数据库审计系统是客户信息保护的利器

1、数据库审计系统是客户信息保护的利器 1 系统建设背景 核心数据库在审计方面还存在一些问题和风险： 1.1 终端采用未知协议和端口或使用未知客户端直接访问 数据库 如果终端使用了未知协议和端口或使用未知客户端对数据 库进行访问，将无法在技术上强制要求通过 4A 系统和堡垒机操 作，也就无法记录操作日志， 对这类操作无法进行审计及危险操 作的实时告警和阻断。 1.2 利用应用系统的未知漏洞直接访问数据库无法记录完 整操作日志 个别应用系统在上线后可能存在未知的风险漏洞， 破坏分子 可能利用这些漏洞直接访问和使用数据库， 但应用系统操作日志 均通过对界面点击按钮的解析完成记录， 通过漏洞对数据库操作

2、 将无法记录操作日志。 1.3 外围系统直接对数据库的访问 围了业务发展， 部分外围系统需要通过接口使用中国移动的 客户信息和消费数据，但外围系统对数据的操作无法记录和审 计。 1.4 个别应用系统未作审计或审计功能不完善 个别老旧系统由于日志记录对系统性能重大影响的原因， 或 在建设时未考虑日志记录的安全设计，导致操作日志记。 2 客户信息保护的目标 为了防范用户通过合法或者非法的方式登录数据库主机之 后，在本地执行违规的数据库操作，增强客户信息保护能力，实 现监控的规范化，审计分析的可靠化。提出建设目标： 2.1 防护不再有遗漏 能够对数据库访问的行为进行全面监控， 对使用原手段未进 行记

3、录的敏感操作进行日志记录。 2.2 安全分析及时高效 能监控数据库里面的各类访问和操作， 用户在数据库中做什 么操作，对于数据库可用性和数据安全产生何种风险。 2.3 违规操作及时阻断 对于数据库的违规访问、 操作和导出 （下载）行为进行控制， 阻止伪用户的登录，防止用户恶意的破坏和导出（下载），防止 用户误操作。 2.4 定位准确，解决思路明确 发生了数据安全和泄漏问题后，能够协助定位原因和用户， 及时制定解决方案。 3 客户信息保护原则 为了完善客户信息保护能力的需要， 确定数据库操作的事前 事中事后原则。 具备业务行为发生前的行为规范策略制定功能。 能够对业务行为中各步骤的动作作出定义，

4、 能够对业务行为 中步骤、 分枝和流向作出定义。 从而形成完整的规范的业务行为 策略。 针对标准的业务行为提供“开箱即用”的动作规范处理， 针 对非标准的业务行为在提供最佳实践定义， 针对特殊业务行为允 许用户自定义规范。 通过这些规范定义， 能够为业务的正常执行 提供防护。 3.2 事中记录、阻断 具备对各业务行为的操作主体、 操作动作以及操作客体进行 记录的功能。 能够实时对业务行为进行合法性判定并在发现有不符合行 为规范策略的动作发生时，阻断行为动作，并发出告警。 针对恶意用户对数据库的违规操作， 能够采用强制手段直接 断开会话，并产生完整的审计记录。 3.3 事后回顾 具备对业务行为进

5、行统计、分析并以报表形式展现的功能。 发生了数据安全和泄漏问题后， 能够协助定位原因和用户， 及时 制定解决方案。 4 实施方法 通过技术手段建设，实现客户信息保护的目的。 4.1 业务行为定义 定义规范的业务行为， 其中包括业务行为动作定义、 业务行 为分枝定义、业务行为合法流向定义和业务行为操作客体定义。 4.2 业务行为授权 将规范的业务行为授权给合法的主体， 例如， 授权给某些应 用系统用户名或数据库帐户。该类主体除可以采用用户名和 / 或 帐户外，还可以采用其它属性（例如IP地址/MAC地址/IP地址 段等参数）作为识别条件。 4.3 业务行为采集 对主体正在进行中的业务行为实现采集

6、， 采集的数据有行为 主体、操作动作、操作客体。 包括：源IP，源MAC源端口，目标IP,目标MAC目标端口， 用户账号，用户名，连接数据库名，数据库对象，操作表名，操 作时间，操作SQL语句及详细内容（存储过程需要解析开）。考 虑不同的SQL语句种类。 4.4 违规行为阻断 对试图进行不符合业务行为定义的操作动作实现阻断， 提示 操作者操作不合法。 4.5 违规行为告警 对试图进行不符合业务行为定义的操作动作实现阻断的同 时，不仅提示操作者操作不合法，且发出违规行为告警。告警可 以以邮件报表等方式发送。 业务行为统计、 分析及报表展现对业务行为实现按业务执行 主体、执行类型等维度进行行为的多

7、层次分析，并能以饼图、直 方图、趋势图等图标形式展现分析。提供模板化的展示形式（如 发生在特定 IP 或 IP 段的行为记录、 特定执行主体的业务行为记 录等） 5 技术实现 审计系统主要依靠网络旁路侦听的手段， 对引自应用层和数 据库层的网络流量进行解包分析，抓取原始的数据库操作行为， 并根据预定义或数据库安全评估 （静态审计） 产生的安全策略和 审计规则， 进行各种类型的告警或阻断， 同时通过安全事件回放 和审计报表提供针对身份 （WhO、时间（When、地点（Where）、 内容（What）等关键要素的审计。其系统功能示意如下图： 5.1 采集解析 采集解析模块是数据库审计系统的数据来源

8、， 主要包括流量 采集和协议解析两个子模块。 5.1.1 流量采集 流量采集子模块主要完成数据流量的采集功能， 根据网络环 境和数据库接入方式不同， 有多种流量采集方式， 包括旁路镜像 模式、分流器模式和TAP模式（分流器和TAP是一种专用的流量 采集工具，可以串联在网络中，实现流量的复制）。 5.1.2 协议解析 协议解析子模块主要是完成数据库流量的协议还原， 识别包 括 Oracle、SQL Server、DB2 Informix、MYSQ等主流数据库 的所有行为动作，实时记录各类数据库 DDL/DML操作，还原存储 过程、 绑定变量的实际内容， 还原数据库响应内容和数据库批量 导入导出操

9、作， 并将不同数据库的行为记录以一种统一的、 标准 的、易懂的格式进行保存。解析的内容要包括数据库的原始 SQL 语句、SQL语句的执行结果、执行时间、返回内容、客户端工具、 操作系统用户名、源 IP 地址、数据库用户名、实例名等详细的 信息。 协议分析子模块还用来进行应用层流量的协议还原（ http 协议），并将应用层行为统一记录保存。解析的内容包括Web用 户名、用户源IP、发起数据库操作的URL http请求类型、请 求时间、向数据库服务器传递的请求参数、 返回结果等详细的信 息。 5.2 审计分析 审计分析模块是数据库审计系统的核心模块， 主要包括事前 安全评估、事中实施监控、事中双向审计、事中Web业务审计、 事中三层审计、事中告警方式丰富、事后回放追溯、高效行为检 测、细粒度审计规则等子模块。 5.3 报表展现 报表展示模块是数据库审计系统分析结果的展示模块， 主要 包括综合视图、审计报表、模型分析共三个子模块。 数据库审计设备采用选取两个节点， 分布式部署采集机， 统 一建设服务器。网络部署图如下所示： 6 主要技术