安讯奔数据库安全解决方案-dbguard v

数据库安全解决方案北京安讯奔专注于统一身份、凭证和访问管理的解决方案是世界级综合信息安全解决方案的主要提供商

提供最专业的数据库安全审计服务目录数据业务安全现状1安讯奔DBGuard产品功能介绍2安讯奔DBGuard成功案例3业务数据面临严峻挑战面对频繁的数据安全挑战我们如何面对数据库的安全尤为重要安全的本质是——进不来，拿不走，看不懂，改不了，赖不掉信任，数据/数据库的安全也不例外安全防护的最佳实践效果是——普遍防护的真实效果是——确实进不来，不一定拿不走，也许看不懂，可能改不了，可以赖得掉传统的安全防护存在风险InternetCustomer

InternalUser(直连)ExternalUser

(外网)外包运维人员、软件开发人员DBA、管理者、开发员应用服务器集群可以让你进不来问题在于有人可以拿得走由外至内的传统防护存在安全风险针对数据库的外部防护效果低于10％90％以上的数据库安全问题发生在内部数据库访问控制存在风险数据库访问控制存在风险InternetCustomer

InternalUser(直连)ExternalUser

(外网)外包运维人员、软件开发人员DBA、管理者、开发员应用服务器集群特权用户对业务数据的增加、查询、删除、修改是否为正常的操作？不信任信任吗？内部业务/IT运维/开发用户对数据库的访问是否合法合规？IT合规的完整性难以保证监督检查追查问责DistributedCache保密性（Confidentiality）完整性(Integrity)

可用性（Availability）FWIDS/IPSEtc…DataBase（C.I.A）行业用户银行,保险,证券,财务公司(SOX,PCI..)医疗,教育,能源,交通,军工,政府(HIPPA,行业标准,等保)数据库合规管理和安全审计的最佳实践……？？合理化的解决方案我们需要找到一个可行的方法和方案实现独立审计，完善IT内控机制满足合规性要求追踪溯源，便于事后追查原因与界定责任直观掌握业务系统运行的安全状况减少核心信息资产的破坏和泄露的发生几率目录数据业务安全现状1安讯奔DBGuard产品功能介绍2安讯奔DBGuard成功案例3安讯奔DBGuard产品介绍WAS,APPServer应用服务器（WAS代理）本地数据库授权用户数据库服务器事前1234-5678-4567-7890****-****-4567-7890(partial)1234-****-****-7890(partial)1234-5678-****-****(partial)*****-*****-****-****(full)访问控制数据屏蔽事中实时监测、实时审计海量数据、快速查询事后安讯奔DBGuard是一种通过数据库访问控制来保护数据库和存放在数据库内的企业资产的安全解决方案。DBGuard功能SOXPCI-DSSISO27001等级保护1.敏感数据的访问(成功/失败

SELECTs)2.数据定义

(DDL)

(Create/Drop/AlterTables,etc.)3.数据操作

(DML)(Insert,Update,Delete)4.安全审计(Failedlogins,SQLerrors,etc.)5.账户、角色&权限

(DCL)(GRANT,REVOKE)基于IT合规的完整性保护面临的合规风险敏感数据泄露DBGuard数据库安全审计解决方案实时监控和审计的内部/外部用户访问目标数据库。事后证据不足100%记录事件整个过程，实时日志分析，多条件查询，以达到追根溯源的目的。欠缺合规统计功能多条件的报表呈现形式，多格式的报表存储功能，方便统计、编辑和存储。安讯奔DBGuard五大核心功能日志记录实时审计

Audit&Log访问控制AccessControl实时监视Monitoring敏感数据保护Masking报表呈现Report快捷、准确地呈现所需的任何的日志信息100%记录数据库访问活动的日志信息提供海量完整的审计信息对敏感数据进行遮盖，防止外泄对所有的连接和会话进行实时地监视根据策略对访问进行实时地控制数据库访问控制(DBAccessControl)ReportMonitoringMaskingAudit&LogAccessControl用户3SQLDataSQL拒绝访问（BlockSession）用户1数据库用户2SQLData报警（Alert）根据用户权限有选择的双向审计和控制，符合行业内的行为规范&操作标准记录（Record)ApprovedSQL外包/开发…经理/管理员数据库数据库访问控制(DBAccessControl)ReportMonitoringMaskingAudit&LogAccessControl设置访问控制(Policy)查询语句被阻拦(Blocked)审计日志（Audit&Log）ReportMonitoringMaskingAudit&LogAccessControl审计内容全面记录单条SQL语句的详细信息记录所有SQL语句的详细信息100%记录数据库活动信息，彻底做到追根溯源，符合IT合规审计要求审计日志（Audit&Log）ReportMonitoringMaskingAudit&LogAccessControl记录所有的操作系统的命令记录操作系统命令的返回结果提取绑定变量的值，全面审计，不留死角可以记录SQL语句的返回结果100%记录数据库活动信息，彻底做到追根溯源，符合IT合规审计要求敏感数据保护（Masking）ReportMonitoringMaskingAudit&LogAccessControl姓名银行卡号电话号码详细地址某甲***********

