數據庫審計和防護系統

1. 概述

1.1 背(bei)景介紹

隨著政(zheng)府部門、金融(rong)機構、企事業(ye)單(dan)位、商(shang)業(ye)組織等對重要(yao)數據(ju)庫(ku)業(ye)務系(xi)(xi)統(tong)和數據(ju)庫(ku)應用系(xi)(xi)統(tong)依賴程度的(de)日(ri)益增(zeng)強，數據(ju)庫(ku)安全及(ji)數據(ju)安全的(de)問題受到普遍(bian)關注。由于信(xin)息化建設(she)、業(ye)務增(zeng)長、系(xi)(xi)統(tong)上云等因(yin)素(su)，在(zai)(zai)各系(xi)(xi)統(tong)中的(de)數據(ju)庫(ku)服務器也不斷增(zeng)加，對數據(ju)庫(ku)的(de)管理的(de)方式和通道也日(ri)趨復雜(za)多樣。在(zai)(zai)如此繁雜(za)的(de)情況下，引發了(le)如濫(lan)(lan)用特(te)權(quan)賬號(hao)、濫(lan)(lan)用合法(fa)權(quan)限、身(shen)份驗證不規(gui)范、備份數據(ju)暴露、審計(ji)記錄不足等各類安全問題，并(bing)加大了(le)IT內(nei)控審計的難(nan)度。

與(yu)此同(tong)時，數據安全問題日益突出，如系統和數據庫的通信協議存在漏洞、SQL注入攻擊(ji)、拒絕(jue)服(fu)務攻擊(ji)、權限和賬號(hao)被盜、弱口(kou)令等(deng)，給(gei)攻擊(ji)者(zhe)留(liu)下了(le)可(ke)趁之(zhi)機，也(ye)給(gei)管理(li)者(zhe)帶來了(le)管理(li)層面(mian)的麻(ma)煩(fan)與困難。

據風險數據公司(si)RBS統(tong)計，截至到(dao)2020年(nian)Q3，公(gong)開的數(shu)據泄露事件已發生2953起與2019和(he)2018年對(dui)比都要低不少，與之形成強烈(lie)對(dui)比的(de)(de)是數(shu)據泄露條數(shu)達驚人的(de)(de)360億（較去(qu)年同期(qi)增長356%）。世界正(zheng)在(zai)走(zou)向大數據(ju)、云和萬物互聯的(de)(de)數字化時代，而數字化的(de)(de)數據(ju)泄露加劇已(yi)成常態，千萬級別(bie)的(de)(de)數據(ju)泄漏已(yi)不鮮見，造成的(de)(de)損失(shi)觸(chu)目(mu)驚心。

1.2 風險分(fen)析

數據庫安全風(feng)險(xian)及需求，可以歸納(na)為以下(xia)幾個方面：

1.2.1 內部訪問風險

有30%的數據庫威脅是來自(zi)內部(bu)，如DBA、數據庫開發人員、操作人員等；容易(yi)出現權限濫用、誤操作、弱口(kou)令等問題(ti)，給管理帶來了很大困難，更加無法進行有(you)效(xiao)的(de)記(ji)錄和預警。

1.2.2 外部訪問風險

有70%的數(shu)據庫威脅(xie)是來自外部，互聯網訪問(wen)者(zhe)、外包人(ren)員通(tong)過互聯網途徑(jing)訪問(wen)；容(rong)易出現越權操作、惡意訪問(wen)、賬號(hao)密碼泄(xie)露等(deng)問(wen)題。甚(shen)至容(rong)易被黑客攻擊(ji)，如(ru)SQL注入、零日攻擊等，同樣給管理帶(dai)來了(le)很(hen)大的難(nan)度。

1.2.3 傳統(tong)安全(quan)防護手(shou)段的缺陷(xian)

面對外部訪問威脅，通(tong)常的做法(fa)是利用傳統的安全(quan)系統進行防(fang)護，如防(fang)火墻、IPS、IDS等，但是面對諸如SQL注入(ru)、零日攻擊(ji)等威脅，常常束手無策。

面對內(nei)部(bu)訪(fang)問(wen)威脅，傳統(tong)安(an)全系統(tong)也無法(fa)有效控制或記錄數據庫(ku)產生(sheng)的(de)風(feng)險。

