慧眼数据库审计系统PPT演示课件

慧眼数据库安全审计系统DBAudit,1,目录内容,2,产品用途及目标客户,第一部分,数据库在哪里？数据库里有什么？数据库存在的安全风险？有关部门对数据库审计有什么要求？数据库服务器自身审计？不，那样太逊。数据库安全将何去何从,3,数据库在哪里？,任何一个出色的信息系统背后总是隐藏着一个神秘的数据库。有的叫ORACLE，有的叫SQLServer，有的叫DB2,4,数据库里有什么？,数据库里存放各种信息，小到公民姓名、联系方式、身份证号、资产信息，大到政务数据、国防数据、金融数据、企业数据，只有你想不到的，没有你看不到的。,5,数据库存在的安全风险？,获取数据库里的内容，出卖泄露给需要者，你的秘密暴露无遗；删除数据库里的内容，神不知鬼不觉，你的资产就受到了损失；增加数据库里的内容，莫须有，你怎么知道是谁做的；修改数据库里的内容，颠倒黑白，你看到的不一定真实。,6,事件1,事件2,事件3,某医院主任反馈，现在很多医生都知道数据库账号（共同一个），当医生病历写错时，自己可以直接进行修改。如被人误改或恶意篡改会给病人带来生命危险。,某医院病人病历遭篡改，导致医疗纠纷，病人院前静坐，社会影响严重,敏感信息泄露和数据篡改引发社会问题,7,数据库频繁遭受入侵、篡改,8,Intranet,Internet,直接危害巨额经济损失巨大信誉损失大量法律纠纷,假如危害持续充值密码循环盗用大量客户资料被窃商业核心机密泄漏业务数据信息清空业务信息系统中断,A地运营商,循环作案数月之久,合法的人正在做非法的事,某工程师,合法人做非法的事且70%的安全威胁来自于企业的内部,有关部门对数据库审计有什么要求？,有关部门对数据库审计有什么要求？,9,有关部门对数据库审计有什么要求？,刑法等级保护分级保护SOX需要数据库审计的行业规定,10,刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”,中华人民共和国刑法修正案保障数据安全,数据库安全，有法可依！,11,各行业法规和条例保障数据安全,12,数据库服务器自身审计？不，那样太逊,什么是数据库自身审计自身审计记录了有限的数据变更，但是没有记录是谁做的；自身审计可以记录但是不能发告警给您，需要自己开发程序；自身审计可以记录但是不能出合规性报告，需要自己开发报表程序；ORACEL的记录方式和SQLServer的记录方式是不一样的，需要专业人员分析查看；注意，设置的审计内容越多越细，对正常业务造成的影响越大；注意，所有的这些信息数据库管理员都可以删除。,13,不包含威胁特征的恶意行为,IDSIPS,USGAV,透传,传统安全手段无法解决数据库安全问题,IP欺骗,蠕虫病毒,传统安全手段也有鞭长莫及之处，数据库安全，迫切需要专业产品,14,无法记录脱离业务系统的操作日志不具备第三方独立性记录粒度不够，甚至无法记录SQL语句,影响数据库性能记录可读性差日志不具备第三方独立性记录无法与业务，与人挂钩,业务系统自身审计,数据库自身日志,系统自身审计存在先天缺陷,15,全面的数据库审计系统应具备的要素,完整审计、定位到人智能报表、全面掌握,灵活策略、及时预警攻击检测、性能优化,16,主要功能介绍(参考文档：产品使用手册、数据库审计产品规格说明-硬件),第二部分,17,中高端,高端,DBAudit2000(2U)适用于省部级政府、中大企业、,DBAudit3000(2U)适用于大型企业、电信,产品型号,中低端,DBAudit500(1U)适用于地市政府、中小企业、,DBAudit1000(1U)适用于地市政府、中小企业、,低端,18,产品体系架构,DBAudit审计系统三大构成：引擎、策略管理中心、web控制台,19,系统工作原理,20,产品部署方式,旁路部署数据审计,产品部署不会给数据库、网络带来任何影响,TAP方式,镜像端口方式,数据库,数据库,交换机,旁路镜像,21,内置多种策略；用户自定义策略；基于时间、来源、操作、类型、库、表、资产、事件、级别、状态、结果影响行数等设定策略；过滤无关数据；多种响应方式；策略持续优化、改进，,完整审计多；全面还原sql语句；中间件关联审计；绑定变量关联审计；精确定位；多查询条件；,审计Audit,监测Monitor,DBAudit,四大功能