数据库审计解决方案

1、数据库审计处理方案北京华青融天技术有限责任企业第1页目 录2方案优势案例分析帕拉迪数据库安全监控审计处理方案数据库现实状况及安全威胁传统/国内数据库审计处理方案第2页数据库现实状况及安全威胁数据库安全威胁内部威胁依据最新研究显示,恶意内部人员和人为错误是对数据库安全最大威胁,而不是外部入侵者。电信员工等23人出售手机用户信息被起诉, 23人被控出卖公民个人信息。 外部威胁花旗集团：黑客攻击影响客户超出36万美军方承包商机密数据遭泄漏 第3页数据库现实状况及安全威胁十大数据库安全威胁第4页数据库现实状况及安全威胁企业数据库现实状况内部用户外部用户数据库权限滥用恶意访问误操作越权使用DBA数据库开

2、发人员黑客互联网应用不了解数据库“被”怎么了！数据资产使用“有规无据”!缺乏数据库行之有效“分析审计依据“！数据库访问“暗箱操作”，数据库访问不透明！第5页数据库现实状况及安全威胁当前数据库管理存在问题无法有效分析数据起源，做到快速定位。没有数据库完整审计统计，无法满足相关审计方面要求。对关键数据访问无统计，出现事故无法追踪。一旦数据库日志被去除，无法发觉事故，无法做到事故定位。对于黑客攻击，无法做到有效防范和攻击留痕。非授权进入业务系统或误操作、越权操作，造成数据泄漏或被修改。不能实时监控对数据库非法访问，没有预警。第6页数据库现实状况及安全威胁法规遵从4.6安全审计 数据库管理系统安全审计

3、应： a) 建立独立安全审计系统； b) 定义与数据库安全相关审计事件； c) 设置专门安全审计员； d) 设置专门用于存放数据库系统审计数据安全审计库； e) 提供适合用于数据库系统安全审计设置、分析和查阅工具。 第十五条 企业应该加强内部审计工作，确保内部审计机构设置、人员配置和工作独立性。第四十四条 企业应该依据本规范及其配套方法，制订内部控制监督制度，明确内部审计机构（或经授权其它监督机构）和其它内部机构在内部监督中职责权限，规范内部监督程序、方法和要求。国际标准萨班斯法案ISO27001企业内部控制基本规范计算机信息系统安全等级保护数据库管理技术要求第7页数据库现实状况及安全威胁行业

4、标准行业法规标准互联网服务商互联网安全保护技术方法要求（82号令）电信行业中国移动集团内控手册中国移动业务支撑网安全域划分和边界整合技术规范中国电信股份有限企业内部控制手册中国网通集团信息质量问责管理若干要求 中国网通集团内部控制体系建设指导意见 金融保险行业银行业金融机构信息系统风险管理指导商业银行合规风险管理指导中国银行业监督委员会办公厅文件银监办通313号保险企业内部审计指导（试行）保险企业风险管理指导（试行）电子银行安全评定指导（）电子银行业务管理方法（）期货企业信息技术管理指导商业银行内部控制指导计算机信息系统内部控制支付卡行业数据安全标准要求和安全评定程序（）国内上市企业深圳证券交

5、易所上市企业内部控制指导 上海证券交易所上市企业内部控制指导 电力行业电力二次系统安全防护总体方案（）国家电网企业信息化“SG186”工程安全防护总体方案（实施）()医疗行业互联网医疗保健信息服务管理方法(卫生部令第66号)第8页处理问题之路加强行政制度规范从数据库运维及业务系统使用行为角度，制订对应规范和制度。经过强力流程管理防止权限越权及违规使用。监控数据库访问过程经过技术伎俩，实时了解数据库使用情况。筛选、统计关键数据访问和使用过程。及时对违规事件进行告警。二者有效配合，才是处理问题根本方法！数据库现实状况及安全威胁第9页目 录10方案优势案例分析帕拉迪数据库安全监控审计处理方案数据库现

6、实状况及安全威胁传统/国内数据库审计处理方案第10页国内/传统数据库审计处理方案数据库审计市场现实状况数据库审计工作基本需求，多数产品不能完全满足。第11页国内/传统数据库审计处理方案传统审计模式盲点第12页国内/传统数据库审计处理方案当前国内数据库审计系统盲点国内数据库审计产品多数是基于IDS产品改造而成，存在以下盲点：基于单个网络包，只能以SQL语句方式展现;只能实现单包返回状态分析，不能实现对查询结果进行分析。超长SQL语句无法支持，提供逃避审计通道；协议解码不完全（无会话技术就不可能完全解码）；变量绑定不支持或不完整（审计素材有用性缺失）；无法全部存放分析审计数据，统计之后，不能查询；

7、无法统计下原始数据包，缺乏最原始审计依据；事后报警，做不到事前防范，事中报警；长会话统计分散统计，审计困难；部分产品需要改变网络拓扑，甚至需要在数据库服务器上安装采集器，易造成安全漏洞。第13页国内/传统数据库审计处理方案数据库监控审计乱象总结数据库审计乱象新编用不熟，查不到；难解码，轻易逃。抗压差，记不好；搜不动，审个毛！巧包装，受骗到。拖后腿，不用了！好产品，哪里找？在选择安全产品时，我们都会习惯性首先关注国际上明星产品。这些产品技术成熟、功能稳定，确存有优势。但其逻辑复杂艰涩，使用门槛很高。进行一些简单配置都让人望而生畏。购买了国外产品用户，往往因为操作习惯迥异，并没有真正发挥产品功能价

