1、數(shù)據(jù)庫審計(jì)解決方案,北京華青融天技術(shù)有限責(zé)任公司,目 錄,2,方案優(yōu)勢,案例分析,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,數(shù)據(jù)庫現(xiàn)狀及安全威脅,傳統(tǒng)/國內(nèi)數(shù)據(jù)庫審計(jì)解決方案,數(shù)據(jù)庫現(xiàn)狀及安全威脅,數(shù)據(jù)庫安全威脅,內(nèi)部威脅 根據(jù)最新研究顯示,惡意內(nèi)部人員和人為錯誤是對數(shù)據(jù)庫安全的最大威脅,而不是外部入侵者。 電信員工等23人出售手機(jī)用戶信息被起訴, 23人被控出賣公民個人信息。 外部威脅 花旗集團(tuán)：黑客攻擊影響客戶超過36萬 美軍方承包商機(jī)密數(shù)據(jù)遭泄漏 ,數(shù)據(jù)庫現(xiàn)狀及安全威脅,十大數(shù)據(jù)庫安全威脅,數(shù)據(jù)庫現(xiàn)狀及安全威脅,企業(yè)數(shù)據(jù)庫現(xiàn)狀,內(nèi)部用戶,外部用戶,數(shù)據(jù)庫,權(quán)限濫用,惡意訪問,誤操作,越權(quán)使用,D

2、BA 數(shù)據(jù)庫開發(fā)人員 ,黑客 互聯(lián)網(wǎng)應(yīng)用 ,不了解數(shù)據(jù)庫“被”怎么了！,數(shù)據(jù)資產(chǎn)使用“有規(guī)無據(jù)”!,缺少數(shù)據(jù)庫行之有效的“分析審計(jì)依據(jù)“！,數(shù)據(jù)庫訪問“暗箱操作”，數(shù)據(jù)庫訪問不透明！,數(shù)據(jù)庫現(xiàn)狀及安全威脅,目前數(shù)據(jù)庫管理存在問題,無法有效分析數(shù)據(jù)來源，做到快速定位。,沒有數(shù)據(jù)庫的完整審計(jì)記錄，無法滿足相關(guān)審計(jì)方面的要求。,對關(guān)鍵數(shù)據(jù)的訪問無記錄，出現(xiàn)事故無法追蹤。,一旦數(shù)據(jù)庫日志被清除，無法發(fā)現(xiàn)事故，無法做到事故定位。,對于黑客攻擊，無法做到有效防范和攻擊留痕。,非授權(quán)進(jìn)入業(yè)務(wù)系統(tǒng)或誤操作、越權(quán)操作，導(dǎo)致數(shù)據(jù)泄漏或被修改。,不能實(shí)時(shí)監(jiān)控對數(shù)據(jù)庫的非法訪問，沒有預(yù)警。,數(shù)據(jù)庫現(xiàn)狀及安全威脅,法規(guī)

3、遵從,4.6安全審計(jì) 數(shù)據(jù)庫管理系統(tǒng)的安全審計(jì)應(yīng)： a) 建立獨(dú)立的安全審計(jì)系統(tǒng)； b) 定義與數(shù)據(jù)庫安全相關(guān)的審計(jì)事件； c) 設(shè)置專門的安全審計(jì)員； d) 設(shè)置專門用于存儲數(shù)據(jù)庫系統(tǒng)審計(jì)數(shù)據(jù)的安全審計(jì)庫； e) 提供適用于數(shù)據(jù)庫系統(tǒng)的安全審計(jì)設(shè)置、分析和查閱的工具。,第十五條 企業(yè)應(yīng)當(dāng)加強(qiáng)內(nèi)部審計(jì)工作，保證內(nèi)部審計(jì)機(jī)構(gòu)設(shè)置、人員配備和工作的獨(dú)立性。 第四十四條 企業(yè)應(yīng)當(dāng)根據(jù)本規(guī)范及其配套辦法，制定內(nèi)部控制監(jiān)督制度，明確內(nèi)部審計(jì)機(jī)構(gòu)（或經(jīng)授權(quán)的其他監(jiān)督機(jī)構(gòu)）和其他內(nèi)部機(jī)構(gòu)在內(nèi)部監(jiān)督中的職責(zé)權(quán)限，規(guī)范內(nèi)部監(jiān)督的程序、方法和要求。,國際標(biāo)準(zhǔn),薩班斯法案 ISO27001,企業(yè)內(nèi)部控制基本規(guī)范,計(jì)

