天玥数据库审计系统
启明星辰 检测产品本部
Contents
P01
必要性概述
P02
功能特性
P03
应用案例
P04
方案介绍
Part
数据库审计必要性
简单介绍审计的价值和对数据 库进行审计的必要性
ONE
第一部分
数据库相关的安全事故
信息泄露
信息篡改
不良记录删除
数据库被破坏
合法的人做非法的事，更难于发现
解决方案
• • • • • •
等保-主机安全要求-安全审计
• 审计对象
– 审计员、重要服务器操作系统、重要数据库系统
• 审计要求
– 二级：审计范围应覆盖到服务器和重要客户端上的每个操作系 统用户和数据库用户 – 二级：审计内容应包括重要用户行为、系统资源的异常使用和 重要系统命令的使用等系统内重要的安全相关事件 – 二级：审计记录应包括事件的日期、时间、类型、主体标识、 客体标识和结果等 – 二级：应能够根据记录数据进行分析，并生成审计报表 – 三级新增：应保护审计进程，避免受到未预期的中断 – 三级新增：应保护审计记录，避免受到未预期的删除、修改或 覆盖等 – 四级新增：应能够根据信息系统的统一安全策略，实现集中审 计
撞库攻击
非法新账号登录 闲置账号突然登录 疑似拖库行为
违规异常发现
操作安全性审计效果
数据库自身安全性分析
数据库死锁 服务无法连接
并发会话数超限 并发事务数超限
并发进程数超限 表空间不足
数据库自身安全性审计效果
客户价值总结
入侵攻击 木马僵尸 ……
不包含威 胁特征的 操作行为 IP欺骗 蠕虫病毒 ……
丰富规则集与细粒度的规则定义，对用户行为可进行分类审计与精确控制。
告警与防护——命令级访问控制
• 使用数据库防火墙模式，可进行命令级阻断，只对高危操作 执行阻断，当前会话依然存活。保证了阻断的精确性与业务 的连续性。
告警与防护——攻击防护
• 基于专利算法，识别XSS、SQL注入、远程命令执行等攻击 ，对数据库特有攻击行为准确识别与防护。
挖掘与分析——业务异常发现
用户无需定义，即可根据业务场景自动发现异常，自主展现审计 成果，给予用户有效提示。
挖掘与分析——用户行为轨迹分析
提供用户行为轨迹分析工具，帮助用户沿着访问路径钻取关联信 息，挖掘异常点。
挖掘与分析——异常行为智能审计
用户1
账号Alice 客户端程序：CrmApp.exe 访问表：Customer 操作类型：select、insert、update 访问频率：一小时内select不超过200次，update不超过50次
入侵攻 击 木马僵 尸 …… 合法用户滥用 操作和误操作
Hacker
IDS IPS
合法用户的异 常操作
不包含 威胁特 征的操 作行为
不明用户的访 问
应用访问带来 的破坏 运维带来的数 据和系统损坏 共用账号导致 的溯源困难
审计
破坏 DB
IP欺骗 蠕虫病 毒 ……
USG AV
数据库审计产品，监控针对数据库的不合规行为。
网络安全法
• • 第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未 经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别 特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息 安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露 、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用 户并向有关主管部门报告。 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网 络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干 扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实 网络安全保护责任； （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为 的技术措施； （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按 照规定留存相关的网络日志不少于六个月； （四）采取数据分类、重要数据备份和加密等措施； （五）法律、行政法规规定的其他义务。
相关政策法规-审计
时间
2001 2002 20022004 20052006 20042005 《商业银行内部控制指引 》 《 2002 Sarbanes-Oxley Act (bilingual) 》、《 PCAOB Auditing Standard No. 2》 国家电力监管委员会第5 号令 《电力二次系统安全防护规定》 电力二次系统安全防护专家组和工作组提出《电力二次系统安全防护总体方案》；
