事件回放:允許安全管理員提取歷史數(shù)據(jù),對過去某一時段的事件進行回放�,真實展現(xiàn)當時的完整操作過程����,便于分析和追溯系統(tǒng)安全問題�。
很多安全事件或者與之關(guān)聯(lián)的事件在發(fā)生一段時間后才引發(fā)相應(yīng)的人工處理, 這個時候, 作為獨立審計的DAS-DBAuditor就發(fā)揮特別的作用. 因為所有的FTP��、telnet���、客戶端連接等事件都保存后臺(包括相關(guān)的告警), 對相關(guān)的事件做定位查詢��,縮小范圍�����,使得追溯變得容易;同時由于這是獨立監(jiān)控審計模式, 使得相關(guān)的證據(jù)更具有公證性����。
下圖為ftp和telnet到該服務(wù)器的命令回放示意圖:
數(shù)據(jù)庫審計并沒有一個非常標準公開的定義��, 但是通常認為它應(yīng)該具備解析��,存儲所有訪問數(shù)據(jù)庫的相關(guān)信息并提供相關(guān)查詢和報表功能�。
對于數(shù)據(jù)庫審計的理解��,其實有一個發(fā)展過程。 從幾年前開始�, 有的廠家開始在原來日志審計的基礎(chǔ)上發(fā)展包裝了一個數(shù)據(jù)庫審計�,這類系統(tǒng)能記錄并顯示基本的往數(shù)據(jù)庫發(fā)的sql, 并且有一定的查詢和報表功能?��?陀^地說��, 這種系統(tǒng)一開始出現(xiàn)時滿足了一定的需求。
但是隨著新信息安全時代的到來�,原來的基本功能越來越體現(xiàn)起不足�����,比如越來越多的控制是關(guān)注返回而不是請求, 弱口令等管理風險如何控制����, 還有如何進行用戶訪問控制細粒度策略的定制和實施���, 和萬一數(shù)據(jù)被篡改或刪除后(不管是有意還是無意)能否盡快實施定位式恢復(fù)。 其實從最近的眾多實際用戶需求案例也可以看出:
實際案例一: 某工商數(shù)據(jù)庫
某省最大工商數(shù)據(jù)庫要求除了追溯誰在什么時候做了企業(yè)數(shù)據(jù)篡改��, 還要求迅速定位篡改前的數(shù)據(jù)�����。 以便更好的應(yīng)對客戶投訴。
實際案例二: 某醫(yī)院數(shù)據(jù)庫
承載千萬病人機密信息和處方數(shù)據(jù)的數(shù)據(jù)庫記錄���, 客戶要求當某用戶某字段的Select返回記錄超過100萬時�����, 立即進行告警和Action.
實際案例三: 某在線系統(tǒng)的后臺數(shù)據(jù)庫���, 當發(fā)現(xiàn)數(shù)據(jù)庫被非法篡改后���,由于數(shù)據(jù)庫審計顯示的源地址都來自應(yīng)用系統(tǒng)服務(wù)器IP, 要求能迅速通過三層關(guān)聯(lián)定位通過應(yīng)用攻擊的客戶端源地址��,以便溯源�。
實際案例四: 根據(jù)等級保護自查自糾原則����, 除了實時的數(shù)據(jù)庫監(jiān)控審計外���, 還要求能對數(shù)據(jù)庫的弱口令�,高危配置能定時進行靜態(tài)掃描和審計���。
五、產(chǎn)品特點
4.1 高性能
在實際用戶環(huán)境中���, 該設(shè)備曾經(jīng)對一個VLAN的8臺數(shù)據(jù)庫同時進行審計, 涵蓋了Oracle 9i/10g, SQL Server 2000/2005, Sybase 等主流版本�����, 流量達到接近千兆以太網(wǎng)里面峰值而完全正常運行�。
4.2 超細粒度審計和數(shù)據(jù)挖掘功能
