數(shù)據(jù)庫審計介紹

昂楷數(shù)據(jù)庫審計系統(tǒng)(簡稱：AAS)是一款軟硬一體化產(chǎn)品，首創(chuàng)雙向?qū)徲嫏C(jī)制，全面覆蓋應(yīng)用、中間件、數(shù)據(jù)庫，達(dá)到“事前預(yù)防+事中防范十事后取證”的立體防御效果。審計系統(tǒng)采用數(shù)據(jù)庫深度報文協(xié)議解析技術(shù)DPI及動態(tài)流檢測技術(shù)DFI等，將數(shù)據(jù)庫的各種訪問操作，解析還原為數(shù)據(jù)庫級的操作語句，通過預(yù)置的安全規(guī)則匹配，即可智能分析和監(jiān)控訪問者的各種操作，進(jìn)行實時威脅預(yù)警，并對事件進(jìn)行統(tǒng)計分析記錄，多重身份定位，有效支持電子取證。

數(shù)據(jù)庫審計法規(guī)要求

法規(guī)控制在一些領(lǐng)域起了關(guān)鍵性的作用，例如在業(yè)務(wù)變更、業(yè)務(wù)流程驗證、系統(tǒng)故障、人為違規(guī)操作等方面。因為數(shù)據(jù)庫作為各項資產(chǎn)或者業(yè)務(wù)的核心，所以數(shù)據(jù)庫審計在各類標(biāo)準(zhǔn)法規(guī)中非常重要。

《薩班斯法案》強(qiáng)調(diào)加強(qiáng)與財務(wù)報表相關(guān)的IT系統(tǒng)內(nèi)部控制，其中，IT系統(tǒng)內(nèi)部控制是緊密圍繞信息安全審計這一核心的。

巴賽爾新資本協(xié)定(Basel II)要求全球銀行必須做好風(fēng)險控管(risk management)，而這項“金融作業(yè)風(fēng)險”的防范正需要業(yè)務(wù)信息安全審計為依托。

《企業(yè)內(nèi)部控制具體規(guī)范》明確要求計算機(jī)信息系統(tǒng)應(yīng)采取權(quán)責(zé)分配及職責(zé)分工、建立訪問安全策略等審計措施以加強(qiáng)提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準(zhǔn)確性。

《等級保護(hù)數(shù)據(jù)庫管理技術(shù)要求》 第四章“數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求”中第四節(jié)“數(shù)據(jù)庫安全審計”中明確提出數(shù)據(jù)庫管理系統(tǒng)的安全審計應(yīng)：建立獨立的安全審計系統(tǒng);定義與數(shù)據(jù)庫安全相關(guān)的審計事件;設(shè)置專門的安全審計員;設(shè)置專門用于存儲數(shù)據(jù)庫系統(tǒng)審計數(shù)據(jù)的安全審計庫;提供適用于數(shù)據(jù)庫系統(tǒng)的安全審計設(shè)置、分析和查閱的工具。

《ISO15408-2 安全功能要求》明確要求數(shù)據(jù)庫安全審計應(yīng)包括：識別、記錄、存儲和分析 那些與安全相關(guān)活動(即由TSP 控制的活動)有關(guān)的信息;檢查審計記錄結(jié)果可用來判斷發(fā)生了哪些安全相關(guān)活動以及哪個用戶要對這些活動負(fù)責(zé)。

主要特性

1、全面的數(shù)據(jù)庫審計

昂楷數(shù)據(jù)庫審計系統(tǒng)能夠針對目前主流的數(shù)據(jù)庫(ORACLE、MSSQL、MYSQL、POSTGRESQL、Caché、….)的各種操作進(jìn)行詳細(xì)的、實時的記錄，并以報表和數(shù)據(jù)庫列表的形式呈現(xiàn)給客戶!

能夠?qū)徲嫷膬?nèi)容包括：

審計用戶對數(shù)據(jù)庫的登錄、注銷

審計用戶到數(shù)據(jù)庫表的查詢、插入、修改、刪除、創(chuàng)建……

能夠監(jiān)控各類數(shù)據(jù)庫的連接客戶的操作

支持的數(shù)據(jù)庫類型包括：ORACEL、DB2、INFORMIX、SYBASE、MSSQL Server、MYSQL、POSTGRESQL、Caché

2、遠(yuǎn)程服務(wù)器操作審計

昂楷數(shù)據(jù)庫審計系統(tǒng)支持主流的遠(yuǎn)程服務(wù)器訪問操作，包括對Telnet、FTP、Rlogin、X11等操作的審計，能夠全程記錄遠(yuǎn)程訪問用戶的各種操作。

3、豐富的報警設(shè)置

用戶可以自定義各種報警事件，并設(shè)置報警事件的類別。當(dāng)數(shù)據(jù)庫遭遇到攻擊、定制報警策略促發(fā)時，系統(tǒng)會自動的告警出來!目前報警為、較高、中級、低級四個級別。

4、靈活的審計策略

昂楷數(shù)據(jù)庫審計系統(tǒng)使用審計引擎對所有的數(shù)據(jù)庫活動、數(shù)據(jù)庫服務(wù)器遠(yuǎn)程操作進(jìn)行實時的、動態(tài)的審計，并根據(jù)審計到客戶端(IP、MAC、用戶名……)、中間件(操作語句)、服務(wù)端(返回值、響應(yīng)時間……)信息，自定義策略，實現(xiàn)審計可視化、可管理行。

