数据库安全审计

2019独角兽企业重金招聘Python工程师标准>>>

随着互联网的快速发展，企业通过各种应用产生在数据库中的所有关于商业以及公共安全性的数据，已经成为各企事业单位最具有价值的资产。通常企业为了防止这些敏感数据被竞争对手或者黑客非法获取，用以谋求不正当的利益，都会通过各种方式将这些信息严密保护起来。
 

但是，根据星瑞格软件统计显示：企业绝大多数重要的敏感的数据存储于数据库，90%以上敏感信息泄露源于数据库。而外泄的敏感信息主要是个人信息泄露，包括：用户名、用户密码、电子邮件、电话号码、银行账号、个人财产信息等。对于数据泄露的方式，主要包括：外包商滥用、离职员工窃取、管理者滥用、使用者误操作、内部人员窃取以及黑客窃取等。这也表明，企业对数据库防护并没有想象中的那么完美，而是面临各种安全风险的挑战。

而数据库安全审计系统可以对数据的访问操作行为做一个完整的记录，以备违反安全规则的事件发生后，能有效的追查责任和分析原因，必要时还可以为惩罚恶意攻击行为提供必要的证据。这就对数据库安全审计产品提出了一个最基本的要求：完整的纪录。

法规控制在一些领域起了关键性的作用，例如在业务变更、业务流程验证、系统故障、人为违规操作等方面。因为数据库作为各项资产或者业务的核心，所以数据库审计在各类标准法规中非常重要。

《萨班斯法案》强调加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制是紧密围绕信息安全审计这一核心的。

巴赛尔新资本协定(Basel II)要求全球银行必须做好风险控管(risk management)，而这项“金融作业风险”的防范正需要业务信息安全审计为依托。

《企业内部控制具体规范》明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。

《等级保护数据库管理技术要求》 第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应：建立独立的安全审计系统;定义与数据库安全相关的审计事件;设置专门的安全审计员;设置专门用于存储数据库系统审计数据的安全审计库;提供适用于数据库系统的安全审计设置、分析和查阅的工具。

《ISO15408-2 安全功能要求》明确要求数据库安全审计应包括：识别、记录、存储和分析 那些与安全相关活动(即由TSP 控制的活动)有关的信息;检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。

主要特性
1、全面的数据库审计

数据库审计系统能够针对目前主流的数据库(ORACLE、MSSQL、MYSQL、POSTGRESQL、Caché、….)的各种操作进行详细的、实时的记录，并以报表和数据库列表的形式呈现给客户!

能够审计的内容包括：

审计用户对数据库的登录、注销

审计用户到数据库表的查询、插入、修改、删除、创建……

能够监控各类数据库的连接客户的操作

支持的数据库类型包括：ORACEL、DB2、INFORMIX、SYBASE、MSSQL Server、MYSQL、POSTGRESQL、Caché

2、远程服务器操作审计

数据库审计系统支持主流的远程服务器访问操作，包括对Telnet、FTP、Rlogin、X11等操作的审计，能够全程记录远程访问用户的各种操作。

3、丰富的报警设置

用户可以自定义各种报警事件，并设置报警事件的类别。当数据库遭遇到攻击、定制报警策略促发时，系统会自动的告警出来!目前报警为高级、较高、中级、低级四个级别。

4、灵活的审计策略

数据库审计系统使用审计引擎对所有的数据库活动、数据库服务器远程操作进行实时的、动态的审计，并根据审计到客户端(IP、MAC、用户名……)、中间件(操作语句)、服务端(返回值、响应时间……)信息，自定义策略，实现审计可视化、可管理行。

5、系统管理

数据库审计系统的管理控制台集中管理应用审计系统，审计人员可以通过管控平台是实时监控应用审计设备的各种状态，包括：

系统运行状态，CPU、内存、硬盘的消耗等。

系统自身运行的各种日志信息。

优势
数据库审计系统通过网络完全独立地采集审计数据，这使得数据库维护或开发小组，安全审计小组的工作进行适当的分离。而且，审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于昂楷数据库安全审计系统自带的存储空间中，避免了数据库特权用户或恶意入侵数据库服务器用户，干扰审计信息的公正性。

1、全跟踪细腻度审计

全面性：针对业务层、应用层、数据库等各个层面的操作进行跟踪定位，包括数据库SQL执行情况、数据库返回值等;

细粒度：精确到表、对象、记录内容的细粒度审计策略，实现对敏感信息的精细监控;

独立性：基于独立监控审计的工作模式，实现了数据库管理与审计的分离，保证了审计结果的真实性、完整性、公正性。

2、权限分离

数据库审计系统设置了权限角色分离，如系统管理员负责设备的运行设置;审计员负责查看相关审计记录及规则违反情况;日志员负责查看整体设备的操作日志及规则的修改情况等。

3、事件准确定位

传统的数据库审计定位往往局限于IP地址和MAC地址，很多时候不具备可信性。昂楷数据库审计系统可以对IP、MAC、用户名、服务端等一系列进行关联分析，从而追踪到具体人。

4、独特报表功能

(1)合规性报表

数据库审计系统报表会根据合规性要求，输出不同类型的报表。例如，可根据等级保护三级要求，输出符合等保相关项目满足的度的报表。

(2)策略定制化报表

根据审计人员关系的主要问题，定制符合需求的策略规则输出报告，使审计人员能够迅速的得到自己需要的审计信息。

(3)完备的自身安全

数据库审计系统全方位确保设备本身的高可用性，主要包括：硬件级安全冗余、系统级防攻击策略、告警措施等。
用户管理，管理各种用户的权限，以及用户对审计设备的操作状况。

部署方式
为了完全不影响数据库系统自身性能与运行，数据库审计系统支持采用旁路监听或模式，具体可分为核心交换机网络监听模式、网桥模式和数据库系统主机上实施监听模式。

1、交换机网络监听模式
 

通过在核心交换机上设置端口镜像模式或采用TAP分流监听模式，使安全审计引擎能够监听到所有用户通过交换机与数据库进行通讯的全部操作。

 

2、数据库系统主机网络监听模式

通过在数据库系统主机上部署网络监听的审计接入模块，审计接入模块能够监听所有用户与数据库系统进行的全部通信，获得对数据库系统的所有访问操作，审计接入模块发送给审计系统，并记录在审计系统中。

网络监听模式最大的优点就是与现有数据库系统无关，部署过程不会给数据库系统带来性能上的负担，即使数据库审计系统出现故障也不会影响数据库系统的正常运行，具备易部署、无风险的特点。但是，其部署的实现原理决定了网络监听技术在针对加密协议时，只能实现到会话级别审计(即可以审计到时间、源IP、源端口、目的IP、目的端口等信息)，而没法对内容进行审计。

转载于:https://my.oschina.net/u/3635497/blog/2248945