企业数据库审计
方案概要
通过部署数据库审计系统,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,达到加强内外部数据库网络行为记录,提高数据资产安全。
业务价值
实现数据库操作行为的细粒度审计,为提高工作效率、威慑违规行为、取证定责提供有效手段,并使信息系统更符合等级保护、分级保护等相关国家政策、法律法规、标准及行业内部的规定。
使用客户群体
各级政府、企事业单位、金融机构、电信运营商
核心产品
inforguard dbaudit
需求分析
数据库是任何商业和公共安全中最具有战略性的资产,通常都保存着重要的商业信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战,概括起来主要表现在以下三个层面:
1、管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,离职员工的后门,致使安全事件发生时,无法追溯并定位真实的操作者。
2、技术风险:各种数据库系统都是一个大的复杂系统,安全漏洞如溢出, 注入层出不穷,而企业和政府处于稳定性考虑,往往对数据库补丁的跟进非常延后,并且通过应用层的注入攻击常使得数据库处于一个无辜受害的状态。
3、审计层面:依赖于数据库自身审计的方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的有效性和公正性。此外,对于海量数据的挖掘和迅速定位也是任何审计系统必须面对和解决的一个核心问题之一。
伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计,所以审计层面的重要性越来越体现出来。
数据库审计的目的概括来说主要是三个方面:
一是让数据管理员实时全面了解数据库实际发生的操作情况;
二是在可疑行为发生时可以自动启动预先设置的告警规则,让数据库管理员采取措施尽可能防范数据库风险的发生;
三是可以跟踪用户的全部操作,使审计系统具有一种威慑力,提醒用户安全使用数据库。
部署方案
不改变现有网络体系结构、不占用数据库服务器任何资源、不影响数据库性能的情况下,通过旁路接入业务网络,快速部署。实现企业核心数据库的“系统运行可视化、日常操作可跟踪、安全事件可鉴定”目标,解决企业数据库所面临的管理层面、技术层面、审计层面的三大风险,满足企业的不断增长的业务需要。
图1系统部署图
系统采用“网络抓包、本地操作审计”工作模式,支持oracle、ms-sql server、db2及sybase等业界主流的数据库审计,支持sqlplus、pl/sql、odbc等多种数据库客户端和开发工具的操作审计,当企业核心业务支撑系统的数据库发生危险操作时,可以根据事先的安全策略采取相应的防护措施,通过安全策略库,深入到应用层协议(如操作命令、数据库对象、业务操作过程)实现细料度的安全审计,根据事先设置的安全策略采取诸如产生告警记录、发送告警邮件(或短信),并为后续的安全事件责任鉴定提供详细的审计记录,任何有意/无意的越权操作、违规操作等高风险操作行为都将被有效的遏制,真正实现数据库操作的可视化、可跟踪、可追溯。
