数据库安全审计Guardium介绍

1、企业数据库的安全审计企业数据库的安全审计IBM 软件部软件部胡穗聪胡穗聪监监控控 vs 审计审计时间每秒的请求频率监控突发审计持续审计通过使用过滤减少实际审计的流量审计审计 意味着需要将信息记录到磁盘监控监控 意味着观察所有流量数据监控: 三大商业驱动力1. 外部威胁外部威胁防止入侵2. 内部威胁内部威胁识别未授权的变更防止数据泄漏3. 合规性合规性简化流程降低成本Audit RequirementsCOBIT (SOX)PCI-DSSISO 27002Data Privacy & Protection LawsNISTSP 800-53 (FISMA)1. Access to Sensiti

2、ve Data(Successful/Failed SELECTs)2. Schema Changes (DDL) (Create/Drop/Alter Tables, etc.)3. Data Changes (DML)(Insert, Update, Delete)4. Security Exceptions(Failed logins, SQL errors, etc.)5. Accounts, Roles & Permissions (DCL) (GRANT, REVOKE)法规中的合规性要求1Guardium 简介建立确保跨越数据库和应用基础设施关键数据安全的企业级平台。愿景愿景最为

3、广泛使用的数据库行为监控、安全和审计解决方案客客户认户认可可100% 的可视性和信息，对性能没有影响，无需改变基础设施 13 个正在审批中的专利适合适合扩扩容的企容的企业级业级架构架构- Oracle- Microsoft- IBM DB2- IBM Informix- Sybase ASE, IQ- MySQL, TeradataDBMS- Solaris- HP-UX- AIX- z/OS- Linux- WindowsOS- Oracle EBS- PeopleSoft, JDE- Siebel- SAP- Custom & other packaged appsApplications

4、- LDAP- Kerberos - RSA SecurIDAuthentication全方位的支持全方位的支持- BMC- IBM- EMC- NEON (mainframe)- NetApp (encryption)Technology partners“ “5-Star Ratings: Easy installation, sophisticated reporting, strong policy-based security.”“Enterprise-class data security product that should be on every organizations

5、radar.第三方的第三方的认认可可“ “Dominance in this space”#1 Scores for Current Offering, Corporate & Product StrategyStrategic Investor- TCP- IPC- SHM- Named Pipes- Oracle BEQ- TLIDB Protocols全球客户2全球顶级公司的选择全球排名前五的银行 Citi，JP-Morgan全球排名前三的零售商中的两家全球排名前五的保险商中的三家全球两大饮料生产商Coca-cola，Pepsi最著名的PC厂商 DELL政府机构 FBI全球15家电信公司

6、三大企业制造商大型能源公司大型医疗公司媒体&娱乐品牌电信电信/基建公司基建公司MEDITELMEDITELCONFIDENTIAL金融公司金融公司CONFIDENTIAL能源公司能源公司CONFIDENTIAL政府机构政府机构CONFIDENTIAL金融公司，日处理百万条会话客户：拥有客户：拥有7千千5百万用户的纽交所上市公司百万用户的纽交所上市公司需求需求:增强 SOX合规性和数据监管阶段1: 监控所有特权用户的活动，特别是数据库变化.阶段2: 专注于数据隐私.Environment: 全球四个数据中心100多台服务器上的122个数据库实例Oracle, IBM DB2, Sybase, S

7、QL Server on AIX, HP-UX, Solaris, WindowsPeopleSoft plus 75 in-house applications可选方案可选方案: 本地审计因为性能开支不具操作性结果结果: 目前每天审计百万条会话记录(GRANTs, DDL, etc.)捕获DBAs访问数据库的记录每日生成SOX的自动报告使用ticket IDs自动化变更管理调节通过两项外部审计为Dell简化企业安防需求需求: 为 SOX, PCI & SAS70提高数据安全性 简化并自动化合规性控制Guardium部署部署: 阶段1: 在10个数据中心部署了300个数据库服务器 (12周内)

8、 阶段2: 部署其他725个数据库服务器环境环境 : Oracle & SQL Server on Windows, Linux; Oracle RAC, SQL Server clusters Oracle EBS, JDE, Hyperion plus in-house applications原先的解决方案原先的解决方案: 利用利用自开发的脚本本地记录 (MS) 或审计 (Oracle) 支持问题; DBA 时间需求; 大数据量问题; SOD问题.结果结果: 自动化合规性报告; 实时告警; 集中化 Published case study in Dell Power SolutionsG

9、uardium解决方案解决方案3 易损性评估 配置评估 行为评估 基准设置 100% 可视化 基于策略的行为 异常发现 实时阻止 细粒度的访问控制 和其他应用整合 集中式监管 合规审计报告 自动升级 安全审计池 用以取证的数据挖掘 长期保存 可发现所有应用和客户 可发现和分类敏感信息发现和分类评估和巩固监控和执行审计和报告Critical DataInfrastructure全方位的安全和审计周期监控方式17E-Business SuiteSwitch or TAPGuardium S-TAPs 用以访问监控用以访问监控 (shared memory, BEQ, named pipes, et

10、c.)Guardium网络监控应用和审计库网络监控应用和审计库用户应用无侵入性无需数据库变化最小影响无需基于传统数据库的本地日志（DBA可轻易修改）细粒度的策略和监控何人，何事，何时，如何实时告警监控包括本地特权用户访问在内的所有活动可伸缩的多层架构S-TAPS-TAP网络CollectorCentral Manager & AggregationCollectorS-GATE远程人员和外包S-TAPz/OS财务HRCollectorOff-shoreZ-TAP功能功能举举例例4异常类型 1 数据库异常分析1 1： Exception by type 2： Exception by serve

11、r IP3： Exception by client IP 4： Exception by SQL cmd出现异常的服务器链接数据库产生异常的客户端地址详细的源程序，SQL命令假如我的客户代表一小时内查看了99条记录？2 提取敏感信息问题问题 : : 应用服务器通过常用服务账号访问数据库 并没有识别是谁发起交易(连接池)解决方案解决方案 : : 跟踪用户访问应用程序与特定的SQL命令支持主流的企业应用 (Oracle EBS, PeopleSoft, SAP, Siebel, Business Objects, Cognos, etc.)附加自定义应用 (WebLogic, WebSphere, Oracle AS, etc.)不改变应用服务Application ServerDatabase ServerJoeMarcAppUser3 识别来自应用层上的欺诈S-GATEHold SQLConnection terminatedPolicy Violation:Drop ConnectionPrivileged UsersIssue SQLCheck PolicyOn ApplianceOracle, DB2, MySQL, Sybase, etc.“数据