事件回放:允許安全管理員提取歷史數(shù)據(jù)�����,對過去某一時(shí)段的事件進(jìn)行回放,真實(shí)展現(xiàn)當(dāng)時(shí)的完整操作過程�����,便于分析和追溯系統(tǒng)安全問題�����。
很多安全事件或者與之關(guān)聯(lián)的事件在發(fā)生一段時(shí)間后才引發(fā)相應(yīng)的人工處理, 這個(gè)時(shí)候, 作為獨(dú)立審計(jì)的DAS-DBAuditor就發(fā)揮特別的作用. 因?yàn)樗械腇TP、telnet����、客戶端連接等事件都保存后臺(tái)(包括相關(guān)的告警), 對相關(guān)的事件做定位查詢,縮小范圍��,使得追溯變得容易�;同時(shí)由于這是獨(dú)立監(jiān)控審計(jì)模式, 使得相關(guān)的證據(jù)更具有公證性。
下圖為ftp和telnet到該服務(wù)器的命令回放示意圖:
數(shù)據(jù)庫審計(jì)并沒有一個(gè)非常標(biāo)準(zhǔn)公開的定義���, 但是通常認(rèn)為它應(yīng)該具備解析,存儲(chǔ)所有訪問數(shù)據(jù)庫的相關(guān)信息并提供相關(guān)查詢和報(bào)表功能�����。
對于數(shù)據(jù)庫審計(jì)的理解���,其實(shí)有一個(gè)發(fā)展過程�����。 從幾年前開始��, 有的廠家開始在原來日志審計(jì)的基礎(chǔ)上發(fā)展包裝了一個(gè)數(shù)據(jù)庫審計(jì)�����,這類系統(tǒng)能記錄并顯示基本的往數(shù)據(jù)庫發(fā)的sql, 并且有一定的查詢和報(bào)表功能�。客觀地說�, 這種系統(tǒng)一開始出現(xiàn)時(shí)滿足了一定的需求。
但是隨著新信息安全時(shí)代的到來���,原來的基本功能越來越體現(xiàn)起不足��,比如越來越多的控制是關(guān)注返回而不是請求����, 弱口令等管理風(fēng)險(xiǎn)如何控制�, 還有如何進(jìn)行用戶訪問控制細(xì)粒度策略的定制和實(shí)施, 和萬一數(shù)據(jù)被篡改或刪除后(不管是有意還是無意)能否盡快實(shí)施定位式恢復(fù)�����。 其實(shí)從最近的眾多實(shí)際用戶需求案例也可以看出:
實(shí)際案例一: 某工商數(shù)據(jù)庫
某省最大工商數(shù)據(jù)庫要求除了追溯誰在什么時(shí)候做了企業(yè)數(shù)據(jù)篡改�, 還要求迅速定位篡改前的數(shù)據(jù)。 以便更好的應(yīng)對客戶投訴��。
實(shí)際案例二: 某醫(yī)院數(shù)據(jù)庫
承載千萬病人機(jī)密信息和處方數(shù)據(jù)的數(shù)據(jù)庫記錄�, 客戶要求當(dāng)某用戶某字段的Select返回記錄超過100萬時(shí), 立即進(jìn)行告警和Action.
實(shí)際案例三: 某在線系統(tǒng)的后臺(tái)數(shù)據(jù)庫, 當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫被非法篡改后���,由于數(shù)據(jù)庫審計(jì)顯示的源地址都來自應(yīng)用系統(tǒng)服務(wù)器IP, 要求能迅速通過三層關(guān)聯(lián)定位通過應(yīng)用攻擊的客戶端源地址���,以便溯源。
實(shí)際案例四: 根據(jù)等級(jí)保護(hù)自查自糾原則��, 除了實(shí)時(shí)的數(shù)據(jù)庫監(jiān)控審計(jì)外���, 還要求能對數(shù)據(jù)庫的弱口令�,高危配置能定時(shí)進(jìn)行靜態(tài)掃描和審計(jì)��。
五�、產(chǎn)品特點(diǎn)
4.1 高性能
在實(shí)際用戶環(huán)境中�, 該設(shè)備曾經(jīng)對一個(gè)VLAN的8臺(tái)數(shù)據(jù)庫同時(shí)進(jìn)行審計(jì), 涵蓋了Oracle 9i/10g, SQL Server 2000/2005, Sybase 等主流版本����, 流量達(dá)到接近千兆以太網(wǎng)里面峰值而完全正常運(yùn)行。
4.2 超細(xì)粒度審計(jì)和數(shù)據(jù)挖掘功能
由于數(shù)據(jù)庫進(jìn)出信息流量幾大�, 一旦數(shù)據(jù)庫審計(jì)系統(tǒng)部署一段時(shí)間后,很容易積累海量數(shù)據(jù)�����, 這時(shí)候普通的查詢很難滿足精準(zhǔn)定位的需求。
