网络安全审计系统数据库审计解决方案.docx

1、 网络安全审计系统数据库审计解决方案网络安全审计系统数据库审计解决方案 数据库审计系统 技术建议书 目 次 1.综述综述 随着计算机和网络技术发展，信息系统的应用越来越广泛。数据库做为信息技术的核心和基础，承载着越来越多的关键业务系统，渐渐成为商业和公共安全中最具有战略性的资产，数据库的安全稳定运行也直接决定着业务系统能否正常使用。围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是 IT 治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路：管理层面：完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作，严格监控第三方维护人员的操作.技

2、术层面:除了在业务网络部署相关的信息安全防护产品（如 FW、IPS 等）,还需要专门针对数据库部署独立安全审计产品，对关键的数据库操作行为进行审计，做到违规行为发生时及时告警，事故发生后精确溯源.不过，审计关键应用程序和数据库不是一项简单工作。特别是数据库系统，服务于各有不同权限的大量用户,支持高并发的事务处理，还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求，还会降低数据库性能并增加管理费用。2.需求分析需求分析 随着信息技术的发展，XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如 XXX

3、等极其重要和敏感的信息.这些信息一旦被篡改或者泄露，轻则造成企业或者社会的经济损失，重则影响企业形象甚至社会安全。通过对 XXX的深入调研，XXX面临的安全隐患归纳如下:2.1.内部人员面临的安全隐患内部人员面临的安全隐患 随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。2.2.第三方维护人员的威胁第三方维护人员的威胁 企业在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司.如何有效

4、地管控设备厂商和代维人员的操作行为，并进行严格的审计是企业面临的一个关键问题。2.3.最高权限滥用风险最高权限滥用风险 因为种种历史遗留问题，并不是所有的信息系统都有严格的身份认证和权限划分,权限划分混乱，高权限账号（比如 DBA账号）共用等问题一直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露，最高权限的滥用,让数据安全变得更加脆弱，也让责任划分和威胁追踪变得更加困难。2.4.违规行为无法控制的风险违规行为无法控制的风险 管理人员总是试图定义各种操作条例，来规范内部员工的访问行为，但是除了在造成恶性后果后追查责任人，没有更好的方式来限制

5、员工的合规操作。而事后追查，只能是亡羊补牢,损失已经造成.2.5.系统日志不能发现的安全隐患系统日志不能发现的安全隐患 我们经常从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是，系统往往是在经历了大量的操作和变化后,才逐渐变得不安全。另外的情况是,用户通过登录业务服务器来访问数据库等核心资产，单纯的分析业务系统或者数据库系统的日志，都无法对整个访问过程是否存在风险进行判断.从系统变更和应用的角度来看，网络审计日志比系统日志在定位系统安全问题上更可信.2.6.系统崩溃带来审计结果的丢失系统崩溃带来审计结果的丢失 一般来说，数据库系统都会存储操作日志,也能开启

6、审计模块对访问进行审计，但是一旦有意外发生导致系统的崩溃，这些审计日志也随之消失,管理人员无法得知系统到底发生了什么。3.审计系统设计方案审计系统设计方案 3.1.设计思路和原则设计思路和原则 需要部署一款数据库审计系统，既能独立审计针对数据库的各种访问行为，又不影响数据库的高效稳定运行.该系统主要从以下 8 个方面进行设计考虑：实用性：由于业务系统数据在数据库中进行集中存储,故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等，同时能够审计数据库返回的信息，包括错误码和数据库响应时长，这样能够在数据库出现关键错误时及时响应，避免由于数据库故障带来的业务损失；灵活性：审计系统可提供缺

7、省的审计策略及自定义策略，可结合用户业务特点,对关键业务用户、操作途径、重要操作、重要表、重要字段进行过滤审计，并可指定操作事件发生时，系统的响应方式.兼容性：审计系统应适应不同的数据库类型和应用环境，对于主流商业数据库、国产数据库的各种版本均能进行审计。且对于不同数据库的审计策略编辑方法、日志展现能做到统一.独立性：审计系统应独立于数据库系统存在，即使数据库或者操作系统遭到破坏，仍然要保证审计日志的准确性和完整性。同时，审计系统的运行,对数据库系统和业务操作不应造成影响。扩展性:当业务系统进行扩容时，审计系统可以平滑扩容.系统支持向第三方平台提供记录的审计信息。可靠性：审计系统能连续稳定运行

8、，且提供足够的存储空间来存储审计日志，满足在线存储至少 6个月的要求；审计系统能够保证审计记录的时间的一致性，避免错误时间记录给追踪溯源带来的影响。安全性:分权限管理，具有权限管理功能,可以对用户分级，提供不同的操作权限和不同的网络数据操作范围限制，用户只能在其权限内对网络数据进行审计和相关操作，具有自身安全审计功能。易用性：审计系统应能够基于操作进行分析，能够提供主体标识（即用户）、操作（行为)、客体标识（设备、操作系统、数据库系统、应用系统)的分析和灵活可编辑的审计报表。3.2.系统设计原理系统设计原理 审计系统基于“网络数据流俘获应用层数据分析审计和响应”的基本流程实现各项功能，采用旁路