北京,****************某乙***********

上海,****************select*fromusers用户客户数据数据库防止特权（包括DBA）或非法用户对敏感信息的窃取，对数据库不产生任何多余负载敏感数据保护（Masking）ReportMonitoringMaskingAudit&LogAccessControl设置遮盖策略（Masking）敏感信息得到保护（Protection）数据库活动监视(Monitoring)ReportMonitoringMaskingAudit&LogAccessControl(4w1H)谁？何时？何地？通过什么方式？干了什么？…….违规即报警实时监视的选择条件超过20种独立的匹配条件随需求可以任意组合使用（主机名，IP地址，主机用户名，数据库用户名，执行的操作……）实时监视覆盖数据库服务器/数据库/数据库SQL语句的会话信息/详细内容/SQL返回结果等…..返回SQL语句的错误代码，快速定位错误报表呈现(Report)ReportMonitoringMaskingAudit&LogAccessControl依据审计日志自动生成报表提供符合规定的标准模板提供可自定义的模板支持多种格式：*.pdf,*.doc,*.xls,*.ppt,*.html,*.csv,*.txt,*.jpg,*.rif,*.svg,*.hwp,*.mht,and*.gul*.ozd,.其他功能手动中断SQL会话DBGuard拥有三种不同权限的用户级别：管理员（Admin），普通用户（User），观察者（Viewer）详细记录每个级别的每个用户的所有操作，杜绝安全漏洞用户操作历史记录支持手动中断SQL会话恶意会话、高消耗会话、基于业务考虑需中断的会话……部署方式(DeploymentModes)混合模式(Hybrid)=网关模式(Gateway)+嗅探模式(Sniffing)网关模式(Gateway)被动方式(Passive)–

嗅探模式(Sniffing)

应用服务器Application数据库Database交换机Switch网络分路器TAPDBGuard用户USER网关模式

(GatewayMode)应用场景主要针对内部的人员进行控制，包括：开发人员（本公司&外包）和DBA可以实时地监控所有对数据库的访问有必要的话，可以实时地进行拦截（自动&手动），防止信息泄露网关模式(Gateway)应用Application数据库Database交换机Switch网络分路器TAPDBGuard用户USER嗅探模式

(SniffingMode)应用场景主要针对外部用户，只对用户的行为进行记录对数据库的性能没有任何影响对现有业务和网络环境没有任何影响100%记录所需审计信息被动方式(Passive)–

嗅探模式(Sniffing)

应用Application数据库Database交换机Switch网络分路器TAPDBGuard用户USER混合模式

(HybridMode)应用场景同时对内、外部的用户进行监控根据需求对相应的信息以Sniffing或Gateway的方式进行监控混合模式(Hybrid)=网关模式(Gateway)+嗅探模式(Sniffing)应用Application数据库Database交换机Switch网络分路器TAPDBGuard用户USER同类产品比较（ComparisonMatrix）

DBGuardChaletAegisFortinet

FortiDBIBM

GuardiumImperva

SecuresphereSentrigo

Hedgehog支持数据库Oracle●●●●●●●SQLServer●●●●●●●DB2●●X●●●XMySQL●●X●●●XSybase●●X●●●●Informix●●●X●●X其他Altibase,Tibero,Cubrid,Teradata,SymfowareXXXTeradataTeradataXDB用户信息IPAddress●●●X●●●HostName●●●X●●●DBAccount●●●●●●●ApplicationName●●●X●●XSQL执行时间●●●●●●●警报政策管理GROUPSETTING●●●●●●●设定条件●●●●●●●严重度●●●●●●●警告/自动阻止/手动阻止●/●/●●/●/X●/X/X●/X/X●/●/X●/●/●●/●/●变更政策●●●●●●●报告书隐藏主要信息●●●●●●●查询条件●●●●●●●用户定义报告书●●●●●●●图表形式●●●●●●●导出PDF形式●●●●●●●导出CSV形式●●●●●●●报告书样本更新●●●●●●●日志管理压缩●●●●●●●加密●●●●●●●同类产品比较（ComparisonMatrix）

DBGuardChaletAegisFortinet

FortiDBIBM

GuardiumImperva

SecuresphereSentrigo

Hedgehog主要功能比较运行模式Inline、Sniffing、IPForwarding(G/W)、Hybrid、Agent(SoftwareTAP,LocalLogging)SniffingSniffingSniffingInline、Sniffing,Agent(SoftwareTAP,LocalLogging)Inline、Sniffing,Agent(SoftwareTAP,LocalLogging)Inline,Sniffing综合监控SQLcmd、FTP、TELNET、SSH

