市财政信息系统数据库监控与审计解决方案 1、概述当前市财政局各类信息系统中,数据密级度较高的系统包括预算编制系统、决算系统、国库支付、政府采购系统等,后台数据库中存储的敏感数据一旦发生泄漏或者被非法篡改,都将是责任重大的信息安全事故。
为了在发生疑似影响数据安全操作的时候,能及时告警并记入审计日志以便事后追责,市财政局应从技术和管理手段上采取相应的措施提高敏感数据的安全性。
技术上采用数据库监控与审计设备记录敏感数据的操作,对批量的数据导出和针对数据库的恶意攻击及时告警;管理上引入定期安全巡检、对告警信息及时处理,让安全管理员切实管好敏感信息不泄漏,出现数据泄漏和篡改等问题能准确追责和定责。
2、需求分析2.1、数据安全风险显著省财政数据中心当前主要面临如下三类数据安全风险:●财政敏感信息的泄密风险在当前的管理平台系统中,有宏观财政指标参数、行业领域预算信息、项目详细预算和决算数据,同时政府采购项目相关的招标项目信息、产品报价、中标结果信息等敏感信息,程序开发人员、信息中心人员有数据库的账户,都有机会利用数据库存在的漏洞以及自身拥有的高权限,直接获取敏感信息的风险。
●财政敏感信息被非法篡改风险当前的管理平台系统中,有国库支付相关的预算单位信息、预算科目、会计科目、计划金额、用款金额等敏感信息,财政信息系统往往是局方内部人员、厂商程序开发人员和实施人员共同维护数据。
一旦发生了违规的数据篡改行为,也无法有效界定到底是哪方人员造成的信息安全事故。
●缺乏有效追踪排查手段如果缺乏独立和有效的数据库操作审计日志,就不可能对可疑的违规操作及时进行分析,包括对违规篡改操作发生的时间、地址、操作者、数据修改值等信息项,当前都缺乏有效手段进行追踪。
2.2、政策要求安全审计➢《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度,提出"抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南"。
➢2004年9月发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号")进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
这些文件以意见的形式提出对网络行为进行实时记录并保存相关各类日志。
政府单位更多的寻求技术手段完善政府单位网络安全防护体系,充分满足国家对信息系统的等级保护要求和对涉密网的分级保护要求,对数据库审计的具体安全要求:每个用户的行为、各种可疑操作并进行告警通知,能对操作记录进行全面的分析,提供自身审计进程的监控,审计记录防止恶意删除,同时具备自动归档能力。
3、解决方案3.1、防护目标本方案的目标是市财政局信息中心数据库形成以监控与审计为主的安全防护,重点解决敏感信息泄密和数据非法篡改的及时告警和事后审计问题。
数据库监控与审计的防护目标概括来说主要是三个方面:一是确保数据的完整性;二是让管理者全面了解数据库实际发生的情况;三是在可疑行为发生时可以自动启动预先设置的告警流程,防范数据库风险的发生。
采取一种可信赖的综合途径,确保数据库活动记录的100%捕获是极为重要的,对关键活动行为的任何一种遗漏,都会导致数据库安全上的错误判断。
因此,财政信息系统数据库监控与审计的技术目标要达到如下三点:捕捉数据访问:不论在什么时间、以什么方式、只要数据被修改或查看了就需要自动对其进行追踪;监控数据库配置变化:当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时,需要进行自动追踪和监控。
危险行为及时告警:出现SQL注入攻击、针对数据库安全漏洞的恶意攻击、批量导出和更新、整表删除操作,及时向安全管理员告警通知。
3.3、关键技术1、财政信息系统业务语言自动识别对于财政信息系统审计下来的日志信息,通过自动化识别业务语言,转换成财政系统业务人员也能看懂的操作语句,这样无需信息中心专业人员的协助,大大提高了工作效率。
2、基于lex/yacc技术的SQL精确解析,避免漏审和误审;基于数据库通讯协议完全解析和SQL语法分析为基础,实现精确数据库访问行为审计,准确数据库访问对象分析。
我们的优势常见审计产品问题基于lex/yacc技术的SQL精确解析,有效避免漏审和误审。
实现对DDL、DML、DCL、导入导出各种类型SQL语法的分析,实现对各种数据库通讯过程的解析和精确分析。
漏审:长语句漏审,多语句无法有效分割。
错审:复杂语句(别名、复杂嵌套)参数值与SQL 语句匹配错误3、appSniffer(应用服务器探针)技术,确保业务用户关联审计100%准确;基于appSniffer技术的准确关联常见审计产品的三层关联通过AppSniffer技术关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息;突破传统非精确关联的时间关联匹配模式,实现精确关联匹配,SQL语句与业务用户的关联审计达到100%准确。