确保数据库安全不断提升,分析Analyse,策略Policy,特权、越权操作；恶意、违规操作；数据访问异常；敏感数据删改；用户权限变更；基于数据库、网络、系统的攻击行为；特征库定期升级；,内置合规性报表自定义分析模板客户端、服务器全局分析数据库状况延迟分析、定位Sql执行量统计分析报表自动生成数据管理、长时间保存,22,避免CPU过多参与，提升处理能力,“性能提升”确保数据源完整,23,应对突发流量,提高系统处理速度,24,多层审计维度,实时监控、异常告警和关联分析确保审计的完备性和准确性，提供4W的审计数据;,25,监控多个数据库,数据库审计状况实时展现,事件趋势分析,数据库访问事件类型,安全事件全面了解,设备接口状态,26,数据库4W审计记录,完备4W的审计要素,详细信息展现,27,“准确定位”中间件关联审计,如不能对基于B/S架构下前台用户与后端操作的关联审计，一旦出现违规事件无法准确定事件责任人,28,关联详细信息,前台用户与数据库操作关联,前台用户与中间件访问的关联,29,“深度解析”绑定变量交叉关联,数据库一般的处理过程：,例如：select*fromt_childwherechildid=001;/不使用绑定变量如果再查询“002”，“003”，”nnn”需要进行n次硬解析，大量浪费系统资源,例如：select*fromt_childwherechildid=:c_did;/使用绑定变量相同的查询语句只需要进行一次硬解析,数据库性能优化机制,30,用户登陆,操作1,操作2,用户登出,用户名、数据库名,SQL1、绑定变量1,SQL2、绑定变量2,交叉关联绑定变量,session,SQL1+绑定变量1SQL2+绑定变量2,正确的交叉关联,SQL1+绑定变量1SQL2+绑定变量1,错误的关联导致结果错误,无交叉关联导致结果不准确,SQL1绑定变量1,SQL2绑定变量2,客户端,数据库,绑定变量交叉关联,31,绑定变量审计,详细信息,使人员、操作、变量相关联,审计结果展现,32,人员实名定位,系统通过与用户身份认证系统联动，精确定位事件责任人。,33,审计数据快速查询,数据库,基于时间,操作,客户端、状态等,所有条件组合查询，高速检索数据,34,内置多种策略；用户自定义策略；基于时间、来源、操作、类型、库、表、资产、事件、级别、状态、结果影响行数等设定策略；过滤无关数据；多种响应方式；策略持续优化、改进，,完整审计；多维度审计全面还原sql语句；中间件关联审计；绑定变量关联审计；精确定位；多查询条件；,审计Audit,监测Monitor,DBAudit,四大功能确保数据库安全不断提升,分析Analyse,特权、越权操作；恶意、违规操作；数据访问异常；敏感数据删改；用户权限变更；基于数据库、网络、系统的攻击行为；特征库定期升级；,内置合规性报表自定义分析模板客户端、服务器全局分析数据库状况延迟分析、定位Sql执行量统计分析报表自动生成数据管理、长时间保存,策略Policy,35,产品内置策略模板,内置多种事件类型,内置预警事件,事件响应方式,完全自定义,36,丰富的策略相应条件,Who,When,What,Where,策略以4W为要素,预警敏感表、字段等被访问,可对返回的错误信息设定条件,37,来源、资产策略,来源策略例如：通过来源条件重点关注公司内部人员或者某个部门的某些人的访问行为，其它外来人员访问可视为异常条件；,资产策略例如：资产包括表、视图、函数等，可以通过资产组的方式来实现对同一数据库不同资产组根据重要程度来设定策略；,38,多级过滤策略,如：公司内部人员对某些资源的访问属于正常行为，不需要审计记录。,IP过滤策略（1级）可按ip地址过滤无关的访问日志,操作、来源过滤策略（2级）可按操作行为、来源进行设定策略，,如：业务系统对数据库的访问属于正常行为，不需要对这部分数据进行审计记录。,事件类型过滤策略（3级）可按操作行为、来源进行设定策略，,39,安全检测异常策略,系统内嵌专业安全检测引擎，采用静态和行为检测机制，及时发现、预警危害数据库的行为。1、系统内置数百种安全规则库，自动根据预设置策略针对诸如sql注入、已知数据库漏洞、口令猜解、缓冲区溢出等违规行为实时监测、预警。2、系统提供权限预警机制，实时监控数据库的所有操作。