1.2.4 系統自身審(shen)計的缺陷

應用(yong)系統(tong)或(huo)數據庫(ku)系統(tong)，自身都帶有(you)系統(tong)日志，具備一定的分析作用(yong)。

但(dan)是，系統自身(shen)的(de)日志不僅可讀性(xing)差，而且容易被篡改，更加不具備第(di)三(san)方獨立(li)性(xing)和權威性(xing)；甚至，開啟自身(shen)記錄功(gong)能之后(hou)，直接影響了系統的(de)性(xing)能以及(ji)穩定性(xing)。

1.2.5 如何滿(man)足合規要求

隨著大數(shu)據(ju)(ju)(ju)時代(dai)的(de)到來(lai)，數(shu)據(ju)(ju)(ju)已(yi)經(jing)深入并融合到社會(hui)的(de)各個(ge)階層和(he)組織中(zhong)，數(shu)據(ju)(ju)(ju)的(de)安全(quan)已(yi)經(jing)成(cheng)為社會(hui)安全(quan)的(de)重(zhong)要組成(cheng)部分。如何應對(dui)海(hai)量數(shu)據(ju)(ju)(ju)應用帶來(lai)的(de)各種威脅，已(yi)經(jing)成(cheng)為上至國(guo)家、下至組織和(he)個(ge)人關注的(de)重(zhong)點(dian)問題之一。

目(mu)前國內、國際的(de)很(hen)多標準、法(fa)案法(fa)規都要求相關組織單位建設安全的(de)審計系(xi)統(tong)，并確保審計信息是安全、完整(zheng)、可查及唯一的(de)：

? 信息安(an)全等保要求訪問來源識別、數據(ju)審計、日志記(ji)錄、審計報(bao)表等。

? ISO27001標準要求記錄用戶訪問、意外和信息(xi)安全事件(jian)的日(ri)志，以便為安全事件(jian)調查取證等。

? SOX法案要求組織設計(ji)和執行了適當(dang)的(de)數據保護技術，以(yi)確保財(cai)務報表(biao)數據的(de)可靠、可信等。

? 企業內控規范要求企業(ye)嚴格執行規范要求，以(yi)加強和規范內部(bu)控(kong)制、提高風險防(fang)范能力等。

? 等保2.0更是加強了(le)對數據(ju)及(ji)數據(ju)庫安全的要求。

2. 產品介紹(shao)

閃(shan)捷(jie)數據庫審計與防護系(xi)統基于“CII”設計理念，設計出(chu)針對數據庫安全(quan)的專業解(jie)決方案，可(ke)以幫助您解(jie)決以下問題:

? n識別越權使用、權限(xian)濫(lan)用，管(guan)理(li)數(shu)據(ju)庫帳號權限(xian)

? n自(zi)動跟蹤敏(min)感數據(ju)訪問(wen)行(xing)為，及時發現敏(min)感數據(ju)泄漏

? n自動檢測(ce)數據庫系統(tong)運行弱點、發(fa)現(xian)SQL注(zhu)入(ru)等漏(lou)洞

? n自(zi)動創建數(shu)據(ju)庫(ku)業(ye)務模型、及(ji)時(shi)發(fa)現異常SQL

? n實(shi)時監測SQL交互量、TCP會話、風險(xian)行(xing)為等態勢

? n為數據庫(ku)管理(li)與優化提供決策依據

? n滿足法律、法規要求，提供符(fu)合性報告(gao)

? n低成本且有效推行IT管理(li)制(zhi)度

閃捷數(shu)(shu)據(ju)(ju)(ju)庫(ku)(ku)審(shen)計(ji)(ji)(ji)與防護系統支(zhi)持旁(pang)路審(shen)計(ji)(ji)(ji)、代理審(shen)計(ji)(ji)(ji)和(he)插件審(shen)計(ji)(ji)(ji)三種工作(zuo)模式(shi)，來獲取數(shu)(shu)據(ju)(ju)(ju)流量，通過對(dui)數(shu)(shu)據(ju)(ju)(ju)流量進行(xing)深度(du)解析(xi)來實(shi)現(xian)對(dui)數(shu)(shu)據(ju)(ju)(ju)庫(ku)(ku)的(de)(de)(de)審(shen)計(ji)(ji)(ji)，幫助(zhu)用(yong)戶實(shi)時統計(ji)(ji)(ji)訪問(wen)數(shu)(shu)據(ju)(ju)(ju)庫(ku)(ku)的(de)(de)(de)請求和(he)風險，提升(sheng)數(shu)(shu)據(ju)(ju)(ju)庫(ku)(ku)運行(xing)監控(kong)的(de)(de)(de)透(tou)明度(du)，降低人工審(shen)計(ji)(ji)(ji)成本，真正實(shi)現(xian)數(shu)(shu)據(ju)(ju)(ju)庫(ku)(ku)全業務運行(xing)可(ke)(ke)視化、日常操(cao)作(zuo)可(ke)(ke)監控(kong)、危(wei)險操(cao)作(zuo)可(ke)(ke)控(kong)制、所有行(xing)為可(ke)(ke)審(shen)計(ji)(ji)(ji)、安全事件可(ke)(ke)追溯。

