江南科友数据库运维审计系统HAC-DB
  
  1、解决之道
  数据库运维审计系统是广州江南科友科技股份有限公司为数据库服务器高效运维、数据安全管理、数据安全审计而推出的审计产品。通过旁路监听方式采集、分析处理、记录数据库服务器的所有操作,提供监测报警策略设置、数据库服务器负担状况统计分析、数据库客户端访问操作统计分析以及数据库客户端访问排名等功能,实现对数据库服务器应用(包括数据库系统操作,数据操作)的实时监测、报警、记录和审计。
  
  1.1简介
  数据库运维审计系统是集网络审计系统和数据库审计系统两大功能为一体的综合监测审计系统。该系统采用实时侦听方式,全线速采集网络上所有会话流,对网络、主机和数据库系统的应用行为和应用内容进行监测、报警、记录与审计。
  
  数据库运维审计系统采用旁路侦听方式获取网络中的会话流,它不拦截网络中的任何数据包,单向数据接收,不参与被监测网络的数据传输活动,因此不对网络结构和性能产生任何影响,具有很好的透明性和安全性。
  1.2 应用环境
  数据库运维审计系统支持Oracle、DB2、Informix、Microsoft SQL Server、Sybase、Mysql等多种数据库,可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。
  
  2、产品介绍
  产品特点
  先进的应用开发技术。采用了目前世界最先进的RIA (Rich Internet Application)开发技术,使得用户应用既具有Browser/Server操作使用的方便性,又具有Client/Server用户界面的丰富性;
  灵活的系统构架。可以根据用户的网络环境、应用需求、网络规模进行灵活的裁剪和定制,同时也便于系统的扩充,增加新的安全审计类型;
  
  标准化的网络通讯协议和应用协议。采用了XML/SOAP标准协议和HTTP/HTTPS应用协议,这些协议是目前比较流行和成熟的网络应用协议,可以很方便的与其它系统通讯和接口协商;
  
  支持本地和远程管理。系统控制台的通讯采用HTTP/HTTPS应用协议,该协议在互联网上是使用最普遍的协议,一般网络安全过滤设备不会阻挡该协议的通讯,使得用户很方便的进行远程管理而不需要对网络安全设备(防火墙)进行特殊的配置,采用HTTPS协议又可以保证通讯的安全性;
  
  多种类型的接入方式。支持基于TAP和端口镜像的网络接入方式,这些接入方式都属于旁路侦听方式,不改变用户网络结构,不影响网络的性能;
  
  增值服务。提供了第三方基于WebService报警接口和网络流量统计服务接口,用户利用这些接口可以很方便的进行二次开发或与其它系统进行整合。
  
  支持多种操作系统。审计控制台的运行环境是网络浏览器和Flash Player,任何支持这两个系统组件的操作系统如:Windows、Unix、Linux、Mac、PocketPC都可以运行。
  
  2.1数据库操作审计
  审计内容
  ●被访问数据库服务器详细信息:数据库服务器名称、IP地址、MAC地址、端口号
  ●数据库访问者详细MAC地址、IP地址、端口号
  ●数据库操作发生详细日期、时间
  ●原始SQL语句
  ●数据库操作执行结果
  ●数据库操作类型
  ●如果是登陆请求会审计到系统用户名、数据库用户名、客户端程序及路径
  
  2.2其它类型访问审计
  网络行为分类如下:
  ●FTP登录
  ●FTP上传
  ●FTP下载
  ●TELNET
  ●SSH
  ●RSH
  ●RLOGIN
  
