数据库审计方案介绍

数据库审计方案介绍内容摘要：

全设置是否合理。 14．能防止数据库厂商所公开的安全漏洞。 Imperva 数据库审计建议方案 9 / 24 各个数据库厂商的针对自己的数据库漏洞的安全解决方案一般通过提供软件升级、补丁包的方式，这些解决方法都需要中断用户业务和增加用户数据库本身的负载， 同时存在同系统的兼容性问题，大多数用户为了避免对业务的影响和保证数据库的稳定性而不能大规模采用，因此普遍存在数据库安全隐患：国外如 RBS(苏格兰皇家银行 )， 国内如清华大学， 都曾因为数据库安全补丁无法及时造成数据库安全事件。 Securegrid 核心技术 同 IBM/Oracle/Sybase/Microsoft 等大型数据库厂 商具备合作关系，能够及时获得各厂商的数据库安全漏洞的代码， 能够在不影响数据库的情况下解决这一问题。 15．高性能。 s securegrid 数据库审计设备可以提供双向最低 500Mbps 的性能，毫微秒级延迟，支持的 SQL 交易数量高于 5 万每秒。 16．高可用性。 securegrid 审计设备支持高可用性确保最大的正常运行时间及应用可用性。 具有在设备故障下应该不影响实际业务能力，同时审计设备支持主备配置方式，在合理配置下，可以达到小于 1 秒甚至更低的主备切换时延。 17．支持集中管理，分部部署。 securegrid 产品提供全分布式的三级网管架构，包括： 第一层 —— 业务探测和实施引擎，第二层 —— 网管服务器，第三层 —— 操作控制台。 这种结构对于在数据库保护这样的大型网络系统中部署统一的安全策略具有至关重要的意义。 来自多个网关的日志数据也将显示在单个视图中，并存储在单个管理服务器数据库中。 这样可以增强管理的便利性，多网关的动态业务模型、 IPS 策略和系统参数集中存储于管理服务器，策略更改在服务器上进行，通过简单操作可将这些更改自动发布到多个网关中，立刻生效，方便快捷。 18．同 IBM 的合作以及 Z/OS 的开 发符合大型 客户的发展需求。 Securegrid 的核心技术 正在和我们的合作伙伴 IBM 合作，在 IBM 的协助下向大型客户 提供基于 IBM 私有协议的解决方案，如已经支持 IBMZ/OS 解决方案， 后面还会有更多的方案陆续发布， 这些都是在 IBM 的支持下完成。 综上所述， securegrid 产品的具有上述的各项功能，作为全球数据库安全Imperva 数据库审计建议方案 10 / 24 审计的领导厂商， securegrid 解决方案的核心技术 还能跟世界几大数据库厂商建立了很好的联盟关系，能更快的应对数据库厂商对数据库版本的升级后，推出新的版本，满足用户数据安全库审计的需求 ，避免因数据库版本升级所带来的对新的变化不能识别与审计的麻烦，真正的考虑到方便客户日后的使用与维护。 2. 技术优势 与同行业的其他产品比较， securegrid 数据库审计产品在功能、便利性、可扩展性等各个方面，都具有无可比拟的优势。 从产品的架构角度 1) 核心处理架构 securegrid 产品使用实时的 Kernel 方式来处理和分析 SQL 协议，尽可能少的读写硬盘，并且采用将审计信息写入 CSV 文件（远比写关系型数据库要快很多）的方式大大提高记录审计信息的速度。 所有的流量都会经过检测，而不用写入到文件中。 只有相应的安全时间和必要的审计信息才写到硬盘上，这样就极大的减少了处理时间并且尽可能使得产品在尽可能短的时间内处理尽可能多的流量。 2) 基于网络流量的设计思路 Securegrid 产品的纯网络设备解决方案完全提供了适合数据库访问的高性能和特性的网关，此网关捕获、分析、审计实时的网络流量，并且可以审计去以及返回的双向流量，发现高级权限操作和非法行为，提供实时告警和实时阻拦（可选），而所有这些都不影响数据 库服务器本身，这得益于其网关的高性能设计，从而尽可能对用户的现有业务造成影响 .。 