閃捷數據(ju)庫(ku)審計與防護系統還(huan)提(ti)供(gong)靈活的告警策略、細粒度的審計日志和(he)合規性的報表，解決(jue)客戶的核心數據(ju)庫(ku)面臨(lin)的“越權(quan)使(shi)用(yong)、權(quan)限濫用(yong)、權(quan)限盜(dao)用(yong)”等安全威脅，滿足各(ge)類法令法規對數據庫審計的要(yao)求，廣(guang)泛(fan)適用于“政府、金融、運營商、公安、能源、稅務、工商、社保、交通、衛生、教育、電子商務及企業”等所有使用數據庫的行業。

2.1 設計(ji)理念(nian)

閃捷(jie)(jie)數據(ju)(ju)庫審計(ji)與防護(hu)系統是閃捷(jie)(jie)信息基于多年數據(ju)(ju)庫安(an)全的理論和(he)實踐經(jing)驗(yan)積累的基礎上，結合各類法令法規（如(ru)網(wang)絡安(an)全法、SOX法案、等級(ji)保護、PCI、企業(ye)內控管理(li)等(deng)）對數(shu)據庫(ku)(ku)審計(ji)(ji)的(de)要求，自(zi)主研發完(wan)成的(de)業(ye)界首創(chuang)智(zhi)能自(zi)動學(xue)習、自(zi)動建(jian)模(mo)、風險自(zi)識別、細粒度(du)審計(ji)(ji)、精準化行為告警、全方位的(de)數(shu)據庫(ku)(ku)安全審計(ji)(ji)產品。

通過(guo)“CII”的設(she)計理念，為客戶的核心數據庫(ku)資產構(gou)建“最后一(yi)道安全防(fang)線”。

2.2 基本工作原理

閃捷數據庫審計和防護(hu)系統(tong)，利用(yong)風險智能識別技術對異常和高危的(de)數據庫訪問進

2.3 部署模(mo)式

閃(shan)捷數據(ju)庫(ku)審(shen)計與防(fang)護系統不(bu)僅適(shi)用于(yu)物理環境(jing)，而且可(ke)直(zhi)接部署在云端(duan)，幫助客戶防(fang)護和審(shen)計云端(duan)數據(ju)庫(ku)；可(ke)以適(shi)用于(yu)公有云、混(hun)合(he)云的環境(jing)

2.3.1 旁(pang)路部(bu)署

閃捷(jie)數據庫審計與(yu)防(fang)護系(xi)統，采用“旁路偵聽”的部署(shu)模式，部署(shu)在核心(xin)交(jiao)換中，通過端口鏡像方式捕獲數(shu)據流量(liang)，系統利用Smart審計引擎進(jin)行數據分析(xi)與(yu)告警(jing)，不改動網絡拓撲、不影(ying)響業務數據、不改變使用習慣。

2.3.2 云(yun)部署模式

在云主機中安裝(zhuang)數據庫審計Agent，獲取數據(ju)庫(ku)操作日志。可(ke)支持目前主流的數據(ju)庫(ku)，保證數據(ju)審計(ji)兼容、有效。

在訪問數(shu)據(ju)庫(ku)的應用系(xi)統服務器上部(bu)署數(shu)據(ju)庫(ku)審(shen)計(ji)Agent，獲取數據庫訪問的日(ri)志(zhi)(zhi)數據，用作日(ri)志(zhi)(zhi)審計。

3. 產(chan)品優勢

3.1 支持多種數據庫協議

不僅(jin)支持主流的數據庫，如oracle、sqlserver、mysql、DB2、informix、sybase；而且支(zhi)持國產數據(ju)庫和專業(ye)的數據(ju)庫，同(tong)時(shi)還支(zhi)持云數據(ju)庫及大數據(ju)組件的解析(xi)與審(shen)計。

3.2 超(chao)高設備性能，業界(jie)領(ling)先(xian)

閃捷數據庫審計系統(tong)支(zhi)持超高(gao)的SQL處理能力，最高性SQL處(chu)理(li)能可達18萬。

3.3 業界領先的(de)實時會話展現(xian)形(xing)式(shi)

