● 产品概述
数据是政府,企事业业务应用的核心价值,数据库是这个核心价值的重要载体,是政府资源和商业较重要的战略性资产。通常这些数据库由于都保存着重要的政府信息,公共安全信息、商业信息和客户信息,从而被层层保护起来,从信息安全的架构上看,数据库系统的安全是整个IT安全系统构建和关注的核心。
数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。数据库产生安全问题时,具有非常强的隐蔽性,非常难以追查和定位,因为无法查找问题发生的痕迹和证据。
● 数据库及其数据面临的安全风险
〇 超级网管、管理员权限过大,无法全面审计监控;
〇 管理上存在的误操作、违规操作,损害审计系统安全运行;
〇 第三方开发维护人员、其他恶意人员和业务应用系统的误操作,恶意操作和篡改;
〇 网络漏洞攻击、应用开发商后门、离职人员留下后门等,造成隐患;
〇 多人、多时间、多地点分享同一账号,责任难以区分,追溯混乱;
〇 审计日志分散、受物理环境或管理影响,容易缺失;
〇 审计日志缺失不完整导致事件追溯难以准确定位;
〇 审计事件需要快速准确查询展现;
● 数据库自身安全审计的不足
〇 丧失了审计的中立性和独立性原则;
〇 占用服务器资源,影响业务系统的运行;
〇 审计规则配置复杂,对管理员要求很高,不方便使用;
〇 某些原因,决定了对某些数据库操作审计记录不完整,比如缺乏对select操作的审计;
〇 审计记录容易被删除,记录安全性难以保证;
〇 各种数据库系统的审计信息格式复杂,不统一,难以集中审计,影响审计效果;
因此,专业的、独立的数据库安全审计系统成为现有数据库安全的重要组成部分,它可以通过对数据库操作的痕迹进行详细记录和审计,使数据的所有者对数据库访问活动一目了然,有据可查,及时掌握数据库的使用情况,并可以对安全隐患进行调整和优化。
● 伟思ViDBA数据库安全审计系统
系统采用网络审计和数据库本地日志审计相结合的方式,实现对数据库远程用户和本地用户的各种操作的详细审计,按策略进行报警,并提供数据流向分布分析,实现数据库性能分析。
系统支持超大容量的审计数据管理和分析能力,可以对ORACLE、SQL Server、Sybase、DB2、人大金仓,达梦数据库进行审计,系统适用于金融、证券、保险、电力、政务、卫生、教育等大中型组织数据库审计的安全需求。
系统通过网络旁路审计方式,实现对数据库操作和用户行为进行审计,并提供多种查询和报表,供数据管理者取证、查询、分析、决策,具有维护简易,稳定运行的特点。
〇 完全的第三方独立审计系统:维护审计中立性;
〇 对现有业务和系统没有影响;
〇 更大程度的细粒度的数据库操作审计和用户行为审计;
〇 全方位的审计功能,既能对数据库的远程操作进行审计又能够对数据库服务器本地操作进行审计。
〇 丰富的查询检索和报表功能;
〇 通过审计数据进行数据库性能分析,得出数据库应用过程中性能分布特点,并据此进行性能优化。
〇 维护简单、具备专业审计功能,节约人力,减少维护费用。
● 产品优势
大容量:专为大容量审计数据而设计,支持审计数据量在30亿级别。满足对审计数据长期保存的需求。
细粒度:对审计内容进行深化,支持操作详细审计和基于会话的审计(支持近35个审计字段)。
深挖掘:以对审计数据分析与挖掘,使审计结果简单实用。提供丰富的查询条件及查询窗口,同时可以对查询结果进行会话关联,以满足用户不同角度的查询需求,另外,具有丰富的报表功能,可以根据用户需求生成各种报表。
分布式:支持大型分级部署,适合垂直系统部署模式。
易维护:易维护设计,保证审计配置及审计记录可以灵活管理。
● 产品功能特点
● 灵活多样的接入部署模式 采用灵活的可扩展的插件式架构设计,也就是说所支持的环境类型可以通过统一接口进行扩展,目前全面支持对ORACLE、 SQL Server、Sybase、DB2等数据库环境的审计。该架构的优势利于在业务环境变化或者升级的时候进行灵活简单的适应性变更,降低成本。
