数据库审计系统概述
• 会话 • 操作 • 告警
• 邮件告警 • 网页告警
数据库行 安全策略
为审计
设置
专家系统 统计报表
• 故障诊断专家 • 数据安全专家 • 性能分析专家
• 数据库 • 用户
Байду номын сангаас 数据库访问审计
审计记录
统计报表
DBA实时监控
异常告警
MS SQL Oracle DB2 Sybase MySQL Informax ftp telnet
数据库防火墙模块续三
7、其它注意事项 ➢先用两台PC分别接设备的eth0、eth1进行模拟测试,若网络能通并可 以正常审计阻断则把设备接入实际网络中。 ➢接入实际网络环境,进行测试;观察网络是否通畅,在检索中查看最新 流量是否有数据。 ➢硬件具有Bypass功能,若设备发生故障,如断电等情况,会自动进入全 通状态。fire1的IP与eth3也就是默认WEB管理IP不能在同一个网段。 ➢可以使用fire1的IP进行WEB管理。
Who
When
Where
What
审计策略设置
数据库
完整审计
审计数据
数据库管理员
策略设置
协议分析
策略匹配
网页告警
邮件告警
专家系统
• 数据库健康体检 • 故障点场景还原 • 失败SQL分析
故障诊断专家
数据安全专家
• 攻击行为分析 • 越权操作分析 • 安全状态分析
• 时间优化 • 内容优化
系统优化专家
✓黑名单(阻断,记录,具有优先级) 白名单(通过,不记录,具有优 先级) 优先级(优先匹配,具有优先级) ✓默认规则(无优先级)默认规则:可以调换,可以设置很多条;若有多条 默认规则,在上者优先匹配。 ✓黑白名单优先级规则都是具有优先级的当一条策略中有多条具有优先级 的规则的时候匹配顺序从上往下,命中则停止匹配。
Copyright © 2015 Neusoft Corporation
东软NetEye数据库 审计系统PPT
东软公司
数据库面临的风险及产品需求
面临的风险
产品需求
遭受攻击 存在安全漏
洞
信息泄露 篡改
数据库故障 业务 中断
完整的数据库审计 对违规事件提示告警 对故障原因定位分析 数据库优化
功能概述
数据库防火墙模块
1、数据库防火墙模块
提供屏蔽、访问控制、阻断功能。
2、设备连接方式
应用服务器
NetEye数据安全平台
DB服务器
2.1防火墙模式将设备串接在网络中在数据库服务器之前,设 备默认第一个、第二个网口为防火墙接口。
2.2在防火墙模式下,WEB页面管理IP使用fire1的IP地址。
3、给fire1配置IP地址。 登录系统管理员进入系统配置=>系统配置=>接口配置=>访 问控制防火墙多路设置。编辑给fire1填写一个IP地址,此IP 地址与eth3管理口IP不可在同一个网段。
安全状态分析
• 可疑端口 • 可疑进程 • 危险操作
系统优化专家
时间 优化
业务操作趋势 数据库压力趋势
内容 优化
资源-SQL分析 SQL耗时分析
统计报表
数据库统计
时间走势
流量统计
用户统计
告警统计
操作统计
精准的协议与应用分析
IP数据头
源地址
目的地址
L2-L4检测:网络层感知
IP数据内容
TDS、TNS\DRDA\MYSQL\
全局参数配置
4.4全局参数配置
对应策略配置下的目标表、 表组两个概念;表组是多 个表的集合,用于匹配SQL 语句同时关联多张表的情 况。
存储过程是在数据库端用 于完成特定操作的SQL语 句集,在调用存储过程的 时候是使用的存储过程名, 这里要填写使用的就是存 储过程名。 数据库列就是数据库表的 列名
数据库Schema集:对于 Oracle可理解为多张表的 集合,对于Mysql数据库 就是数据库名,对于 Sqlserver数据库 Schema就是架构。
规则配置说明
4.5规则配置说明
通过对数据库访问的各种特征如SQL 来源IP、SQL访问的目标数据库表等, 来组合设置访问匹配规则;达到对数 据库细粒度的访问审计记录告警或进 行访问控制。 增、删、改、查、特权操作、登录、 登出。 一条对数据库的SQL操作,同时(操 作)影响数据库的行数。
数据库防火墙模块续一
4、添加数据库加固点,通用配置 ==》数据库加固点。添加加固点 后添加审计与防火墙功能。
5、添加规则防火墙策略 规则(同审计策略规则) 添加一条策略对查询行为 进行阻断。
数据库防火墙模块续二
6、执行一条select语句查看审计日志 信息
可以看到此条对数据库发起的select语句被成阻断了。还有更多阻 断策略组合请参照数据库审计策略规则进行设置。
故障诊断专家
数 据 库 健 康 体 检
故障诊断专家
故障点场景还原
• 发现时间 • 故障原因 • 数据库状态 • 会话记录
失败SQL分析
• 时间 • 错误消息 • 耗时
•操作记录 •FTP/Telnet •业务 •失败SQL
数据安全专家
攻击行为分析
• 暴力登录 • SQL注入分析
越权操作分析 • 越权访问扫描
对数据库进行的除增删改查之外的其 他一些操作的匹配,如授权操作grant.
规则配置说明续
用于匹配用户登录、退出 成功与失败。
与系统设备和敏感数据扫 描模块下的敏感数据发现 结合使用。
执行失败的SQL语句的匹 配审计。
关键字(词)
在防火墙模式下对某些语 句进行替换,格式为:原 词/替换词 多个替换词之间使用回车
L7检测:应用层感知
零风险部署
操作界面展示
我的导航 IE窗口式设计
配置审计策略
3、策略 配置 3.1进入审计与防火墙=》策 略中心进行策略配置,点击 添加策略。 3.2在添加的策略下面添加规则。
3.3设置delete(删除操作) 为高风险。
默认规则
4、数据库审计 – 其他说明
4.1、在规则中若如右图 设置一条默认规则,代表 对于数据库的所有访问都 是记录的。若无审计信息 就要看一下这里是否配置 了规则。
4.2、若无最新流量请查看数 据库引擎是否启动,缓存策 略是否改为了1条,所添加的 策略是否应用到了数据库引 擎。
*缓存策略设置在通用配置=》采集 器配置模块下。
规则的优先级
4.3对于策略,规则的解释 在策略下添加规则有四种类型,若同一条策略下有多条规则;那么匹 配的优先级为:黑名单=白名单=优先级>无优先级 若有多条无优先级的默认规则那匹配的顺序为从上往下,切默认规则 可以上下调整顺序。
