(完整版)数据库审计系统_技术白皮书V1.0

  • 格式:doc
  • 大小:245.08 KB
  • 文档页数:16

此处是Logo

地址:

电话:

传真:

邮编: 数据库审计系统

技术白皮书

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。

■版本变更记录

时间 版本 说明 修改人

2016.04.05 V1.0 初建

■适用性声明

文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。

目 录

一. 产品概述 ................................................................... 1

二. 应用背景 ................................................................... 1

2.1 现状与问题 ............................................................. 1

2.1.1 现状 ............................................................... 1

2.1.2 问题 ............................................................... 2

2.2 需求分析 ............................................................... 3

2.2.1 政策需求 ........................................................... 3

2.2.1.1 《信息系统安全等级保护基本要求》 ................................ 3

2.2.1.2 《商业银行信息科技风险管理指引》 ................................ 3

2.2.2 技术需求 ........................................................... 4

2.2.3 管理需求 ........................................................... 4

2.2.4 性能需求 ........................................................... 4

2.2.5 环境与兼容性需求 ................................................... 5

2.2.6 需求汇总 ........................................................... 5

三. 产品介绍 ................................................................... 6

3.1 目标 ................................................................... 6

3.2 产品功能 ............................................................... 6

3.2.1 数据库访问行为记录 ................................................. 6

3.2.2 违规操作告警响应 ................................................... 6

3.2.3 集中存储访问记录 ................................................... 7

3.2.4 访问记录查询 ....................................................... 7

3.2.5 数据库安全审计报表 ................................................. 7

3.3 产品部署 ............................................................... 7

3.3.1 旁路部署 ........................................................... 7

3.3.2 分布式部署 ......................................................... 8

3.4 产品特性 ............................................................... 9

3.4.1 安全便捷的部署方式 ................................................. 9

3.4.2 日志检索能力 ....................................................... 9

3.4.3 灵活的日志查询条件 ................................................ 10

3.4.4 灵活的数据库审计配置策略 .......................................... 10

3.4.5 数据库入侵检测能力 ................................................ 10

3.4.6 符合审计需求设计 .................................................. 11

四. 用户收益 .................................................................. 11

4.1 对企业带来的价值 ...................................................... 11

4.2 全生命周期日志管理 .................................................... 12

4.3 日常安全运维工作的有力工具 ............................................ 12 数据库审计系统--技术白皮书

© 2016XXXXXXXXXX公司 第 1 页 共 13 页 密级:完全公开 一. 产品概述

数据库审计系统(以下简称 XXX)是一款专业、主动、实时监控数据库安全的审计产品。本系统采用有效的对数据库监控与审计方式,针对数据库漏洞攻击、SQl注入、风险操作等数据库风险操作行为发生记录与告警。能对不同的场景定制审计策略,如:信任,敏感模糊化和行为告警等策略。本系统可以有效的评估数据库潜在风险;实时监控数据库用户的访问行为;它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部网络行为记录,提高数据资产安全。

二. 应用背景

在高速信息化的今天,数据安全问题已涉及到各行各业中,数据泄漏所引发的社会问题持续高涨。信息安全成为国家安全战略的重要部分。

2.1 现状与问题

数据库安全问题是亟待解决的安全核心痛点。

2.1.1 现状

 数据库是数据信息存储的最主要形式,而当前信息泄露案例的90%以上与数据库相关

 80%的数据库没有任何防护措施,面对数据篡改、数据破坏、数据泄漏等问题,追踪、定责、挽回损失等方式显得极为疲软

 在传统IT架构向云计算模式迁移过程中,数据安全成为客户关注的核心问题

数据库审计系统--技术白皮书

© 2016XXXXXXXXXX公司 第 2 页 共 13 页 密级:完全公开 2.1.2 问题

互联网的急速发展使得企业的数据库信息价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战,概括起来主要表现在以下三个层面:

政策层面:

数据库里保存着客户信息和各类资金数据,数据库的安全不仅关系到用户自身的利益和品牌,还关系到公共秩序甚至国家利益。在国家等级保护、中国人民银行及银监会信息安全规范以及国际支付卡行业数据安全标准等都有着明确的要求。

技术层面:

➢ 数据库自身存在重大安全缺陷

(访问控制缺陷、数据库管理系统漏洞、明文存储)

➢ 更为复杂的数据库应用环境

(B/S架构的应用使数据库间接暴露到互联网、各种类型的外包工作人员直接访问数据库、数据库共享使各种应用系统程序直连到数据库)

➢ 传统防护方案具有局限性

(网络防火墙产品不对数据库通讯协议进行控制、IPS/IDS/网络审计并不能防范那些看起来合法的数据访问、绕过WAF系统的刷库行为屡见不鲜、无法解决来自于业务系统本身的安全威胁、忽略了内部人员的管控)

➢ 运维管控存在泄密途径

(测试数据泄密、导出明文备份数据导致泄密、图形化操作无法控制、无法控制返回结果集、恶意程序恶意访问)

➢ 内部信息泄漏

(利用数据库的漏洞攻击、应用数据库账户泄露、敏感信息以明文存储、DBA用户操作无法监管)

管理层面:

主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。

伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。 数据库审计系统--技术白皮书

© 2016XXXXXXXXXX公司 第 3 页 共 13 页 密级:完全公开 2.2 需求分析

2.2.1 政策需求

2.2.1.1 《信息系统安全等级保护基本要求》

依据信息安全等级保护要求,XXXX应用系统被定义为三级,在安全审计方面均有与数据安全相关的要求,以下为等保关于数据安全的内容。

安全审计

应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;

应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。

审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;

应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能

安全审计

数据库管理系统的安全审计应:

➢ 建立独立的安全审计系统;

➢ 定义与数据库安全相关的审计事件;

➢ 设置专门的安全审计员;

➢ 设置专门用于存储数据库系统审计数据的安全审计库;

➢ 提供适用于数据库系统的安全审计设置、分析和查阅的工具。

2.2.1.2 《商业银行信息科技风险管理指引》