1、數(shù)據(jù)庫審計(jì)解決方案網(wǎng)神信息技術(shù)（北京）股份有限公司目 錄1數(shù)據(jù)庫安全現(xiàn)狀32數(shù)據(jù)泄密途徑及原因分析33數(shù)據(jù)庫審計(jì)系統(tǒng)概述34數(shù)據(jù)庫審計(jì)基本要求44.1全面的數(shù)據(jù)庫審計(jì)44.2簡易部署44.3業(yè)務(wù)操作實(shí)時(shí)監(jiān)控回放45數(shù)據(jù)庫審計(jì)系統(tǒng)主要功能55.1全方位的數(shù)據(jù)庫審計(jì)55.1.1多數(shù)據(jù)庫系統(tǒng)及運(yùn)行平臺(tái)支持55.1.2細(xì)粒度數(shù)據(jù)庫操作審計(jì)55.2實(shí)時(shí)回放數(shù)據(jù)庫操作65.3事件精準(zhǔn)定位65.4事件關(guān)聯(lián)分析65.5訪問工具監(jiān)控75.6黑白名單審計(jì)75.7變量審計(jì)75.8關(guān)注字段值提取75.9簡單易用85.10海量存儲(chǔ)86典型應(yīng)用97產(chǎn)品選型91 數(shù)據(jù)庫安全現(xiàn)狀

2、目前，我國公安行業(yè)、各政府部門、企事業(yè)單位使用的數(shù)據(jù)庫系統(tǒng)絕大部分是由國外研制的商用數(shù)據(jù)庫系統(tǒng)，其內(nèi)部操作不透明，無法通過外部的任何安全工具來阻止內(nèi)部用戶的惡意操作、濫用資源和泄露機(jī)密信息等行為。通常情況下，信息安全側(cè)重于防備外來未授權(quán)用戶的非法訪問，而對(duì)于內(nèi)部合法用戶的訪問行為，則防范較弱。防火墻、入侵檢測(cè)系統(tǒng)可以抵御各種外網(wǎng)活動(dòng)所帶來的威脅，但是不能有效防范內(nèi)部威脅。而這些都是現(xiàn)有系統(tǒng)訪問控制機(jī)制不能防止的，諸如此類的內(nèi)部信息安全問題一旦出現(xiàn)，所造成的經(jīng)濟(jì)損失和社會(huì)影響將是無法估量的。面對(duì)可能的安全威脅，建立一套有效的信息安全審計(jì)體系，加強(qiáng)對(duì)數(shù)據(jù)庫信息的監(jiān)管力度，有效管理并盡量降低信息安全

3、風(fēng)險(xiǎn)，是非常重要而且必要的。2 數(shù)據(jù)泄密途徑及原因分析數(shù)據(jù)庫系統(tǒng)是政企用戶最具有戰(zhàn)略性的資產(chǎn)，隨著業(yè)務(wù)系統(tǒng)的不斷增加伴隨著數(shù)據(jù)庫信息價(jià)值以及可訪問性提升，使得數(shù)據(jù)庫面對(duì)來自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無法有效追溯和審計(jì)，數(shù)據(jù)庫安全存在如下風(fēng)險(xiǎn)：（1）核心數(shù)據(jù)維護(hù)人員越來越多，既有本公司的信息維護(hù)人員，也有系統(tǒng)開發(fā)商、第三方運(yùn)維外包公司的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無法追溯并定位真實(shí)的操作者。（2）授權(quán)人員的權(quán)限濫用；如：已授權(quán)的人員通過自己擁有可查詢、修改的權(quán)限進(jìn)行濫用。他們通過信息化系統(tǒng)如財(cái)務(wù)系統(tǒng)、OA系統(tǒng)、BI系統(tǒng)查詢核心數(shù)