4、算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理技術(shù)要求,數(shù)據(jù)庫現(xiàn)狀及安全威脅,行業(yè)標(biāo)準(zhǔn),解決問題之路,加強(qiáng)行政制度的規(guī)范,從數(shù)據(jù)庫運(yùn)維及業(yè)務(wù)系統(tǒng)使用行為角度，制定相應(yīng)的規(guī)范和制度。通過強(qiáng)力的流程管理避免權(quán)限的越權(quán)及違規(guī)使用。,監(jiān)控?cái)?shù)據(jù)庫訪問過程,通過技術(shù)手段，實(shí)時(shí)了解數(shù)據(jù)庫的使用情況。 篩選、記錄核心數(shù)據(jù)的訪問和使用過程。 及時(shí)對違規(guī)事件進(jìn)行告警。,兩者有效的配合，才是解決問題的根本方法！,數(shù)據(jù)庫現(xiàn)狀及安全威脅,目 錄,10,方案優(yōu)勢,案例分析,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,數(shù)據(jù)庫現(xiàn)狀及安全威脅,傳統(tǒng)/國內(nèi)數(shù)據(jù)庫審計(jì)解決方案,國內(nèi)/傳統(tǒng)數(shù)據(jù)庫審計(jì)解決方案,數(shù)據(jù)庫審計(jì)市場現(xiàn)狀,數(shù)據(jù)庫審計(jì)工作的基本需求，

5、多數(shù)的產(chǎn)品不能完全滿足。,國內(nèi)/傳統(tǒng)數(shù)據(jù)庫審計(jì)解決方案,傳統(tǒng)審計(jì)模式盲點(diǎn),國內(nèi)/傳統(tǒng)數(shù)據(jù)庫審計(jì)解決方案,目前國內(nèi)數(shù)據(jù)庫審計(jì)系統(tǒng)盲點(diǎn),國內(nèi)數(shù)據(jù)庫審計(jì)產(chǎn)品多數(shù)是基于IDS產(chǎn)品改造而成，存在以下的盲點(diǎn)： 基于單個網(wǎng)絡(luò)包，只能以SQL語句方式展現(xiàn); 只能實(shí)現(xiàn)單包返回狀態(tài)分析，不能實(shí)現(xiàn)對查詢結(jié)果進(jìn)行分析。 超長SQL語句無法支持，提供逃避審計(jì)通道； 協(xié)議解碼不完全（無會話技術(shù)就不可能完全解碼）； 變量綁定不支持或不完整（審計(jì)素材有用性缺失）； 無法全部存儲分析審計(jì)數(shù)據(jù)，記錄之后，不能查詢； 無法記錄下原始數(shù)據(jù)包，缺乏最原始的審計(jì)依據(jù)； 事后報(bào)警，做不到事前防范，事中報(bào)警； 長會話記錄分散記錄，審計(jì)困難；

6、 部分產(chǎn)品需要改變網(wǎng)絡(luò)拓?fù)洌踔列枰跀?shù)據(jù)庫服務(wù)器上安裝采集器，易造成安全漏洞。,國內(nèi)/傳統(tǒng)數(shù)據(jù)庫審計(jì)解決方案,數(shù)據(jù)庫監(jiān)控審計(jì)亂象總結(jié),數(shù)據(jù)庫審計(jì)亂象新編 用不熟，查不到； 難解碼，容易逃。 抗壓差，記不好； 搜不動，審個毛！ 巧包裝，被騙到。 拖后腿，不用了！ 好產(chǎn)品，哪里找？,在選擇安全產(chǎn)品時(shí)，我們都會習(xí)慣性的首先關(guān)注國際上的明星產(chǎn)品。 這些產(chǎn)品技術(shù)成熟、功能穩(wěn)定，的確存有優(yōu)勢。但其邏輯復(fù)雜晦澀，使用門檻很高。進(jìn)行一些簡單的配置都讓人望而生畏。購買了國外產(chǎn)品的用戶，往往因?yàn)椴僮髁?xí)慣的迥異，并沒有真正的發(fā)揮產(chǎn)品的功能價(jià)值。 另一方面，海外產(chǎn)品的設(shè)計(jì)初衷是為了滿足海外法規(guī)的要求，并沒有考慮到國

7、內(nèi)市場的實(shí)際需求。迫于處理及存儲的壓力大量丟棄了其認(rèn)為“無用”的審計(jì)信息。在進(jìn)行追溯時(shí)，這些所謂“無用”細(xì)節(jié)信息就已經(jīng)無法查到。違背了審計(jì)的基本要求。,國內(nèi)/傳統(tǒng)數(shù)據(jù)庫審計(jì)解決方案,數(shù)據(jù)庫監(jiān)控審計(jì)亂象總結(jié),數(shù)據(jù)庫審計(jì)亂象新編 用不熟，查不到； 難解碼，容易逃。 抗壓差，記不好； 搜不動，審個毛！ 巧包裝，被騙到。 拖后腿，不用了！ 好產(chǎn)品，哪里找？,再看國內(nèi)產(chǎn)品。雖然，品牌眾多但為了降低研發(fā)成本，多數(shù)產(chǎn)品是基于IDS技術(shù)進(jìn)行再造的所謂“數(shù)據(jù)庫審計(jì)”產(chǎn)品。 由于基礎(chǔ)技術(shù)框架的先天缺陷，導(dǎo)致此類產(chǎn)品對與數(shù)據(jù)庫協(xié)議解碼存在著困難。 而且，由于IDS基于單包進(jìn)行解析與策略匹配的技術(shù)特點(diǎn)，使其對超長SQ

8、L語句、綁定變量等難以完整解析。有心者，通過構(gòu)造超長SQL語句隱藏攻擊語句、逃避審計(jì)。 例如：可在SQL語句中加入大量注釋。超過1460長度，并在其后跟隨破壞性語句。此類危險(xiǎn)操作國內(nèi)現(xiàn)有審計(jì)系統(tǒng)是無法發(fā)現(xiàn)的。,目 錄,16,方案優(yōu)勢,案例分析,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,數(shù)據(jù)庫現(xiàn)狀及安全威脅,傳統(tǒng)/國內(nèi)數(shù)據(jù)庫審計(jì)解決方案,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,數(shù)據(jù)庫風(fēng)險(xiǎn)分析、安全監(jiān)控解決方案,數(shù)據(jù)庫安全 全生命周期 解決方案,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,核心關(guān)鍵技術(shù),帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,DbXpert革命性優(yōu)勢,突破“流技術(shù)”壁壘，完整記錄與解析流數(shù)據(jù)，取得革命性劃代突破

9、。 解決了最基本的“協(xié)議解碼”問題，并創(chuàng)新“IO”存儲與檢索模型。,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,效果展示,可以自動發(fā)現(xiàn)到連入數(shù)據(jù)庫的客戶端主機(jī)、應(yīng)用程序、帳號。,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,效果展示,靈活的告警策略配置,帕拉迪DBXpert擁有靈活的告警策略配置引擎。 可關(guān)聯(lián)數(shù)據(jù)庫訪問事件的細(xì)粒度條件。 標(biāo)準(zhǔn)SQL命令 客戶端網(wǎng)絡(luò)地址 客戶端應(yīng)用程序 客戶端主機(jī)名稱 客戶端系統(tǒng)用戶 數(shù)據(jù)庫用戶名稱 目標(biāo)表、列,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,效果展示,完整的會話審計(jì)與會話過濾功能，快速追蹤事件信息，定位事件類型。,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,效果展示,詳盡的會話操作記錄，追