8、值。其次，海外产品设计初衷是为了满足海外法规要求，并没有考虑到国内市场实际需求。迫于处理及存储压力大量丢弃了其认为“无用”审计信息。在进行追溯时，这些所谓“无用”细节信息就已经无法查到。违背了审计基本要求。第14页国内/传统数据库审计处理方案数据库监控审计乱象总结数据库审计乱象新编用不熟，查不到；难解码，轻易逃。抗压差，记不好；搜不动，审个毛！巧包装，受骗到。拖后腿，不用了！好产品，哪里找？再看国内产品。即使，品牌众多但为了降低研发成本，多数产品是基于IDS技术进行再造所谓“数据库审计”产品。因为基础技术框架先天缺点，造成这类产品对与数据库协议解码存在着困难。而且，因为IDS基于单包进行解析与

9、策略匹配技术特点，使其对超长SQL语句、绑定变量等难以完整解析。有心者，经过结构超长SQL语句隐藏攻击语句、逃避审计。比如：可在SQL语句中加入大量注释。超出1460长度，并在其后跟随破坏性语句。这类危险操作国内现有审计系统是无法发觉。第15页目 录16方案优势案例分析帕拉迪数据库安全监控审计处理方案数据库现实状况及安全威胁传统/国内数据库审计处理方案第16页帕拉迪数据库安全监控审计处理方案数据库风险分析、安全监控处理方案策略&分析 依据实际情况进行配置策略和控制对数据流进行分析，解析完整会话过程全方面解析回话，提取出完整SQL语句监测&告警 唯一、真实地展现数据库流量和回话监控视窗完善和灵活

10、告警策略定制 各种告警机制 实时策略告警审计&报表 细粒度全会话审计 会话统计多条件查询，准确定位 提供可模板化报表展现，灵活可定制发觉&分类 起源识别，自动发觉主机IP，程序等信息 识别敏感数据，自定义分类 提供黑白名单模式，进行有效区分数据库安全全生命周期处理方案第17页帕拉迪数据库安全监控审计处理方案关键关键技术第18页帕拉迪数据库安全监控审计处理方案DbXpert革命性优势突破“流技术”壁垒，完整统计与解析流数据，取得革命性划代突破。处理了最基本“协议解码”问题，并创新“IO”存放与检索模型。实现超长SQL语句解析，实现变量绑定完全解析，实现SELECT返回行列结果解析。统计原始网络传

11、输包，有效提升数据库排错、调优效率。事件起源参数捕捉全方面准确，更准确地判断责任归属。会话单位完整统计数据库访问过程实现高效未知协议解码适应能力真正准确违规事件发觉与告警第19页帕拉迪数据库安全监控审计处理方案效果展示能够自动发觉到连入数据库客户端主机、应用程序、帐号。第20页帕拉迪数据库安全监控审计处理方案效果展示灵活告警策略配置帕拉迪DBXpert拥有灵活告警策略配置引擎。可关联数据库访问事件细粒度条件。标准SQL命令客户端网络地址客户端应用程序客户端主机名称客户端系统用户数据库用户名称目标表、列第21页帕拉迪数据库安全监控审计处理方案效果展示完整会话审计与会话过滤功效，快速追踪事件信息，

12、定位事件类型。第22页帕拉迪数据库安全监控审计处理方案效果展示详尽会话操作统计，追溯数据库操作过程。第23页帕拉迪数据库安全监控审计处理方案效果展示提供原始数据包下载，为审计工作提供最原始依据。第24页帕拉迪数据库安全监控审计处理方案效果展示告警信息完整统计，分析详尽。第25页帕拉迪数据库安全监控审计处理方案效果展示实时数据库性能监测及风险统计实时了解数据库系统连接数、性能等指标。可及时发觉数据库性能问题。为在系统出现问题前处理问题，提供了时间保障。完善可定制报表系统第26页帕拉迪数据库安全监控审计处理方案效果展示实时数据库性能监测及风险统计实时了解数据库系统连接数、性能等指标。可及时发觉数据

13、库性能问题。为在系统出现问题前处理问题，提供了时间保障。系统状态监控界面和可视化动态实时监控效果第27页帕拉迪数据库安全监控审计处理方案产品布署模式第28页帕拉迪数据库安全监控审计处理方案创新实用IO模型与全文检索创新IO模型与全文检索架构1、提供起源IP白名单、SQL语句级别白名单2、统计白名单之外一切协议解码详细数据3、实时告警并统计、输出关注事件4、利用全文索引，搜索定位可疑事件5、可选择统计原始PCAP流数据证据第29页目 录30方案优势案例分析帕拉迪数据库安全监控审计处理方案数据库现实状况及安全威胁传统/国内数据库审计处理方案第30页方案优势方案优势第31页方案优势有效控制风险 快速

14、查找故障原因 用户收益 满足IT审计合规性要求 提升数据库安全可用性完善责任认定体系价值总结第32页目 录33方案优势案例分析帕拉迪数据库安全监控审计处理方案数据库现实状况及安全威胁传统/国内数据库审计处理方案第33页案例分析案例分析一XX XX单位业务系统运行一端时间后就会出现获取连接超时、失败，或者汇报这是一个无效连接等问题，需要重新开启服务器才能正常运行，该问题困扰工程师很久？在接入帕拉迪dbxpert系统后，我们经过会话统计发觉中间件到数据库会话长时间不释放，判断Connection Pool（连接池）设置问题，因为大量sleeping connection未释放以致出现上面错误。找到问题后，经过采取以下方法最终处理了问题：（1）打开应用服务器连接池“续连接支持开关”，就是说，在把池中Connection对象返给Client端时候（或从Client端回收时候）做一次有效性验证，以确定这是一个有效连接。（2）打开连接池无效连接定时回收机制，就是说，让连接池每经过一段时间，就对连接池中那些已