3) 设备的吞吐量 Securegrid 审计产品 结合 imperva（ 有世界权威评测机构 Tolly Group 的测试报告证明 ） 有以下的性能，这些性能指标对于数据库审计设备而言，都是比较有优势的 : Securegrid 产品 : 500 Mbps (Tolly: 536 Mbps – Oracle) Imperva 产品 : 1 Gbps (Tolly: Gbps – Oracle) Imperva 数据库审计建议方案 11 / 24 Imperva 产品 : 2 Gbps 4) 部署架构 securegrid 审计设备将接受到的 TCP 数据包立刻分析，然后将 SQL 语句写到独立检索的 csv 文件中，需要很小的处理时间和对设备性能的极大节省，而并不需要集中的设备通过 batch job 来整合不同网关的信息，可以实时的看到做的所有的针对数据库的操作。 从审计功能角度 1) 缺省审计信息的细化度 securegrid 审计产品缺省记录所有的审计信息。 2) 审计策略制定的灵活性 securegrid 审计产品的审计策略设计思路非常灵活，可以给任意的数据库设定任意的审计策略。 securegrid SecureSphere 提供很多任意颗粒度的细化而灵活的审计规则 ,包括 DDL, DML, SELECTs, DCL, stored procedures, security exceptions, all privileged user activities，而不用在要监控的数据库服务器上造成任何负担 .。 3) 对返回信息的审计 securegrid 审计产品完全支持对返回信息的审计。 4) 对加密数据的审计 securegrid 产品通过网关设备完成，很方便设定。 5) 漏洞评估及更新 securegrid 产品经常更新（ 两周一次）的数据库安全漏洞扫描和评估工具，由ADCteam（研发中心）通过大量的手工实际的渗透测试，以及收集厂家或者 Snort或者 CVE 的漏洞信息，作为漏洞扫描的原始测试基准。 从管理功能角度 1) 安全平台 securegrid 产品本身的审计信息非常安全，只有 root 用户才能更改审计的 csv文件，而 root 的权限完全是用户可以控制的。 对审计的 csv 文件可以进行加密Imperva 数据库审计建议方案 12 / 24 处理。 2) 动态建立数据库访问的基线 securegrid 产品不断的持续监控数据库的访问行为，利用动态建模功能生成用户访问数据库的基线行为。 然后 SecureSphere 利用这个基线行为来创建和更新相应的安全策略。 这一特性极大的减少了管理人员的管理负担，因为基本不需要手工的调整，并且还可以保证这种基线行为是随着应用的更新而更新的。 从数据库安全角度 1) 数据库安全和审计的关系 securegrid 产品的安全策略和审计策略是分开的，这样的设计可以使得设备灵活的对流量进行安全检测，同时进行灵活的审计记录。 出于安全考虑，可以检测所有的流量不管是不是被审计的，同时可以让客户选择需要记录下来哪些数据库的访问做为审计信息，这两个过程完全是独立和并行进行的，这 样就在保证了系统对数据库进行全面的安全审查的同时，减少了需要审计和存储的数据库访问信息。 2) 网络防火墙 securegrid 内置的网络防火墙防止非法访问除数据库端口之外的其他开发端口（如 SNMP,FTP)。 3) TCP 流的验证和保护 securegrid 产品在 TCP 流的层面验证是否符合 TCP 标准定义，并且在流层面通过探测并分析特征字符的方式，判断并阻止是否有非法访问数据库的其他端口（如 DNS,SNMP)等，并且会利用这些端口对数据库造成非法损害和攻击，如 MSSQL 蠕虫病毒等。 4) SQL 协议层保护 securegrid 产品研究和验证访问数据库的 SQL 协议是否在协议层面和标准的SQL 协议相符，从而可以覆盖协议层面对数据库的非法攻击，提供针对数据库的全面保护。 Imperva 数据库审计建议方案。