帕拉迪数据库审计系统技术白皮书08.docx

1、帕拉迪数据库审计系统技术白皮书08技术白皮书版本 1.综 述产品背景目前，我国各政府部门、企事业单位使用的数据库系统绝大部分是由国外研制的商用数据库系统，其内部操作不透明，无法通过外部的任何安全工具来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。另外，由于数据库、用户众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客也有可能通过各种手段，获取系统权限，闯入部门或企业内部网络，这样造成的损失，更不可估量。据国际CERT/CC组织收到的Internet安全事故报告统计数据表明，高峰期每天要收到将近250个事故报

2、告，然而这只是占到发生的安全事故的很小比例。在如此大量的网络安全事件中，每一次成功的入侵都会对系统造成极大的损失，其中数据库系统被入侵造成的损失更是巨大。萨班斯法案（SOX）诞生之日起，为数不少的安全公司就已经预测到数据安全审计将成为企业无法回避的问题。只要是正规的企业，都无法回避自身的数据安全问题。当然，上市公司就更加需要重视。事实上，这里所说的数据库安全审计，不仅包括了数据源的安全，而且也涵盖了审计方法与企业IT 流程的结合。因此，如何提高系统管理员的管理水平，如何防止黑客的入侵，如何跟踪数据库上用户行为，出现故障后如何进行责任鉴定等等，已经成为这些部门或者企业至关重要的问题。产品用途PL

3、DSEC SMS DBM（数据库安全审计系统）是杭州帕拉迪网络科技有限公司为网络数据库服务器高效运维和数据安全管理，数据安全审计而推出的网络安全审计产品。通过旁路监听方式采集，分析处理，记录数据库服务器的所有操作，提供监测报警策略设置、数据库客户端访问操作统计分析以及数据库客户端访问排名等功能，实现对数据库服务器应用（包括数据库系统操作，数据操作）的实时监测、记录和审计。PLDSEC SMS DBM 系统构架 (图1.1) PLDSEC SMS DBM 系统构架图PLDSEC SMS DBM: 是基于LINUX 平台开发、运行的网络探头审计中心：实时审计数据库操作行为审计数据库类型：Oracl

4、e、SQL Server、Sybase、Informix、DBM2类数据库审计接入方式：旁路监听用户审计方式：采用B/S结构、HTTPS加密传输关于PLDSEC SMS DBMPLDSEC SMS DBM 实时监控、采集、分析来自网络内部和外部用户对数据库操作行为。采用在交换机上做镜像口方式获取网络中的会话流，不拦截网络中任何数据包，因此不对网络结构和性能产生任何影响，具有很好的透明性和安全性。2.产品技术介绍产品特点 高效隐蔽的旁路审计技术，不改变被保护的数据库系统及应用的使用模式。PLDSEC SMS DBM 系统使用旁路式检测技术，在网络中具有很高的隐蔽性和安全性，也不会受到网络攻击。采

5、用旁路方式接入既不会对被探测网络造成任何影响，同时避免采用日志收集方式或操作系统嵌入方式对目标数据库系统自身性能产生的影响。 高性能的核心抓包机制：系统通过独有的核心抓包技术，减少了系统切换和数据拷贝次数，大大提高了系统的数据采集性能，支持百兆和千兆线速的工作环境。在数据量高达每秒2G的流量下丢包率不超过0.05%，是同类产品无法比拟的。 高度定制的SQL语法分析：系统能够针对不同类型数据库分别定制SQL语法分析规则，极大地提高了系统审计力度。 兼容种种应用环境：系统能够对SQLPLUS、PLSQL、ODBMC、JDBMC、ADO、OLE等种种数据库连接接口下的数据库访问行为进行审计。 完备的

6、自身安全性：系统通过安全的OS平台，多级用户管理、完备的系统日志等技术特点实现了很好的自身安全性。 产品提供了功能强大的数据搜索引擎，搜索引擎支持细化的组合查询，帮助用户快速完成记录搜索。 产品提供了远程的数据保存和备份，并可让用户按照具体的网络状况来选择灵活的磁盘管理策略。 产品考虑了数据库服务器未使用默认服务端口的情况，允许用户修改审计端口，具备了较好的适应性和灵活性。 产品针对不同数据库类型开发专用的语法解析模块，从而保证了较高的SQL语句解析的准确率，避免了无用和错误记录的产生。 使用配置便捷性：改良后的数据库审计系统在配置使用方面大大简化了，用户原来配置数据库审计系统可能要花费几个小

7、时时间，现在只需要不超过半小时的时间，大大提高了使用者的工作效率。 多功能一体化引擎：帕拉迪数据库审计系统引擎可以同时审计ORACLE、MSSQL、SYBASE、DB2、INFORMIX五类大型数据库。审计功能审计记录项被访问数据库的详细信息：数据库服务器名称、IP地址、数据库类型访问者的详细信息：客户端IP、访问日期、访问时间、帐号、主机名、连接程序记录原始SQL操作语句审计策略大型运营商数据库服务器运行的业务数据量非常庞大，要审计所有数据对任何数据库审计产品都是不现实的，用户自定义策略对数据库进行审计是必须的，在这种迫切需求下帕拉迪数据库审计系统提供了丰富的审计策略，主要包括：数据库审计服

