一��、產品介紹
極元數據庫審計系統(簡稱DBA)����,是由江蘇極元信息技術有限公司開發的具有完全自主知識產權的數據庫安全審計產品�。
DBA數據庫審計系統重要可以實現記錄各種數據庫類型的訪問行為��,以及對風險訪問行為及時做出告警���,具體功能包括單/雙向審計����、三層審計��、日志檢索���、風險告警���、策略庫���、智能翻譯�、策略同步�����、自動發現�����、數據庫監控掃描�����、運維審計�����、報表分析���、AGENT集管����、審計集群�、雙因子認證��。
DBA數據庫審計產品可提供10Gbps流量級別的超大數據庫集群的完整解決方案�,由分流器���、解析器�、存儲器和管控中心四大模塊組成�,用戶可以根據實際的數據庫流量進行橫向擴展�����,靈活且高效��。
二���、產品功能
DBA主要功能有單/雙向審計��、三層審計�、日志檢索�����、風險告警��、策略配置����、審計集群����、探針集管����、策略同步����、報表等���。
1) 單/雙向審計
DBA審計系統能夠對數據庫的訪問行為進行全方面的監控���,實現對數據庫往來信息的全面記錄��,既能記錄操作者發起的對數據庫的訪問操作行為����,又能解析并記錄數據庫返回的結果內容����,從而實現了上行和下行兩個方向的全面審計��。
數據審計系統可審計的內容主要有:
*數據庫實例名����、數據庫名����;
*數據庫用戶��、操作系統用戶��、主機名�����;
*數據庫IP����、數據庫端口號��、客戶端IP���、客戶端端口號����;
*數據庫MAC地址�、客戶端MAC地址����;
*客戶端工具名稱���;
*SQL關鍵字�����、表����、列��、視圖��、觸發器����、存儲過程���、函數等多種數據對象����;
*請求發生時間��;
*SQL語句���;
*SQL語句的執行時長以及響應狀態�����;
*SELECT語句的結果集����;
*UPDATE/DELETE語句影響的行數����;
*SELECT語句返回的行數����。
2) 三層審計
三層審計是指對用戶����、應用����、數據庫這三層進行有效關聯審計�����。DBA審計系統的三層審計功能可以準確記錄到用戶在WEB端的操作行為�,結合數據庫層的SQL信息��,進行精密而準確的分析����,最終實現WEB端用戶行為和數據庫行為的有效關聯�,從而提供包含WEB端用戶名���、URL和SQL語句等信息的全面�、完整的審計記錄�。
3) 日志檢索
日志檢索可以對日志進行綜合查詢�����、精確查詢和實時查詢����,主要功能有:
*20余種檢索匹配條件�;
*支持正則表達式或自定義檢索����;
*可展示會話回放記錄��;
*日志檢索條數����、檢索結果格式自定義����;
*支持導出PDF�����、EXCEL����、WORD文件格式�����;
*用戶行為軌跡分析�;
*業務流量監控�����。
4) 風險告警
對風險告警進行分級����、分類等聚合統計����,方便對告警信息的查看�、管理和風險趨勢的預判���。告警日志可提供SYSLOG����、EMAIL��、FTP�、SNMP���、短信多種日志外發方式�,用戶可根據自身需求靈活選擇�。
5)策略庫
數據庫安全審計系統策略庫能夠為用戶提供眾多專業且實用的審計策略����,有效提升審計日志對用戶的價值�。策略庫根據不同的數據庫類型具有不同的訪問行為特征�����,結合多年數據安全經驗以及大量實踐���,制定了符合數據庫類型的專業策略系����,為客戶提供豐富的審計策略選擇����。
策略庫中包含內置策略和自定義策略�����,內置策略可以直接選用�����,自定義策略用戶可以根據業務的實際需要進行手工配置���,并提供全局對象設置�����。
*自定義策略�。系統提供多維度�����、多層級的審計規則����,幫助用戶制定精細化的審計策略��。同時提供了默認的策略類型供用戶選擇�����,主要的類型有:a.白名單:被判定為無風險的訪問行為的集合���,命中該策略的訪問行為不會記錄審計日志�;b.風險訪問:被判定為存在一定風險的訪問行為的集合�。該類型的策略��,可以按照“高����、中�����、低”三個等級調整風險級別�����,命中該策略后���,會生成告警日志����,并通過多種途徑像第三方平臺推送告警日志���;c.黑名單:判定為具有高風險����,不應該在數據庫內執行的行為集合����。該類型的策略等級不可修改��,命中該策略時���,生成告警日志�����,并可以通過多種途徑向第三方平臺推送告警日志����。