系统采用旁路接入部署方式,在交换机上设置端口镜像或采用TAP分流,不需要对现有的网络体系结构进行调整,接入成本很低,大量的审计工作不影响原业务系统的运行与性能,接入风险低,使得审计系统本身相对独立,难以被发现,不易受到攻击,审计系统自身安全性高。
支持多路数据源采集数据的接入模式,支持审计引擎分布式部署,统一集中管理,适合分散性环境和大规模部署环境。
● 支持细料度审计分析
对生产数据库的SQL操作进行细粒度审计,可以审计到详细的所有客户端对生产数据库访问的记录,包括客户端的IP地址、MAC地址、计算机名、目的地址、客户端程序名、数据库名、表名、操作方式、操作内容、返回成功与否,执行时长等。
通过细粒度的审计,可以实现对用户的登录过程以及权限变更记录进行审计,及时发现异常用户活动;可以对生产数据库用户角色权限的授予情况进行跟踪,特别是对DBA权限的授予情况;可以对重点表、存储过程等数据库对象的被访问情况进行审计;也可以发现异常的客户端登录,找到隐患。
● 持数据库会话审计
能够完整的保存不同数据库客户端与数据库服务器的整个会话状态,并按照不同类型展示出来,允许用户通过多条件进行会话查询,通过 会话追踪 可以查看整个会话过程的所有数据库语句操作。
● 特权操作审计
支持ORACLE、SQLSERVER等专门的特权操作方式审计,可以对数据查询、DML、DDL、DCL等数据库语言进行完整审计分析,同时还可对DBCC,SP_*, OPENDATASOURCE等、ORALCE特有操作、用户自定义存储过程、特定字符串等进行审计。
● 支持绑定变量审计
支持对数据库会话的绑定变量的审计,不仅可以审计到调用绑定变量的数据库操作,同时也能够对该变量的实参也能够审计到,并进行关联分析,全面满足目前实际使用绑定变量的业务环境的审计需求。
● 支持Telnet、FTP、SSH审计
能够完整审计到通过Telnet/FTP/SSH客户端访问数据库服务器的所有会话信息,并进行会话的回放。
● 数据采集过滤
支持审计引擎在进行网络数据包采集时,可以根据用户自定义的采集过滤规则(其中,过滤的条件包括操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、表名等)进行数据采集过滤,只采集用户关心的数据,剔除垃圾数据,在审计结果查询中可以快速定位用户所关心的审计数据。
● 审计预警
支持用户自定义预警策略,对自己所关注的敏感信息操作进行告警,可以及时挽回或降低损失。
● 灵活的报表任务定制功能
支持用户自定义多种报表任务,包括数据库访问量报表、特权操作跟踪报表、生命期跟踪类报表以及周期性任务报表、一次性任务报表等,同时可以对多种对象进行组合生成相应的数据库访问量报表,这些对象包括源IP、目标IP、协议类型、客户端名、应用程序名、数据库名、操作方式、操作对象、预警规则名、预警级别等。
● 灵活的审计结果展示
〇 支持丰富的查询条件与方法
提供了基于时间、地址、数据库类型、用户名、操作类型、数据库名、表名、字段名等等多种丰富的组合查询模式,用户可以按照自己的需要查找所关心的符合审计规则的数据库操作记录。支持二次检索,模糊查询,快速链接查询,select可选独立查询等功能以达到精确检索的目的。支持对审计数据中提取出来的表名、IP地址、MAC地址等进行中文备注说明,并在查询结果中进行备注替换显示,极大的提高数据库审计内容的易读性。
〇 支持专业化报表输出
支持统计报表,趋势报表,通过这些报表可以把审计结果,按照不同的内容和形式果直观地展现给用户。
〇 支持报表结果的深度分析
支持对生成的报表结果进行深度分析,逐渐缩小报表的统计分析精度,更准确定位事件的发生时间,同时可以更迅速找到与事件关联的各种信息。
〇 支持实时审计功能
支持实时审计数据的展示,方便用户及时发现数据库操作或者用户行为异常。用户可以自定义实时显示的刷新频率和条数等参数。
〇 支持灵活编码格式
支持灵活多样的编码格式策略配置,适合不同数据库业务环境。
● 数据高压缩存储和自由回档检索
拥有高达95%以上的高压缩比例保存,而且所有的压缩解压过程都是按照预定策略自动实现的。对压缩保存好的历史审计数据,可以自由选择需要重新检索的数据范围,进行自动回档操作,并对回档出来的数据重新检索。
● 支持对数据库攻击检测
通过审计记录发现生产数据库一些潜在的安全威胁,比如SQL注入,密码猜解,执行操作系统级的命令等,同时内置了丰富的数据库入侵检测规则库,及时发现并阻止生产数据库安全威胁,保证生产数据库更加安全运行。
● 审计告警
独立的告警配置功能模块,方便用户在设置不同的规则或者触发事件,按照不同的级别进行不同方式的告警方式。支持邮件告警,声音告警,短信告警等多种告警方式。
● 系统自身安全性机制
● 用户权限
审计系统需要采取权限分离,以避免权限集中。具有非常严格用户角色和权限管理策略,对授权管理,审计展示进行分离,符合三权分立的安全原则。
● 自身审计
具有完善的自身审计日志,包括设备的启用、停止、异常的日志及登陆的用户、时间、操作等信息,还包括审计规则和审计记录的变动情况记载。
● 自身审计日志预警
支持对各种级别的自身审计日志(比如系统崩溃、配置修改、用户登录等)进行预警动作设置,并及时进行预警,提醒管理员。
● 通讯加密与告警
支持审计系统各组件的通讯加密功能,防止自身通讯数据被非法嗅探,当出现通讯异常的时候,可以进行邮件告警、消息等告警方式提醒用户。
● 容灾机制易维护
所有关键组件上都设置了健康状态自检测模块,当发现异常的时候,及时自动按照预定于策略修复。
● 系统部署
系统适用于对数据库安全管理要求非常严格的网络,如金融证券、电子政务(工商税务、公安、公共医疗卫生)、电子商务(电子证券、基金管理)、军工企业等系统,其部署方式灵活快速。
● 产品性能参数
参数 |
参数项 |
具体参数指标 |
审计引擎硬件指标 |
硬件规格 |
1U-2U机架式设备 |
网络接口 |
支持百兆、千兆网络环境监听,提供4-6个自适应以太网接口,或千兆单模多模SFP光纤接口,1个console。 |
审计引擎性能指标 |
交易数 |
支持每秒交易数(transaction/s) 3000-20000条 |
并发客户数 |
支持被审计数据库的并发客户数≥500-2500个 |
服务器数量 |
支持同时可审计数据库服务器量≥10台 |
部署方式 |
旁路部署 |
支持网络旁路部署方式模式,不需要更改原有网络结构、数据库服务器相关配置等即可进行产品的部署,产品运行不影响现有网络和业务的正常运行 |
结构分离 |
产品支持审计数据中心和审计引擎分离的结构,审计引擎负责在不同的数据采集点采集审计数据,审计数据中心负责对所有审计数据的集中分析与管理 |
分布式部署 |
产品支持分布式部署模式,一台审计数据中心可以至少支持2台以上的审计引擎 |
多路监听 |
审计引擎至少支持两路监听,可以同时进行至少两个审计数据源采集 |
系统管理 |
WEB管理 |
支持灵活方便的web加密管理 |
权限分立 |
用户权限支持权限分立,实现管理的安全需要。默认设置账户管理员、配置管理员、安全员、审计员4类不同权限角色 |
备份与还原 |
支持实现对整个系统的配置信息进行备份与还原功能,并可以进行多次备份和还原操作 |
一键还原 |
支持一键还原到系统默认配置状态 |
审计能力 |
编码格式 |
支持GB2312、Unicode、UTF-8、UTF-16等多编码格式的协议审计,保证了审计记录的可读性 |
数据库类型 |
支持对Oracle,Microsoft SQL Server,DB2,Sybase,MySQL,Informix等数据库的审计,可以准确分析出这些数据库的协议,支持对多种不同类型和不同版本的数据库的同时审计,满足复杂业务系统环境的需要 |