4、據(jù)庫敏感信息。（3）現(xiàn)有的安全工具（比如：防火墻、IDS、IPS等）無法阻止內(nèi)部用戶的惡意操作、濫用資源和泄露機(jī)密信息等行為。3 數(shù)據(jù)庫審計(jì)系統(tǒng)概述數(shù)據(jù)庫審計(jì)系統(tǒng)是對(duì)網(wǎng)絡(luò)訪問數(shù)據(jù)庫操作行為進(jìn)行細(xì)粒度分析的安全設(shè)備，它可提供實(shí)時(shí)監(jiān)控、違規(guī)響應(yīng)、歷史行為回溯等操作分析功能，是滿足數(shù)據(jù)庫風(fēng)險(xiǎn)管理和內(nèi)控要求、提升內(nèi)部安全監(jiān)管，保障數(shù)據(jù)庫安全的有效手段。4 數(shù)據(jù)庫審計(jì)基本要求4.1 全面的數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì)系統(tǒng)能夠?qū)I(yè)務(wù)網(wǎng)絡(luò)中Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Cache、達(dá)夢(mèng)等數(shù)據(jù)庫進(jìn)行全方位的安全審計(jì), 數(shù)據(jù)庫審計(jì)數(shù)量不受限

5、制。具體包括：1)數(shù)據(jù)訪問審計(jì)：記錄所有對(duì)保護(hù)數(shù)據(jù)的訪問信息，包括主機(jī)訪問、文件操作、數(shù)據(jù)庫執(zhí)行SQL語句或存儲(chǔ)過程等。系統(tǒng)審計(jì)所有用戶對(duì)關(guān)鍵數(shù)據(jù)的訪問行為，防止外部黑客入侵訪問和內(nèi)部人員非法獲取敏感信息。2)數(shù)據(jù)變更審計(jì)：統(tǒng)計(jì)和查詢所有被保護(hù)數(shù)據(jù)的變更記錄，包括核心業(yè)務(wù)數(shù)據(jù)庫表結(jié)構(gòu)、關(guān)鍵數(shù)據(jù)文件的修改操作等等，防止外部和內(nèi)部人員非法篡改重要的業(yè)務(wù)數(shù)據(jù)。3)權(quán)限操作審計(jì)：統(tǒng)計(jì)和查詢所有用戶的登錄成功和失敗嘗試記錄，記錄所有用戶的訪問操作和用戶配置信息及其權(quán)限變更情況，可用于事故和故障的追蹤和診斷。4）數(shù)據(jù)庫安全：支持對(duì)SQL注入、跨站腳本攻擊等web攻擊的識(shí)別與告警。4.2 簡易部署數(shù)據(jù)庫審計(jì)

6、系統(tǒng)利用業(yè)務(wù)協(xié)議檢測(cè)技術(shù)，系統(tǒng)能夠識(shí)別各類數(shù)據(jù)庫的訪問協(xié)議、FTP協(xié)議、TELNET協(xié)議、HTTP等協(xié)議，經(jīng)過審計(jì)引擎的智能分析，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和操作違規(guī)行為。數(shù)據(jù)庫審計(jì)系統(tǒng)部署方便，即插即用，對(duì)業(yè)務(wù)網(wǎng)絡(luò)沒有影響。系統(tǒng)不僅支持多個(gè)網(wǎng)段審計(jì)；更可分布式部署，實(shí)現(xiàn)對(duì)大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)的審計(jì)。4.3 業(yè)務(wù)操作實(shí)時(shí)監(jiān)控回放數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)訪問數(shù)據(jù)庫操作進(jìn)行實(shí)時(shí)、詳細(xì)的監(jiān)控和審計(jì)，支持過程回放，真實(shí)地展現(xiàn)用戶的操作。借助基于會(huì)話的行為分析（Session-based Behavior Analysis）技術(shù)，審計(jì)員可以對(duì)當(dāng)前網(wǎng)絡(luò)中所有訪問者進(jìn)行基于時(shí)間的審查，了解每個(gè)訪問者任意一段時(shí)間內(nèi)先后進(jìn)行了什么操作，并

7、支持訪問過程回放。數(shù)據(jù)庫審計(jì)系統(tǒng)真正實(shí)現(xiàn)了對(duì)“誰、什么時(shí)間段內(nèi)、對(duì)什么（數(shù)據(jù)）、進(jìn)行了哪些操作、結(jié)果如何”的全程審計(jì)。5 數(shù)據(jù)庫審計(jì)系統(tǒng)主要功能5.1 全方位的數(shù)據(jù)庫審計(jì)5.1.1 多數(shù)據(jù)庫系統(tǒng)及運(yùn)行平臺(tái)支持?jǐn)?shù)據(jù)庫審計(jì)系統(tǒng)產(chǎn)品能夠?qū)Χ喾N操作系統(tǒng)平臺(tái)下各個(gè)品牌、各個(gè)版本的數(shù)據(jù)庫進(jìn)行審計(jì)。產(chǎn)品能夠?qū)徲?jì)的數(shù)據(jù)庫系統(tǒng)包括：Oracle 8i / 9i / 10g / 11gSQL Server 2000 / 2005 / 2008IBM DB2 7.x / 8.x / 9.xIBM Informix Dynamic Server 9.x /10.x /11.xSybase ASE12.x / 15.x

