数据库安全审计系统

产品背景

数据库作为企业核心的信息资产,在黑客攻击日趋商业化的今天,获取以及篡改数据库内容往往能够给攻击者带来巨大的商业利益,而企业内部的管理人员对数据库的误操作以及蓄意的破坏也会给企业带来巨大的损失。近年来,随着数据篡改、泄密等事件的频繁爆发,行业用户已经普遍意识到对数据库访问疏于监管所带来的巨大危害,数据库审计与防护产品受到空前关注。随着技术发展和用户需求的推动,数据库审计产品除了单纯的数据库审计功能之外,也逐渐增加了弱点发现、智能分析、关联审计等功能。


产品概述

亿赛通数据库安全审计系统(简称:DAS)是一款通过对数据库网络流量的旁路采集,基于数据库协议解析和SQL语句还原技术的数据库安全审计系统。本系统实现对数据库所有访问行为的监控和审计,并对其中的危险操作可通过多种方式进行告警提醒,对数据库历史访问行为进行多维度的统计分析,并利用丰富图表进行可视化展现。

本系统支持Oracle、SQL Server、DB2、Sybase、MySQL、Informix、Postgre、HBase、MongoDB、达梦等国内外主流数据库产品,系统在不影响数据库原有性能,无需进行应用系统的网络改造,提供可靠的数据库安全审计服务。


产品特色

业务系统无感审计(稳)

系统主要采用旁路镜像方式部署,将客户数据库的网络流量单向引出,能做到对客户业务网络零影响,对客户业务系统无感知,从而保证客户原有业务系统的稳定运行。

终端用户审计能力(准)

系统利用WEB插件关联技术,将应用层和数据库层的访问操作请求关联,可以追溯到应用层的最初访问数据及请求信息,可直接定位到业务终端用户。

大数据架构和设计(快)

系统采用大数据计算和存储架构以及数据热交换技术,大大提高了实时数据处理效率,使得数据检索不仅范围更广,能实现全库检索,而且查询效率更高,对于客户常用的查询和检索场景,均能实现秒级响应。

数据类型全面审计(全)

系统支持数据库类型丰富全面。不仅支持市场主流关系型数据库,还支持国产数据库和大数据审计。

系统支持SQL语句、参数、函数全面审计。记录内容全面,包括人员、时间、位置、动作、对象、工具、结果等七要素的全面审计。

系统支持网络协议完整。能完美支持IPv4、IPv6双栈网络协议数据流量的混合审计。

机器智能模型学习(智)

系统具备在目标网络中的数据库自动发现能力,并且支持自动对象参数配置,同时系统具备特定数据库的数据访问模型学习能力,可自动归纳学习数据库访问模型。

审计部署方式灵活(灵)

系统采用大数架构及分层模块化设计,具备极强的伸缩性,既支持硬件一体机方式,也可完美支持分布式部署,同时还支持纯虚拟化环境部署。


产品功能

数据库操作行为记录

系统支持多种国内外主流数据库类型,采用旁路镜像或者软探针方式采集数据,经过对数据库私有通信协议的解析和SQL语法分析,获取数据库会话和操作行为相关信息,形成数据库操作行为记录,保存信息日志。

数据库操作实时监控

系统可通过规则设置对各类数据库操作访问行为进行实时监测,对网络中的异常数据库操作行为及时进行告警响应。告警信息可通过邮件或短信方式在通知管理员,以确保管理员在第一时间发现用户对数据库的违规操作。

数据库操作实时审计

系统对数据库操作行为进行全面的审计,包含操作风险审计和会话事件审计。通过对数据库审计策略的制定,建立审计规则,审计引擎根据审计规则对捕获的SQL语句进行语法分析,并根据SQL行为特征和关键特征,实现高效而精准的审计分析。

操作行为的统计分析

系统对数据库实例提供多维度和不同时间粒度的审计记录统计功能,分别从风险、语句、会话和访问来源多个层面进行统计与分析,帮助用户高效地掌握数据库运行的安全态势并快速锁定风险目标。

数据库安全审计报表

系统通过动态报表的方式对数据库操作行为审计结果进行统计分析。系统内置丰富的报表模板,其中大部分报表均符合SOX法案、等级保护等法规标准对信息系统的审计需求。另外用户也可以根据自身的实际需求选择报表内容,自定义生成审计报表。

审计数据库自动发现

系统通过对数据库网络流量的采集和数据解析,利用各数据库类型私有通信协议各自特征,实现对不同类型数据库的自动识别,同时还可从协议内容获取到更为精确的数据库参数,比如数据库版本号、协议版本号、通信端口等信息。

用户权限细粒度管理

系统采用基于角色的权限控制机制,即系统只对角色分配权限,用户只能通过拥有角色来获取权限,而不能直接对用户分配权限,完全满足三权分立的合规性要求。系统内置系统管理员、安全管理员和审计管理员三种角色。

三层应用的关联审计

系统关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的最初访问数据及请求信息;突破传统非精确关联的时间关联匹配层的最初访问数据及请求信息;突破传统非精确关联的时间关联匹配模式,实现精确关联匹配。

双栈协议数据可审计

系统兼容IPv4和IPv6的网络环境,可运行于混合网络环境中,根据客户实际的网络环境进行适配;系统具备同时支持IPv4、IPv6协议的数据库网络流量的接入、解析和审计,并在系统界面上统一展现。

系统自身监控和管理

系统除了实现对被审计数据库的监控和审计,对自身系统的运行状态也进行状态监控,监控内容包括主要:系统硬件资源、数据库流量、软件模块状态等;系统提供维护配置管理功能,包括:时间同步管理、审计日志管理和系统升级管理等。


产品规格


典型部署

系统采用分层模块化架构设计,数据采集、协议解码、审计引擎和审计中心各模块在业务功能逻辑上相互独立,采用松耦合接口方式进行数据交互,使得系统部署方式灵活,能适应各种用户网络场景。系统典型的部署模式包括独立设备部署、分布式部署模式和软探针部署模式,具体描述如下:


1、独立设备部署模式

独立设备部署模式是最为常见的部署模式,适用于绝大多数用户应用场景,数据库审计设备直接通过用户交换机镜像方式旁路采集用户各业务数据库的网络流量进行审计,部署网络拓扑如下图:


2、分布式部署模式

分布式部署将审计系统的探针审计引擎及审计中心功能分离,审计中心统一负责数据库审计日志数据的存储和分析,审计探针引擎负责数据库操作数据的采集、解析和审计,一个审计中心可管理多个审计探针和审计引擎,该部署模式适用于大型集团式分级业务网络用户场景,部署网络拓扑如下图:


3、软探针部署模式

软探针部署模式是将物理探针引擎功能分拆,将数据采集功能变更为软件模块部署于客户数据库服务器上,其余的数据解析和审计功能则后移到审计设备。此种部署模式适用于WEB服务器与数据库合设以及虚拟化场景,部署网络拓扑如下图所示:





本网站由阿里云提供云计算及安全服务