这种基于三层关联审计的技术,是通过http协议中的参数与SQL语句中的参数进行匹配,结合时间的匹配来完成的,属于模糊匹配,这种方法在http参数经过加工后或基于逻辑判断后再发出SQL语句,也即SQL语句的参数与http参数没有直接的匹配关系时将完全失效,在高并发时更是一个灾难,有20%的失真率,造成业务用户与SQL语句的错误关联。
4、拥有数据库安全漏洞和SQL注入两个特征库,实现恶意攻击快速识别并告警;审计系统提供了针对数据库漏洞进行攻击的描述模型,使对这些典型的数据库攻击行为被迅速发现。
系统提供了系统性的SQL注入库,以及基于语法抽象的SQL注入描述扩展。
同时提供了强大的入侵检测能力,对入侵行为进行重点监控和告警,对入侵检测行为提供了大量的检测策略定义方法。
5、灵活和易于操作的策略配置管理,高效而全面地实现数据库安全审计;有以下多种配置策略;全面审计策略:所有的数据库请求都会被审计,保证审计的全面性;通过Tracelog机制,实现对数据库所有访问行为的全面记录,包括SQL语句、SQL语句参数、执行结果(成功、失败和详细的失败原因)、被影响的记录、详细的查询结果集、事务状态、客户端IP、MAC、应用类型、会话登录和退出信息等。
风险审计策略:根据对象、操作(上百种操作可选)、SQL分类类型(基于DBAudit对SQL的语法抽象结果进行筛选)、用户、指定的客户端(IP、MAC)、客户端工具或应用系统等多种策略定制风险检测策略。
重点语句告警策略:无论是否执行全面审计的策略,系统都可以对需要重点监控的语句进行特殊对待,可以通过黑名单、正则表达、重点用户、重点IP、返回行数等策略完成对重点关注对象和行为的定义,对这些重点对象和行为的语句可以将其放入到告警审计中,可以通过syslog、snmp、邮件或短信等多种途径对这些语句进行告警。
6、提供了大量预定义的分析和追踪报告供不同需求的管理者使用。
➢提供丰富的、精细的审计数据分析和追踪报告●关键敏感对象的访问分析●DB实例访问综合分析●IP(MAC)行为分析和追踪●用户行为分析和追踪●SQL行为分析和追踪(基于精细SQL解析和分类)●SESSION会话分析和追踪、回溯➢提供精确、实时的危害性行为分析和追踪●新类型SQL(新型攻击)发现和分析追踪●SQL注入风险分析和追踪●精细访问控制告警分析和追踪●DB漏洞攻击行为分析和追踪●高危操作分析和追踪●大规模数据泄漏分析和追踪●批量数据篡改行为分析和追踪。
➢提供准确详细的数据库应用系统性能分析和追踪●SQL报文流量分析和追踪●TOP N SQL分析7、应用软件隐藏后门发现系统提供SQL学习和SQL白名单能力,实现对业务系统的SQL建模;通过合法系统行为的建模,使隐藏在软件系统中的后门程序在启动时,提供实时的告警能力。
8、专业的数据库审计产品可视化界面进入安全仪表盘页面,在此用户可以查看当前基线风险统计、SQL吞吐量统计,还可以按照时间范围查看风险及处理动作监控、SQL吞吐量和平均响应时间监控、分类SQL语句监控等。
3.4、部署图市财政信息中心(生产区)业务处室应用服务器区区县窗口厂商信息中心维护人员PL/SQL 客户端直接访问直接连市局数据库窗口客户端户籍预算库国库支付库数据库 审计国库支付系统预算编制系统财政其他应用财政其他库数据库服务器区 财政信息中心数据库监控与审计部署图4、方案优势➢ 零风险、多种方式部署世普蓝华数据库监控与审计系统部署灵活,支持直连、旁路的模式部署到网络中,因此,部署时不需要对现有的网络体系结构(包括:路由器、防火墙、应用层负载均衡设备、应用服务器等)进行调整。
同时检测过程中无需对应用程序进行修改,实现应用层的零风险部署。
➢ 不影响数据库业务本身世普蓝华数据库监控与审计系统主要是通过网络抓包进行数据采集 ,因此并不影响数据库保护对象本身的运行与性能,主要体现在以下几个方面:● 不需要对数据库软件进行更改●不占用数据库本身的资源,比如:CPU资源、内存资源、磁盘资源等●无需数据库的管理权限➢语句审计准确,业务用户关联准确世普蓝华数据库监控与审计系统基于lex/yacc的SQL完全解析,SQL语句审计准确,基于AppSniffer探针机制应用关联审计,业务用户关联100%准确。
➢实现双向关联审计的及时监控告警世普蓝华数据库监控与审计系统实现双向的数据库访问风险行为的及时告警。
●漏洞攻击检测技术:针对CVE公布的漏洞库,提供漏洞特征检测技术;●高危访问控制技术:提供对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为;●返回行超标监控技术:提供对敏感表的影响行数、返回行数、工具名称的监控;●SQL黑名单技术:提供对非法SQL的语法抽象描述。
➢高可用性世普蓝华数据库监控与审计系统全方位确保设备本身的高可用性,包括但不限于:物理保护:关键部件采用冗余配置(如:冗余电源、内置硬盘RAID等);掉电保护:设备掉电(如电源被不慎碰掉)时,网络流量将会直接贯通;系统故障保护:内置监测模块准实时地监测设备自身的健康状况;不间断的管理保护:在进行策略配置情况下,能保持网络的连接和保护;不丢包:基于硬件加速的接口卡,在1G、2.5G、10G环境下实现100%数据包捕获;冗余部署:在具备冗余体系结构的环境中,支持双机部署配置。