由于數(shù)據(jù)庫進出信息流量幾大����, 一旦數(shù)據(jù)庫審計系統(tǒng)部署一段時間后�,很容易積累海量數(shù)據(jù)��, 這時候普通的查詢很難滿足精準定位的需求����。
4.3 自動化評估引擎和智能化的安全監(jiān)控引擎
高端數(shù)據(jù)庫審計和風險控制設(shè)備集成了數(shù)據(jù)庫自動化評估引擎��, 該引擎目前也被公安部等級保護測評中心和公安廳等級保護測評中心所用����。利用該引擎,用戶可以自己對數(shù)據(jù)庫進行自動化自查自糾工作��。
該引擎能自動完成對幾百種不當?shù)臄?shù)據(jù)庫不安全配置�����、潛在弱點��、數(shù)據(jù)庫用戶弱口令�、數(shù)據(jù)庫軟件補丁�����、數(shù)據(jù)庫潛藏木馬等等全方位的掃描,最終形成嚴謹?shù)脑u估報告及加固建議。通過自動化的風險評估���,可以為后續(xù)的安全策略設(shè)置提供有力的依據(jù)���。
此外��, 智能化安全防護引擎集成了數(shù)據(jù)庫安全專家和風險控制專家的對各類惡意行為和非正常行為的實時監(jiān)控和控制����。
4.4 靈活的風險控制策略
安全策略之組成:DAS-DBAuditor可以對上述安全模型中的任意元素進行組合��,生成滿足應(yīng)用需求的安全策略。安全策略除了網(wǎng)絡(luò)五元組�, 還可以組合定義應(yīng)用層的所有元素�。
預(yù)設(shè)置安全策略:根據(jù)安全經(jīng)驗�����、行業(yè)應(yīng)用需求不同�,預(yù)先設(shè)置諸多的安全策略�,大大縮短了設(shè)備部署的時間�����。
專家模式自定義策略:除了動態(tài)建模�����、預(yù)設(shè)置安全策略外��,安全管理員還可以利用系統(tǒng)提供的自定義策略配置功能�,以手工方式配置滿足企業(yè)特殊需求的安全策略����。
4.5 零風險部署
DAS-DBAuditor可靈活支持直連、旁路的模式部署到網(wǎng)絡(luò)中�����,因此���,部署時不需要對現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)(包括:路由器、防火墻���、應(yīng)用層負載均衡設(shè)備�����、應(yīng)用服務(wù)器等)進行調(diào)整�����。
4.6 內(nèi)控合規(guī)性報告
DAS-DBAuditor內(nèi)嵌了功能強大的報表模塊���,除了按安全經(jīng)驗�、行業(yè)需求分類的預(yù)定義格式報表外(包括SOX, PCI報表)���,管理員還可以利用報表自定義功能生成定制化的報告����。報告模塊同時支持Word�、Excel、PowerPoint����、Pdf、Html�����、Postscript格式的數(shù)據(jù)導(dǎo)出。支持兩種報表生成模式�,即預(yù)置固定格式的報表、用戶自定義報表:
通過預(yù)置固定格式的報表:可快速查看安全告警��、SOX審計�����、設(shè)備性能以及應(yīng)用系統(tǒng)受攻擊情況。
靈活的條件格式定義�����,可以方便的根據(jù)業(yè)務(wù)邏輯來動態(tài)格式化報表元素,同時提供強大的樣式定義�����,對于熟悉CSS的設(shè)計人員來說����,可以設(shè)計出相當出色的報表樣式。
4.7 可選的數(shù)據(jù)庫篡改定位恢復(fù)模塊
數(shù)據(jù)庫篡改恢復(fù)模塊無需額外打開Oracle 歸檔等消耗開關(guān)���, 能利用數(shù)據(jù)庫底層原理進行定位和恢復(fù), 對發(fā)現(xiàn)的誤操作和惡意操作可以進行無縫恢復(fù)����, 大大減輕了管理員的壓力。
