HA-SAS数据库审计系统介绍

　　产品背景
　　数据是企业业务的根本，数据库是企业数据的载体，数据库系统是企业信息系统的心脏。从信息安全角度看，数据库系统的安全是IT系统安全的核心，引起了信息系统建设者的高度重视，在数据库的物理安全和网络安全方面做了完善的安全防护，例如采取了严格访问控制和容灾备份等安全措施。但是，从近年来发生的安全事件来看，数据库安全问题远远不止是物理层面安全和网络层面的安全，数据库系统面临这从安全管理到安全技术等各方面的安全隐患，这些风险将会给企业业务带来严重的影响，可能会造成巨大的经济损失，或引起法律的纠纷。而且这些事件难以追查和弥补。
　　1.1数据库安全面临几个主要的风险
　　1.1.1 管理风险：
　　·内部人员误操作、违规操作、越权操作，损害业务系统安全运行
　　·多人公用一个帐号，责任难以分清；
　　·第三方维护人员的误操作，恶意操作和篡改；
　　·超级管理员用户操作难以监管和审计；
　　1.1.2 技术风险
　　·数据库服务器操作系统漏洞攻击；
　　·数据库系统漏洞攻击；
　　·应用系统开发商后门或漏洞；
　　·离职员工留下后门。
　　1.1.3 审计风险
　　·审计日志缺失或不完整；
　　安全事件难以追查和定位。
　　1.2数据库安全审计需求概述
　　2.1 产品概述
　　安全审计系统（HA-SAS）是福建××信息技术有限公司对数据库安全应用进行深入研究后自主研发的最新产品，它通过网络审计为主，兼容数据库本地审计的方式，实现对数据库的查询、新增、删除、修改、授权等各种操作行为进行解析和智能关联，并提供多种灵活方便的查询方法、统计报表，供数据管理者查询、分析、决策。
　　该系统还具有高效的数据库入侵防御功能，对恶意攻击或者误操作等敏感行为进行实时报警或阻断。系统采用了优良的体系结构，支持超大容量的数据库审计条目，实现了在线解析和按需解析两种工作模式。本系统支持对ORACLE、 SQL Server、Sybase等数据库进行审计，适用于金融、证券、保险、电力、政务、卫生、教育等大中型组织数据库审计的安全需求。
　　2.1.1 系统组成
　　安全审计系统包括：审计引擎（硬件）、数据审计中心、管理控制台三大组件构成。
　　安全审计引擎通过旁路监听的方式接入网络，通过在核心交换机上设置端口镜像模式或采用TAP分流监听模式，使安全审计引擎能够监听到所有用户通过交换机与数据库进行通讯的所有操作，并把数据库操作进行协议还原和分析，发送到数据审计中心。安全审计系统在通过安全审计引擎实施旁路监听的同时，还支持导入被审计数据库服务器的本地数据库归档日志到数据审计中心进行统一分析和审计。
　　数据审计中心具有强大的数据分析和事件关联功能，通过接收来自于安全审计引擎的数据包和本地数据库的归档日志，对其进行数据库操作的关联分析，根据管理控制台发送的策略和指令进行分析处理，最终形成处理结果发送到管理控制台。
　　管理控制台具有简单易用的特点，支持三权分立的用户角色管理能力，提供丰富的配置、查询、报警和报表功能。
　　2.1.2 体系结构
　　安全审计引擎通过零拷贝技术结合高度缓存技术进行高速网络数据包捕获重组、协议分析。审计引擎内嵌入侵防御模块，实时对数据包进行模式匹配和异常检测分析，发现数据库攻击企图并实时报警或阻断。审计引擎采用了高速缓存技术，极大地提高了审计引擎的可靠性和性能。
　　数据审计中心采用了先进的组件设计技术，把审计数据的存储、解析、查询和统计分析功能进行独立设计，保证高性能的同时，满足了可扩展的需求，使整个审计系统能够支持大容量的审计数据存储、查询和统计能力。
　　2.2 产品主要功能
　　2.2.1全方位细料度审计分析
　　HA-SAS基于“数据捕包分析→数据安全预处理→数据转储解析→安全事件关联→审计结果呈现”的模式提供各项安全功能，使得它的审计功能大大优于其他模式的审计产品。
　　HA-SAS支持SQL命令（如：Select、Insert、Delete、Create、Drop等）以及存储过程的执行进行细粒度审计和分析，同时记录详细的用户行为信息，包括登录的时间、机器名、用户名、IP/MAC地址、客户端程序名以及数据库名等信息，对数据库操作维护命令、存储过程进行审计，可对查询，新增，修改，删除，授权等行为进行监控。
　　HA-SAS还可以深度解析数据库操作内容，准确解析出语句中的表名，操作方式及操作内容，并根据表名和操作方式进行归类和统计分析。
　　2.2.2数据库访问的实时监控与防御
　　当用户与数据库进行交互时，安全审计引擎会自动根据预设置的入侵检测（防御）策略进行第一道防护。通过入侵检测（防御）策略，HA-SAS不仅可以快速地对数据库的缓冲区溢出攻击、口令字猜解等恶意攻击做出反应，也可以实时检测如删除表结构等敏感行为操作。HA-SAS的入侵检测（防御）策略支持自定义功能。
　　数据审计中心提供了第二道防护策略，它可以根据内容关键字、IP地址、用户/用户组、时间、数据库类型、数据库操作类型、数据库表名等精细组合数据库敏感行为预设反应策略，并能够为特定的审计需求自定义审计规则。
　　HA-SAS还提供多种安全响应措施，包括记录、邮件以及短信报警。
　　2.2.3 独创的在线和离线两种审计模式
　　审计工作重在事后有据可查，但是海量的审计日志使传统的审计技术无法做到想查就查。HA-SAS基于对安全审计需求的深刻理解，独创性地融合了在线解析和离线解析的功能，该系统不但可以满足实时审计的需求，而且采用高压缩比的文件型审计日志备份技术，使审计日志能够方便地长期保存，并且能够在事后随时按需导入进行解析查询。
　　2.2.4 数据库系统使用性能分析
　　HA-SAS提供了数据库系统实时访问分布图，掌握数据访问概貌，方便使用者合理调整系统资源。例如可以直观的查看每天在任意时间、任意用户、任意表、任意记录的变化情况，以及高峰期和低谷期信息，结合这些监控信息可以帮助管理者及时做出改进决策，如可以对访问量多的表进行适当的扩容、优化等处理，以达到系统资源合理运用的目的。
　　HA-SAS使用者还可以通过分析数据库一时期内每个时段新增数据、删除数据、修改数据的操作中存在的规律，从中了解哪些表在哪些时段新增数据较多，适时扩展该表的容量，并及时清理该表历史数据，以实现对该表的访问优化。
　　2.2.5 高效的查询功能及人性化结果展示
　　HA-SAS为用户提供了基于时间、地址、数据库类型、用户名、操作类型、数据库名、表名、字段名等等多种丰富的组合查询模式，用户可以按照自己的需要查找所关心的符合审计规则的数据库操作记录。HA-SAS查询功能还支持二次检索功能以达到精确检索的目的。
　　HA-SAS支持对提取出来的表名、IP地址、MAC地址等进行中文备注说明，并在查询结果中进行备注替换显示，极大的提高数据库审计内容的易读性。