9、接入的工作模式，使得审计系统在实现各种安全功能的同时，对数据库系统无任何影响。审计系统主要实现以下安全功能：针对不同的数据库协议,提供基于应用操作的审计;提供数据库操作语义解析审计，实现对违规行为的及时监视和告警；提供缺省的多种合规操作规则，支持自定义规则（包括正则表达式等）,实现灵活多样的策略和响应；提供基于硬件令牌、静态口令、Radius 支持的强身份认证；根据设定输出不同的安全审计报告；3.3.网络安全审计系统介绍网络安全审计系统介绍 经过调研，网络安全审计系统（简称“系统”或者“”)是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对业务人员访问系统的行为进行解析、分

10、析、记录、汇报，用来帮助用户事前规划预防，事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等)的正常运营。对于业务系统的核心数据库的审计能力表现尤其出色，是国内审计数据库类型最全，解析粒度最细的审计产品。其设计思路和产品功能满足我单位数据库审计系统的设计思路和功能要求。网络安全审计系统能够监视并记录对数据库服务器的各类操作行为，实时、智能的解析对数据库服务器的各种操作，一般操作行为如数据库的登录，数据的导入导出、特定的 SQL操作如对数据库表的插入、删除、修改，执行特定的存贮过程等，都能够被记录和分析，分析的内容可以精确

11、到操作类型、操作对象(库、表、字段）.可记录操作的用户名、机器 IP 地址、客户端程序名、操作时间等重要信息，对于关键操作的数据库返回信息，包括操作结果、响应时长、select 操作返回内容也可进行记录。同时，提供日志报表系统进行事后的分析、取证和生成审计报告.3.3.1.审计系统功能审计系统功能 1。支持 HA部署,产品支持主备方式 2。支持审计引擎统一管理、至少支持 2个以上的引擎同时管理,审计数据统一存储、查询、分析、统计 3。支持各类数据库的审计，如 Oracle、SQLServer、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache

12、数据库,同时包括国产数据库人大金仓（Kingbase)、达梦（DM）、南大通用（Gbase)、神通(shentong)等数据库 4.支持 oracle数据库审计，并具有审计 oracle 中绑定变量的 SQL语句的功能与技术 5.支持对 Oracle数据库状态的自动监控,可监控会话数、连接进程、CPU 和内存占用率等信息 6。提供对数据库返回码的知识库和实时说明，帮助管理员快速对返回错误码进行识别 7。系统能提出数据库错误信息，方便审计以及运维 8。支持数据库账号登陆成功、失败的审计，数据库绑定变量方式访问的审计,Select 操作返回行数和返回内容的审计；9。支持访问数据库的源主机名、源主机

13、用户、SQL操作响应时间、数据库操作成功、失败的审计;支持数据库操作类、表、视图、索引、触发器、存储过程、游标、事物等各种对象的 SQL操作审计。10。支持数据库存储过程自动获取及内容审计。11.支持 Telnet协议的审计，能够审计用户名、操作命令、命令响应时间、返回码等;支持对 FTP 协议的审计，能够审计用户名、命令、文件、命令响应时间、返回码等 12。支持审计网络邻居（NetBIOS）的用户名、读写操作、文件名等,支持审计NFS 协议的用户名、文件名等 13.支持审计 Radius 协议的认证用户 MAC、认证用户名、认证 IP、NAS 服务器 IP 14.支持审计 HTTP/HTTP

14、S 协议的 URL、访问模式、cookie、Post 数据和内容 15。支持 IPMAC 绑定变化情况的审计 16。支持可对 SQL注入、XSS 跨站脚本攻击行为的发现 17。系统应自带不少于 100个缺省的审计规则库，方便用户选择使用 18。用户可自定义审计策略，审计策略支持时间、源 IP、目的 IP、协议、端口、登陆账号、命令作为响应条件 19.数据库审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件 20。审计策略支持字段名称和字段值作为分项响应条件 21。支持记录审计日志 22.支持界面告警、Syslog告警、SNMP trap 告警、短信告

15、警、邮件告警 23.支持按时间、级别、源目的 IP、源目的 MAC、协议名、源目的端口为条件进行查询 24。支持查询、统计的条件模板编辑与应用 25.数据库访问日志,支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件 26。系统能精确定位，支持在多源信息系统中搜索信息 27。web访问日志，支持按 URL、访问模式、cookie、页面内容、Post 内容等作为查询和统计条件 28。管理员登陆支持静态口令认证，支持密码的复杂性管理，比如大小写、数字、特殊字符、长度等 29.管理员登陆支持硬件令牌认证 30.提供审计数

16、据管理功能，能够实现对审计日志、审计报告的自动备份 31。提供磁盘存储容量不足、磁盘 Raid 故障等自动邮件报警 32.支持 SNMP 方式，提供系统运行状态给第三方网管系统，支持、syslog、SNMP Trap 向外发送审计日志 33。支持 Syslog方式接收第三方审计日志 34.支持连接外置存储,以扩展日志存储能力 各类数据库操作审计 目前，网络安全审计系统支持以下数据库系统的审计，是业界支持数据库种类最多的审计系统,能够满足不同用户、不同发展阶段情况下的数据库审计需求：Oracle SQLServer DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 人大金仓 Kingbase 数据库 达梦 DM 数据库 南大通用 GBase数据库 神通 Oscar数据库 对于支持 SQL92 语法的数据库操作均能精确审计，包括以下内容：DDL:Create，Drop，Grant，Revoke DML：Update，Insert,Delete DCL:Commit,Rollback，Savapoint 其他：Alter System,C