5、系統(tǒng)管理

昂楷數(shù)據(jù)庫審計系統(tǒng)的管理控制臺集中管理應(yīng)用審計系統(tǒng)，審計人員可以通過管控平臺是實時監(jiān)控應(yīng)用審計設(shè)備的各種狀態(tài)，包括：

系統(tǒng)運行狀態(tài)，CPU、內(nèi)存、硬盤的消耗等。

系統(tǒng)自身運行的各種日志信息。

用戶管理，管理各種用戶的權(quán)限，以及用戶對審計設(shè)備的操作狀況。

產(chǎn)品優(yōu)勢

昂楷數(shù)據(jù)庫審計系統(tǒng)通過網(wǎng)絡(luò)完全獨立地采集審計數(shù)據(jù)，這使得數(shù)據(jù)庫維護(hù)或開發(fā)小組，安全審計小組的工作進(jìn)行適當(dāng)?shù)姆蛛x。而且，審計工作不影響數(shù)據(jù)庫的性能、穩(wěn)定性或日常管理流程。審計結(jié)果獨立存儲于昂楷數(shù)據(jù)庫安全審計系統(tǒng)自帶的存儲空間中，避免了數(shù)據(jù)庫特權(quán)用戶或惡意入侵?jǐn)?shù)據(jù)庫服務(wù)器用戶，干擾審計信息的公正性。

1、全跟蹤細(xì)膩度審計

全面性：針對業(yè)務(wù)層、應(yīng)用層、數(shù)據(jù)庫等各個層面的操作進(jìn)行跟蹤定位，包括數(shù)據(jù)庫SQL執(zhí)行情況、數(shù)據(jù)庫返回值等;

細(xì)粒度：到表、對象、記錄內(nèi)容的細(xì)粒度審計策略，實現(xiàn)對敏感信息的精細(xì)監(jiān)控;

獨立性：基于獨立監(jiān)控審計的工作模式，實現(xiàn)了數(shù)據(jù)庫管理與審計的分離，保證了審計結(jié)果的真實性、完整性、公正性。

2、權(quán)限分離

昂楷數(shù)據(jù)庫審計系統(tǒng)設(shè)置了權(quán)限角色分離，如系統(tǒng)管理員負(fù)責(zé)設(shè)備的運行設(shè)置;審計員負(fù)責(zé)查看相關(guān)審計記錄及規(guī)則違反情況;日志員負(fù)責(zé)查看整體設(shè)備的操作日志及規(guī)則的修改情況等。

3、事件準(zhǔn)確定位

傳統(tǒng)的數(shù)據(jù)庫審計定位往往局限于IP地址和MAC地址，很多時候不具備可信性。昂楷數(shù)據(jù)庫審計系統(tǒng)可以對IP、MAC、用戶名、服務(wù)端等一系列進(jìn)行關(guān)聯(lián)分析，從而追蹤到具體人。

4、獨特報表功能

(1)合規(guī)性報表

昂楷數(shù)據(jù)庫審計系統(tǒng)報表會根據(jù)合規(guī)性要求，輸出不同類型的報表。例如，可根據(jù)等級保護(hù)三級要求，輸出符合等保相關(guān)項目滿足的度的報表。

(2)策略定制化報表

根據(jù)審計人員關(guān)系的主要問題，定制符合需求的策略規(guī)則輸出報告，使審計人員能夠迅速的得到自己需要的審計信息。

(3)完備的自身安全

昂楷數(shù)據(jù)庫審計系統(tǒng)全方位確保設(shè)備本身的高可用性，主要包括：硬件級安全冗余、系統(tǒng)級防攻擊策略、告警措施等。

部署方式

為了完全不影響數(shù)據(jù)庫系統(tǒng)自身性能與運行，數(shù)據(jù)庫審計系統(tǒng)支持采用旁路監(jiān)聽或模式，具體可分為核心交換機(jī)網(wǎng)絡(luò)監(jiān)聽模式、網(wǎng)橋模式和數(shù)據(jù)庫系統(tǒng)主機(jī)上實施監(jiān)聽模式。

1、交換機(jī)網(wǎng)絡(luò)監(jiān)聽模式

通過在核心交換機(jī)上設(shè)置端口鏡像模式或采用TAP分流監(jiān)聽模式，使安全審計引擎能夠監(jiān)聽到所有用戶通過交換機(jī)與數(shù)據(jù)庫進(jìn)行通訊的全部操作。

昂楷數(shù)據(jù)庫審計部署圖

2、數(shù)據(jù)庫系統(tǒng)主機(jī)網(wǎng)絡(luò)監(jiān)聽模式

通過在數(shù)據(jù)庫系統(tǒng)主機(jī)上部署網(wǎng)絡(luò)監(jiān)聽的審計接入模塊，審計接入模塊能夠監(jiān)聽所有用戶與數(shù)據(jù)庫系統(tǒng)進(jìn)行的全部通信，獲得對數(shù)據(jù)庫系統(tǒng)的所有訪問操作，審計接入模塊發(fā)送給審計系統(tǒng)，并記錄在審計系統(tǒng)中。

網(wǎng)絡(luò)監(jiān)聽模式 大的優(yōu)點就是與現(xiàn)有數(shù)據(jù)庫系統(tǒng)無關(guān)，部署過程不會給數(shù)據(jù)庫系統(tǒng)帶來性能上的負(fù)擔(dān)，即使數(shù)據(jù)庫審計系統(tǒng)出現(xiàn)故障也不會影響數(shù)據(jù)庫系統(tǒng)的正常運行，具備易部署、無風(fēng)險的特點。