*內置策略���。系統內置了風險訪問策略����、SQL攻擊策略��、超級白名單策略等多項實用的數據安全策略�。a.風險訪問策略:內置了多種數據庫的具有危險性的操作行為特征��,例如:拖庫����、撞庫����、刪庫�、批量修改數據等����。啟用該策略時�,能夠有效的監控數據庫的特權操作��、內部數據盜取�、刪庫等內部的越權操作行為��,及時的將告警日志通過接口推送至第三方的監管平臺��。b.攻擊檢測規則:提供了幾百種SQL注入和緩沖區溢出的攻擊行為特征���,啟用該策略時能夠有效的監控針對數據庫的發生的攻擊行為��,及時的將告警日志通過接口推送至第三方的監管平臺��。c.超級白名單策略:系統收集了常用客戶端連接工具訪問數據庫時自動產生的SQL操作���,此類操作均由工具自動執行�,即不屬于業務操作行為����,也不屬于運維操作行為��,非必要情況下無需進行審計���。啟用該策略時����,各類數據庫客戶端工具在連接數據庫時執行的SQL語句將不被系統記錄日志�,當用戶頻繁使用客戶端工具連接數據庫時�,能夠減少系統的存儲壓力����。
6)智能翻譯
數據庫審計系統提供智能翻譯功能���,是指將審計日志中的SQL語句翻譯為更加貼近業務�,便于管理員(運維人員)理解的內容�。
7)策略同步
策略同步功能將一個審計策略同步至其他所有相同類型的IP下���,方便快捷�����,極大的減輕安全策略管理的工作量���。
8)自動發現
系統能夠自動發現用戶網絡中活躍的數據庫節點��,幫助用戶快速上線�。
9)數據庫監控掃描
數據庫監控掃描具備敏感數據自動發現���、數據庫運行狀態監控��、數據庫漏洞掃描三大功能�����,能夠對主流數據庫系統進行自動化的檢測��,自動發現敏感數據所在的位置�����、實時展現數據庫運行狀態����,智能掃描數據庫存在的漏洞���,并提供修復建議�����,避免漏洞攻擊導致的數據泄露��。a.敏感數據發現:系統能夠對需要精細化審計的數據庫進行敏感數據掃描�����,發現數據庫中敏感數據存放的位置��,同時將敏感的表和列推送給策略庫�����,幫助用戶快速制定敏感數據的審計策略�����。b.狀態監控:系統能夠對數據庫的運行狀態進行監控�,提供包括數據庫的基本信息��、補丁信息�����、表空間使用狀態���、SGA共享分區等各類數據庫字典監控和展示����,幫助用戶通過圖形化的方式了解數據庫的各種運行狀態和健康狀態�。c.漏洞掃描:
系統就認證方式����、系統配置���、授權管理�、漏洞以及弱口令等方面對數據庫進行掃描�,發現數據庫在管理和運行時存在的風險點���,給出合理化的修改建議�,提升數據庫整體的安全管控能力�。
10)運維審計
系統能夠對多種運維環境下的遠程管理協議進行解析并審計所有操作行為�����,支持的協議類型有:TELNET��、SSH����、FTP�、POP3���、SMTP��、IMAP��、VNC����。
11)報表分析
系統提供多個維度的統計分析報表��,包括:訪問量���、訪問來源�、操作類型分布等�。能夠幫助用戶通過多個量化的指標分析數據庫的訪問壓力�,同時結合數據下鉆�,能夠對某一類的行為進行精準溯源�����。統計報表提供數據預覽功能�,可以預覽1小時內的數據分析情況����,幫助用戶提前了解每個報表能夠分析的維度和深度�;支持以郵件�、FTP的方式����,將已經完成的統計報表發送至接收人或者指定位置���,同時支持短信提醒功能����,能有幫助用戶及時掌握數據庫的訪問態勢和動向����;報表包括訪問來源分析�、操作行為分析�、操作對象分析�、攻擊行為分析等報表模板���。
12) Agent集管
系統為虛擬化的數據庫部署場景提供了Agent集中管理功能����,能夠幫助用戶完成批量的Agent部署����,同時監控每個Agent的運行狀態����,幫助用戶減輕數據庫集群部署探針時的配置和管理壓力:
*實現對審計探針的集中管理配置和批量自動部署功能��;
*可將探針部署至數據節點和應用節點�,以IP為基礎按需接入審計流量����,同時可支持壓縮傳輸�����;
*監控探針運行狀態并記錄自身和宿主關鍵資源(CPU�、內存����、網絡)使用情況����,可實時查看當前訪問會話總數并提供資源占用歷史數據查詢�;
