-
首页
-
产品中心
- 微软系列
- 设计软件
- 国产软件
- 信息安全
-
解决方案
-
服务
-
联系我们
-
首页
-
产品中心
- 微软系列
- 设计软件
- 国产软件
- 信息安全
-
解决方案
-
服务
-
联系我们
DAS-SECURITY
安恒-云数据库审计
5、云数据库审计
5.1 需求概述
数据库是具有战略性的资产,互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战,使得数据库面对来自内部和外部的安全风险大大增加,需对如违规越权操作、恶意入侵导致机密信息窃取泄漏等数据库安全事件进行有效追溯和审计。
5.2 功能概述
数据库审计系统通过对业务人员访问系统的行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产的正常运营。功能概述如下:
记录数据库活动:记录一切对数据库的访问行为,记录维度包括客户端信息、服务端信息、操作信息、操作状态、返回结果集、SQL模板等。
存储数据库行为记录:存储记录行为时产生的日志,包括审计日志、会话日志、告警日志,还包括系统的相关配置,如人员权限配置、系统引擎配置等。
查询数据库审计日志:在已有的日志中查询某些关键信息,完成事件溯源,一般支持时间、类型、数据库实例名、操作结果、客户端、服务端等查询维度。
风险和威胁告警:将数据库访问的行为与安全规则库进行匹配,根据匹配的结果进行告警,一般包含页面告警、外送告警。
5.3 功能说明
数据库审计系统为安全云上租户提供针对数据库的操作行为审计,包括数据库操作行为记录、数据库操作行为审计、数据库操作行为检索、多维度统计与分析、数据库安全审计报表、审计数据库资产发现、三层应用的关联审计和可视化展现功能,实现潜在的数据库SQL注入风险发现、违规操作能力。
5.3.1 数据库操作行为记录
云数据库审计系统支持多种国内外主流数据库类型,经过通信协议解析和SQL语法分析,获取数据库会话和操作行为相关信息形成记录,保存信息日志。系统详细记录每次操作的账号、SQL语句、表、字段、存储过程、客户端工具、IP、MAC、实例名、主机名等条件系统支持记录的行为包括:
支持DDL语句的审计
支持DCL语句的审计
支持DML语句的审计
支持存储过程、触发器、函数的审计
支持绑定变量的审计
5.3.2 数据库操作行为审计
云数据库审计对数据库操作行为进行全面的审计,包含操作风险审计和会话事件审计。在此基础上实现多维的访问分析、语句分析和会话分析进行问题追踪。通过对数据库审计策略的制定,建立数据库操作的风险特征与审计行为的映射规则,根据制定的审计规则对捕获的SQL语句进行专业的SQL语法分析,并根据SQL行为特征和关键特征,实现高效而精准的审计分析。
1、审计策略建立 审计策略支持审计黑白名单、风险操作、SQL注入和数据库漏洞等几个维度进行设置,其中:
审计黑白名单
黑名单等同于禁止规则,针对特定的用户、访问终端、访问方式进行设置; 白名单等同于信任规则,针对指定的语句、操作设置放行忽略风险审计操作。
风险操作
系统预置风险操作判断规则,用户可启用、停用、编辑和调整优先级;另外,用户也可以通过选择风险操作特征进行组合新建自己的风险操作规则。
SQL注入检测
系统预置数据库SQL注入判断规则,用户可启用、停用和调整优先级。另外,用户也可以通过选择SQL注入特征进行组合新建自己的SQL注入规则。
漏洞攻击检测
内置丰富的漏洞规则,在审计过程中通过规则匹配发现数据库的配置不合理项和安全漏洞,并可根据漏洞情况提供合理的安全建议和审计规则。
2、审计动作定义 云数据库审计系统可通过规则设置对各类数据库操作访问行为进行实时监测,对操作行为按照审计规则打上风险等级标签。对网络中的异常数据库操作行为及时进行告警响应,实时显示告警信息并记录存储。告警信息可通过邮件、短信等方式通知管理员,以确保管理员在第一时间发现用户对数据库的违规操作。
5.3.3 数据库操作行为检索
用户在检索数据库历史操作日志记录时,系统可以通过多条件相结合的方式进行日志查询,根据日志的类型、发生时间、不同字段内容等进行精细匹配,从而实现日志的快速准确定位。
1、审计日志检索
通过对双向数据包进行解析、识别以及还原,不仅可以对数据库操作请求进行实时审计,还可对数据库系统返回结果进行完整的还原和审计。包括SQL报文、数据库命令执行时长、执行的结果集、客户端工具、客户端 IP 地址、服务端端口、数据库账号、对象、执行状态、数据库类型、报文以及报文长度等内容。
2、告警日志检索
当系统根据安全规则捕捉到异常访问时,会根据匹配的安全规则的级别产生相应级别的告警信息。系统支持在告警日志页面查看的所有产生告警的 SQL 语句的信息和告警等级等相关内容,并可以根据时间、字段和告警等级、规则名称等条件进行筛选。
3、会话日志检索
会话(Session)是客户端与数据库服务器之间的不中断的 SQL 请求和响应序列。一个会话中可能包含一个或多个 SQL 请求和响应。可以根据会话的状态将其分成在线会话和历史会话。
在线会话指的是会话还没有结束,仍然有后续的请求或响应。
历史会话指的是已经结束的会话,会话双方已经断开了本次会话的连接。
会话的基本四元素是指客户端 IP、客户端端口、服务端 IP 和服务端端口。会话的四元素可以定位在同时刻的唯一会话信息。系统支持查看历史会话和在线会话,并支持通过会话信息查看一次会话过程中产生的所有请求或响应日志。 操作行为的统计分析。
5.3.4 多维度统计与分析
云数据库审计系统对数据库整体及单一数据库实例提供多维度和多时间粒度的审计记录统计功能,分别从风险、语句、会话和访问来源多个层面进行统计与分析,帮助用户高效地掌握数据库运行的安全态势并快速锁定风险目标。
1、访问源分析
云数据库审计可以针对审计范围内的数据库各个实例,从访问源头入手进行风险分析,对数据库风险操作快速定位到终端与用户。
2、风险类型分析
云数据库审计通过对被保护的数据库进行各种风险类型统计结果的查询及分析,主要包含以下几种:敏感语句、SQL注入、漏洞攻击、风险操作,可获取数据库运行的当前风险态势。风险的结果与策略管理中的规则是息息相关的,根据策略管理中配置的规则会产生相应的风险。
3、语句类型分析
云数据库审计记录了审计范围内的所有数据库语句记录,系统可以清晰的对数据库访问的各类SQL语句进行分类统计和分析。分析方式包括:SQL统计、语句检索、模板检索、失败SQL分析、TOP SQL语句分析等。
4、会话分析
云数据库审计对数据库的所有会话行为进行分类统计、分析和追踪,包括会话统计、会话检索、失败登录、活跃会话、应用会话等。通过会话分析,可以快速的进行风险定位,提高数据库风险分析的效能。
5.3.5 数据库安全审计报表
云数据库审计通过动态报表的方式对数据库操作行为审计结果进行统计分析。系统内置丰富的报表模板,另外用户也可以根据自身的实际需求选择报表内容,自定义生成审计报表。
综合报表:全方位展示当前数据库访问情况
性能分析报表:反映当前数据库系统的负载情况,为DBA提供调优依据
合规类报表:塞班斯报表和等级保护参考报表,符合行业安全规范
分析类报表:从会话、告警、语句执行情况等多维度展示当前数据库的访问情况 报表信息页面可钻取,有效提升报表阅读效率,并且支持丰富的导出方式:
HTML
PNG
Word
EXCEL
CSV
数据库审计系统支持基于众多指标和各个维度进行自定义信息的分析与报表生成。
5.3.6 审计数据库资产发现
云数据库审计系统可实现资产手动添加和自动发现。系统通过对数据库网络流量的采集和数据解析,利用各数据库类型私有通信协议各自特征,实现对不同类型数据库的自动识别,同时还可从协议内容获取到更为精确的数据库参数,比如数据库版本号、协议版本号、通信端口等信息。
系统记录数据库自动发现相关信息,经用户手工确认并完善后,即可将自动发现的数据库加入到被审计数据库集合中启动对该数据库的审计。
数据库自动发现功能大大减少了审计产品部署时用户的配置工作量,增强了系统的易用性,做到了真正意义上的免实施操作。
5.3.7 三层应用的关联审计
关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的最初访问数据及请求信息;突破传统非精确关联的时间关联匹配层的最初访问数据及请求信息;突破传统非精确关联的时间关联匹配模式,实现精确关联匹配。
系统利用Web插件技术,关联业务客户端IP、业务用户与数据库操作记录,回填相关信息,可以准确定位到应用用户和应用IP。从实际监控价值出发,可以将应用IP和用户纳入审计策略,制定风险规则。满足了数据库审计监控的全面性需求。
5.3.8 可视化展现
云数据库审计系统通过定制的模块化展板,利用仪表盘、柱状图等多种形式向用户直观剖析和展示数据库运行安全状态。 系统支持数据库统计指标下钻分析,从统计指标均可下钻到具体的数据库操作记录,进一步可查看数据库操作行为的具体信息。对于分析数据库风险操作提供了有力的技术支撑。
