数据安全方案之数据库审计方案|数据库日志审计方案
日期:2020-03-06 18:28:45 / 人气:
微软雅黑; font-weight: bold;">数据库审计的法规要求
设备部署方式
分级部署,多级管理
虚拟化环境部署
场景一:数据库口令猜解
场景一:解决方案
场景二:敏感数据越权访问
场景二:解决方案
场景三:用户操作行为审计
场景三:解决方案
场景四:安全事件实时监控
场景四:解决方案
审计功能特点
精确审计
未知威胁告警
内置日志报表
智能化告警策略
审计事件备份与恢复
数据库自动发现
探针自动推送安装
规则事件自动审阅
灵活的审计查询结果下载
理解日志审计与数据库审计
系统日志(用于检查错误和查询违规操作)
系统日志+Syslog=日志服务器(集中管理系统日志,展示并告警)
日志服务器+SNMP+个性化报表=日志审计系统(纳入网络设备)
数据库审计单独部署的原因
.数据库审计基于解析sql语句,需部署专门的数据库审计设备
.自身日志易被篡改,缺乏独立性与公正性
.数据库访问实时性要求高,本身数据库事务消耗资源大,自身日志并不开启,仅保留错误日志
.基本概念
主要用于对数据库的各类操作行为的监控和记录,是数据库之外的第三方独立审计系统,能够解析网络流量中的数据库协议,并对其中的SQL语句和语法进行提取分析,解析、还原对数据库操作的行为,并根据预先设置的策略进行告警和记录,以供日后进行查询、分析、溯源,实现对数据库的监控和审计。
数据库审计的法规要求
网络安全等级保护
8.1.4.3安全通用要求-安全计算环境
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
网络安全法
第二十八条网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
第十八条国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
涉密信息系统分级保护
安全审计应与身份鉴别、访问控制、数据完整性等安全功能的设计紧密结合,并为下属可审计事件产生审计记录:
1、服务器、涉密重要用户终端、安全保密设备的启动和关闭;
2、用户权限的更改;系统管理员、系统安全员、审计员和一般操作员所实施的操作;系统内用户增加、删除;
3、系统记录应包括:事件发生的时间、类型、主题和结果等;
金融保险行业规划
《银行业金融机构信息系统风险管理指引》
《证券期货业信息系统安全等级保护测评要求(试行)》
《商业银行合规风险管理指引》
《中国银行业监督委员会办公厅文件银监办通313号》
《保险公司内部审计指引(试行)》
《电子银行安全评估指引(2007)》
场景一:数据库口令猜解
.场景描述
.数据库口令的猜解包括撞库和爆破,是大部分数据库入侵的第一步工作,如果数据库上没有开启登录状态策略,数据库管理员就会对什么人在什么时间登陆了数据库,登录到状态时成功还是失败等情况一无所知。
.风险分析
.一旦入侵者取得数据库的登录口令,则获得相应的访问和操作权限,甚至可以通过一些存储过程获得操作系统权限。
场景一:解决方案
.数据库登录状态审计
数据库登录状态监控,详细记录数据库登录行为日志,包括成功或失败,发起登录时间、来源IP、应用程序、主机名等,及时发现撞库、口令爆破等违规登录行为。
场景二:敏感数据越权访问
.场景描述
.数据库中DBA用户、SchemaUser、Any特权用户拥有很高的权限,但往往这些账号的拥有者其本身不具备访问全部敏感数据的权限,他们有可能访问超出自身岗位职责和权限之外的数据。
.风险分析
.一旦这些账号被盗用,或者用户自身发起越权违规访问,将导致数据的机密性、完整性、可用性遭到破坏。
场景二:解决方案
.数据访问操作审计
数据库审计系统能够审计到所有的来源,包括所有访问数据库的路径,所有的数据库操作,还支持对加密网络的审计。审计到所有操作:数据库的登录、DML操作、DDL操作、DCL操作、所有成功或失败的操作、密码猜测和暴力破解,SQL注入。
场景三:用户操作行为审计
.场景描述
.现在的应用绝大多数均为B/S结构,即用户访问前端应用,前端应用发起对数据库的访问,从而完成一次数据请求操作。数据库审计记录下来的所有信息均为前端应用所发起的请求,无法获得单一用户操作的相关记录,在记录中所有数据库帐号均为一个,这样即使记录下来相应的非法操作也无法做到有效追溯,审计的效果大打折扣。
.风险分析
.审计系统只能记录Web应用服务器对数据库的请求操作,如果需要还原前端操作,需要应用开发人员才能解释某条SQL语句对应的前端页面,还需要查看应用审计记录定位人员,费时费力,效果不佳,失去可追责性。
场景三:解决方案
.数据库审计三层关联
