思福迪数据库审计

SAFETYINFORMATIONTECHNOLOGYCO.,LTDLOGBASE业务数据库审计系统介绍现在，掌控安全SAFETYINFORMATIONTECHNOLOGYCO.,LTDTopic背景分析产品介绍SAFETYINFORMATIONTECHNOLOGYCO.,LTD背景分析•业务数据库是最核心的信息资产•高价值带来高风险安全保障要求•IT内控审计的重点合规要求•自身审计影响性能•主流产品缺乏业务数据审计能力原有审计技术不足SAFETYINFORMATIONTECHNOLOGYCO.,LTD数据库风险分析泄密破坏篡改直接访问通过主机通过应用SAFETYINFORMATIONTECHNOLOGYCO.,LTDTopic背景分析产品介绍SAFETYINFORMATIONTECHNOLOGYCO.,LTD数据库综合审计方案*多途径、全访问审计方案SAFETYINFORMATIONTECHNOLOGYCO.,LTD高适用数据库审计：审计各种数据库系统运行平台2000/2005Oracle8/9/10DB27/8/9MySQL4.x/5.x12.5/ASE1510/11.x国产数据库能够对多种操作系统上运行的多种数据库及其版本进行审计SAFETYINFORMATIONTECHNOLOGYCO.,LTD操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言（DDL）操作CREATE，ALTER，DROP等创建、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域，等等）的SQL指令数据操作语言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据的SQL指令数据控制语言（DCL）操作GRANT，REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令细粒度数据库审计：审计各种操作类型数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数，任何细小改动都“难逃法网”。SAFETYINFORMATIONTECHNOLOGYCO.,LTD数据库服务器全方位数据库审计：审计各种访问方式SQL*PlusPL/SQLODBC/JDBCWEB应用客户端程序OLEDB/ADO本地操作企业管理控制台TOADOracle操作日志TNSTNSFTP/TELNETFTP/TELNETSAFETYINFORMATIONTECHNOLOGYCO.,LTD可视化数据库审计：多种可视化的审计手段SAFETYINFORMATIONTECHNOLOGYCO.,LTD数据操作分类审计（查询、增改、删除、过程、其它（事务、维护等）SAFETYINFORMATIONTECHNOLOGYCO.,LTD数据库操作实时监控、过程回放SAFETYINFORMATIONTECHNOLOGYCO.,LTD系统功能概述行为记录异常检测违规阻断事后审计SAFETYINFORMATIONTECHNOLOGYCO.,LTDCS架构用户行为记录工号客户端名称发生时间IP地址端口MAC地址SQL语句操作结果数据库名表名DBA，CS用户SAFETYINFORMATIONTECHNOLOGYCO.,LTDCS架构详细用户行为记录SAFETYINFORMATIONTECHNOLOGYCO.,LTDBS架构应用行为记录WEB用户发生时间IP地址端口MAC地址SQL操作语句操作结果数据库名表名WEB应用用户中间件SAFETYINFORMATIONTECHNOLOGYCO.,LTDBS架构业务审计策略SAFETYINFORMATIONTECHNOLOGYCO.,LTDBS架构详细业务行为记录SAFETYINFORMATIONTECHNOLOGYCO.,LTD异常行为检测服务器A服务器B服务器C数据库2数据库1数据库3表1表3表2表4selectupdatedelete存储过程其他记录/丢弃重点关注第一步：建立重点关注对象，缩小关注范围SAFETYINFORMATIONTECHNOLOGYCO.,LTD建立重点关注对象策略SAFETYINFORMATIONTECHNOLOGYCO.,LTD异常行为检测第二步：建立关注语句分析规则库selectname,pwfromuser_tabwherename=‘laowang'语句分析条件分析频率分析行为特征库结果：a.所有业务语句分类：黑名单、白名单、少量未分类语句b.业务语句相似性特点，少量规则即可过滤大量语句丢弃记录告警阻断SAFETYINFORMATIONTECHNOLOGYCO.,LTD建立关注语句分析规则库策略SAFETYINFORMATIONTECHNOLOGYCO.,LTD违规访问阻断超过频率操作阻断(CS模式下)Oracle按客户端工具名称阻断与Logbase运维审计系统向结合业务客户端plsqlsqlplusSAFETYINFORMATIONTECHNOLOGYCO.,LTD违规访问及频率解析阻断策略SAFETYINFORMATIONTECHNOLOGYCO.,LTD语句回溯执行•可疑语句重新执行，方便审计员分析判断•只允许执行查询语句，确保不会破坏数据内容SELECTS.OWNER,S.SYNONYM_NAME,S.TABLE_OWNER,S.TABLE_NAME,S.DB_LINK,O.CREATED,O.STATUSFROMALL_SYNONYMSS,ALL_OBJECTSOWHERES.OWNER=O.OWNERandS.SYNONYM_NAME=O.OBJECT_NAMEANDS.OWNER='SYSTEM'查询审计员SAFETYINFORMATIONTECHNOLOGYCO.,LTD语句回溯执行SAFETYINFORMATIONTECHNOLOGYCO.,LTD事后审计功能•多条件组合检索•Logbase海量数据快速检索引擎检索功能•报表模板•自定义报表•周期性自动报表合规审计报表SAFETYINFORMATIONTECHNOLOGYCO.,LTD产品部署CS应用业务数据库审计系统镜像数据库SAFETYINFORMATIONTECHNOLOGYCO.,LTD产品部署CS应用业务数据库审计系统中间件数据库镜像SAFETYINFORMATIONTECHNOLOGYCO.,LTD•支持通过多种webserver和中间件进行的业务数据库访问行为,准确定位操作者身份哦–IIS、apache、nginx、lighttpd–Tomcat、Webspere、weblogic•SQL语句强类型解析器–准确识别操作类型–变量绑定识别–视图自动转换识别产品特点SAFETYINFORMATIONTECHNOLOGYCO.,LTD谢谢！