数据安全与运维安全审计系统项目方案.docx
《数据安全与运维安全审计系统项目方案.docx》由会员分享,可在线阅读,更多相关《数据安全与运维安全审计系统项目方案.docx(37页珍藏版)》请在冰豆网上搜索。
数据安全与运维安全审计系统项目方案
1概述
随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。
各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。
数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要,关系到企业兴衰、成败。
因此,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,已经成为业界人士探索研究的重要课题之一。
由于计算机和网络的普及和广泛应用,越来越多的关键业务系统运行在数据库平台上。
数据库中的数据作为企业的财富发挥着越来越重要的作用,同时也成为不安定因素的主要目标。
如何保证数据库自身的安全,已成为现代数据库系统的主要评测指标之一。
数据库是信息技术的核心和基础,广泛应用在电信、金融、政府、商业、企业等诸多领域,当我们说现代经济依赖于计算机时,我们真正的意思是说现代经济依赖于数据库系统。
数据库中储存着诸如银行账户、医疗保险、电话记录、生产或交易明细、产品资料等极其重要和敏感的信息。
尽管这些系统的数据完整性和安全性是相当重要的,但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。
许多因素都可能破坏数据的完整性并导致非法访问,这些因素包括复杂程度、密码安全性较差、误配置、未被察觉的系统后门以及数据库安全策略的缺失等。
2项目背景
数据库作为金融行业信息系统的核心和基础,承载着越来越多的关键业务系统,整个业务流程过程中的操作、数据的变更、新增、删除都存储在数据库中,保存着客户的个人以及资金等各类信息。
信息一旦被篡改或者泄露,不仅损害到公民自身利益,机构的品牌形象,甚至影响到公共秩序和国家利益。
所以对数据库的保护是一项必须的,关键的,重要的工作任务。
为了保证XX业务系统的更加稳定安全地运行,XX对业务系统的数据库建设进行了完善,不仅考虑数据库系统的集群、异常容错能力,更从业务系统的数据库操作安全方面进行考虑,更加深入,细粒度地保证业务系统数据库操作的安全。
从网络层上说,银行正从应用层方面来保证业务系统数据库的安全。
那么如何对业务系统的数据库操作安全进行检查呢?
我们采用数据库安全审计系统对业务系统的数据库操作进行审计。
采用运维安全系统对各种服务器本身进行审计。
银行数据各类数据库系统。
它们的特殊地位要求安全性极高,重点要考虑二方面的安全风险:
一是来自外部安全风险:
利用弱口令设置、数据库系统漏洞、SQL注入等攻击数据库系统,非法进入数据库系统访问、拷贝和修改数据内容;另一个是内部安全风险:
以合法授权身份进入业务系统对数据的访问和操作的违规性行为。
以上安全风险会引发数据库系统瘫痪、各种内部数据信息被泄露和篡改、涉密数据信息被窃取和失泄等信息安全事件发生。
所以重点要对这两部分的数据库及服务器进行防护。
3数据安全解决方案
3.1风险分析
任何公司的主要电子数字资产都存贮在现代的关系数据产品中。
商业机构和政府组织都是利用这些数据库服务器得到人事信息,如员工的工资表,医疗记录等。
因此他们有责任保护别人的隐私,并为他们保密。
数据库服务器还存有以前的和将来的敏感的金融数据,包括贸易记录、商业合同及帐务数据等。
象技术的所有权、工程数据,甚至市场企划等决策性的机密信息,必须对竟争者保密,并阻止非法访问,数据库服务器还包括详细的顾客信息,如财务帐目,信用卡号及商业伙伴的信用信息等。
目前世界上七种主流的关系型数据库,诸如Oracle、Sybase、MicrosoftSQLServer、IBMDB2/Informix、MySQL、PostgreSQL服务器都具有以下特征:
用户帐号及密码、校验系统、优先级模型和控制数据库的特别许可、内置命令(存储过程、触发器等)、唯一的脚本和编程语言(例如PL/SQL、Transaction-SQL)、中间件、网络协议、补丁和服务包、强有力的数据库管理实用程序和开发工具。
3.1.1操作系统安全
数据库安装于操作系统之上,对操作系统的安全防护也是至关重要的,运维人员可以通过远程访问操作系统,达到本地操作数据库的目的。
系统口令及访问控制权限管理技术手段薄弱;数据中心存在“交叉运维”现象;针对运维人员无详细操作记录;无法满足审计检查对日志记录的要求;运维安全分析报告缺乏。
因此,我院迫切需要采用必要的技术手段来防范和减少运维操作风险,确保信息系统安全、稳定运行。
3.1.2数据库本身的安全风险
数据库服务器的应用相当复杂,掌握起来非常困难。
许多数据库管理员都忙于管理复杂的系统,所以很可能没有检查出严重的安全隐患和不当的配置,甚至根本没有进行检测。
所以,正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题,使数据库专业人员也通常没有把安全问题当作他们的首要任务。
在安全领域中,类似网页被修改、电脑中病毒、木马、流氓软件、弹出窗口等所造成的经济损失微乎其微,而一旦数据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的。
3.1.3数据库的全面防护
安全是多个环节层层防范、共同配合的结果。
也就是说在安全领域不能够仅靠某一个环节完成所有的安全防范措施。
一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。
数据库领域的安全措施通常包括:
身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。
只有通过综合有关安全的各个环节,才能确保高度安全的系统。
3.1.4数据库及其应用系统风险
拙劣的数据库安全保障设施不仅会危及数据库的安全,还会影响到服务器的操作系统和其它信用系统。
还有一个不很明显的原因说明了保证数据库安全的重要性-数据库系统自身可能会提供危及整个网络体系的机制。
例如,某个公司可能会用数据库服务器保存所有的技术手册、文档和白皮书的库存清单。
数据库里的这些信息并不是特别重要的,所以它的安全优先级别不高。
即使运行在安全状况良好的操作系统中,入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征,利用对数据库的访问,获取对本地操作系统的访问权限。
这些程序可以发出管理员级的命令,访问基本的操作系统及其全部的资源。
如果这个特定的数据库系统与其它服务器有信用关系,那么入侵者就会危及整个网络域的安全。
3.1.5数据库前端应用风险
在电子商务、电子贸易的着眼点集中于WEB服务器、Java和其它新技术的同时,应该记住这些以用户为导向和企业对企业的系统都是以Web服务器后的关系数据库为基础的。
它们的安全直接关系到系统的有效性、数据和交易的完整性、保密性。
系统拖延效率欠佳,不仅影响商业活动,还会影响公司的信誉。
不可避免地,这些系统受到入侵的可能性更大,但是并未对商业伙伴和客户敏感信息的保密性加以更有效的防范。
此外,ERP和管理系统,如ASPR/3和PeopleSoft等,都是建立在相同标准的数据库系统中。
无人管理的安全漏洞与时间拖延、系统完整性问题和客户信任等有直接的关系。
由此可见,数据库安全实际上是信息安全的核心,在这种情况下,有必要采用专业的新型数据库安全产品,专门对数据库及其操作系统进行保护。
3.2项目需求
做为解决上述风险问题的数据系统,应包含一下主要特性:
服务器运维安全—针对直接登录操作系统的行为进行控制与审计。
数据库使用情况评估—检查真实的数据库网络流量以构建一个使用的基准模型,并自动创建数据库安全政策。
管理员可以通过审查分析文件轻松掌握适当的数据库使用,非常灵活方便的制定数据库使用着的行为策略。
数据库审计——SecureSphere采集许多审计数据,并且提供内置的报告功能,可以灵活地满足内部或外部规定要求。
SecureSphere的数据库审计包括数据库活动审计、实时告警审计、用户基本信息审计。
数据库保护——这是SecureSphere对数据库实时保护核心功能,包括:
✓数据库应用保护
✓客户化策略的实施
✓数据库平台的保护
✓识别复杂的攻击(通过多种手段的联动)
具体到设备的功能,应该具有以下特点:
支持各种主流运维协议
字符型协议(Telnet、SSH、FTP、SFTP)
图形化协议(RDP、Xwindows、VNC、http、https、AS400及其他)
支持各种主流数据库
包括对各种版本和各种平台的Oracle、DB2、Informix、Sybase、MSSQLServer的支持。
审计厂家必须和四大数据库厂家(Oracle,IBM,Sybase,MicroSoft)是官方认可的深层商业合作伙伴,从而能够保证审计结果的精确性和权威性
设备的引入不应对正常业务和正常的数据库运行造成任何影响,同时应满足权限分离的要求,不容许被审计人员对审计功能元进行修改和操作。
对数据库没有影响的功能非常有利于部署实施,设备的部署不需要对数据库进行变动,或者对数据中心结构的其它方面进行变动。
审计产品应是一个基于网络的应用解决方案,不需要数据库服务器管理权限或者安装主机软件。
其部署及运营可能由网络安全人员进行,而不会对数据库管理资源造成影响。
这种方式通过保持安全功能的独立,从而遵守安全实践。
审计设备可以审计所有针对数据库的访问,包括对数据库直接连接的访问,以及前台应用程序对数据库的访问;如果应用通过加密方式访问数据库,同样应该可以审计到。
审计功能要求审计到尽可能详细的信息
针对每一条数据库的访问,审计记录要细致到每一次事务/查询的原始信息记录,应该可以记录所有的关键信息,至少包括以下各个方面:
数据库服务器、源IP、目的IP、原始的查询指令、去除具体参数的查询指令、源应用软件、数据库用户名、访问源操作系统用户名、访问源操作主机名、高级权限操作、存储过程、目标数据库和Schema、StreamID、操作回应内容、操作返回的错误代码操作回应的时间操作回应的条目大小。
如果是前台用户通过Web利用应用服务器访问数据库(BS架构下),还应可以审计记录以下信息:
前台应用程序的用户名、前台程序的URL、WebSessionID、Web客户端IP
对于通过OracleEBS或SAP等应用服务器访问数据库(CS架构下),应该可以记录最终前台用户的用户名
为了有效地记录数据库访问操作,审计人员需要尽可能详细的审计记录信息,详细到准确的查询和响应属性这一级别。
数据库审计记录必须将所审计数据库事务归于特定用户。
例如,SOX合规审计机制要求必须记录对财务报告数据的每个更改及执行此更改的用户姓名。
但是,当用户通过Web应用程序或SAP、OracleE-BusinessSuite等应用服务器访问数据库时,数据库审计系统必须可以记录最终的责任用户。
支持BindVariable
很多基于数据库的查询是通过BindVariable完成的。
这就要求审计系统不光要记录查询中BindVariable的变量的名字,还要记录BindVariable的数值。
举例来说:
一个包含BindVariable的SQL是:
select*fromaaawherename=:
who,审计系统不光把这个SQL记录下来,同时要记录:
who=jimmy,这样才是完整的包含BindVariable的审计结果。
审计策略可以非常灵活的定义
由于对于实际的生产系统,需要审计的数据库访问量非常大,这就要求有灵活的审计策略可以定义想要审计的数据库操作的内容。
可以定义审计策略的条件应该包括以下各个关键字的条件组合:
源IP、目的IP、原始的查询指令、去除具体参数的查询指令、源应用软件、数据库用户名、访问源操作系统用户名、访问源操作主机名、高级权限操作、存储过程、目标数据库和SchemaStreamID
操作回应内容、操作返回的错误代码、操作回应的时间、操作回应的条目大小
同样如果是前台用户通过Web利用应用服务器访问数据库(BS架构下),或对于通过OracleEBS或SAP等应用服务器访问数据库(CS架构下),还应可以根据前台应用程序的用户名来定义审计记录的策略
可以定义敏感数据表,保护核心机密数据
可将机密数据定义敏感表,任何用户对敏感表的非法和违规访问可以产生特别的报警
审计结果的归档灵活方便
为了提高整个数据库审计系统的扩展性,审计信息可以通过FTP,SCP等传输协议灵活的归档到外部的存储设备上,归档出来的数据格式应该是通用格式(CSV),归档可以选择手动及定时定期的自动方式。
审计告警日志对外的接口
审计结果告警日志可以通过Syslog或SNMP协议和外部的统一审计平台送出数据,进行互通。
审计结果可以自动生成符合专业合规审计(SOX)要求的审计报告
符合SOX合规性的审计解决方案为生成关键业务(如财务)报告时使用的数据库提供全面的数据审计和安全性,给审计人员带来了极大的便利性。
数据库安全审计网关可以使用自动生成的专用的报告来证明对关键数据库实施控制,这些都是404条款的主要要求。
通过专用的符合SOX的用户评估报告,合规性检查人员可以验证只有具有合法需求的用户才可以访问关键数据库。
智能而自动的建立用户对数据库访问的行为模型
审计设备设备应具有自动建立用户数据库访问行为模型的能力。
自动智能建模功能可以自动学习、并且自动适应用户数据库及应用系统的各方面特点,自动建立“充分必要”的安全策略。
同时,结合全面的、精细的手工定制和调优功能,在最大程度的降低管理工作量的同时,提供最佳的安全配置。
为每个用户自动建立对数据库和Schema访问的基线,内容是可正常访问的数据库和Schema。
用户访问模型自动建立功能分析实际数据库流量并使用复杂的学习算法创建每个访问数据库的用户或应用的所有合法活动分析模型。
此模型不仅仅作为后来审计评估使用变化或应用行为的基准,并且是自动生成的数据库使用安全政策,允许信息安全小组不仅仅可以监视并审计使用,而且保护数据库免受非法行为。
学习算法不断应用到实际流量中以便当用户活动随着时间发展时,有效变化将自动重新组织并集成到行为模型中。
如果用户访问数据库的时候,行为模型的偏差将自动触发一个报警并可以根据严重性进行阻断。
发现非法行为的实时告警功能
这是在系统运行时,对正在进行的业务和管理层面的数据库交互活动进行检测。
对其中违反既定的安全策略的行为可以即时发现,同时可以产生报警、阻断以及供事后分析和审计的依据。
实时的监控和防护可以第一时间消除违规操作对系统的影响。
设备具有实时告警的功能,针对非法访问行为和用户定义的访问行为可以实时告警。
告警信息可以发送到SyslogServer,或通过Email发出。
数据库保护
这是数据库安全审计产品的重要功能,可以实时保护核心核心数据库免遭各种非法行为和破坏。
在数据库操作所经过的网络、操作系统、应用软件方面,相应的安全规则就是:
防火墙、IPS规则、应用协议保护;这部分规则可以是静态的,已经根据数据库和应用系统的要求做了精细的预设,同时还可以进一步的根据实际需要进行微调。
此功能应包括:
数据库应用保护
审计设备连续比较数据库访问模型的真实用户操作的差异。
来自分析的重要偏差生成警报,并且恶意的行为可以根据策略有选择性的阻止。
客户化策略实施
除了基于特征文件的安全政策外,管理可以定义任意粒度的客户政策。
例如:
管理员可以设置访问系统对象的查询策略,甚至对包含特定文本模式的查询。
政策偏离可以生成一个警报或者迅速阻止活动。
行为特征代码分析完成数据库平台保护
应该具有(IPS)保护数据库基础设施免受针对数据库平台及操作系统软件中已知漏洞蠕虫及其它攻击。
IPS功能主要通过检查数据库访问是否和特征代码库匹配来判断是否会触发数据库的漏洞。
特征代码库要求和国际安全研究组织同步,并且可以包含自定义的SQL特征。
特征代码要保证可以在线升级,可以使得系统在第一时间内抵御最新出现的针对数据库的非法危害行为以及在数据库没有打补丁的情况下,防止数据库厂家的安全漏洞造成的危害
防火墙层面和SQL协议层面保护
防火墙层面是在网络层面保护数据库免受各种网络层面的非法操作威胁。
同时对于上层协议(SQL的通信)的合法性及滥用的检测,对于数据库服务器软件也非常重要。
对此,审计设备应该专门提供SQL应用协议检测的功能,来检测SQL协议是否合法或符合标准的规定。
在数据库保护层面,对于非法操作,可以进行非常丰富的响应动作,分为三类:
告警响应,即时行动,后续行动。
即时行动可以将数据包丢弃,后续行动就是通过对外通信来通知管理人员有非法行为发生。
数据库安全评估功能:
对数据库的基础系统以及运行时的配置进行评估。
数据库的基础系统包括,操作系统和数据库应用程序,它们通常会存在软件的缺陷或漏洞,容易被攻击者利用。
可以主动评估数据库的安全状况,包括是否打了Patch,包括用户权限在内的各种安全设置是否合理。
高性能
要求审计设备的可以提供双向最低500Mbps,最高2Gbps的性能,毫微秒级延迟,支持的SQL交易数量从5万每秒到20万每秒。
高可用性
审计设备应支持高可用性确保最大的正常运行时间及应用可用性。
审计设备应具有在设备故障下应该不影响实际业务能力,同时审计设备支持主备配置方式,在合理配置下,可以达到小于1秒甚至更低的主备切换时延。
集中管理,分部部署
提供全分布式的三级网管架构,包括:
第一层—业务探测和实施引擎,第二层—网管服务器,第三层—操作控制台。
这种结构对于在数据库保护这样的大型网络系统中部署统一的安全策略具有至关重要的意义。
来自多个网关的日志数据也将显示在单个视图中,并存储在单个管理服务器数据库中。
这样可以增强管理的便利性,多网关的动态业务模型、IPS策略和系统参数集中存储于管理服务器,策略更改在服务器上进行,通过简单操作可将这些更改自动发布到多个网关中,立刻生效,方便快捷。
3.3总体设计方案
根据XX数据库系统的网络架构和数据库服务器以及中间件服务器的部署特点,我们提出了一套完整的解决方案:
在数据库交换机上做旁路镜像。
将旁路信号入数据库审计设备,完成对数据库服务器的访问、操作行为的实时监测审计,完整地记录所有的访问与操作行为和内容,该系统还提供了数据库服务器负载状况监测、客户端访问操作的详细分类统计和排名等功能。
在交换机做旁路,部署运维安全设备HAC。
针对数据库服务器本身的远程访问进行控制与审计。
采用Imperva数据库安全审计网关作为数据库系统审计,其基本原理是:
通过旁路监听的方式,对网络数据进行实时采集过滤,对各种上层的数据库应用协议数据进行分析和还原,然后再进行SQL语法解析,最后对审计记录进行存储、对违规的审计记录进行实时报警,同时生成审计报表和统计报表信息。
基于旁路监听的数据库审计的解决方案具有下面的一些优势:
Ø不需要对生产数据库进行任何设置,也不需要改变现有的网络架构和配置。
Ø采用旁路监听方式,不影响生产数据库的性能,不占用生产数据库服务器的网络带宽,同时在对审计数据进行压缩备份时不影响业务系统的正常运行。
Ø与数据库管理系统本身的审计功能相比具有更快的响应速度,可以进行实时审计和处理。
Ø审计数据更加安全。
与原有的业务网络隔离,因此可以更有效地保护审计数据的安全。
同时审计数据传输过程中采用了加密隧道和身份认证机制,有效防止了审计信息的被窃、被篡改与身份假冒。
Ø具有专门的审计日志格式和审计报表,易于查询。
Ø由于采用了动态建模技术,通过自动检测分析实时数据库通信,然后应用复杂的学习算法来创建包含访问数据库的每个用户和应用程序的所有合法活动的”业务模型”,包括数据库客户端的计算机名,程序名,数据库用户名,数据库名,表名以及详细的数据库操作内容等信息。