10、溯數(shù)據(jù)庫操作過程。,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,效果展示,提供原始數(shù)據(jù)包下載，為審計(jì)工作提供最原始的依據(jù)。,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,效果展示,告警信息完整記錄，分析詳盡。,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,效果展示,實(shí)時(shí)的數(shù)據(jù)庫性能監(jiān)測及風(fēng)險(xiǎn)統(tǒng)計(jì),實(shí)時(shí)了解數(shù)據(jù)庫系統(tǒng)的連接數(shù)、性能等指標(biāo)。 可及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫的性能問題。 為在系統(tǒng)出現(xiàn)問題前解決問題，提供了時(shí)間保障。,完善的可定制的報(bào)表系統(tǒng),帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,效果展示,實(shí)時(shí)的數(shù)據(jù)庫性能監(jiān)測及風(fēng)險(xiǎn)統(tǒng)計(jì),實(shí)時(shí)了解數(shù)據(jù)庫系統(tǒng)的連接數(shù)、性能等指標(biāo)。 可及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫的性能問題。 為在系統(tǒng)出現(xiàn)問題前解決問題，提供了時(shí)間保障。,

11、系統(tǒng)狀態(tài)監(jiān)控界面和可視化動態(tài)實(shí)時(shí)監(jiān)控效果,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,產(chǎn)品部署模式,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,創(chuàng)新實(shí)用的IO模型與全文檢索,創(chuàng)新的IO模型與全文檢索架構(gòu),1、提供來源IP白名單、SQL語句級別白名單 2、記錄白名單之外的一切協(xié)議解碼詳細(xì)數(shù)據(jù) 3、實(shí)時(shí)告警并記錄、輸出關(guān)注事件 4、利用全文索引，搜索定位可疑事件 5、可選擇記錄原始PCAP流數(shù)據(jù)證據(jù),目 錄,30,方案優(yōu)勢,案例分析,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,數(shù)據(jù)庫現(xiàn)狀及安全威脅,傳統(tǒng)/國內(nèi)數(shù)據(jù)庫審計(jì)解決方案,方案優(yōu)勢,方案優(yōu)勢,方案優(yōu)勢,有效控制風(fēng)險(xiǎn),快速查找故障原因,用戶收益,滿足IT審計(jì)合規(guī)性要求,提高

12、數(shù)據(jù)庫安全可用性,完善的責(zé)任認(rèn)定體系,價(jià)值總結(jié),目 錄,33,方案優(yōu)勢,案例分析,帕拉迪數(shù)據(jù)庫安全監(jiān)控審計(jì)解決方案,數(shù)據(jù)庫現(xiàn)狀及安全威脅,傳統(tǒng)/國內(nèi)數(shù)據(jù)庫審計(jì)解決方案,案例分析,案例分析一,XX XX單位業(yè)務(wù)系統(tǒng)運(yùn)行一端時(shí)間后就會出現(xiàn)獲取連接超時(shí)、失敗，或者報(bào)告這是一個無效的連接等問題，需要重新啟動服務(wù)器才能正常運(yùn)行，該問題困擾工程師好久？,在接入帕拉迪dbxpert系統(tǒng)后，我們通過會話記錄發(fā)現(xiàn)中間件到數(shù)據(jù)庫的會話長時(shí)間不釋放，判斷Connection Pool（連接池）設(shè)置問題，由于大量sleeping connection未釋放以致出現(xiàn)上面的錯誤。 找到問題后，通過采用以下方法最終解決了問題： （1）打開應(yīng)用服務(wù)器連接池的“續(xù)連接支持開關(guān)”，就是說，在把池中的Connection對象返給Client端的時(shí)候（或從Client端回收的時(shí)候）做一次有效性驗(yàn)證，以確定這是一個有效連接。 （2）打開連接池的無效連接定期回收機(jī)制，就是說，讓連接池每經(jīng)過一段時(shí)間，就對連接池中的那些已經(jīng)無效的連接進(jìn)行回收。（回收操作盡量不要過于頻繁