imperva针对国内的对手分析

1、记录的完整性

数据库访问来源

Imperva：

对所有数据库的访问进行记录，包括来自中间件服务器以及各种客户端的访问。

传统数据库安全审计产品：只能对通过特定终端和客户端软件的访问进行记录，不能记录所有的客户端对数据库的访问

记录针对数据库的所有访问

Imperva：可以进行完全的记录

传统数据库安全审计产品：由于仅仅通过关键字查询分析，只能发现和记录一部分数据库操作，某些数据库访问会被丢失

对回应数据的记录

Imperva：可以记录SQL命令的回应信息

传统数据库安全审计产品：无法记录

对BindVariable的支持

Imperva：

很多基于数据库的查询是通过BindVariable完成的。这就要求审计系统不光要记录查询中BindVariable的变量的名字，还要记录BindVariable的数值。举例来说：一个包含BindVariable的SQL是：select*fromaaawherename=:who,审计系统不光把这个SQL记录下来，同时要记录:who=jimmy,这样才是完整的包含BindVariable的审计结果果

传统数据库安全审计产品不支持

对直接操作数据库的行为的记录

Imperva：通过Agent实现

传统数据库安全审计产品：通过数据库本身的审计功能，违反权限分离原则

2、全局用户的追踪

Imperva：可以追踪审计到最终的应用操作用户

传统数据库安全审计产品：无法追踪审计到最终的的应用操作用户

3、指义语义的分析Imperva：可以对指令进行准确的、深入的分析

传统数据库安全审计产品：基于字串匹配的分析,导致分析的结果不完整，错误非常普遍

4、全局用户的追踪

Imperva：对所有数据库的访问进行记录，包括来自中间件服务器以及各种客户端的访问。

传统数据库安全审计产品：只能对通过特定终端和客户端软件的访问进行记录，不能记录所有的客户端对数据库的访问

5、记录的信息/字段的全面性

Imperva：

对每条记录提供多达25种信息/字段，包括所有必需的所有审计信息：

针对每一条数据库的访问，审计记录要细致到每一次事务/查询的原始信息记录，应该可以记录所有的关键信息，至少包括以下各个方面：

数据库服务器

源IP

目的IP

原始的查询指令

去除具体参数的查询指令

源应用软件

数据库用户名

访问源操作系统用户名

访问源操作主机名

高级权限操作

存储过程

目标数据库和Schema

StreamID

操作回应内容

操作返回的错误代码

操作回应的时间

操作回应的条目大小如果是前台用户通过Web利用应用服务器访问数据库（BS架构下），还应可以审计记录以下信息：前台应用程序的用户名

前台程序的URL

WebSessionID

Web客户端IP

对于通过OracleEBS或SAP等应用服务器访问数据库（CS架构下），应该可以记录最终前台用户的用户名

传统数据库安全审计产品：

提供非常有限的记录信息。许多有价值的信息未提供，如：数据库用户名，登陆的主机名，使用的客户端软件，对请求的响应，被访问的数据库/Schema，数据库的错误提示信息，应用系统登录用户甚至具体的数据库操作等6、审计策略可以非常灵活的定义

Imperva：

由于对于实际的生产系统，需要审计的数据库访问量非常大，这就要求有灵活的审计策略可以定义想要审计的数据库操作的内容。可以定义审计策略的条件应该包括以下各个关键字的条件组合：

源IP

目的IP

原始的查询指令

去除具体参数的查询指令

源应用软件

数据库用户名

访问源操作系统用户名

访问源操作主机名

高级权限操作

存储过程

目标数据库和Schema

StreamID

操作回应内容

操作返回的错误代码

操作回应的时间

操作回应的条目大小同样如果是前台用户通过Web利用应用服务器访问数据库（BS架构下），或对于通过OracleEBS或SAP等应用服务器访问数据库（CS架构下），还应可以根据前台应用程序的用户名来定义审计记录的策略

传统数据库安全审计产品：无法灵活定义审计策略

7、访问数据库的用户的行为规则的自动建立

Imperva：

审计设备应具有自动建立用户数据库访问行为模型的能力。自动智能建模功能可以自动学习、并且自动适应用户数据库及应用系统的各方面特点，自动建立“充分必要”的安全策略。同时，结合全面的、精细的手工定制和调优功能，在最大程度的降低管理工作量的同时，提供最佳的安全配置。