数据库升级系统不仅可以精确审计到二层访问的终端,也可以精确审计到来自于三层B/S架构下的浏览器终端信息,包括IP、用户、应用模块。从而实现自然人-账户-操作之间的完整过程,则可以真实有效的记录下任意安全问题的发生及其结果。
场景四:安全事件实时监控
.场景描述
.数据库发生违规事件后,缺乏有效、及时告警方式,通知数据库管理员,导致无法快速的发现、定位安全事件,阻止事件的进一步的蔓延和扩大,降低事件的影响。
.风险分析
.安全事件的演变,往往可以在刚开始阶段发现蛛丝马迹,如果没有及时响应,会给组织带来更大的损失。
场景四:解决方案
.数据库实时监控、告警
数据库安全审计系统通过实时告警引擎和短信、邮件、动画等多种告警手段来保证告警的实时性,同时过精细化的事件审计、灵活的告警规则、重复事件合并和过滤功能、以及强大的搜索引擎保障来保证告警信息不会泛滥造成管理者麻木。
使用场景
全面化审计
数据库审计产品可以覆盖绝大多数信息来源(应用/本地/运维工具),同时支持SQL语句翻译增加阅读直观性。
精确化审计
数据库审计软件可以精确的识别操作人、操作终端、应用、工具和操作内容。
内嵌法规遵循报表
数据库审计系统提供多种报表的各维度分析,满足用户合规要求,同时提供各种日常性的工作报表。
实用的审计管理
引入强大的大数据搜索引擎solr为技术保障,通过对审计时间的全面分析,从安全事件的生成到归档直至销毁,提供了贯穿安全审计全生命周期的快速便利管理。
通过应用程序账户以及CA数字认证和U盾,可以精确识别到操作自然人。
精确审计到操作人
可以精确审计到二层访问的终端,也可以精确审计到来自于三层B/S架构下的浏览器终端信息,包括IP、用户、应用模块。
精确审计到二层终端和三层终端
精确审计到操作对象和具体操作的SQL语句。
精确审计到具体操作
精确识别到数据库的连接工具,防止被假冒应用注入或者数据窃取。
精确审计到操作工具
未知威胁告警
内置日志报表
日常工作报表
数据库审计具有丰富可定制的报表分析系统。
运维人员及合作伙伴在每日工作结束之后提供数据库审计报表。
日常工作报表
日报,周报和月报,完成不同侧重点的报告。
常规性报表
综合性报表可以根据常规性报表搭配而成,这样只需要查看一个报表即可。
综合性报表
不同人员可以按需定制不同报表,报表完全自动化生成并且可以自动通过邮件传递。
自动化管理
智能化告警策略
实时处理的告警引擎可以使安全事件快速发布,重复性事件自动合并和过虑,减少不必要的告警量,还提供大数据搜索引擎确保基于复杂搜索定制。
告警量不泛滥
高度灵活的告警规则,达到精细化事件告警,不同身份的人可以按需订阅相关告警事件。
自定义和个性化订阅
同类事件回顾
如果相同的安全审计事件曾经发生过,可以进行回顾分析。
以当前事件为基础,进行不同角度的统计分析。也可以基于该事件,从数据库登录到当前操作进行一致性回溯。
单条事件分析和回溯
审计事件备份与恢复
.审计事件自动备份到FTP服务器上,可从FTP服务器中恢复备份的记录;
.审计系统按量对审计记录进行备份,当设备空间不足时,已备份数据将在平台中被删除,需要时可从FTP服务器中恢复至平台上;
数据库自动发现
.基于流量分析发现数据库信息,并可添加
探针自动推送安装
规则事件自动审阅
.同时审阅同类事件:在审阅当前选中事件同时,将同类型的事件一起作审阅操作;
.自动审阅今后产生的同类事件:系统自动审阅日后产生的同类型的事件,新添加的规则将在5分钟内起效;
灵活的审计查询结果下载
.可自定义设置下载字段,下载审计查询的结果
旁路镜像
旁路镜像+代理
分级部署,多级管理
通过在各分支部署数据库审计系统,在总部部署统一管理中心,实现各分支数据库操作审计的同时将审计信息上传至总部并记录留存。
虚拟化环境部署
虚拟化环境部署
.安装agent
.支持linux、windows
虚拟化环境解决方案:
.采用agent对数据进行采集,采集器进行统一管控;
.不受制于虚拟化底层架构和业务系统架构;
声明:
1、江苏欧迈科技有限公司所提供产品全部为原厂正规产品,我司不出售翻新机,二手机,等残次品;硬件保修政策及时长按设备原制造厂执行,支持三包规定。
2、价格:官网上列出的价格为含增值税专用发票价格;硬件设备产品含税13%,工程服务含税9%,技术服务含税6%。
3、服务:网站标明的价格为商品本身含税价格,不含其它设定和安装服务;如需要安装设定服务请联系销售人员另行报价。无价格的商品为按需配置的项目商品,需联络销售人员报价。
4、方案:官网所述之方案非完整方案,且并不适用于所有的应用场景,请勿盲目套用。
5、新闻:大多摘自互联网,如有侵权,请与我们联系。
6、运费:苏州,无锡,南通,常州,泰州,镇江,扬州地区免费送货上门,其它地区快递发货。
7、结算:苏州,无锡,南通,常州,泰州,镇江,扬州地区支持账期和月结的结算方式,具体可与销售人员协商。其它地区均为现金结算。
8、其它:服务申明最终解释权归欧迈科技所有,其它未尽事项请与我们联系。