行为协议 |
支持对TELNET、FTP、SSH等远程操作行为的会话审计,可以跟踪审计什么时间、什么IP对数据库服务器进行了该类远程操作 |
应用环境 |
能够对SQLPLUS、PLSQL、ODBC、JDBC、ADO、OLE等数据库访问方式的数据库访问行为进行审计 |
会话审计 |
支持对数据库会话的完整审计,可以完整分析出每条数据库会话的会话源IP,源MAC,源Port,目标IP,目标MAC,目标Port,会话起止时间,客户端计算机名,程序名、数据库用户名、数据库名等会话内容 |
细粒度审计 |
支持对数据库SQL操作语句的细粒度审计,可以分析出每条语句的操作方式、表名、存储过程名、详细操作内容,执行时长、操作成功/失败,受影响行数,关联表与关联表数等字段信息 |
自定义审计 |
允许用户通过操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、操作方式、表名、执行时长等关键字段设置规则过滤,丢弃用户信任的数据库操作记录,跟踪审计用户关心的数据。 |
自身审计 |
支持对审计系统自身的事件(包括登录、系统参数修改、系统异常等)进行审计 |
审计策略 |
规则库 |
能够实现对特权操作、登录失败、返回值异常等可疑行为的识别与告警 |
自定义规则 |
允许用户通过操作时间域、操作方式、表名、存储过程、程序名、执行时长、受影响行数、操作成功/失败、操作内容、数据库用户名、数据库名等配置审计规则 |
面向对象 |
可以对不同的字段进行对象定义,并进行与或非等逻辑运算,从而灵活定义不同的数据库敏感操作行为的审计规则 |
多安全级别 |
支持对不同的审计事件对应的规则赋予不同的安全级别,并可以根据不同的安全级别采用不同的告警响应方式 |
入侵检测 |
产品拥有强大的数据库入侵检测规则库,能够对数十种针对数据库的常见漏洞和攻击手法进行检测。 |
告警响应 |
响应方式 |
提供对审计数据的包括丢弃,记录,windows消息,鸣音,邮件告警,syslog告警等在内的多种响应方式 |
审计结果 |
结果查询 |
支持对审计数据结果进行多条件组合查询,条件包括IP地址、MAC地址、表名、操作方式,计算机名,数据库名,程序名,存储过程等 |
会话展示 |
能够分析出数据库会话下的所有的SQL语句,并在同一个窗口中展示会话和明细操作内容 |
资源提取与中文映射 |
支持自动对审计环境的资源信息的提取,中文映射,实现在展示结果中显示中文备注,方便用户更直观的理解审计结果 |
关联性分析 |
支持对某个监控对象进行年、月、日、周和小时范围内的流量趋势分析。 |
审计报表 |
报表类型 |
报表结果至少支持柱状图、折线图及表格式等报表类型 |
自定义报表 |
支持报表任务定制功能。 |
报表查询 |
报表任务列表和报表展示列表支持查询搜索功能 |
报表模板 |
支持自定义的报表任务以模板的方式导入导出,提高报表任务配置的复用性 |
审计数据管理 |
数据存储 |
审计数据可以永久备份保存,备份至少拥有高达90%的压缩比例 |
数据加密 |
对备份的审计数据进行加密存储,同时只有用专门的工具才可以对备份的审计数据进行恢复和查询浏览 |
回档检索 |
支持对导出的审计数据进行自动灵活的恢复与重新检索功能 |
自身安全保证 |
通信安全 |
支持审计系统各个组件的通讯链路安全,web管理必须通过SSL加密连接访问 |
设备安全 |
支持对包括设备的启用、停止、异常,以及用户登录系统的信息与用户系统操作信息,以及系统配置变动信息等进行日志记录与审计 |
账户安全 |
支持安全的用户管理功能,包括用户登录失败锁定,以及超时无操作自动注销功能,同时可以对登录失败次数、锁定时间、自动注销时间等参数进行设置 |