*具有探針保護機制�,當探針自身占用資源達到設定閾值或異常時可發出告警并即時重啟恢復�,保障審計業務穩定運行��;
*具有宿主保護機制�,當宿主資源使用率達到設定閾值時可發出告警并即時停止探針抓包線程�����,保障宿主業務穩定運行�����。
13) 集群審計
數據庫安全審計集群�,由流量轉發節點�、審計節點��、存儲節點和管理中心共計四大部分組成���,除管理中心外�,其余節點均具備橫向擴展能力�,能夠根據流量大小靈活配置�,為省級�、集團級大規模數據庫集群用戶提供穩定����、可靠����、高性能的數據庫審計能力:
*管理中心能夠整個數據庫審計集群提供配置和管理服務�,包括各個節點的添加�����、刪除以及狀態監控�;審計配置的下發�,日志查詢�,統計分析等���;
*流量轉發節點采用高性能的硬件設備���,能夠對10GE級別的數據庫流量進行分割后�,轉發給審計節點����;
*審計節點負責接收管理中心下發的配置�,對流量轉發節點分配的流量進行協議解析�����,匹配審計策略后�,將生成的審計日志發送至存儲節點�;
*存儲節點負責接收由審計節點發送的日志數據進行存儲�,然后建立索引�����,供管理中心檢索和分析�。
14) 雙因子認證
系統增加了用戶雙因子認證功能�,提升了系統安全性����,滿足等保三級要求��。
三�����、產品優勢
*基于硬件零拷貝網絡數據包捕獲技術→高性能的抓包能力�����;
*采用多級緩存技術的協議解析和分析能力→高性能的協議分析能力����;
*基于BigTable和MapReduce的海量存儲引擎→高性能的入庫能力�;
*基于倒排索引的日志查詢機制→高性能模糊檢索能力���;
*Agent集中管理��。
高單機性能
*峰值處理能力:21萬SQL/s��;
*峰值數據庫流量:700Mbps��;
*日志檢索速度:1億條記錄�,帶通配符模糊檢索速度<1分鐘�����;
*日志存儲能力:35億條SQL/TB����。
Agent集管
*可將探針部署至數據節點和應用節點��,適用云環境的數據庫進行審計����。實現統一配置�����、自動部署�、集中管理���。用戶通過Agent管理平臺能夠實時監控探針的運行狀態�、資源占用等情況��。
審計集群
*可為企業��、集團的大流量數據庫集群提供審計服務��,通過審計管理中心���,對集群審計系統進行集中管理��、統一配置����、統一查詢�����;
*審計集群相比于傳統審計�,在性能方面有顯著提升�,主要體現在流量解析����,日志存儲�����,日志查詢等方面��,并且可以通過橫向擴展����,提高解析能力和存儲能力�。
四��、部署方式
數據庫安全審計系統采用旁路的方式部署到用戶的網絡環境中�,根據用戶的數據庫環境不同��,提供交換機鏡像審計���、Agent審計�����、集群審計三類部署場景供用戶選擇����。當用戶的網絡環境比較復雜時�����,可采用混合的方式部署審計產品�����。
鏡像部署
數據庫系統與應用系統分離部署的場景��,可以對訪問流量鏡像的場景��,可以采用旁路鏡像的部署方式����,這個方式也是目前采用比較多的部署方式��。如下圖所示:
圖-1.鏡像部署
Agent探針方式部署
針對云上以及虛擬化的環境�、數據庫比較分散的場景��,可以通過Agent探針方式部署��,如下圖所示:
圖-2 Agent探針部署
混合部署
比較復雜���,有線上和線下的數據庫服務的網絡環境時���,可以使用鏡像+Agent探針的混合模式部署����,如下圖所示:
圖-3 混合部署
集群部署
針對大流量的數據庫集群���,可以使用集群部署的方式�����,如下圖所示:
圖-4 審計集群部署
DBA數據庫審計系統可以幫助企業信息系統滿足法律要求以及等保合規要求��,并可幫助企業對敏感信息的全面監視和預警��。
滿足合規性要求
*助力企業順利通過等保合規審計����,提供等保二級以及其他行業合規審計依據�����;
*支持審計數據增量備份�����,滿足等保規范對審計數據保存期限要求����。
滿足企業要求
*幫助企業記錄����、分析�、追查數據庫安全事件�����;
*通過數據庫審計風險告警����,追蹤危險事件和不安全操作����;
*提供數據庫實時風險告警能力�,及時響應數據庫攻擊��;
*外部識別非法攻擊����,內部監控風險操作�,助力企業記錄����、分析�����、追查數據��。
當前位置: