帕拉迪数据库审计系统技术白皮书08.docx
《帕拉迪数据库审计系统技术白皮书08.docx》由会员分享,可在线阅读,更多相关《帕拉迪数据库审计系统技术白皮书08.docx(9页珍藏版)》请在冰豆网上搜索。
帕拉迪数据库审计系统技术白皮书08
技术白皮书
版本<3.0>
1.综述
产品背景
目前,我国各政府部门、企事业单位使用的数据库系统绝大部分是由国外研制的商用数据库系统,其内部操作不透明,无法通过外部的任何安全工具来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。
另外,由于数据库、用户众多,系统管理员压力太大等因素,人为误操作的可能性时有发生,这会对部门或者企业声誉造成重大影响,并严重影响其经济运行效能。
黑客也有可能通过各种手段,获取系统权限,闯入部门或企业内部网络,这样造成的损失,更不可估量。
据国际CERT/CC组织收到的Internet安全事故报告统计数据表明,高峰期每天要收到将近250个事故报告,然而这只是占到发生的安全事故的很小比例。
在如此大量的网络安全事件中,每一次成功的入侵都会对系统造成极大的损失,其中数据库系统被入侵造成的损失更是巨大。
萨班斯法案(SOX)诞生之日起,为数不少的安全公司就已经预测到数据安全审计将成为企业无法回避的问题。
只要是正规的企业,都无法回避自身的数据安全问题。
当然,上市公司就更加需要重视。
事实上,这里所说的数据库安全审计,不仅包括了数据源的安全,而且也涵盖了审计方法与企业IT流程的结合。
因此,如何提高系统管理员的管理水平,如何防止黑客的入侵,如何跟踪数据库上用户行为,出现故障后如何进行责任鉴定等等,已经成为这些部门或者企业至关重要的问题。
产品用途
PLDSECSMSDBM(数据库安全审计系统)是杭州帕拉迪网络科技有限公司为网络数据库服务器高效运维和数据安全管理,数据安全审计而推出的网络安全审计产品。
通过旁路监听方式采集,分析处理,记录数据库服务器的所有操作,提供监测报警策略设置、数据库客户端访问操作统计分析以及数据库客户端访问排名等功能,实现对数据库服务器应用(包括数据库系统操作,数据操作)的实时监测、记录和审计。
PLDSECSMSDBM系统构架
(图1.1)PLDSECSMSDBM系统构架图
ØPLDSECSMSDBM:
是基于LINUX平台开发、运行的网络探头
Ø审计中心:
实时审计数据库操作行为
Ø审计数据库类型:
Oracle、SQLServer、Sybase、Informix、DBM2类数据库
Ø审计接入方式:
旁路监听
Ø用户审计方式:
采用B/S结构、HTTPS加密传输
关于PLDSECSMSDBM
PLDSECSMSDBM实时监控、采集、分析来自网络内部和外部用户对数据库操作行为。
采用在交换机上做镜像口方式获取网络中的会话流,不拦截网络中任何数据包,因此不对网络结构和性能产生任何影响,具有很好的透明性和安全性。
2.产品技术介绍
产品特点
●高效隐蔽的旁路审计技术,不改变被保护的数据库系统及应用的使用模式。
PLDSECSMSDBM系统使用旁路式检测技术,在网络中具有很高的隐蔽性和安全性,也不会受到网络攻击。
采用旁路方式接入既不会对被探测网络造成任何影响,同时避免采用日志收集方式或操作系统嵌入方式对目标数据库系统自身性能产生的影响。
●高性能的核心抓包机制:
系统通过独有的核心抓包技术,减少了系统切换和数据拷贝次数,大大提高了系统的数据采集性能,支持百兆和千兆线速的工作环境。
在数据量高达每秒2G的流量下丢包率不超过0.05%,是同类产品无法比拟的。
●高度定制的SQL语法分析:
系统能够针对不同类型数据库分别定制SQL语法分析规则,极大地提高了系统审计力度。
●兼容种种应用环境:
系统能够对SQLPLUS、PLSQL、ODBMC、JDBMC、ADO、OLE等种种数据库连接接口下的数据库访问行为进行审计。
●完备的自身安全性:
系统通过安全的OS平台,多级用户管理、完备的系统日志等技术特点实现了很好的自身安全性。
●产品提供了功能强大的数据搜索引擎,搜索引擎支持细化的组合查询,帮助用户快速完成记录搜索。
●产品提供了远程的数据保存和备份,并可让用户按照具体的网络状况来选择灵活的磁盘管理策略。
●产品考虑了数据库服务器未使用默认服务端口的情况,允许用户修改审计端口,具备了较好的适应性和灵活性。
●产品针对不同数据库类型开发专用的语法解析模块,从而保证了较高的SQL语句解析的准确率,避免了无用和错误记录的产生。
●使用配置便捷性:
改良后的数据库审计系统在配置使用方面大大简化了,用户原来配置数据库审计系统可能要花费几个小时时间,现在只需要不超过半小时的时间,大大提高了使用者的工作效率。
●多功能一体化引擎:
帕拉迪数据库审计系统引擎可以同时审计ORACLE、MSSQL、SYBASE、DB2、INFORMIX五类大型数据库。
审计功能
审计记录项
Ø被访问数据库的详细信息:
数据库服务器名称、IP地址、数据库类型
Ø访问者的详细信息:
客户端IP、访问日期、访问时间、帐号、主机名、连接程序
Ø记录原始SQL操作语句
审计策略
大型运营商数据库服务器运行的业务数据量非常庞大,要审计所有数据对任何数据库审计产品都是不现实的,用户自定义策略对数据库进行审计是必须的,在这种迫切需求下帕拉迪数据库审计系统提供了丰富的审计策略,主要包括:
Ø数据库审计服务器
Ø客户端IP、主机名、连接程序、帐号
Ø数据库类型
Ø关键表
审计过滤功能
系统根据用户制定的审计策略,对特定的数据库操作不进行审计,从而大大减少审计记录数据量。
审计日志查询功能
PLDSECSMSDBM不仅提供了强大的审计功能,而且提供了一套完善的审计日志查询功能。
ØSession查询
用户可以根据:
数据库服务器IP、客户端IP、日期、帐号等查询条件任意组合,精确快速的查找到所需要的信息。
(图2.1)Session查询条件
Ø命令查询
用户可以根据:
数据库服务器IP、客户端IP、日期、帐号、主机名、关键字(SELECT、UPDATE、DELETE等)等查询条件任意组合,精确快速的查找到所需要的信息。
(图2.2)命令查询条件
ØSQL语句执行器
用户可以在WEB页面执行SQL语句,进行审计日志查询。
Ø关键表操作审计
用户自定义数据库关键表,系统根据用户制定策略,对所有关键表进行单独审计,生成报表供查询
Ø查询事务设置
数据库审计记录属于海量数据,用户要在海量数据中查找到需要的相关信息,等待过程是漫长的,而且在等待过程中,用户又不能做别的查询操作。
针对这个问题,PLDSECSMSDBM提供一个完美的解决方案。
用户可以定制多个查询事务。
用户在输入查询条件后,可以把本次查询作为一个事务,PLDSECSMSDBM在检测到一个查询事务后,根据查询条件,自动执行本次查询事务,在查询事务执行过程中,用户可以进行别的操作,完成后自动提示用户”本次查询已经完成”,用户可以看到本次查询出来的所有内容。
统计功能
统计方式
●手动统计
用户手动触发统计,可以根据用户需要设定特定的统计条件和统计内容,实施统计
●统计内容导出
用户可以将统计结果中显示的图片、报表导出进行进一步分析
统计输出格式
Ø报表
Ø折线图
Ø柱状图
Ø饼图
Ø表格
统计条件
Ø数据库IP
Ø数据表
Ø数据库访问者IP
Ø日期
统计粒度
Ø每小时
Ø每天
Ø每月
排名功能
排名方式
●手动统计
用户手动触发统计,可以根据用户需要设定特定的排名条件和排名内容,实施排名
●排名内容导出
用户可以将排名结果中显示成统计图片、报表。
排名结果用户可以导出进一步分析
排名内容
支持对特定数据库的特定数据表,访问者IP进行排名
排名分类
功能特性
服务器访问者流量排名
●每台审计服务的访问量
数据表操作排名
●按IP统计SQL语句操作前10名
基于角色的、严格的用户授权与管理
PLDSECSMSDBM系统提供基于角色的、严格用户身份和授权管理。
系统实现操作管理员和审计员两者之间的权限分离,实现两权之间相互制约、相互独立和严格访问控制体系。
两者管理员角色功能如下:
Ø操作管理员
◆添加数据库审计服务器
◆审计规则制定
◆查看审计记录及详细信息
◆统计分析报表等
Ø审计管理员
◆添加审计管理员
◆安全操作日志审核、日志维护
◆查看审计记录及详细信息
系统自身安全保障
PLDSECSMSDBM系统具有完善的自我保障功能,除了上述的用户两权分立与访问控制外,系统还提供如下安全保障措施:
Ø对系统自身的管理和维护动作进行详细审计,如帐号变更、用户授权、网探管理、规则配置与修改、审计事件查询与报表等
Ø管理员通过IE浏览区访问审计服务器,访问通过HTTPS进行,以保证访问的保密性,防止黑客窃听
Ø审计网探和审计中心之间、审计中心和Web服务器之间也采用加密通道进行数据的传输,防止非法窃听
3.PLDSECSMSDBM应用
如何使用PLDSECSMSDBM
PLDSECSMSDBM系统使用旁路式检测技术,因此PLDSECSMSDBM系统在网络中具有很高的隐蔽性和安全性,也不会受到网络攻击。
采用旁路方式接入既不会对被探测网络造成任何影响,同时避免采用日志收集方式或操作系统嵌入方式对目标数据库系统自身性能产生的影响。
PLDSECSMSDBM系统部署模式如下图所示:
(图3.1)PLDSECSMSDBM系统部署模
PLDSECSMSDBM能做什么
数据库效能统计
统计被审计数据库服务器访问流量、客户端对数据库表的操作流量
Ø按客户端访问数据库session次数统计,统计出每个被审计数据库的访问量
Ø根据客户端IP访问数据库表的操作流量,统计TOP10的客户端IP
数据库操作审计
能够对被审计数据库服务器的各种数据库操作进行记录,提供详细的审计信息4W:
(何时(When)、何地(Where)、何人(Who)、何种操作(What))。
同时提供多种审计条件,分类审计或者组合审计。
可以查询某一天内,某个特定数据库服务器的所有数据库操作记录。
查询事务设置
用户可以根据查询条件,设置多个查询事务,系统按每个事务的查询条件自动查询统计。
每个事务完成后,都会提示用户。
4.结束语
审计的概念和应用将会随着人们安全意识的增强、安全理念的更新,不断普及和深入,审计产品也会随之成为实现网络全面安全监控管理的一项有力工具和有效措施。
数据库系统的审计产品,着重面向数据库的应用操作,将网络安全审计技术运用到更为深入和具体的层次。
目前,我国自行研发的数据库管理系统还比较少,大部分的政府部门、金融行业、企事业单位使用都是国外的数据库管理系统,而这些数据库管理系统的安全等级仍然停留在比较低的层次上。
因此,结合自己需要,研发并使用完全国产化的数据库安全产品,已经成为一项刻不容缓的任务。
PLDSECSMSDBM是杭州帕拉迪网络科技有限公司历时两年时间自主研发的一款数据库审计产品,在激烈的市场竞争中,PLDSECSMSDBM产品不断被完善,目前已经在数据库审计产品市场中占有一定的份额。
我们仍在努力完善PLDSECSMSDBM系统,使其能更好的服务于社会。
升级会员 