  2.3统计功能
  支持以下格式的输出:
  ●柱状图
  ●饼图
  ●折线图
  ●表格
  
  2.4排名功能
  排名内容
  排名分类 功能特性
  数据库访问者流量排名 访问流量最大的前5/10/20的数据库访问者,以IP或MAC标识
  访问流量最小的前5/10/20的数据库访问者
  数据库操作排名 某种操作执行次数最多的前5/10/20的数据库访问者,以IP或MAC标识
  某种操作执行次数最少的前5/10/20的数据库访问者
  报警排名 报警了生最多的前5/10/20的数据库访问者,以IP或MAC标识
  报警了生最少的前5/10/20的数据库访问者,以IP或MAC标识
  2.5关联功能
  审计、统计和排名的关联功能可以快速帮助用户发现潜在的安全隐患。
  用户可以通过统计、排名功能发现数据库操作的访问异常现象,通过关联审计功能第一时间发现恶意的数据库访问者。
  1. 统计与排名关联
  2. 统计与审计关联
  
  2.6告警功能
  ●基于数据库访问者的告警
  ●基于数据表的告警
  ●基于数据库的告警
  ●基于操作类型的告警
  ●基于特定字符串的告警
  
  2.7实时流量分析功能
  实时流量分析内容如下:
  ●基于数据库服务器的操作次数的统计分析;
  ●数据库服务器的本身的流量统计分析,包括数据库操作和非数据库操作;
  ●基于特定IP客户端对数据库服务器访问的流量统计分析,包括数据库操作和非数据库操作;
  ●多台服务器的同时统计分析。
  
  2.8报表功能
  
  2.9转储备份功能
  可以将数据库运维审计系统在线记录的审计数据转储到网上指定的存储设备长期保存,并提供离线检索和查询方式。
  
  2.10管理配置功能
  
  3、产品应用
  
  3.1产品部署方式
  数据库运维审计系统是采用交换机镜像方式或采用专用的网络信号旁路接入器ESentry对被监测审计的网络中的信号(光和电)进行旁路接入,它是以透明方式与网络设备连接(交换机、路由器、防火墙、网关),因此不会改变网络结构和配置,由于它是在电信号或光信号层进行的旁路,因此不影响任何网络性能。根据用户的网络传输设备的类型,可以选用100Mb/s、1000Mb/s的电信号接口和光信号接口的ESentry。典型的ESentry使用是在内网与外网的出入口位置上或者是在内网的关键路径上(诸如交换机到服务器的网路上)。
  
  3.2产品实现功能
  1.数据库操作监测报警
  2.数据库效能统计分析
  3.数据库操作审计
  4.客户端访问排名分析
  5.对数据库访问的客户端IP数统计
  6.统计、排名和审计关联
  7.实时审计
  
  3.3产品应用方式
  1.针对数据库管理员的审计监测
  2.针对数据库临时帐户的审计监测
  3.针对敏感数据的访问的审计监测
  4.数据库审计记录分类统计查询
  5.针对数据库异常操作的监测报警
  
  3.4数据库自审计功能不足
  通常数据库服务器具有自身的日志审计功能,这样的日志功能也分为多种类型,如:连接审计,C2审计,SQL语句跟踪等,可以通过对配置项的修改,设置为启动或关闭,然而这样的日志审计功能有着其自身的缺陷和危害:
  ●非智能设计:日志审计功能并不能进行灵活的配置,仅仅是简单的日志记录,并不
能帮助管理者及时发现问题,快速定位问题;
  ●不能进行监测报警:数据库自身的日志审计,并不具有监测报警的功能,不能在第一时间将异常信息报告给数据库管理者,只能用于问题查证;
  ●日志记录可以被删除:日志审计的记录会存在一个特定文件或是一个表,恶意攻击者或是具有权限的合法用户都可以删除这样的日志文件,从而将记录毁灭;
  ●对数据库服务器的资源和性能都会产生巨大的影响:在开启某些日志审计功能后,有时候如果无法对日志文件进行写入时,就会导致数据库停止;还有一些日志审计功能一旦开启,记录量非常大,占用了大量的硬盘空间,同时大大降低数据库服务的性能,严重影响正常的应用的顺利进行。

相关产品推荐:[趋势内控堡垒主机]

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。