据库访问是由哪个HTTP访问触发，从而能够追查到真正的访问者。应用场景如下图所示。功能实现：天玥网络安全审计系统的三层关联功能大致实现是这样的，系统审计出浏览器Web服务器和Web服务器数据库服务器两类的事件：前者是HTTP事件，后者是SQL事件。需将这两条事件关联起来，进行三层关联，从而将访问Web的资源帐号和相关的数据库操作关联起来。在天玥产品的管理子系统中，提供了三层关联的配置及使用向导，如下图所示是简要的操作流程图示：依据上述操作流程图，我们以图文的方式来展示一个三层关联设置的实例(此实例设置时间为2010年10月份)：A、配置审计策略：“功能实现”中已提及，三层关联功能需要用到HTTP协议及数据库协议。首先我们在管理子系统配置审计(事件)策略，并保证事件能够正常上报及入库：B、常规配置：对客户端IP地址、WEB服务器地址及URL、数据库IP地址及协议进行常规配置，IP地址均可以设置多个，并以逗号分开，但数据库协只能设置成一种：C、针对性操作：所谓针对性操作，就是通过访问WEB页面，进行如登录、添加、删除、修改、删除、查询等操作，操作的结果，HTTP事件和数据库事件将正常上报并入库。D、学习： 这入三层关联配置，选择学习标签，选择好学习样本的时间段，点击提交，便可进行学习，学习期间有进度条显示，且学习过程的长短会受样本的总量及学习参数限制。图示 学习进行中图示 学习历史E、学习后的规则处理：通过学习得到规则后如下图所示。同时，为了保证关联的准确性，需手工作进行处理，内容包括： 可以添加、删除、修改(URL模板、SQL模板、重命名等)规则 可以修改规则状态(已确认、未确认、冲突)及是否启用图示 规则列表页面F、下发处理后的规则：将学习到的规则处理完毕后后，点击“下发规则”按钮。G、开启实时关联功能：管理子系统三层关联配置实时关联界面，勾选“实时关联”。H、查看结果：开启实时关联后，当再次进行规则对应的操作的时候，系统会自动进行关联。而关联结果可以通过管理子系统统计三层关联来查看：图示 统计查看通过报表子系统查询模块，通过设置与三层关联有关的过滤条件，查看三层关联的情况：即可以通过查询HTTP事件或SQL事件，查看是否有事件关联以及哪些URL与哪些SQL语句关联，进而得到哪些资源帐号进行了哪些操作。查询HTTP事件，设定针对资源帐号的过滤条件，可以查看到有两条记录，其中第一条为关联上的结果，第二条则为未关联上的情况，点击数字链接均可链接到相应的详细信息或者查询结果，如