8、MySQL 4.x / 5.x /6.x國產(chǎn)數(shù)據(jù)庫，例如達(dá)夢(mèng)產(chǎn)品能夠?qū)徲?jì)的數(shù)據(jù)庫運(yùn)行平臺(tái)包括：Windows、Linux、HP-UX、Solaris、AIX。5.1.2 細(xì)粒度數(shù)據(jù)庫操作審計(jì)數(shù)據(jù)庫審計(jì)系統(tǒng)能夠深入細(xì)致地對(duì)數(shù)據(jù)庫的各種操作及其內(nèi)容進(jìn)行審計(jì)，并且能夠用戶通過各種方式訪問數(shù)據(jù)庫的行為。系統(tǒng)審計(jì)的行為包括DDL、DML、DCL，以及其它操作等行為；審計(jì)的內(nèi)容可以細(xì)化到庫、表、記錄、用戶、存儲(chǔ)過程、函數(shù)、調(diào)用參數(shù)，等等。如下表所示：操作行為內(nèi)容和描述用戶行為數(shù)據(jù)庫用戶的登錄、注銷數(shù)據(jù)定義語言（DDL）操作CREATE、ALTER、DROP等創(chuàng)建、修改或者刪除數(shù)據(jù)庫對(duì)象（表、索引、視圖、存

9、儲(chǔ)過程、觸發(fā)器、域，等等）的SQL指令數(shù)據(jù)操作語言（DML）操作SELECT、DELETE、UPDATE、INSERT等用于檢索或者修改數(shù)據(jù)的SQL指令數(shù)據(jù)控制語言（DCL）操作GRANT，REVOKE等定義數(shù)據(jù)庫用戶的權(quán)限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事務(wù)操作指令5.2 實(shí)時(shí)回放數(shù)據(jù)庫操作傳統(tǒng)的數(shù)據(jù)庫或者網(wǎng)絡(luò)審計(jì)系統(tǒng)都采用基于指令的操作分析（Command-based Record Analysis）技術(shù)，可以顯示出所有與數(shù)據(jù)庫主機(jī)相關(guān)的操作，但是這些操作都是一條條孤立的指令，無法體現(xiàn)這些操作之間的關(guān)聯(lián)，例如是否是同一用戶的操作、以及操作的時(shí)間先后，

10、審計(jì)員被迫從大量的操作記錄中自行尋找蛛絲馬跡，效率低下。借助基于會(huì)話的行為分析（Session-based Behavior Analysis）技術(shù)，審計(jì)員可以對(duì)當(dāng)前網(wǎng)絡(luò)中所有訪問者進(jìn)行基于時(shí)間的審查，了解每個(gè)訪問者任意一段時(shí)間內(nèi)先后進(jìn)行了什么操作，并支持訪問過程回放。數(shù)據(jù)庫審計(jì)系統(tǒng)真正實(shí)現(xiàn)了對(duì)“誰、什么時(shí)間段內(nèi)、對(duì)什么（數(shù)據(jù)）、進(jìn)行了哪些操作、結(jié)果如何”的全程審計(jì)。5.3 事件精準(zhǔn)定位在信息安全及虛擬化背景時(shí)代下，單靠某一個(gè)信息去定位違規(guī)操作者已經(jīng)成為不可能，如內(nèi)網(wǎng)用戶大多采用DHCP分配IP地址，沒有做IP-MAC綁定及相應(yīng)的準(zhǔn)入規(guī)則，用戶可通過更改操作系統(tǒng)名、IP地址、MAC地址等方式逃

