搜索
Fortinet数据库安全审计方案建议书数据库安全审计方案建议书美国Fortinet公司2010年8月1Fortinet数据库安全审计方案建议书目录1综述...........................................................................31.1方案背景.................................................................41.1.1数据库安全风险.....................................................41.2方案目标及实现原则.......................................................41.2.1实现的目标.........................................................41.2.2遵循的原则.........................................................52FortiDB数据库安全产品简介.....................................................6漏洞扫描评估(VA).............................................................7数据库监控与审计.............................................................8权限监控.....................................................................8元数据监控...................................................................9内容监控....................................................................11用户行为监控................................................................12审计报告....................................................................142Fortinet数据库安全审计方案建议书1综述目前,我国电信行业、各政府部门、企事业单位使用的数据库系统绝大部分是由国外研制的商用数据库系统,其内部操作不透明,无法通过外部的任何安全工具来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。另外,由于数据库、用户众多,系统管理员压力太大等因素,人为误操作的可能性时有发生,这会对部门或者企业声誉造成重大影响,并严重影响其经济运行效能。黑客也有可能通过手段,获取系统权限,闯入部门或企业内部网络,这样造成的损失,更不可估量。因此,如何提高系统管理员的管理水平,如何防止黑客的入侵,如何跟踪数据库上用户行为,出现故障后如何进行责任鉴定等等。已经成为这些部门或者企业至关重要的问题。国际标准的萨奥法案(Sarbanes-OxleyAct)的实施,要求公司必须更多地考虑访问权限,以及控制什么人可以访问何种信息的相关程序。管理和审计权限发生变动而引发的数据泄露在全球已经发生了多起,造成了巨大的经济损失和用户的信任损失。PCIDSS(PaymentCardIndustryDataSecurityStandard,支付卡业数据安全标准)更是在卡类交易系统交易爆炸性的发展之后,唤起了业内需要加强安全的意识。例如,在2005年6月,国际信用卡系统服务公司(Card-SystemsServicesInternational)披露“丢失”了4千万个信用卡号。目前,另外一些同等重要的问题也越来越引起关注:数据是否被修改或者移动?如果是的话,何时修改的?改到什么程度?当然,还有谁是罪魁祸首?管理员需要知道数据的状态:是否进行了加密、谁进行了访问、谁进行了修改或者谁突然复制了大量信息等。”根据PCIDSS规范中对安全防御部分的描述,本规范将一一对应进行相应的安全建议PCIDSS描述构建并维护安全网络1.安装并维护防火墙配置以保护持卡人数据2.不使用供应商缺省设置的系统密码和其他安全参数保护持卡人数据3.保护存储的持卡人数据4.加密通过公共网络传输的持卡人数据和敏感性信息维护漏洞管理计划5.使用反病毒软件并定期更新6.开发、维护安全系统和应用程序实施可靠的访问控制措施7.只有具备业务需求的人才能访问持卡人数据8.为每位拥有计算机访问权限的用户分配唯一的ID3Fortinet数据库安全审计方案建议书9.严格限制对持卡人数据的物理访问定期监控和测试网络10.跟踪和监控访问网络资源和持卡人数据的所有操作11.定期测试安全系统和流程维护信息安全策略12.维护针对信息安全的策略1.1方案背景1.1.1数据库安全风险一,严重的攻击来自系统内部(70%来自内部攻击);二,企业最重要的数据集中在数据库;三,交换网络环境难于实施网络入侵检测;四,基于主机的IDS/IPS开始成熟,可以减轻网络传输攻击级别安全威胁,但不是全部;五,用户操作难于事后审计;六,操作/管理/维护不善,造成的安全威胁和损失日趋严重;1.2方案目标及实现原则1.2.1实现的目标•提高安全性的方法掌握数据库的漏洞,防止破坏行为检测非正常或违反规则的访问改进数据库审计能力•顺应法律要求(PCI,SOX,PrivacyProtection,HIPAA,GLBA,BASELII…)对数据库变化的自动跟踪增强对于违反安全策略访问的可见性创建数据库活动审计索引帮助产生法律依从性报告•降低TCO节约IT安全预算?