概述
英文:Database security audit system
它可以監控和審計用戶對資料庫中的資料庫表 、視圖、序列、包、存儲過程、函式、庫、索引、同義詞、快照、觸發器等的創建、修改和刪除等,分析的內容可以精確到SQL操作語句一級。它還可以根據設定的規則,智慧型的判斷出違規運算元據庫的行為,並對違規行為進行記錄、報警。由於資料庫安全審計系統是以網路旁路的方式工作於資料庫主機所在的網路,因此它可以在根本不改變資料庫系統的任何設定的情況下對資料庫的操作實現跟蹤記錄、定位,實現資料庫的線上監控,在不影響資料庫系統自身性能的前提下,實現對資料庫的線上監控和保護,及時地發現網路上針對資料庫的違規操作行為並進行記錄、報警,有效地彌補現有套用業務系統在資料庫安全使用上的不足,為資料庫系統的安全運行提供了有力保障。
一、資料庫安全審計系統 主要功能包括:
· 實時監測並智慧型地分析、還原各種資料庫操作過程。
· 根據規則設定及時阻斷違規操作,保護重要的資料庫表和視圖。
· 實現對資料庫系統漏洞、登錄帳號、登錄工具和數據操作過程的跟蹤,發現對資料庫系統的異常使用。
· 支持對登錄用戶、資料庫表名、欄位名及關鍵字等內容進行多種條件組合的規則設定,形成靈活的審計策略。
· 提供包括記錄、報警、中斷和向網管系統報警等多種回響措施。
· 具備強大的查詢統計功能,可生成專業化的報表。
二、資料庫安全審計系統主要特點
· 採用旁路技術,不影響被保護資料庫的性能。
· 使用簡單,不需要對被保護資料庫進行任何設定。
· 支持SQL-92標準,適用面廣,可以支持Oracle、MS SQL Server、Sybase、Informix等多類資料庫。
· 審計精細度高,可審計並還原SQL操作語句。
· 採用分散式監控與集中式管理的結構,易於擴展。
· 完備的"三權分立"管理體系,適應對敏感內容審計的管理要求。
三、資料庫安全審計管理系統示意圖
市場分析
國外廠家和產品
1、以色列的Imperva,該系統功能還是滿強大的,通過IDP探針,串聯部署,阻斷資料庫數據安全威脅。但國內用戶使用由於全英文界面,加上配置資料庫安全策略很複雜,非專業資料庫DAB操作起來很困難。更重要的是國內使用該產品,其技術手段需要依靠合作的資料庫廠商來做支持。
2、IBM的Guardium:該系統強過國內的大部分產品,但由於其設計思路的原因,部署上需要在資料庫伺服器端安裝“S-TAP” 輕量級系統探針;分級部署時需在資料庫伺服器端安裝“S-GATE”,在總控伺服器安裝“Z-TAP”。該系統按照國外的審計需求,只針對滿足國外需求的審計數據進行審計。過濾了大部分可能對國內用戶有實用價值的審計信息。也是全英文界面,資料庫安全審計策略配置很複雜,非專業資料庫DAB操作起來很困難。
以上兩個產品是國外的主流產品,國內市場上基本數據高端專業客戶使用,價格很高。對國內絕大多數用戶來說,具有有用性,但缺乏實用性,操作維護困難。只記錄“關注”事件,逃避“IO”,失去“事後”追蹤有用性, 增加“事前”管理和使用難度。
國內廠家和產品
國內資料庫產品主要廠商:
1、上訊信息——資料庫安全審計系統;
2、北京安信通——資料庫審計系統;
3、北京國都興業——慧眼資料庫審計系統;
4、深圳昂楷科技——資料庫多重審計系統AAS;
5、安華金和——資料庫監控與審計系統;
6、安恆信息——明御資料庫審計和風險控制系統;
7、北京天融信——網路衛士資料庫審計系統TopAudit-DB (簡稱 TA-DB)
8、北京啟明星辰——天玥網路安全審計系統
9、北京萊克斯科技——ClearNet DBA資料庫審計系統
10、杭州思福迪——LOGBASE業務資料庫審計系統
11、杭州帕拉迪——DBxpert資料庫審計系統
12、福建海峽信息——黑盾資料庫安全審計系統
主要分為:國內原先具有網路審計產品的廠商,在網路審計產品的基礎上經過簡單包裝,推出的資料庫審計產品;國內廠商專門針對資料庫通訊協定的特點,開發出專門的資料庫審計產品;國外的資料庫審計產品;OEM第三方的資料庫審計產品,OEM對象可能是國內的產品,也可能是國外的產品。
區分這些資料庫安全審計產品可以從幾個方面來測試:
1、雙向審計:只能實現單包返回狀態分析,不能實現對查詢結果進行分析。
2、長SQL語句漏審:超長SQL語句無法解析記錄,提供逃避審計通道;
3、完全協定解析:解析協定解碼不完全(無會話技術就不可能完全解碼);
4、參數值與SQL語句匹配:變數綁定不支持或不完整(審計素材有用性缺失);
5、海量數據分析:無法全部存儲分析審計數據,記錄之後,不能查詢;
6、海量存儲:無法記錄下原始數據包,缺乏最原始的審計依據;
7、及時警告:事後報警,做不到事前防範,事中報警;
8、多語句無法有效分割:長會話記錄分散記錄,審計困難;
9、客戶影響:部分產品需要改變網路拓撲,甚至需要在資料庫伺服器上安裝採集器,易造成安全漏洞。
10、套用用戶關聯:三層套用用戶關聯有20%以上會出現漏審和錯審,尤其在高並發下更是如此。
這裡重點評價一下好的資料庫審計系統要求:能展現資料庫完整會話操作的系統。採用資料庫訪問協定完全解析技術,能實現對超過1460位元組長度的SQL語句完整解析。除了能解析資料庫綁定變數,還能解析該綁定變數的值。能完整記錄SQL語句的返回結果集。同時由於是國內廠家自主智慧財產權,技術支持也比國外產品更直接、更有效。
智碼資料庫安全審計如果說好的資料庫審計系統的特徵如下:
1、能展現資料庫完整會話操作;
2、具備對超過1460位元組長度的SQL語句完整解析;
3、具備解析資料庫綁定變數和該綁定變數的值;
4、能完整記錄SELECT語句的返回結果集;
市場和政策
上市公司:薩班斯法案的要求
電信、軍工、菸草、電力等行業需求
等級保護、分級保護的要求
部署方式
在部署方式上,資料庫安全審計系統採用了零風險的旁路部署方式。只要在交換機上設定鏡像連線埠,而不需要對現有的網路體系結構進行調整,也無需對現有資料庫進行任何更改或增加配置。
部署圖