概述
在总体网络安全结构不断完善,自身技术水平不断提高,制度管理规范不断落实的同时,数据库安全也成为IT系统对于总体安全防范整改的重要关键点,对于如何有效保护、监控、审计、分析数据库信息等问题成为信息安全重要思考的问题。信息技术的急速发展使得企业数据库信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战,概括起来主要表现在以下三个层面:
- 管理层面:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。
- 技术层面:现有的数据库内部操作不明,无法通过外部的任何安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。
- 审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性。
伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。为了解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求,安全审计和防御方案应具备以下能力:
- 完整记录数据库的所有操作,发现违规操作和异常访问能及时告警;
- 审计所有用户对数据库的操作,及时发现超级用户、管理员用户或临时用户的越权使用或者数据泄密行为;
- 提供审计报表,满足合规性要求;
- 满足国家法规要求。
总体架构
总体功能
1.系统部署架构
云琅iVault数据库安全审计管理平台底层采用Oracle Audit Vault软件,通过云琅自主开发的用户界面和策略库,帮助用户获得开箱即用的数据库安全审计功能。
2.数据库行为细粒度审计
iVault软件完整记录用户数据库会话细节,包括用户数据库登录行为、登出行为、SQL 操作用户名称、SQL 操作源程序名称、SQL 操作源终端名称、SQL 操作源终端登录用户名称、SQL 会话参数设置、SQL 操作语句、SQL 操作返回状态、SQL 操作涉及表组、字段、视图、索引、过程、函数、SQL DML 操作影响行数、SQL 语句执行时间、原始数据库记录包等。
3.全平台、全协议解析
iVault软件支持各主流商用数据库,包括:Oracle 8/9/10/11 等、Sybase 所有版本、SQL Server 2000/2005、Informix 所有版本、DB2 所有版本,能够实现变量绑定、超长SQL 命令和字段级的审计;针对运维操作审计,支持包括,Telnet、FTP、Rlogin 等协议,能够实现命令级和过程级的内容审计。
对于某些不支持SQL访问的实时数据库系统,可以审计其进程的安全,及对其数据文件的访问情况。通过数据库审计和防御系统的开放接口,可以进行二次开发,从而拓展其审计范围。
4.自定义告警策略
iVault软件提供完善的违规实时告警,包括异常告警、策略告警等;告警信息可根据数据库地址、数据库名称、访问源IP 地址、高危SQL 命令、客户端网络地址、客户端应用程序、数据库用户名称、客户端主机名称、客户端系统名称、SELECT 返回值以及数据库表组合(关键表名、组名)等信息进行组合配置。
对于违反告警及审计规则的信息,提供多形式的预警,包括通过手机短信、邮件、屏幕、以及SYSLOG、SNMP等发送到用户或其它相应的网管中心平台
5.实时监控与风险控制
iVault软件保护业界主流的数据库系统,防止受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时,自动根据预设置的风险控制策略,结合对数据库活动的实时监控信息,进行特征检测及审计规则检测,任何尝试的攻击或违反审计规则的操作都会被检测到并实时阻断或告警。
6.完备的审计报表
iVault软件除了按安全经验、行业需求分类的预定义固定格式报表外,管理员还可以利用报表自定义功能生成定制化的报告。报告模块同时支持Word、Excel、HTML、Pdf格式的数据导出。
7.安全事件回放
很多安全事件或者与之关联的事件在发生一段时间后才引发相应的人工处理,iVault软件允许提取历史数据,对过去某一时段的事件进行回放,真实展现当时的完整操作过程,便于分析和追溯系统安全问题,使得相关的证据更具有公证性。
8.独立审计模式
审计数据通过网络完全独立地采集,这使得数据库维护或开发小组,安全审计小组的工作进行适当的分离。而且,审计工作不影响数据库的性能、稳定性或日常管理流程。
iVault软件的审计结果独立存储于审计软件自带的存储空间中,避免了数据库特权用户或恶意入侵数据库服务器用户,干扰审计信息的公正性。
9.基于WEB的管理界面
iVault软件提供WEB-base的管理页面,数据库安全管理员在不需要安装任何客户端软件的情况下,基于标准的浏览器即可完成相关配置管理。
10.自身日志的审计
iVault软件提供针对审计设备自身的操作日志进行详细记录,满足相关法令法规要求。
11.零风险部署
iVault软件在不改变现有的网络体系结构(包括:路由器、防火墙、应用层负载均衡设备、应用服务器等)的情况下快速部署。采用旁路镜像、TAP分光、负载均衡分流等方式。
部署后的系统收益
部署iVault软件数据库审计与风险控制系统,可以实现核心数据库的“系统运行可视化、日常操作可跟踪、安全事件可鉴定”目标,解决企业数据库所面临的管理层面、技术层面、审计层面的三大风险,以满足不断增长的业务需要。数据库审计与风险控制系统对于数据库的安全防护功能,概括起来体现在以下三个方面:
- 采用“网络抓包、本地操作审计”组合工作模式,确保数据库访问的100%完整记录,为后续的日常操作跟踪、安全事件鉴定奠定了基础
- 一方面利用数据库安全厂家多年积累的安全知识库,防止无意的危险误操作,阻止数据库软件漏洞引起的恶意攻击;另一方面,依赖智能自学习过程中动态创建的安全模型与异常引擎相结合,有效控制越权操作、违规操作等异常操作行为。
- 通过预先配置的数据库安全策略库,可以深入到应用层协议(如操作命令、数据库对象、业务操作过程)实现细料度的安全审计,并根据事先设置的安全策略采取诸如产生告警记录、发送告警邮件(或短信)、提升风险等级、加入黑名单、立即阻断等响应。同时,数据库审计与风险控制系统可以提供多视角的审计报告,即根据实时记录的网络访问情况,提供多种安全审计报告,更清晰地了解系统的使用情况以及安全事件的发生情况,并可根据这些安全审计报告进一步修改和完善数据库安全策略库。
另外,当数据库发生危险操作时,可以根据事先的安全策略采取相应的防护措施,并为后续的安全事件责任鉴定提供详细的审计记录。任何有意/无意的越权操作、违规操作等高风险操作行为都将被有效的遏制。真正实现数据库操作的可视化、可跟踪、可追溯。