/是否能加快投资获益的速度?快速实施已成为业界评判的标准4Fortinet数据库安全审计方案建议书1.2.2遵循的原则1)符合系统运作的安全、可靠及高效的原则;2)符合企业安全系统可扩展原则;3)符合开放系统的原则;4)符合先进科学的设计思想,及先进的软、硬件体系结构原则;5)符合站在用户的立场开发的实用性;6)符合具有较高性能价格比的原则;7)符合人机界面友好、最小维护工作量的原则。5Fortinet数据库安全审计方案建议书2FortiDB数据库安全产品简介FortiDB-1000B是Fortinet公司面向数据库安全的专用平台,采用了专用服务器硬件架构,性能处理卓越。具有数据库漏洞评估、数据库监控与审计功能;支持Oracle、SQLServer、MySQL、DB2、Sybase等数据库;满足各种法规(PCI-DSS、SOX、GLBA、HIPAA)的要求,可以直接生成报告;自动数据库发现功能可以跨过子网和广域网边界快速发现网络上的所有数据库,通过脚本的定时执行来发现数据库的漏洞和与法规相违背的部分;所有FortiDB设备都具有VA+DAM数据库安全产品的基本安全功能包括:•对漏洞进行评估,并提供业界标准修补建议,以加固数据库的完整性和安全性。这项特性将帮助排除密码、存取、权限、配置设定等方面的弱点。•自动发现所有的数据库。•加速安全及法规顺应性建设。(PCI,SOX,HIPAA)•集中特征及策略管理。•职责划分。•易于创建客户自定义特征及策略。•便于识别的报表•专家级修复建议•分析数据库安全趋势6Fortinet数据库安全审计方案建议书•数据库安全审记和监控•支持多种数据库(Oracle、SQL、DB2UDB、Sybase)本规划中要配置多套数据库安全扫描和监控系统,部署在数据服务区内进行日常的安全管理和审计。漏洞扫描评估(VA)FortiDB对目标数据库漏洞的扫描,将数据库漏洞的危险程度分级,观察能否生成不同类型的报告,对每种漏洞做详细描述并提出补救措施。方便用户DBA快速定位漏洞并对严重级别高的漏洞及时处理,以防止数据库因存在漏洞而影响整个系统的运营。根据数据库漏洞威胁级别统计:根据威胁级别统计的饼状图形数据库漏洞扫描信息:7Fortinet数据库安全审计方案建议书根据对目标数据库完整的扫描结果,FortiDB分别生成了全局报告、分值报告、摘要报告、失败信息摘要报告、全局详细报告、失败信息详细报告、漏洞趋势报告等多种类型的漏洞评估报告。不仅如此,FortiDB还提供给使用者自定义报告类型的功能,方便管理员根据自身需要定制报告。上面是扫描出的失败项中的一条,该条目中给DBA提供了详尽的信息,分别是扫描结果状态、属于哪种类别、失败的内容、评估的具体结果、漏洞描述、影响的数据库版本、补救措施、其他参考信息等。数据库监控与审计FortiDB数据库安全产品给用户提供了权限监控、元数据监控、内容监控、用户行为监控和审计的功能。权限监控FortiDB权限监控功能有效监控目标数据库的用户权限信息,如发现用户越权访问会产生告警信息。8Fortinet数据库安全审计方案建议书点击权限监控菜单,选择“Open”,确定需要打开的数据库,按照配置向导设置完成后即可看到权限信息。下面的图是监控到的目标数据库用户权限信息元数据监控元数据是描述数据的数据,可以理解为表的结构信息。元数据监控功能实时监控用户对数据库中数据信息的修改,比如有些用户恶意修改数据库或表的属性信息(创建时间、所属人员、修改表的结构等)。下面是监控到数据库中元数据的信息。9Fortinet数据库安全审计方案建议书图示:配置元数据监控的模式内容图示:当用户修改数据表时产生的告警信息10Fortinet数据库安全审计方案建议书图示:查看元数据告警详细信息从数据库元数据监控信息中可以看到,“REP”修改了表的元数据,并记录了该用户详细的位置信息、操作的时间、操作系统用户名称以及对象名称。如果此用户的操作是不良的,管理员能够很快查出该操作的细节,尽快找到元凶。内容监控FortiDB的内容监控功能能够实时监控目标数据库中表内容的修改。管理员只需设置需要监控的数据表的字段即可。11Fortinet数据库安全审计方案建议书如果有违反规则的用户修改了数据表中的被监控的字段的数值,FortiDB将显示详细的告警信息。管理员及时获得第一手的告警资料。用户行为监控FortiDB给目标数据库提供了实时的用户行为监控功能,监控用户的“select、update、insert、delete”等操作。如有的用户误操作、越权访问等,都能够实时监控,并产生告警信,并支持关联性分析。12Fortinet数据库安全审计方案建议书上图的配置中设置了用户行为监控的对象策略,下面是监控到的用户行为。13Fortinet数据库安全审计方案建议书上面是用户行为监控到的操作信息,是SM用户对SYS.DUAL的操作,详细记录了操作的时间和指令“select”。审计报告14Fortinet数据库安全审计方案建议书FortiDB提供了多种审计报告,分别是四项审计报告和数据库日志审计报告。下面是审计管理的信息。下面的图是监控审计报告的一部分内容,监控审计中详细描述了监控类型、详细描述、监控策略规则等信息。15Fortinet数据库安全审计方案建议书日志审计报告设置日志审计报告16Fortinet数据库安全审计方案建议书FortiDB数据库安全平台提供了详细的权限监控、元数据监控、内容监控、用户行为监控、报告管理、日志审计、监控审计等功能。用户通过实时监控数据库的各种信息,及时查看告警信息,生成遵守合规的报告类型,归档备案。17