综合监控XXX无实时监控会话功能不支持sshX命令及结果记录显示SQL、FTP、TELNET、SSH命令及结果值只显示SQL命令只显示SQL命令X只显示SQL命令只显示SQL命令X服务器访问账号记录YESXXXXXX提取BindVariablesYESXXXXXX监视使用恶性SQL的会话YESXXXXYESX监视SQL错误代码YESXXXYESXX阻止及预防功能TCPReset、SessionDrop、结果值maskingX支持SessionDropX无SessionDrop功能无SessionDrop功能无SessionDrop功能AS-IS/TO-BEImageYESXXXXXXSafeSQLYESXXXXXXSQL结果值MASKINGYESXXXXXXCommonCriteriaEvaluationAssuranceLevelEAL4XXXXEAL2X比较结果（Conclusion）唯一一个具有Masking功能的产品其他任何产品都不具备的功能唯一一个具有Hybrid运行模式的产品支持其他产品所具备的所有运行模式唯一一个支持所有协议结果集的产品包括SQL在内，还支持FTP、TELNET和SSH协议的结果集DBGuard(Summary)功能齐全

(CompleteFunctions)5大核心功能（访问控制、敏感数据保护、活动监控、审计日志、报表呈现）其他实用功能（SQLApproval、SQLResults、OSCommand、BindVariables….）符合规范

(Compliance)满足SOX,等保,PCI-DSS,ISO27001等规定的要求高性能

(HighPerformance)不影响数据库的性能使用简单

(EasytoUse)界面清晰,方便管理,培训快捷多种部署方式

(DeploymentModes)根据不同的应用选择不同的部署方式（Proxy、Passive、Hybrid）目录数据业务安全现状1安讯奔DBGuard产品功能介绍2安讯奔DBGuard成功案例3案例1奥林巴斯著名的摄影、摄像器材生产商。使用DBGuard数据库安全产品来保护他们基于AmazonEC2的在线图片和视频的安全对于选择DBGuard数据库安全产品，奥林巴斯系统运作部的总监HayashiJuichi先生说到：“对于我们来说，最大的挑战就是保证包括个人隐私数据在内的重要数据的安全，而华胜数据库安全产品很好的解决了这个问题！”案例2PCAPCA保险公司当他发现像英国保诚集团，韩国国民银行，韩国大宇证券，三星人寿保险和日本索尼银行这样的企业在使用DBGuard数据库安全产品的时候，就马上决定用我们的产品来保护它存放所有客户信息的IT系统案例3韩亚航空公司韩亚航空公司选择了DBGuard数据库安全产品来保护他的售票系统的数据库他们选择DBGuard是因为我们的系统与其他的竞争对手相比更稳定，界面更友好他们意识到哪怕是一点点小小的用户信息的泄漏，都会对公司的形象带来非常严重的影响案例4数据库安全域客户端用户DBGuard服务器-1DBGuard服务器-2物理的TAP设备聚合TAP集群网络流量负载均衡主干网

(活动)主干网(备用)聚合TAP*6EA10/100/1G(UTP)DualNIC*4EA数据包嗅探数据包嗅探IBMP690DB1HPV2600ODSSF6900APIBMP690DB2SF6900DB聚合TAP*6EAHPV2600DW3.0Ghz*2CPU8GBMemory3.0Ghz*2CPU8GBMemory10/100/1G(UTP)DualNIC*4EA案例5DatabaseSecurityAreaDARDBGuard服务器-1（活动）日志存储服务器日志RACDBGuardW服务器-2（活动）用户访问控制审计反馈反馈IPForwardingMasking(‘***’)IPForwarding混合集群TAP+端口镜像使用DAR代理进行控制RACRACBESTDB1/2TMDB1/2NTISDBSADBIWFDB路由器ConvertConvertTAP-1(ActiveLine)TAP-2(SlaveLine)

Sniffing

Sniffing

BEST’SWITCHTM’SWITCHSA’SWITCHNITSNITSIWF’SWITCHLine2Line2Line1Line2Line2Line1Line1Line1混合模式（嗅探+代理）部分国内行业案例介绍金融行业测试案例MIS1MIS2O-CRM1O-CRM2Invest1Invest2Banka1Banka2BaselIIE-bank1E-Bank2Stock1Stock2Retire1Retire2E-Journal1NGN1NGN2Resource1Resource2Other1Other2TAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPTAPDBGuard1234567891011121314151617181920212223In/OutPacketIn/OutPacketPacketSniffing(TAP)PacketSniffing(TAP)Ethernet(SQL*NetPacket)E-Journal2项目名称：某银行总部相关需求：预防银行数据外泄，增强内部安全审计能力解决方案：混合模式部署，主动监测、实时报警、安全防护敏感数据客户测试负责人总结评价：“我们测试了很多数据库安全审计产品，DBGuard相比其他同类产品显得功能更丰富，配置更加灵活！”医疗行业案例WWWDB内网区域测试区域对外服务区域服务外包人员DBA运维人员

用户2用户n用户1Web通过DBGuard访问DB通过DBGuard访问DBHISDB(涉密)

MISDBTestDBFirewallSwitchDBGu