“业务模型”不仅用作以后审计评估用户或应用程序行为更改的依据,而且还是针对数据库使用自动生成的安全策略,信息安全团队使用”业务模型”不仅能够监视和审计数据库使用状况,而且还可以防止数据库受到攻击。
采用HAC运维安全产品对数据库服务器本身的运维进行安全审计,其基本原理是:
运维人员远程接入时,通过统一的登录入口,利用权限控制,访问不同的目标服务器资源。
并对运维全过程进行实时,事后的监控与追溯。
采用单臂模式部署时,其主要的优势是:
不改变网络拓扑,安装调试过程简单,可按照企业网络架构的实际情况灵活接入。
具有以下特点:
Ø系统采用协议分析、基于数据包还原虚拟化技术,实现操作界面模拟,将所有的操作转换为图形化界面予以展现,实现100%审计信息不丢失。
Ø针对运维操作图形化审计功能的展现外,同时还能对字符进行分析,包括命令行操作的命令以及回显信息和非字符型操作时键盘、鼠标的敲击信息。
Ø系统支持的审计协议以及工具包括:
✓终端命令操作:
Telnet、SSH
✓Windows图形:
RDP、VNC
✓Unix/Linux图形:
Xwindows
✓AS400主机图形:
AS400
✓文件上传和下载:
FTP、SFTP
✓基于BS的管理操作:
Http、Https
✓数据库管理工具:
pcAnywhere、DameWare、PL/SQL、TOAD等工具
3.4建设目标与原则
在为XX配置实施数据安全整体解决方案时的时候,遵循以下的配置基本原则:
•功能性满足本项目的实际需要
•可以支持现有应用系统,如数据库类型、本版等
•处理性能满足系统的需要
•对现有系统的无影响,包括;IP地址空间、路由规划、无需调整应用系统(如设置Proxy,安装软件等)
3.5建设方案
为了不影响数据库的正常使用和安全,数据库审计设备和运维安全设备以旁路方式部署。
通过在数据库交换机上做端口镜像的方式,把数据库数据流镜像到数据库审计网关,同时在数据库审计网关上配置管理IP,方便远程管理。
HAC设备旁路部署在数据库交换机上的任意端口,保证访问端,被访问端与HAC的IP路由可达,拓扑图如下图:
为了全面及时地掌握XX数据库系统的运行、访问和操作情况,并即时进行必要的处置,使数据安全管理问题得到了有效的解决。
除了默认的全部审计策略,还需要制定适合的策略来快速定位关键的、需要关注的各种操作。
为了解决各种需求,我们建立了以下审计策略:
1.关键数据库表审计
这个策略的作用条件为:
根据我们的业务类型,部分数据库表中存在大量的敏感信息,对这类表我们要着重关注。
2.非已知应用程序审计
网络中可能存在多条路径,多种终端,多种客户端软件,对我们的数据库进行访问,对此通过imperva,我们可以关注到整个网络中各种终端,软件对数据库的访问
3.重要操作审计
这个策略的作用条件为两个:
记录对数据库的插入、删除、更新、特权操作,排除对已知应用程序的审计。
这个策略是审计对数据库的重要操作,记录未知应用程序和客户端软件对数据库写操作,防止数据库被无意或恶意的篡改。
3.5.1数据库审计目标服务器
针对目标服务器,其审计概况如下
周期访问量:
3.5.2数据库登录情况
3.5.3策略应用情况
3.5.4各类前端应用系统对数据库的访问
3.5.5各类主机对数据库的访问
3.5.6修改数据库操作情况
3.5.7数据库异常与访问告警
3.6数据安全系统介绍
SecureSphere提供全分布式的三级网管架构,包括:
第一层——业务探测和实施引擎,第二层—MX网管服务器,第三层—操作控制台。
这种结构对于在XX数据库保护这样的大型网络系统中部署统一的安全策略具有至关重要的意义。
图SecureSphere的完整部署的示例
SecureSphere的管理服务器的主要特点包括:
•图形报告-完整的CrystalReports™包和与ODBC兼容的数据库访问支持预配置报告和自定义报告。
预配置报告使性能、合规性、安全警报及使用情况的异常情况一目了然。
升级会员 