主要用于对数据库的各类操作行为的监控和记录,是数据库之外的第三方独立审计系统,能够解析网络流量中的数据库协议,并对其中的SQL语句和语法进行提取分析,解析、还原对数据库操作的行为,并根据预先设置的策略进行告警和记录,以供日后进行查询、分析、溯源,实现对数据库的监控和审计。
基本概念
主要用于对数据库的各类操作行为的监控和记录,是数据库之外的第三方独立审计系统,能够解析网络流量中的数据库协议,并对其中的SQL语句和语法进行提取分析,解析、还原对数据库操作的行为,并根据预先设置的策略进行告警和记录,以供日后进行查询、分析、溯源,实现对数据库的监控和审计。
8.1.4.3 安全通用要求-安全计算环境
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
安全审计应与身份鉴别、访问控制、数据完整性等安全功能的设计紧密结合,并为下属可审计事件产生审计记录:
1、服务器、涉密重要用户终端、安全保密设备的启动和关闭;
2、用户权限的更改;系统管理员、系统安全员、审计员和一般操作员所实施的操作;系统内用户增加、删除;
3、系统记录应包括:事件发生的时间、类型、主题和结果等第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
第十八条 国家鼓励开发 网络数据安全 保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
《银行业金融机构信息系统风险管理指引》
《证券期货业信息系统安全等级保护测评要求(试行)》
《商业银行合规风险管理指引》
《中国银行业监督委员会办公厅文件银监办通313号》
《保险公司内部审计指引(试行)》
《电子银行安全评估指引(2007)》
场景描述
数据库口令的猜解包括撞库和爆破,是大部分数据库入侵的第一步工作,如果数据库上没有开启登录状态策略,数据库管理员就会对什么人在什么时间登陆了数据库,登录到状态时成功还是失败等情况一无所知。
风险分析
一旦入侵者取得数据库的登录口令,则获得相应的访问和操作权限,甚至可以通过一些存储过程获得操作系统权限。
数据库登录状态审计
数据库登录状态监控,详细记录数据库登录行为日志,包括成功或失败,发起登录时间、来源IP、应用程序、主机名等,及时发现撞库、口令爆破等违规登录行为。
场景描述
数据库中DBA用户、SchemaUser、Any特权用户拥有很高的权限,但往往这些账号的拥有者其本身不具备访问全部敏感数据的权限,他们有可能访问超出自身岗位职责和权限之外的数据。
风险分析
一旦这些账号被盗用,或者用户自身发起越权违规访问,将导致数据的机密性、完整性、可用性遭到破坏 。
场景描述
现在的应用绝大多数均为B/S结构,即用户访问前端应用,前端应用发起对数据库的访问,从而完成一次数据请求操作。数据库审计记录下来的所有信息均为前端应用所发起的请求,无法获得单一用户操作的相关记录 ,在记录中所有数据库帐号均为一个,这样即使记录下来相应的非法操作也无法做到有效追溯,审计的效果大打折扣。
风险分析
审计系统只能记录Web应用服务器对数据库的请求操作,如果需要还原前端操作,需要应用开发人员才能解释某条SQL语句对应的前端页面,还需要查看应用审计记录定位人员,费时费力,效果不佳,失去可追责性。
数据库审计三层关联
数据库升级系统不仅可以精确审计到二层访问的终端,也可以精确审计到来自于三层B/S架构下的浏览器终端信息,包括IP、用户、应用模块。从而实现自然人-账户-操作之间的完整过程,则可以真实有效的记录下任意安全问题的发生及其结果。
场景描述
数据库发生违规事件后,缺乏有效、及时告警方式,通知数据库管理员,导致无法快速的发现、定位安全事件,阻止事件的进一步的蔓延和扩大,降低事件的影响。
风险分析
安全事件的演变,往往可以在刚开始阶段发现蛛丝马迹,如果没有及时响应,会给组织带来更大的损失。
数据库实时监控、告警
数据库安全审计系统通过实时告警引擎和短信、邮件、动画等多种告警手段来保证告警的实时性,同时过精细化的事件审计、灵活的告警规则、重复事件合并和过滤功能、以及强大的搜索引擎保障来保证告警信息不会泛滥造成管理者麻木。
