关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


安全产品研发新模式 与用户共同打造二代数据库审计

2016-01-08 09:58 推荐: 浏览: 62字号:

摘要: 2015年12月,安华金和以积极开放的心态,邀请业界合作伙伴绿盟科技、360、天融信、安恒信息、太极等多家厂商及国家电网、银行、政府、军工等各行业最终用户,并公开面向市场广泛招募测试成员,共计100人,参与到二代数据库安全审计产品的共同创造当中。 安华金和以“...

2015年12月,安华金和以积极开放的心态,邀请业界合作伙伴绿盟科技、360、天融信、安恒信息、太极等多家厂商及国家电网、银行、政府、军工等各行业最终用户,并公开面向市场广泛招募测试成员,共计100人,参与到二代数据库安全审计产品的共同创造当中。

安华金和以“最用户”的二代数据库安全审计产品理念为基础,为验证二代数据库安全审计产品在市场上的用户反响,公测活动持续了近1个月,得到了业内合作伙伴和最终用户及友商们的热情反馈,对此,我们收集汇总了关于产品提升的各种宝贵意见,并阶段性完成改进提升。12月底,二代数据库安全审计经市场验证后自信推广上市,并在业界公投下,一举获得安全产品类评选中,2015年度产品创新奖。

DBAudit-gc-1

本次公测结束后,安华金和针对测试成员们给予的测试反馈,进行了汇总分析,总结问题,根据产品功能、交互、整体10分制评价,安华金和二代数据库安全审计获得综合评分为8.03分,呈现良好表现,各项评分结果如下:

功能性评价

交互性评价整体评价
7.958.35

7.95

从本次测试人员的构成来看,从用户、合作伙伴、市场招募人员范围来划分,三者占比约为1:1:2,其中合作伙伴按职能身份分为销售售前、售后技术支持、产品研发三类划分,其中占比最高,占据测试用户群体的一半。

产品测试后,测试用户能从中体会到的五大产品理念分布来看,优先顺序排列,免实施、面培训、可下钻是用户对二代数据库安全审计产品测试后共有的有感受,可交流和可挖掘性次之。.

其中85%以上的测试用户对二代数据库审计产品风险、会话、语句三大主线设计,表示比较清晰,产品所要表达的与用户理解的基本一致,其中10.34%用户表示非常清晰,呈现的内容及操作流程都非常符合使用习惯。

针对二代数据库安全审计产品以统计数据为线索和分析的模式评价方面,所有参与测试用户表示有用,其中近40%用户表示非常有用,可以很直观的找到最需要审计结果的切入点。

产品的易用性评价方面,针对数据检索是否方便,调研结果为34.48%用户表示非常方便,操作便捷,想要什么就有什么,50%以上用户表示,还算方便,基本需要能满足。

安华金和针对数据库安全审计产品,在业内首个提出三代产品演进概念:

第一代是入门级数据库安全审计,这代产品解决的是的问题;

第二代是专业型数据库安全审计,这代产品解决的是准确性易用性问题;

第三代是业务型数据库安全审计,这代产品解决的是数据价值问题。

相关文章详细下载,请点击http://www.dbsec.cn/service/pdf/20151226.pdf 获取。

本次安华金和交付公测的产品属于二代数据库安全审计。针对二代数据库安全审计产品的界面设计总体评价,90%用户表示简洁、精细与直观。

针对该产品受众的适用性上,用户分布情况如下:接近一半比例集中于安全管理人员,认为适合数据库运维人员使用的评价占比约28%,认为适合信息管理人员使用的评价占24%。

本次公测,安华金和二代数据库安全审计产品与其他公司的同类产品进行比较,从测试用户端得到的反馈是,62.07%的用户表示,安华金和二代数据库安全审计产品有一定优势,可圈可点;24.14%测试用户表示各有所长,维度不同,不太容易比较;接近5%的用户认为,安华金和的产品已在创新中远超同类产品;另外也有小部分人群不了解其他同类产品。

 

如果将数据库安全审计的演进过程分为三代,安华目前产品的测试评价62%的用户群反馈,与安华自身对产的定位基本吻合。

本次公测调研,安华金和针对您数据库安全审计产品的关键价值点进行了汇总收集,同时也诚恳的向参与用户征询当前产品中存在的不足,针对用户反馈的问题,安华金和数据库安全审计研发团队从功能性和安全性上完成了如下改进和新增。

产品功能和易用性方面,改善如下:

全库概况页面,重新调整页面布局,使用上下布局方式,并以卡片形式展现数据库审计状态信息,使用户能够更直观的看到数据库状态信息,更易于用户点击进去查看详细信息。

规则页面响应,优化规则页面响应速度,正常访问情况打开数据在秒级以内。

视图功能优化,移除左侧视图,功能整合到一级菜单,满足用户使用习惯。

TopSQL统计,已实现新型SQL语句分析功能,实现按SQL语句执行次数排序。

报表功能添加,报表中已经添加对错误语句的统计,添加登录失败的数据库用户与IP的关系。

风险操作管理,已经在规则风险操作管理中添加不审计选项。

同时,新增添加活跃会话功能,监控分析数据库并发压力情况。

安全性改进方面,安华金和数据库安全审计研发团队做了如下改进:

针对SQL注入攻击、跨站注入攻击等,增加SQL注入检测过滤器

针对调用组件暴露问题,对相关模块增强了权限校验

针对任意文件下载问题,涉及所有安全问题点进行针对性修复

用户资料遍历问题,调整了程序逻辑避免信息泄露

后续,二代数据库安全审计还将针对报表功能呈现问题,丰富内容,降低操作步骤,增强易用性;针对SQL统计功能提升方面,进行多维度结果展现。如有对数据库安全审计感兴趣的朋友们,仍可以报名参与测试体验https://www.wenjuan.com/s/2Mbyay/
基于用户需求和丰富体验的产品演进,才更富有生命力,安华金和产品研发团队将继续坚持Two-Weekly快速研发流程,秉承创新与发展的视野,打造用户更满意的数据库安全产品。

本次公测,特别鸣谢以下参与者,感谢大家对安华金和二代数据库安全审计产品提出了很好的反馈意见。

王禹博杨潇逸赫中翔段继平吴立斌
李太松蒲新宇刘  敏包英明韩  峰
王晶晶王作为钟能伟谢焕忠rock wu
李清荣王宏宇孙  平王江玉蔡春蕾
杜文刚范海龙洪光耀曾小巷杨凌辉
李英杰苏爱孙常育超刘晓阳张百川
注:排名不分先后
联系站长租广告位!

中国首席信息安全官
Copy link