＜网络安全＞《12 数据库安全审计系统》

1 概念

数据库安全审计系统通过对用户访问数据库行为的记录、分析和汇报，来帮助用户事后生成合规报告、事故追根溯源，同时通过大数据搜索技术提供高效查询审计报告，定位事件原因，以便日后查询、分析、过滤，实现加强内外部数据库网络行为的监控与审计，提高数据资产安全。

1.1 说明

它可以监控和审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等，分析的内容可以精确到SQL操作语句一级。它还可以根据设置的规则，智能的判断出违规操作数据库的行为，并对违规行为进行记录、报警。由于数据库安全审计系统是以网络旁路的方式工作于数据库主机所在的网络，因此它可以在根本不改变数据库系统的任何设置的情况下对数据库的操作实现跟踪记录、定位，实现数据库的在线监控，在不影响数据库系统自身性能的前提下，实现对数据库的在线监控和保护，及时地发现网络上针对数据库的违规操作行为并进行记录、报警，有效地弥补现有应用业务系统在数据库安全使用上的不足，为数据库系统的安全运行提供了有力保障。

2 功能

2.1 主要功能

1. 数据库安全审计系统主要功能包括：
   · 实时监测并智能地分析、还原各种数据库操作过程。
   · 根据规则设定及时阻断违规操作，保护重要的数据库表和视图。
   · 实现对数据库系统漏洞、登录账号、登录工具和数据操作过程的跟踪，发现对数据库系统的异常使用。
   · 支持对登录用户、数据库表名、字段名及关键字等内容进行多种条件组合的规则设定，形成灵活的审计策略。
   · 提供包括记录、报警、中断和向网管系统报警等多种响应措施。
   · 具备强大的查询统计功能，可生成专业化的报表。

2. 数据库安全审计系统主要特点
   · 采用旁路技术，不影响被保护数据库的性能。
   · 使用简单，不需要对被保护数据库进行任何设置。
   · 支持SQL-92标准，适用面广，可以支持Oracle、MS SQL Server、Sybase、Informix等多类数据库。
   · 审计精细度高，可审计并还原SQL操作语句。
   · 采用分布式监控与集中式管理的结构，易于扩展。
   · 完备的"三权分立"管理体系，适应对敏感内容审计的管理要求。

3. 数据库安全审计管理系统示意图
   

3 数据库审计功能

3.1 数据发现与分类

自动发现数据库类型、IP、端口、表名、字段以及敏感数据等信息，支持对数据进行自定义分类；

3.2 告警与防护

1.细粒度审计策略定义，基于IP/时间/规则/响应方式等因子配置，方便客户分类分级审计和响应。

2.内置安全规则，对于提权操作、库表删除等数据库操作，SQL注入、XSS攻击等攻击操作实时上报。

3.审计数据防护，对于审计到的敏感数据进行模糊化处理，防止数据泄露。

4.数据库防火墙：可全面、细粒度的控制数据传输，基于角色、内容、操作、时间等因子的细粒 度数据库管控，可达到数据库命令级控制。

3.3 分析与挖掘

1.通过审计数据，对数据库、响应时间、账号、数据库性能等进行分析，及时发现异常。

2.基于异常场景分析：内置异常分析算法，对于暴力破解、频次异常、撞库攻击等行为可自动生成审计报告

3.4 审计与追溯

1.丰富报表：内置大量默认报表模板，提供不同身份、不同行业客户所需的审计结果，多维度分数据库系统的风险。

2.行为轨迹：图形化展示数据库操作行为，可从账号、IP、命令等各维度追踪用户操作，发现异常行为。

3.三层架构前后台关联：业务操作先访问应用系统，应用再访问数据库，存在账号、路径追溯的问题

4.常规审计：只能审计页面访问或数据库访问的单一过程，无法追踪溯源

5.关联审计：前后台关联，得到SQL的业务用户ID，得到页面动作引发的数据库变化

4 商业产品

通过监控数据库的多重状态和通信内容，不仅能够对数据库所面临的风险进行多方位的评估，还可以通过审计功能对数据库所有操作进行审计，提供实时追查机制。主要功能有：敏感数据发现、数据库状态监控、风险扫描，数据活动监控等。同时提供旁路、探针、分布式等多种部署方式，为数据库的各类应用环境想供高自由度部署，全方位监控与审计。

4.1 产品功能

敏感数据发现与评估
系统支持通过服务发现敏感数据扫描，帮助安全管理人员了解服务和敏感数据分布情况，协助制定更为清晰的审计防护策略。
数据库性能监控
系统能够及时发现数据库在运行中出现的性能异常，并且结合审计日志准确定位异常操作，防止因性能问题而导致的业务瘫痪，合理优化业务系统。
数据库风险扫描
系统通过内置扫描策略可以及时发现数据库系统在运行时可能出现的配置、管理风险、数据库软件本身存在的漏洞，并给出修复建议。
基本业务审计
对于数据库需要全面的访问行为监控，系统提供基本的审计规则，审计内容包括：数据库IP、实例、用户、SQL内容、SQL关键字等。
高级行为审计
对于数据库需要精确的访问行为监控，数据库安全审计系统提供高级的审计规则，审计内容包括：多关键字匹配、正则表达式、SQL模式等。
运维审计
提供运维审计功能，运维人员使用邮件带附件的形式发送敏感数据文件时将进行告警。
行为基线设置
系统提供基于自动学习的基线策略模型，能够自动识别操作是否偏离基线策略，偏离时立刻告警。不偏离时自动忽略，减少存储开销。
三层审计
系统可追溯到终端用户名/IP地址，提供完整的审计记录。

4.2 产品优势

数据库资产可视化
通过服务发现与敏感数据扫描，展示网络中存在的数据库与敏感数据分布情况。
安全事件追溯
提供详尽的数据库访问特征信息，帮助用户精准分析异常操作，结合三层审计关联到最终的业务操作用户，提升敏感事件追责能力
全面审计
数据库安全审计系统涵盖了所有的数据访问途径，不论是内部、外部，还是之间或者间接。
数据安全治理能力
实时监控数据库运行状态，在状态异常时提供预警机制，提升业务系统的可用性、稳定性。
安全基线自学习
系统自动学习每一个应用的访问语句，进行模式提取和分类，自动生成行为特征模型，并可以对学习结果进行编辑。锁定后形成安全基线。
数据库风险扫描
内置的扫描策略，能够及时发现数据库系统在运行时可能出现的配置、管理风险、数据库软件本身存在的漏洞，并给出修复建议。