8、务器客户端IP、主机名、连接程序、帐号数据库类型关键表审计过滤功能系统根据用户制定的审计策略，对特定的数据库操作不进行审计，从而大大减少审计记录数据量。审计日志查询功能PLDSEC SMS DBM 不仅提供了强大的审计功能，而且提供了一套完善的审计日志查询功能。Session 查询用户可以根据：数据库服务器IP、客户端IP、日期、帐号等查询条件任意组合，精确快速的查找到所需要的信息。（图2.1）Session查询条件命令查询用户可以根据：数据库服务器IP、客户端IP、日期、帐号、主机名、关键字（SELECT、UPDATE、DELETE等）等查询条件任意组合，精确快速的查找到所需要的信息。 （图

9、2.2）命令查询条件SQL语句执行器用户可以在WEB页面执行SQL语句，进行审计日志查询。关键表操作审计用户自定义数据库关键表，系统根据用户制定策略，对所有关键表进行单独审计，生成报表供查询查询事务设置数据库审计记录属于海量数据，用户要在海量数据中查找到需要的相关信息，等待过程是漫长的，而且在等待过程中，用户又不能做别的查询操作。针对这个问题，PLDSEC SMS DBM 提供一个完美的解决方案。用户可以定制多个查询事务。用户在输入查询条件后，可以把本次查询作为一个事务，PLDSEC SMS DBM在检测到一个查询事务后，根据查询条件，自动执行本次查询事务，在查询事务执行过程中，用户可以进行别

10、的操作，完成后自动提示用户”本次查询已经完成”，用户可以看到本次查询出来的所有内容。统计功能统计方式手动统计用户手动触发统计，可以根据用户需要设定特定的统计条件和统计内容，实施统计统计内容导出用户可以将统计结果中显示的图片、报表导出进行进一步分析统计输出格式报表折线图柱状图饼图表格统计条件数据库IP数据表数据库访问者IP日期统计粒度每小时每天每月排名功能排名方式手动统计用户手动触发统计，可以根据用户需要设定特定的排名条件和排名内容，实施排名排名内容导出用户可以将排名结果中显示成统计图片、报表。排名结果用户可以导出进一步分析排名内容支持对特定数据库的特定数据表，访问者IP进行排名排名分类功能特性

11、服务器访问者流量排名每台审计服务的访问量数据表操作排名按IP统计SQL语句操作前10名基于角色的、严格的用户授权与管理PLDSEC SMS DBM 系统提供基于角色的、严格用户身份和授权管理。系统实现操作管理员和审计员两者之间的权限分离，实现两权之间相互制约、相互独立和严格访问控制体系。两者管理员角色功能如下：操作管理员添加数据库审计服务器审计规则制定查看审计记录及详细信息统计分析报表等审计管理员添加审计管理员安全操作日志审核、日志维护查看审计记录及详细信息系统自身安全保障PLDSEC SMS DBM系统具有完善的自我保障功能，除了上述的用户两权分立与访问控制外，系统还提供如下安全保障措施：对

12、系统自身的管理和维护动作进行详细审计，如帐号变更、用户授权、网探管理、规则配置与修改、审计事件查询与报表等管理员通过IE浏览区访问审计服务器，访问通过HTTPS进行，以保证访问的保密性，防止黑客窃听审计网探和审计中心之间、审计中心和Web服务器之间也采用加密通道进行数据的传输，防止非法窃听3.PLDSEC SMS DBM 应用如何使用PLDSEC SMS DBMPLDSEC SMS DBM系统使用旁路式检测技术，因此PLDSEC SMS DBM系统在网络中具有很高的隐蔽性和安全性，也不会受到网络攻击。采用旁路方式接入既不会对被探测网络造成任何影响，同时避免采用日志收集方式或操作系统嵌入方式对目

13、标数据库系统自身性能产生的影响。PLDSEC SMS DBM系统部署模式如下图所示：（图3.1）PLDSEC SMS DBM系统部署模PLDSEC SMS DBM 能做什么数据库效能统计统计被审计数据库服务器访问流量、客户端对数据库表的操作流量按客户端访问数据库session次数统计，统计出每个被审计数据库的访问量根据客户端IP访问数据库表的操作流量，统计TOP10的客户端IP数据库操作审计能够对被审计数据库服务器的各种数据库操作进行记录，提供详细的审计信息4W：（何时（When）、何地（Where）、何人（Who）、何种操作（What）。同时提供多种审计条件，分类审计或者组合审计。可以查询某

14、一天内，某个特定数据库服务器的所有数据库操作记录。查询事务设置用户可以根据查询条件，设置多个查询事务，系统按每个事务的查询条件自动查询统计。每个事务完成后，都会提示用户。4.结束语审计的概念和应用将会随着人们安全意识的增强、安全理念的更新，不断普及和深入，审计产品也会随之成为实现网络全面安全监控管理的一项有力工具和有效措施。数据库系统的审计产品，着重面向数据库的应用操作，将网络安全审计技术运用到更为深入和具体的层次。目前，我国自行研发的数据库管理系统还比较少，大部分的政府部门、金融行业、企事业单位使用都是国外的数据库管理系统，而这些数据库管理系统的安全等级仍然停留在比较低的层次上。因此，结合自己需要，研发并使用完全国产化的数据库安全产品，已经成为一项刻不容缓的任务。PLDSEC SMS DBM 是杭州帕拉迪网络科技有限公司历时两年时间自主研发的一款数据库审计产品，在激烈的市场竞争中，PLDSEC SMS DBM产品不断被完善，目前已经在数据库审计产品市场中占有一定的份额。我们仍在努力完善PLDSEC SMS DBM系统，使其能更好的服务于社会。