SnapAudit数据库审计软件解决实施方案Word格式文档下载.docx

SnapAudit数据库审计软件解决实施方案Word格式文档下载.docx

《SnapAudit数据库审计软件解决实施方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《SnapAudit数据库审计软件解决实施方案Word格式文档下载.docx（9页珍藏版）》请在冰豆网上搜索。

1.1数据库安全漏洞的主要原因分析

数据库安全漏洞的主要原因有三:

1）无监控手段

数据库管理员往往作为数据库操作员存在，了解如何在数据库内进行操作、解决问题，但无法对用户的访问、操作进行监控，更无法预防或者处理秘密访问、数据窃取以及恶意删除。

2）无管理机制

数据库的超级用户密码多人共享，很多人可以使用一个用户进行操作，而事后无法确定是哪个人制造了问题。

一旦登录到数据库，无论核心数据还是非核心数据都可以随意访问而不被察觉；

非公司人员、测试用户都可以对所有数据进行访问和操作，从而使数据库完全变成“OPEN”数据库。

3）无回溯办法

如果发现问题，无法回溯到问题发生时的状态，无从追踪问题发生的根源，最后不了了之；

更无法制定针对性地解决方案，使企业处于非常被动的状态。

因为无法回溯，所以也无法进行数据修复，导致错误延续和蔓延。

1.2数据库审计要解决的核心问题

针对存在的问题，数据库审计就要解决如下三个核心问题:

1）全方位的数据库操作监控。

无论从网络登录，还是从终端登录；

无论是查询数据，还是改变数据；

无论是普通用户还是超级用户；

无论是应用程序，还是手动登录都能被有效监控，不留死角。

2）审计策略定制和管理

能够允许客户自定义各种审计策略，对其所关心的用户、表以及表中的特定数据设置不同粒度的监控策略，当用户访问违反上述策略时，其操作行为就会被记录下来，并且能够马上报警提示。

3）事件回放和故障修复

对于出现的问题，能够通过界面快速查询出客户的历史操作过程，分析事故发生原因，并能够生成修复操作建议，便于尽快恢复系统的正常运行状态。

1.3数据库审计软件的基本要求

作为完善的数据库审计软件，必须具备如下条件:

1）具有全面丰富的数据库审计类型，能够全面、高效地获取数据库的各种操作信息；

2）具有细粒度的数据库操作内容审计；

3）能够准确及时的对违规操作告警响应；

4）具有全面详细的审计信息，丰富可定制的报表分析系统；

5）能够为数据丢失、篡改等提供修复解决方案；

6）对业务系统的干扰和影响小；

7）管理维护简单方便；

8）其自身的安全性高，不易遭受攻击。

2SnapAudit数据库审计解决方案

在对数据库审计的需求分析基础上，DSG提出针对性的SnapAudit数据库审计解决方案。

2.1SnapAudit体系结构

SnapAudit软件的系统结构如下图所示:

如上图所示，SnapAudit软件分为五功能层:

采集层:

由数据分析引擎（OLFX）组成。

数据分析引擎OLFX主要用来对Oracle数据库的在线日志进行分析，获取数据库的操作系统。

OLFX的主要特点是能过全方面获取数据库的操作信息，同时分析过程快速、高效，对业务系统的影响小。

OLFX分析在线数据日志后，自动将数据库操作信息传递到过滤层进行处理。

过滤层：

由SnapAuditDataFilter模块组成。

SARF负责将OLFX采集到的信息根据AuditPolicy（审计策略）进行过滤，过滤后的信息传递到存储层进行存储。

存储层:

由XDTFS/SADB审计信息存储管理模块组成。

所有过滤后的审计信息转换成XDT格式后，存储于独立的XDTFS文件系统。

XDT格式是按照Oracle数据库内部操作的格式存储获取的数据库审计信息，XDTFS为每个存入其内的XDT数据创建快捷的访问索引，便于随机查询。

XDTFS可存在于任意的UNIX/Linux文件系统之上，利用操作系统识别的存储空间存放数据。

也可以将过滤后的审计信息存储于SnapAuditDB数据存储系统。

在SADB存储系统中，数据更易于二次处理，查询，统计等。

业务层:

SnapAudit的主要功能通过其服务器组件SAServer来实现。

审计策略制定、修复建议生成、查询及检索命令形成、自动报表和性能监控刷新等都由SAServer来实现。

定制的审计策略，用户权限以及登录SnapAudit的信息都记录在SAServer上。

SAServer支持网络化的环境，可以实现对多个数据库审计的集中管理。

展示层:

SAClient是SnapAudit的图形人机交互界面，用于展示审计报表、客户选择并制定审计策略，并能提供性能监控界面、权限管理界面、审计信息查询界面以及数据修复操作界面等。

一个SAServer支持多个SAClient的连接。

2.2SnapAudit工作原理

SnapAudit和其他数据库审计软件工作原理不同。

其他数据库审计软件主要通过对网络的监控、过滤和对网络数据中的SQL语句解析来实现对数据库的审计。

SnapAudit通过对Oracle数据库的日志分析来实现数据审计。

众所周知，数据库的任意操作都会记录在日志中，便于今后的系统恢复。

无论是否通过网络访问数据库，其操作痕迹都留存在数据库日志中。

因此从数据库日志着手能过获得最完整的数据库审计信息。

SnapAudit的OLFX高速数据分析引擎其功能集成于一个SnapAuditAgent（分析代理）之内。

分析代理安装在需要审计的数据库服务器主机，时刻监控数据库的日志变化。

当有用户登录到数据库或者进行了相关的操作，SnapAudit分析代理将会获取日志中关于该操作的信息，并结合连接数据库的TNS信息和Session信息，获取到该操作用户的完整信息，包括登录主机、主机IP、用户名、应用程序，以及其访问的表、表的属主、表的字段，对表的操作，以及登录时间，退出时间等。

OLFX分析得到的信息需经过SADF过滤。

SADF首先会从SnapAudit服务器取得用户定制的审计策略，然后将这些策略用于过滤OLFX分析得到的信息。

过滤的信息通过网络传递到PAAgent（存储代理）并存储在XDTFS／SADB中。

如果客户在定制审计策略时指定了报警级别，过滤信息在存储到XDTFS／SADB的同时会向PAServer发出报警信息。

在分析故障时，客户通过界面进行条件查询，SAClient将查询命令传递到SAServer，SAServer将命令解析，并从XDTFS/SADB中获取相关检索信息，返回给SAServer，SAServer将信息传回SAClient展现出来。

如果客户需要提供修复信息，则SAServer自动生成修复参考意见，供客户选择执行。

2.3SnapAudit部署模式

作为软件产品，SnapAudit的部署模式如下:

配置一台PCServer，安装Linux操作系统，作为SnapAudit的管理服务器。

为了长期保存审计数据，管理服务器应配置一定的存储空间，存储空间的大小估算办法如下:

审计存储空间=每天数据库日志量/3*审计信息留存天数。

在需要审计的数据库的服务器上安装SAAgent（分析代理/过滤代理）；

在SnapAudit管理服务器上安装SAServer组件、SAAgent（存储代理）；

在用户管理电脑上配置SnapAudit的SAClient模块。

2.4SnapAudit主要功能与性能指标

SnapAudit主要功能和性能指标如下表所示:

名称/指标

描述

产品名称

SnapAudit软件

当前版本号

V3.0

主要工作原理

通过分析Oracle数据库的日志对数据库操作进行监控

主要功能

1）根据审计策略记录数据库操作；

2）对违规操作进行报警和留痕；

3）展示审计报表和数据库操作全貌；

4）跟踪并回溯数据库操作历史；

5）提供用户操作分析功能和对象操作分析功能；

6）提供对错误数据的在线修复建议；

7）提供按各种条件和粒度查询数据库操作的功能；

8）提供用户权限管理功能。

9）提供报表和统计数据的转储和打印功能

审计效率

不低于5万笔操作/秒（但依环境而异）

支持操作系统

AIX、HP-UX、Solaris、Linux、Tru64等

支持数据库版本

Oracle8i、Oracle9i、Oracle10g、Oracle11g等

审计存储空间

数据库日志量/3*保留天数

业务系统影响

CPU<

3%，内存<

400MB，对网络基本无影响。

2.5SnapAudit对业务系统的影响

SnapAudit对业务系统的影响较小：

1）SnapAudit的部署无需调整客户的现有网络构架，无需在数据库服务器与网络交换机之间增加硬件设备；

2）SnapAudit在客户数据库服务器上仅运行一套Agent软件，其在运行时占用CPU资源<

3%，占用内存资源少于400MB，对网络及I/O的影响可以忽略。

2.6SnapAudit管理与维护

SnapAudit向最终用户提供图形化的管理界面，用户可以在图形界面上进行日常的审计监控和管理。

图形界面提供中、英文两种版本选择。

SnapAudit向用户提供报警服务，在发现违规操作的情况下可通过邮件、界面显示、日志和声音进行报警。

日常管理简单方便，系统生成的审计报表和统计报表可以随时打印。

2.7SnapAudit的后续功能扩展

今后SnapAudit将进一步扩展功能，主要包括:

1）增强数据库监控工具，使其可以实时监控数据库性能，提示客户数据库存在的潜在风险；

2）增强数据库优化功能，使其可以及时发现数据库性能瓶颈，从而更早地消除系统隐患，提升运行效率；

3SnapAudit的特点与优势

3.1SnapAudit的主要特点

SnapAudit的主要特点如下:

1）采用全新的数据库审计思路开发的软件产品。

传统的审计软件主要从网络层面演化而来，由网络监控审计，扩展到数据库审计，其网络监控功能强而数据库审计功能弱。

SnapAudit立足于数据库本身，通过对数据库的日志分析，来直接解决数据库的审计问题。

2）具有全方位的数据库审计功能。

不仅支持对网络连接操作的审计，也支持直接登录数据库操作的审计，可以将数据库所有操作一览无遗，不留漏洞。

3）审计可靠性高。

SnapAudit采用容灾底层核心技术对数据库日志进行分析，避免了以往网络数据包解析有误或者数据传输速度快、网络不稳定造成的审计信息不全的问题，保证高可靠性审计。

4）审计策略粒度更细。

SnapAudit可以监控到数据库的任何一个细小的操作，不仅包括用户的操作，数据库后台发起的定时任务、数据库结构的改变、数据库语句执行的批量操作等，无论巨细，都可以被精确审计。

5）修复功能强。

传统的审计软件主要是通过审计发现问题，而SnapAudit不仅发现问题，还提供解决问题的方案。

6）对业务系统影响小。

传统审计软件会大幅降低客户与数据库之间的网络传输效率，而SnapAudit并不需要在数据库服务器与交换机之间加设分析设备，所以也不会显著降低数据库的处理能力。

3.2SnapAudit与同类产品的比较优势

比较内容

SnapAudit审计软件

其他审计软件

工作原理

通过分析数据库日志审计数据库操作

通过截取数据库的网络通信，解析客户端到数据库的操作

审计覆盖面

各种连接方式全面覆盖

仅能审计通过客户端连接数据库的操作，对于通过终端进行的数据库操作或者数据库定时计划进行的操作无法实现审计

审计准确性

非常准确，几乎不会出错。

容易出现因为网络流量大或者网络不稳定造成数据解析有误的情况出现。

审计粒度

非常小，可以审计到批量操作的单一记录。

如执行一条命令修改1万条记录，能精确审计到这个命令语句执行后被修改的那1万具体的记录的信息

能审计到一个具体的操作，而不能对操作进行更细的分解。

如执行一条命令修改1万条记录，只能审计到这个命令语句，而无法判断具体数据库中哪些数据被篡改。

修复功能

可以直接提供对冲操作来修复篡改数据。

主要功能是审计并发现误操作以及操作者信息。

系统影响

对数据库服务器的资源占用有微弱影响，CPU占用<

3%.

对数据库处理能力的影响超过10%以上。

3.3SnapAudit的项目实施优势

DSG作为数据管理平台软件厂商，对数据库环境熟悉。

在很多客户环境中已经部署了DSG的RealSync软件、SnapAssure软件等软件产品，在此基础上，部署DSGSnapAudit软件不需要进行额外的实施准备，如，不需要重新创建用户、赋权，不需要进行兼容性测试等。

DSG公司长期维护客户的容灾备份系统，对环境熟悉，可以提供具有针对性的建设性意见。

此外，DSGSnapAudit软件的扩展版本可以与已经安装的容灾备份软件配合使用，既减少购置成本和管理负担，又能快速进行故障恢复，做到及时发现问题，快速准确解决问题。