数据库安全审计系统解决方案

数据库审计系统解决方案中创软件商用中间件有限公司2010年11月目录数据库安全解决方案I目录第1章需求分析...................................................................................................................................................11.1.概述.............................................................................................................................................................11.2.数据库安全面临几个主要的风险.............................................................................................................11.3.数据库安全审计需求概述.........................................................................................................................1第2章产品介绍...................................................................................................................................................32.1.概述.............................................................................................................................................................32.2.设计理念.....................................................................................................................................................3第3章解决方案...................................................................................................................................................43.1.方案架构.....................................................................................................................................................53.2.主要功能.....................................................................................................................................................63.3.典型部署...................................................................................................................................................19第4章附录.........................................................................................................................................................224.1.公司简介...................................................................................................................................................224.1.1.中创软件............................................................................................................................................224.1.2.中创中间件...............................................................................................................................22需求分析数据库安全解决方案1第1章需求分析1.1.概述数据是企业业务的根本，数据库是企业数据的载体，数据库系统是企业信息系统的心脏，在其上面存储了企业所关心的：人，财，物等重要数据。从信息安全角度看，数据库系统的安全是整个IT系统安全的核心，引起了信息系统建设者的高度重视，在数据库的管理制度中，物理安全和网络安全方面做了完善的安全防护，例如采取了严格访问控制和容灾备份等安全措施。但是，从近年来发生的安全事件来看，数据库安全问题远远不止是物理层面安全和网络层面的安全，数据库系统面临着从安全管理到安全技术等各方面的安全隐患，这些风险将会给企业业务带来严重的影响，可能会造成巨大的经济损失，或引起法律的纠纷。而且这些事件难以追查和弥补。1.2.数据库安全面临几个主要的风险1、管理风险系统管理员存在的误操作、违规操作、越权操作，损害业务系统安全运行；多人公用一个帐号，责任难以分清；第三方开发维护人员的误操作，恶意操作和篡改；超级管理员权限过大，无法审计监控；2、技术风险数据库服务器操作系统漏洞攻击；数据库系统漏洞攻击；应用系统开发商后门或漏洞；离职员工留下后门。3、审计风险审计日志不完整导致安全事件难以追查定位；达不到国家等级保护（三级）明确要求（7.1.3.3）；满足不了行业信息安全合规性文件要求；1.3.数据库安全审计需求概述1、为什么需要数据库审计“谁动了我的数据库”是现在的技术及管理手段往往无法准确回答的问题，但它已需求分析数据库安全解决方案2经引起了IT经理及领导层的重视。数据库系统是一个复杂而又关键的系统，数据库存在各种管理和技术上的风险，如果这些风险变为事实，那么企业数据将遭受严重的经济损失和法律风险。数据库产生安全问题时，具有非常强的隐蔽性，非常难以追查和定位，因为无法查找问题发生的痕迹和证据。因此，数据库安全审计系统成为数据库安全的重要组成部分，它可以通过对数据库操作的痕迹进行详细记录和审计，使数据的所有者对数据库访问活动一目了然，有据可查，及时掌握数据库的使用情况，并可以对安全隐患进行调整和优化。2、数据库自身审计的不足虽然各数据库系统都拥有自身审计功能，但存在如下一些不足：审计规则配置复杂，对管理员要求很高，不方便使用；丧失了审计的中立性和独立性原则；某些原因，决定了对某些数据库操作审计记录不完整，比如因为缺乏对select操作的审计；占用服务器资源，影响业务系统的运行；审计记录容易被删除，记录安全性难以保证；各种数据库系统的审计信息格式复杂，不统一，难以集中审计，影响审计效果；3、需要什么样的数据库审计产品第三方独立审计，维护审计中立性；细致的数据库操作审计和用户审计，并有丰富的查询检索和报表功能；对现有业务和系统没有影响；能够支持主流数据库类型，完整分析数据信息；可以通过审计数据进行数据库性能分析，得出数据库应用过程中性能分布特点，并据此进行性能优化；维护简单、具备专业审计功能，节约人力，减少维护费用。产品介绍数据库安全解决方案3第2章产品介绍2.1.概述DBAudit数据库审计系统（以下简称：“DBAudit”）是中创软件商用中间件股份有限公司对信息安全十余年研究积累基础上，在对数据库安全应用和管理进行深入研究后，投入巨资研发推出的应用安全产品，拥有自主知识产权的产品。DBAudit通过网络旁路审计方式，实现对数据库操作和用户行为进行审计，并提供多种查询和报表，供数据管理者取证、查询、分析、决策，具有维护简易，稳定运行的特点。DBAudit采用了优良的体系结构，支持超大容量的审计数据管理和分析能力，支持对ORACLE、SQLServer、Sybase等数据库进行审计，适用于金融、证券、保险、电力、政务、卫生、教育等大中型组织数据库审计的安全需求。2.2.设计理念针对数据库审计的特点与特殊要求，DBAudit基于如下理念而设计：1.大容量DBAudit专为大容量审计数据而设计，支持审计数据量在10亿级别。2.细粒度DBAudit要求对审计内容进行深化，支持操作详细审计和基于会话的审计（DBAudit目前支持近30个审计字段）。3.免维护DBAudit免维护设计，使审计系统周而复始不间断运行。4.深挖掘DBAudit可以对审计数据分析与挖掘，使审计结果简单易用。5.分布式DBAudit要求支持大型分级部署，适合垂直系统部署模式。解决方案数据库安全解决方案4第3章解决方案劳动和社会保障网作为担负着宣传国家政策法规、政务公开，是与社会大众交互、向社会大众提供服务的重要窗口。因此，数据库安全审计系统成为数据库安全的重要组成部分，它可以通过对数据库操作的痕迹进行详细记录和审计，使数据的所有者对数据库访问活动一目了然，有据可查，及时掌握数据库的使用情况，并可以对安全隐患进行调整和优化。总的来讲，劳动和社会保障网对于数据库安全的关注点主要可以归纳为如下几点：系统管理员存在的误操作、违规操作、越权操作，损害业务系统安全运行；多人公用一个帐号，责任难以分清；第三方开发维护人员的误操作，恶意操作和篡改；审计日志不完整导致安全事件难以追查定位；针对用户的需求和解决思路，结合中创公司的web内容方面的安全产品，可以为用户提供一个完善的解决方案。解决方案数据库安全解决方案53.1.方案架构DBAudit包括：审计引擎(Agent,硬件)、审计数据中心、审计配置中心、审计展示中心四大组件构成。DBAudit的审计引擎（Agent）通过旁路监听的方式接入网络，通过在核心交换机上设置端口镜像模式或采用TAP分流监听模式，使安全审计引擎能够监听到所有用户通过交换机与数据库进行通讯的所有操作。DBAudit的审计数据中心（DC）具有强大的数据分析和事件关联功能，可以对审计数据库进行关联分析，是整个系统的计算和处理中心。DBAudit的审计配置中心（CC）具有对审计系统进行集中配置与管理的功能。DBAudit的审计展示中心（VC）具有接受用户的查询与浏览指令，并对审计结果进行集中输出的功能。解决方案数据库安全解决方案63.2.主要功能支持灵活多样的接入部署模式DBAudit基于旁路审计原理，系统采用旁路接入部署方式，只要在交换机上设置端口镜像或采用TAP分流，不需要对现有的网络体系结构（包括：路由器、防火墙、应用层负载均衡设备、应用服务器等）进行调整，这样的审计原理有如下好