4.3 自動(dòng)化評(píng)估引擎和智能化的安全監(jiān)控引擎
高端數(shù)據(jù)庫審計(jì)和風(fēng)險(xiǎn)控制設(shè)備集成了數(shù)據(jù)庫自動(dòng)化評(píng)估引擎�����, 該引擎目前也被公安部等級(jí)保護(hù)測評(píng)中心和公安廳等級(jí)保護(hù)測評(píng)中心所用�。利用該引擎,用戶可以自己對數(shù)據(jù)庫進(jìn)行自動(dòng)化自查自糾工作��。
該引擎能自動(dòng)完成對幾百種不當(dāng)?shù)臄?shù)據(jù)庫不安全配置��、潛在弱點(diǎn)�、數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補(bǔ)丁���、數(shù)據(jù)庫潛藏木馬等等全方位的掃描��,最終形成嚴(yán)謹(jǐn)?shù)脑u(píng)估報(bào)告及加固建議�����。通過自動(dòng)化的風(fēng)險(xiǎn)評(píng)估�����,可以為后續(xù)的安全策略設(shè)置提供有力的依據(jù)����。
此外, 智能化安全防護(hù)引擎集成了數(shù)據(jù)庫安全專家和風(fēng)險(xiǎn)控制專家的對各類惡意行為和非正常行為的實(shí)時(shí)監(jiān)控和控制����。
4.4 靈活的風(fēng)險(xiǎn)控制策略
安全策略之組成:DAS-DBAuditor可以對上述安全模型中的任意元素進(jìn)行組合,生成滿足應(yīng)用需求的安全策略��。安全策略除了網(wǎng)絡(luò)五元組��, 還可以組合定義應(yīng)用層的所有元素��。
預(yù)設(shè)置安全策略:根據(jù)安全經(jīng)驗(yàn)���、行業(yè)應(yīng)用需求不同�,預(yù)先設(shè)置諸多的安全策略�,大大縮短了設(shè)備部署的時(shí)間����。
專家模式自定義策略:除了動(dòng)態(tài)建模、預(yù)設(shè)置安全策略外��,安全管理員還可以利用系統(tǒng)提供的自定義策略配置功能,以手工方式配置滿足企業(yè)特殊需求的安全策略�����。
4.5 零風(fēng)險(xiǎn)部署
DAS-DBAuditor可靈活支持直連���、旁路的模式部署到網(wǎng)絡(luò)中��,因此�,部署時(shí)不需要對現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)(包括:路由器�、防火墻、應(yīng)用層負(fù)載均衡設(shè)備�、應(yīng)用服務(wù)器等)進(jìn)行調(diào)整。
4.6 內(nèi)控合規(guī)性報(bào)告
DAS-DBAuditor內(nèi)嵌了功能強(qiáng)大的報(bào)表模塊���,除了按安全經(jīng)驗(yàn)���、行業(yè)需求分類的預(yù)定義格式報(bào)表外(包括SOX, PCI報(bào)表),管理員還可以利用報(bào)表自定義功能生成定制化的報(bào)告�。報(bào)告模塊同時(shí)支持Word、Excel���、PowerPoint��、Pdf����、Html、Postscript格式的數(shù)據(jù)導(dǎo)出�����。支持兩種報(bào)表生成模式����,即預(yù)置固定格式的報(bào)表、用戶自定義報(bào)表:
通過預(yù)置固定格式的報(bào)表:可快速查看安全告警�����、SOX審計(jì)���、設(shè)備性能以及應(yīng)用系統(tǒng)受攻擊情況����。
靈活的條件格式定義��,可以方便的根據(jù)業(yè)務(wù)邏輯來動(dòng)態(tài)格式化報(bào)表元素����,同時(shí)提供強(qiáng)大的樣式定義,對于熟悉CSS的設(shè)計(jì)人員來說�����,可以設(shè)計(jì)出相當(dāng)出色的報(bào)表樣式���。
4.7 可選的數(shù)據(jù)庫篡改定位恢復(fù)模塊
數(shù)據(jù)庫篡改恢復(fù)模塊無需額外打開Oracle 歸檔等消耗開關(guān)���, 能利用數(shù)據(jù)庫底層原理進(jìn)行定位和恢復(fù), 對發(fā)現(xiàn)的誤操作和惡意操作可以進(jìn)行無縫恢復(fù)����, 大大減輕了管理員的壓力。