11、避追蹤，傳統(tǒng)的數(shù)據(jù)庫審計(jì)定位往往局限于IP地址和MAC地址，很多時(shí)候不具備可信性。因此只有通過關(guān)聯(lián)盡可能多的身份定位信息進(jìn)行定位以及做一定的準(zhǔn)入權(quán)限設(shè)置，其審計(jì)結(jié)果才具有可靠性，才能作為電子證據(jù)。數(shù)據(jù)庫審計(jì)系統(tǒng)產(chǎn)品可以對(duì)IP、MAC、操作系統(tǒng)用戶名、使用的工具、應(yīng)用系統(tǒng)賬號(hào)等一系列進(jìn)行關(guān)聯(lián)分析，從而追蹤到具體人。5.4 事件關(guān)聯(lián)分析數(shù)據(jù)庫審計(jì)系統(tǒng)可對(duì)響應(yīng)事件進(jìn)行關(guān)聯(lián)，如根據(jù)IP關(guān)聯(lián)出某段時(shí)間內(nèi)該IP所觸發(fā)的告警數(shù)量等；根據(jù)一段時(shí)間內(nèi)的數(shù)據(jù)庫或應(yīng)用系統(tǒng)登錄失敗次數(shù)判斷出暴力破解密碼的可能性；根據(jù)賬號(hào)的多次登錄判斷賬號(hào)信息泄密或共享賬號(hào)的可能性；相似SQL語句執(zhí)行時(shí)間過長從而判斷該語句設(shè)計(jì)的合理性

12、等。根據(jù)事件關(guān)聯(lián)性分析，自動(dòng)涌現(xiàn)一批對(duì)客戶具有實(shí)用價(jià)值的信息，幫助客戶管理和維護(hù)好現(xiàn)有應(yīng)用。5.5 訪問工具監(jiān)控?cái)?shù)據(jù)庫審計(jì)系統(tǒng)自動(dòng)掃描連接數(shù)據(jù)庫的訪問工具。從訪問數(shù)據(jù)庫的源頭進(jìn)行分析，應(yīng)用系統(tǒng)和客戶端工具根據(jù)不同的數(shù)據(jù)庫類型可通過ODBC、JDBC、直連等方式連接數(shù)據(jù)庫，直接連接工具如Winsql、Plsql及C/S架構(gòu)的客戶端工具等。如發(fā)現(xiàn)審計(jì)記錄中出現(xiàn)未知的數(shù)據(jù)庫連接工具或出現(xiàn)規(guī)定之外的連接工具，審計(jì)員可根據(jù)工具監(jiān)控記錄分析出使用過該工具的IP及關(guān)聯(lián)的操作記錄，進(jìn)而取證使用該工具的源頭及操作的合法性。5.6 黑白名單審計(jì)數(shù)據(jù)庫審計(jì)系統(tǒng)可根據(jù)客戶意見及實(shí)際審計(jì)情況，將IP、操作語句、賬號(hào)等相

13、關(guān)信息加入黑白名單。同時(shí)，在應(yīng)用系統(tǒng)中，因應(yīng)用系統(tǒng)對(duì)應(yīng)后臺(tái)的SQL語句固定，一旦發(fā)現(xiàn)其中含有危險(xiǎn)信息則可將對(duì)應(yīng)的SQL加入黑名單，而一旦應(yīng)用系統(tǒng)中有某些語句疑似風(fēng)險(xiǎn)操作但其實(shí)際并不產(chǎn)生危害則可加入白名單。5.7 變量審計(jì)在不同數(shù)據(jù)庫及應(yīng)用系統(tǒng)中，很多值的傳遞都是通過變量進(jìn)行，如在oracle數(shù)據(jù)庫中有綁定變量，在其它數(shù)據(jù)庫中也有變量一說。如審計(jì)不到變量則無法對(duì)SQL指令的危險(xiǎn)性進(jìn)行判斷。數(shù)據(jù)庫審計(jì)系統(tǒng)可對(duì)不同數(shù)據(jù)庫的不同變量進(jìn)行審計(jì)。5.8 關(guān)注字段值提取數(shù)據(jù)庫審計(jì)系統(tǒng)可根據(jù)配置，自動(dòng)提取SQL指令中某關(guān)鍵字段的值，如查詢語句中涉及的時(shí)間范圍、查詢的條件。由其是在金融、高值耗材等信息中，可通過

14、查詢條件查詢出財(cái)產(chǎn)、費(fèi)用、聯(lián)系人等敏感信息，通過提取關(guān)注字段的值，并通過該值設(shè)置規(guī)則，則可更精確的對(duì)數(shù)據(jù)庫訪問操作進(jìn)行精確審計(jì)。5.9 簡單易用數(shù)據(jù)庫審計(jì)系統(tǒng)采用旁路偵聽的方式進(jìn)行工作，對(duì)業(yè)務(wù)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行應(yīng)用層協(xié)議和流量分析與審計(jì)，就像真實(shí)世界的攝像機(jī)。利用業(yè)務(wù)協(xié)議檢測(cè)技術(shù)，能夠識(shí)別各類數(shù)據(jù)庫的訪問協(xié)議、FTP協(xié)議、Telnet協(xié)議、Http等多種應(yīng)用層協(xié)議，經(jīng)過審計(jì)系統(tǒng)的智能分析，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和操作違規(guī)行為。同時(shí)，借助業(yè)務(wù)流量監(jiān)測(cè)技術(shù)，數(shù)據(jù)庫審計(jì)系統(tǒng)識(shí)別網(wǎng)絡(luò)中各種應(yīng)用層協(xié)議的流量，及時(shí)發(fā)現(xiàn)流量違規(guī)和異常。數(shù)據(jù)庫審計(jì)系統(tǒng)部署十分方便，即插即用，不必對(duì)業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)做任何更改，對(duì)業(yè)務(wù)網(wǎng)絡(luò)沒有

15、任何影響。數(shù)據(jù)庫審計(jì)系統(tǒng)可以同時(shí)審計(jì)多個(gè)不同的網(wǎng)段；多個(gè)系統(tǒng)可以級(jí)聯(lián)，實(shí)現(xiàn)分布式部署，實(shí)現(xiàn)對(duì)大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)的審計(jì)。系統(tǒng)部署后立竿見影，即可自動(dòng)發(fā)現(xiàn)所偵聽網(wǎng)絡(luò)中的數(shù)據(jù)庫訪問行為。5.10 海量存儲(chǔ)數(shù)據(jù)庫審計(jì)系統(tǒng)可以將采集到的所有數(shù)據(jù)包和告警信息統(tǒng)一存儲(chǔ)起來，建立一個(gè)集中事件存儲(chǔ)系統(tǒng)，滿足國家標(biāo)準(zhǔn)和法律法規(guī)中對(duì)于事件存儲(chǔ)的強(qiáng)制性要求，為安全事故增加追查取證的信息來源和依據(jù)。數(shù)據(jù)庫審計(jì)系統(tǒng)具有海量事件處理和存儲(chǔ)的能力。單臺(tái)數(shù)據(jù)庫審計(jì)系統(tǒng)能夠以每秒6000條到24000條的規(guī)模接收數(shù)據(jù)包，能夠在線存儲(chǔ)10億到40億條事件記錄。加上系統(tǒng)的數(shù)據(jù)歸檔與離線存儲(chǔ)功能，數(shù)據(jù)庫審計(jì)系統(tǒng)能夠存儲(chǔ)的數(shù)據(jù)量大小僅取決于服務(wù)器磁盤存儲(chǔ)空間的大?。划a(chǎn)品自帶1TB4TB的存儲(chǔ)空間，用戶亦可以在后期進(jìn)行容量擴(kuò)展。數(shù)據(jù)庫審計(jì)系統(tǒng)在進(jìn)行數(shù)據(jù)管理的時(shí)候，對(duì)數(shù)據(jù)存儲(chǔ)算法進(jìn)行了充分優(yōu)化，使得使用小型數(shù)據(jù)庫的情況下就達(dá)到了上述性能。此外，用戶在使用本系統(tǒng)的時(shí)候，無需購買額外的數(shù)據(jù)庫管理系統(tǒng)和許可，也不必花費(fèi)專門的精力去維護(hù)數(shù)據(jù)庫，這些都大大降低了用戶的總體擁有成本。6 典型應(yīng)用數(shù)據(jù)庫審計(jì)系統(tǒng)可應(yīng)用于大中小型政企用戶，專用于保護(hù)業(yè)務(wù)網(wǎng)中的數(shù)據(jù)庫，一般部署于被保護(hù)數(shù)據(jù)源的附近，通過端口鏡像或者TAP方式連接到網(wǎng)絡(luò)中。數(shù)據(jù)庫審計(jì)系統(tǒng)放置在業(yè)務(wù)服務(wù)器集中的交換機(jī)上，對(duì)交換機(jī)