通过自学习，自动建立访问行为基线。超过基线的异常访问智能告警，极大降 低人工配置策略和分析审计日志的工作量。
审计与追溯——细粒度日志
审计日志符合5W1H原则，对于审计到的网络访问行为进行细粒度 解析和记录，具体到列和值。
审计与追溯——web应用前后台关联审计
常见业务系统架构
数据库账号 客户端1 业务账号1
中级 中级
Webusr Bob
192.168.10.1 192.168 .36.3 http://cho ng.tmall.c om/xx Webus er
ORAL ORAL
User_ro UPDAT les E User_r UPDATE oles
常规审计：只能审计页面访问或数据库访问的单一过程，无法追踪溯源 关联审计：前后台关联，得到SQL的业务用户ID，得到页面动作引发的数据库变化
审计与追溯——丰富报告
提供针对不同身份客户的各类审计报告，从多种维度分析风险
多项技术专利的产品化成果
200810104344.1 200710303985.5 200710178852.X 200710178850.0 200710122232.4 200710179693.5 200710177198.0 200710178849.8 20071012166.6 200710176510.4 200710176772.0 200710099534.4 200810101525.9 200810225913.8 200810104320.6 200910085034.4 200910085040.X 201010523306.7 DB2数据库操作的信息提起和审计方法及其装置、系统 一种恶意注入脚本网页检测方法和系统 一种数据库错误信息提取方法及系统 一种oracle数据库绑定变量的sql语句审计方法及系统 一种安全日志分析及系统 一种文件传输中实时监测的方法及系统 一种数据库操作响应时测算方法及系统 一种服务识别方法及系统 一种Web服务器前后台关联审计方法及系统 一种基于回显的审计方法及系统 一种适于高速局域网环境的SQL注入攻击检测系统 一种SQL注入漏洞检测方法及系统 TELNET用户操作过程静态数据的保存回放方法 一种海量日志关联分析方法及系统 一种通过回显解析telnet协议的方法及系统 一种跨站脚本攻击的检测方法和装置 一种检测数据库是否遭到跨站脚本攻击的方法及装置 数据库安全保护方法和装置
命令 命令
SELECT SELECT
SQL
SELECT name FROM user_roles SELECT name WHERE role = FROM 'CONNECT' user_roles WHERE role = 'CONNECT' Update user_roles set Update password user_roles set ＝’123’ password WHERE role = ＝ ’123’ 'CONNECT' WHERE role = 'CONNECT'
2006
金融行业
2006 2008
中国上市的 企业 电力行业
2008
2010
《内部审计具体准则》第28号—信息系统审计
《网上银行系统信息安全通用规范》－网络架构、数据安全需审计
政府、央企
金融行业
Part
TWO
第二部分
功能特性及产品优势
介绍天玥数据库审计系统的功 能特性和相关优势
全面数据库支持
Oracle SQL-Server Informix
法规
《计算机信息系统安全保护等级划分准则》
相关行业
政府行业 金融行业 美国上市的 企业 电力行业
《中国移动集团内控手册》、《中国移动业务支撑网安全域划分和边界整合技术规范》 《中国电信股份有限公司内部控制手册》 电信行业 《中国网通集团信息质量问责管理若干规定 》、《中国网通集团内部控制体系建设 指导意见 》 《银行业金融机构信息系统风险管理指引》 《商业银行合规风险管理指引》 《中国银行业监督委员会办公厅文件银监办通313号》 《保险公司内部审计指引（试行）》 《保险公司风险管理指引（试行）》 《深圳证券交易所上市公司内部控制指引 》 《上海证券交易所上市公司内部控制指引 》 国家电网信息化工作部印发316号文件 《国家电网公司信息化“SG186”工程安全防 护总体方案(试行)》通知
数据库弱点的扫描评估，帮助用户发现资产弱点，及时加固。
告警与防护——细粒度策略
用户IP 资源IP
策略生效时 间
页面告警 SNMP告 警 入日志库 Syslog告 警
短信告警
邮件告警
自然人帐号 服务帐号
细粒度审计策略定义，方便用户的分级审计和响应
告警与防护——细粒度规则
• 缺省规则集 • 自定义规则集
评估与 发现 审计与 追溯
• 操作日志查询 • 内容检索追溯 • 会话审计回放 • 各种合规报告
告警与 防护 分析与 挖掘
• 异常业务场景发现 • 异常操作智能审计 • 用户行为轨迹分析