针对最高权限滥用、误操作、恶意操作等行为进行告警和定位。,40,安全规则库类型,系统提供三种攻击对象模型，监测危险事件,数据库对象特征规则,自定义报警级别,特征库定期升级，应对最新安全事件,41,内置多种策略；用户自定义策略；基于时间、来源、操作、类型、库、表、资产、事件、级别、状态、结果影响行数等设定策略；过滤无关数据；多种响应方式；策略持续优化、改进，,完整审计；多维度审计全面还原sql语句；中间件关联审计；绑定变量关联审计；精确定位；多查询条件；,审计Audit,DBAudit,四大功能确保数据库安全不断提升,分析Analyse,特权、越权操作；恶意、违规操作；数据访问异常；敏感数据删改；用户权限变更；基于数据库、网络、系统的攻击行为；特征库定期升级；,内置合规性报表自定义分析模板客户端、服务器全局分析数据库状况延迟分析、定位Sql执行量统计分析报表自动生成数据管理、长时间保存,策略Policy,监测Monitor,42,窃取机密信息,经查证员工冒用公司领导账号操作,数据库审计系统设定策略，除了公司高管外，所有访问客户关系系统的事件均为异常事件,事件：公司重要的客户关系系统，只有公司高管才可以访问。普通员工的访问可能导致公司重要机密信息的泄露。,43,篡改业务记录,事件二：工作时间，某公司销售部某职员非法修改公司财务应收数据，导致月底公司财务报账难以平衡。,事件一：工作时间，某内科医生非法删除病人的病历，导致医院的医疗纠纷。,多维要素预警异常事件,44,越权、违规操作,事件：管理员在数据库中创建了一个新的用户账号test并为此账户赋予权限，此行为没有得到任何授权，导致其他人员通过该账户登录。,系统针对管理员对客户关系系统的特权操作设定策略，一旦违规及时发现,45,恶意攻击监测,定位目标系统,定位源头,定位事件类型,一旦发生攻击事件管理员可快速定位及时处理,数据库承载着企业核心的商业信息，如何及时发现针对数据库的恶意攻击行为？,46,内置多种策略；用户自定义策略；基于时间、来源、操作、类型、库、表、资产、事件、级别、状态、结果影响行数等设定策略；过滤无关数据；多种响应方式；策略持续优化、改进，,完整审计；多维度审计全面还原sql语句；中间件关联审计；绑定变量关联审计；精确定位；多查询条件；,审计Audit,DBAudit,四大功能确保数据库安全不断提升,特权、越权操作；恶意、违规操作；数据访问异常；敏感数据删改；用户权限变更；基于数据库、网络、系统的攻击行为；特征库定期升级；,内置合规性报表自定义分析模板客户端、服务器全局分析数据库状况死锁分析、定位Sql执行量统计分析报表自动生成数据管理、长时间保存,策略Policy,监测Monitor,分析Analyse,47,数据库安全状况分析,了解安全事件的等级,了解动向和具体事件,48,数据库应用状况分析,了解数据库的访问量，从而评估数据库的性能,了解针对数据库哪些操作比较多,49,性能优化分析,Step1定位可能发生死锁或异常时间范围,Step2定位引发事件的人员、操作,Step3定位相关数据库、表,Step4解决问题、优化策略避免问题重复出现,50,每天上午9点30-10点左右，有人员反馈表单提缓慢或无法提交。导致业务无法正常工作通过网管软件分析无异常流量，管理员不清楚具体问题的原因,分析1：9点30-10点之间,分析2：9：34-9：47,分析3：通过该语句判断是业务系统的哪个模块，哪个功能出了问题，反馈给软件商很快解决了问题,应用分析-排查问题,192.1.118.100的语句执行比其他主机要多,在重复对数据库执行一条select语句,51,完全自定义报表,系统内置多种报表模板,可添加模板,报表名称、内容,定义报表格式、接收人,根据模板内容设定报表生成条件,52,所有内容均在一张报表中体现，避免过多条件需要生成多张报表,报表内容统一展现,53,时间同步,磁盘预警,安全性,满足三权分立，各司其职,精细化授权、避免归为行为,系统管理,54,产品工作流程,55,典型部署方式,基于端口镜像方式实现对数据库系统集中安全审计,56,4、直观掌握业务系统运行的安全状况；,3、追踪溯源，便于事后追查原因与界定责任；,2、有效减少核心信息资产的破坏和泄漏；,1、满足合规性要求，顺利通过IT审计；,5、实现独立审计，完善IT内控机制；,用户收益,57,优势