所建立的用户的行为规则包括但不限于以下要点：

访问源

可为每个用户自动建立访问源信息模型，内容包括：

源IP地址，源应用程序，源操作系统的主机名和用户名等。

IP地址

应用程序

OS主机名

OS用户名

查询指令的策略

为每个用户自动建立数据库访问操作指令的基线，内容是所有正常的、允许的SQL操作指令。

表的访问和操作权限

为每个用户自动建立对数据库的表进行访问及相关操作的基线，内容是所有正常的、允许的对各个表的操作权限。

可访问的数据库和Schema

为每个用户自动建立对数据库和Schema访问的基线，内容是可正常访问的数据库和Schema。用户访问模型自动建立功能分析实际数据库流量并使用复杂的学习算法创建每个访问数据库的用户或应用的所有合法活动分析模型。

此模型不仅仅作为后来审计评估使用变化或应用行为的基准，并且是自动生成的数据库使用安全政策，允许信息安全小组不仅仅可以监视并审计使用，而且保护数据库免受非法行为。学习算法不断应用到实际流量中以便当用户活动随着时间发展时，有效变化将自动重新组织并集成到行为模型中。如果用户访问数据库的时候，行为模型的偏差将自动触发一个报警并可以根据严重性进行阻断。

传统数据库安全审计产品：无

8、审计数据分析工具

Imperva：

提供内置的数据分析工具，提供归并、过滤、排序等功能

传统数据库安全审计产品：

没有内置的分析工具，无法对审计结果进行查找和检索

9、敏感表的定义

Imperva：可定义敏感表，任何用户对敏感表的非法和违规访问可以产生特别的报警

传统数据库安全审计产品：无法定义敏感表

10、对数据库的全面保护

Imperva：

这是数据库安全审计产品的重要功能，可以实时保护核心核心数据库免遭各种非法行为和破坏。在数据库操作所经过的网络、操作系统、应用软件方面，相应的安全规则就是：防火墙、IPS规则、应用协议保护；这部分规则可以是静态的，已经根据数据库和应用系统的要求做了精细的预设，同时还可以进一步的根据实际需要进行微调。此功能应包括：数据库应用保护

审计设备连续比较数据库访问模型的真实用户操作的差异。来自分析的重要偏差生成警报，并且恶意的行为可以根据策略有选择性的阻止。客户化策略实施

除了基于特征文件的安全政策外，管理可以定义任意粒度的客户政策。例如：管理员可以设置访问系统对象的查询策略，甚至对包含特定文本模式的查询。政策偏离可以生成一个警报或者迅速阻止活动。行为特征代码分析完成数据库平台保护

应该具有(IPS)保护数据库基础设施免受针对数据库平台及操作系统软件中已知漏洞蠕虫及其它攻击。IPS功能主要通过检查数据库访问是否和特征代码库匹配来判断是否会触发数据库的漏洞。特征代码库要求和国际安全研究组织同步，并且可以包含自定义的SQL特征。

特征代码要保证可以在线升级，可以使得系统在第一时间内抵御最新出现的针对数据库的非法危害行为以及在数据库没有打补丁的情况下，防止数据库厂家的安全漏洞造成的危害防火墙层面和SQL协议层面保护

防火墙层面是在网络层面保护数据库免受各种网络层面的非法操作威胁。同时对于上层协议（SQL的通信）的合法性及滥用的检测，对于数据库服务器软件也非常重要。对此，审计设备应该专门提供SQL应用协议检测的功能，来检测SQL协议是否合法或符合标准的规定。在数据库保护层面，对于非法操作，可以进行非常丰富的响应动作，分为三类：告警响应，即时行动，后续行动。即时行动可以将数据包丢弃，后续行动就是通过对外通信来通知管理人员有非法行为发生。

传统数据库安全审计产品：无

11、提供实时的告警

Imperva：提供实时告警功能，对各种违规操作和非法操作按照不同情况分别提供告警

传统数据库安全审计产品：无

12、极高的性能

Imperva：最高达到2Gbps和20万每秒SQL交易量的极高性能

传统数据库安全审计产品：最高1Gbps的性能

13、实时阻断功能

Imperva：对严重的违规和非法操作可以进行实时阻断

传统数据库安全审计产品：无

14、提供专业的塞班斯/PCI/HIPPA合规审计报告

Imperva：

根据塞班斯审计规范，提供专业的审计报告包——包含各种数据库审计的专业报告

传统数据库安全审计产品：无

15、多层次的数据库保护功能

Imperva：

从IP层面、SQL协议层面、特征码层面、用户行为规则层面全面保护数据库

传统数据库安全审计产品：无

16、及时的特征码升级保证系统抵御最新的攻击和数据库漏洞

Imperva：

每两个星期的特征码升级，可以使得系统在第一时间内抵御最新出现的针对数据库的非法危害行为以及在数据库没有打补丁的情况下，防止数据库厂家的安全漏洞造成的危害

传统数据库安全审计产品：无

17、数据库安全评估

Imperva：对数据库的漏洞