閃(shan)捷(jie)數據(ju)(ju)庫審(shen)計實時顯示當前會話(hua)列表，讓數據(ju)(ju)庫訪問變得“一目了(le)然”，實時(shi)定位風險(xian)(xian)預警級別，讓數(shu)據庫(ku)風險(xian)(xian)變得“不(bu)再隱(yin)蔽”！

3.4 細(xi)粒度的全面日(ri)志審計

通過5“W”的(de)設計(ji)(ji)理念(nian)和數據(ju)流量的(de)深度協議解析(xi)，最(zui)終(zhong)實現能審(shen)計(ji)(ji)詳細的(de)SQL日(ri)志信息(xi)，包括，來(lai)源(yuan)信息(xi)、目(mu)標信息(xi)、操作(zuo)內容、字段信息(xi)、語句類型等二(er)十多種數(shu)據庫請(qing)求日(ri)志信息(xi)。

3.5 基于自動(dong)學習的用戶行(xing)為(wei)模型

閃捷(jie)數據庫(ku)審計與防護系(xi)統利用secsmart審(shen)計引擎(qing)，根據賬號、sql語句(ju)特(te)征和訪問(wen)特(te)征等內置了智能的(de)自動(dong)建模機制，最終(zhong)實現正常與(yu)異常的(de)數據分析能力；不僅幫助客戶梳理(li)常態化的(de)數據類型，而且可以有效快速(su)的(de)發現異常訪問(wen)；一旦(dan)發現異常則及時告警(jing)并通知管理(li)員(yuan)。

3.6 實時風險趨勢展示

閃捷數(shu)據庫審計與防(fang)護系統(tong)基于深度分析技術引(yin)擎(qing)。自動分析數(shu)據庫的數(shu)據交互情況(kuang)，能實時監測到(dao)數(shu)據庫的SQL請求(qiu)量、TCP會話量、威脅行為；能(neng)實時分(fen)析出數(shu)據庫的運行狀(zhuang)態，通(tong)過數(shu)據威脅風(feng)險的級別，對數(shu)據庫進行分(fen)值評估，為管理層(ceng)提(ti)供數(shu)據庫優化(hua)的依據和建(jian)議報(bao)告。

3.7 威脅自(zi)(zi)發現、自(zi)(zi)告警(jing)機制

閃(shan)捷數(shu)據(ju)庫審計與防護(hu)系統中(zhong)內置了豐富多樣(yang)的威(wei)脅特(te)征(zheng)庫和風險規則(ze)庫，可以(yi)有效的對SQL注入(ru)、緩沖(chong)區溢(yi)出、暴(bao)力破解數(shu)據(ju)庫等行為(wei)進(jin)行及(ji)時(shi)告警，為(wei)管理(li)層提供風險分析(xi)依據(ju)。

3.8 豐富多樣的報表功能

閃捷數據庫審(shen)計與(yu)防護(hu)系統內置了通(tong)用及豐富的報(bao)表(biao)模板，可定期自動發送給(gei)相關管理員(yuan)；可輸出滿足合規的、行業(ye)屬性(xing)的報(bao)表(biao)（如DPA、SOX、等級保護、醫(yi)療(liao)防統方）。

同時，也可以對報(bao)表條件進行自定義：源IP、源應用程序、數據庫賬號、SQL命令(ling)、操作類型(xing)、風險級別等多個維度設置報表的內容，方便用(yong)戶查詢和使(shi)用(yong)。

3.9 最開放的、最全面的接(jie)口聯動

系統開(kai)放了全部數據(ju)(ju)接口，如審(shen)計數據(ju)(ju)接口、告警數據(ju)(ju)接口、配置接口、策(ce)略(lve)接口等(deng)，方便用(yong)戶對(dui)接第三方設備(bei)，進行日志(zhi)管理，策(ce)略(lve)下發，讓數據(ju)(ju)分(fen)析變得更加智能(neng)，讓用(yong)戶使用(yong)更加方便。

允許第三方平臺(tai)對接并調用閃捷數(shu)據庫審(shen)計與防護系統(tong)的接口；讓數(shu)據分(fen)析變得更(geng)智能。

3.10 可(ke)伸縮的集群部署方(fang)案(an)

閃(shan)捷數據(ju)庫審計和防護系統支持集群部署模式，能夠對審計系統進行(xing)橫向擴展(zhan)，在大數據(ju)流量、大并發、高穩定性等應用(yong)場景下都(dou)可廣泛應用(yong)。