產(chǎn)品背景
數(shù)據(jù)庫(kù)作為企業(yè)核心的信息資產(chǎn),在黑客攻擊日趨商業(yè)化的今天���,獲取以及篡改數(shù)據(jù)庫(kù)內(nèi)容往往能夠給攻擊者帶來(lái)巨大的商業(yè)利益�����,而企業(yè)內(nèi)部的管理人員對(duì)數(shù)據(jù)庫(kù)的誤操作以及蓄意的破壞也會(huì)給企業(yè)帶來(lái)巨大的損失��。近年來(lái)����,隨著數(shù)據(jù)篡改、泄密等事件的頻繁爆發(fā)����,行業(yè)用戶已經(jīng)普遍意識(shí)到對(duì)數(shù)據(jù)庫(kù)訪問疏于監(jiān)管所帶來(lái)的巨大危害,數(shù)據(jù)庫(kù)審計(jì)與防護(hù)產(chǎn)品受到空前關(guān)注����。隨著技術(shù)發(fā)展和用戶需求的推動(dòng),數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品除了單純的數(shù)據(jù)庫(kù)審計(jì)功能之外���,也逐漸增加了弱點(diǎn)發(fā)現(xiàn)�、智能分析����、關(guān)聯(lián)審計(jì)等功能��。
傳統(tǒng)網(wǎng)絡(luò)安全無(wú)法解決數(shù)據(jù)庫(kù)問題
產(chǎn)品概述:
億賽通數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)(簡(jiǎn)稱:DAS)是一款通過對(duì)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)流量的旁路采集�,基于數(shù)據(jù)庫(kù)協(xié)議解析和SQL語(yǔ)句還原技術(shù)的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)��。本系統(tǒng)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)所有訪問行為的監(jiān)控和審計(jì)�,并對(duì)其中的危險(xiǎn)操作可通過多種方式進(jìn)行告警提醒。系統(tǒng)對(duì)數(shù)據(jù)庫(kù)歷史訪問行為進(jìn)行多維度的統(tǒng)計(jì)分析���,并利用豐富圖表進(jìn)行可視化展現(xiàn)����。
本系統(tǒng)支持Oracle���,SQLServer���,MySQL,DB2�,Sybase,Informix����,PostgreSQL,HBase����,MongoDB,達(dá)夢(mèng)(DM)�����,人大金倉(cāng)Kingbase�,神通OSCAR數(shù)據(jù)庫(kù),南大通用Gbase�����,Hive�,Redis,Cache����,Highgo(翰高),MariaDB��,Teradata�����,ElasticSearch,MariaDB等國(guó)內(nèi)外主流數(shù)據(jù)庫(kù)產(chǎn)品��。系統(tǒng)在不影響數(shù)據(jù)庫(kù)原有性能�,無(wú)需應(yīng)用、網(wǎng)絡(luò)環(huán)境改造的前提下�����,提供可靠數(shù)據(jù)庫(kù)安全審計(jì)服務(wù)����。
產(chǎn)品特色:
業(yè)務(wù)系統(tǒng)無(wú)感審計(jì)(穩(wěn))
系統(tǒng)主要采用旁路鏡像方式部署,對(duì)客戶業(yè)務(wù)網(wǎng)絡(luò)零影響����,對(duì)客戶業(yè)務(wù)系統(tǒng)無(wú)感知,保證客戶原有業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行��。
終端用戶審計(jì)能力(準(zhǔn))
系統(tǒng)利用WEB插件關(guān)聯(lián)技術(shù)�,將應(yīng)用層和數(shù)據(jù)庫(kù)層的訪問操作請(qǐng)求關(guān)聯(lián),可直接定位到業(yè)務(wù)終端用戶�。
大數(shù)據(jù)架構(gòu)和設(shè)計(jì)(快)
系統(tǒng)采用大數(shù)據(jù)計(jì)算和存儲(chǔ)架構(gòu)以及數(shù)據(jù)熱交換技術(shù),數(shù)據(jù)檢索范圍更廣����,常用查詢檢索場(chǎng)景�����,能實(shí)現(xiàn)秒級(jí)響應(yīng)�����。
數(shù)據(jù)類型全面審計(jì)(全)
系統(tǒng)支持?jǐn)?shù)據(jù)庫(kù)類型豐富全面,主流關(guān)系型數(shù)據(jù)庫(kù)�����、國(guó)產(chǎn)數(shù)據(jù)庫(kù)���、大數(shù)據(jù)審計(jì)�;支持SQL語(yǔ)句��、參數(shù)���、函數(shù)全面審計(jì)���;支持IPv4v6雙棧網(wǎng)絡(luò)協(xié)議數(shù)據(jù)流量的混合審計(jì)。
機(jī)器智能模型學(xué)習(xí)(智)
系統(tǒng)具備在目標(biāo)網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)資產(chǎn)自動(dòng)發(fā)現(xiàn)能力��,可自動(dòng)歸納學(xué)習(xí)數(shù)據(jù)庫(kù)訪問模型。
審計(jì)部署方式靈活(靈)
系統(tǒng)采用大數(shù)架構(gòu)及分層模塊化設(shè)計(jì)��,具備極強(qiáng)的伸縮性�����,支持硬件一體機(jī)����、分布式、純虛擬化環(huán)境部署����。
產(chǎn)品功能:
操作記錄全量審計(jì)
系統(tǒng)對(duì)數(shù)據(jù)庫(kù)操作行為進(jìn)行全面的審計(jì),包含操作風(fēng)險(xiǎn)審計(jì)和會(huì)話事件審計(jì)���。通過建立審計(jì)規(guī)則����,捕獲SQL語(yǔ)句進(jìn)行語(yǔ)法分析,實(shí)現(xiàn)高效而精準(zhǔn)的審計(jì)分析����。
危險(xiǎn)操作實(shí)時(shí)監(jiān)控
系統(tǒng)可通過規(guī)則設(shè)置對(duì)各類數(shù)據(jù)庫(kù)操作訪問行為進(jìn)行實(shí)時(shí)監(jiān)測(cè),對(duì)網(wǎng)絡(luò)中的異常數(shù)據(jù)庫(kù)操作行為及時(shí)進(jìn)行告警響應(yīng)��。
操作行為統(tǒng)計(jì)分析
系統(tǒng)對(duì)數(shù)據(jù)庫(kù)實(shí)例提供多維度和不同時(shí)間粒度的審計(jì)記錄統(tǒng)計(jì)功能,幫助用戶高效地掌握數(shù)據(jù)庫(kù)運(yùn)行的安全態(tài)勢(shì)并快速鎖定風(fēng)險(xiǎn)目標(biāo)��。
安全審計(jì)合規(guī)報(bào)表
系統(tǒng)通過動(dòng)態(tài)報(bào)表的方式對(duì)數(shù)據(jù)庫(kù)操作行為審計(jì)結(jié)果進(jìn)行統(tǒng)計(jì)分析��。系統(tǒng)內(nèi)置豐富的報(bào)表模板�,符合SOX法案、等級(jí)保護(hù)等法規(guī)標(biāo)準(zhǔn)需求���。
訪問行為智能建模
系統(tǒng)通過對(duì)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)流量的采集和數(shù)據(jù)解析,利用各數(shù)據(jù)庫(kù)類型私有通信協(xié)議各自特征�����,實(shí)現(xiàn)對(duì)不同類型數(shù)據(jù)庫(kù)的自動(dòng)識(shí)別�,對(duì)數(shù)據(jù)庫(kù)用戶及終端行為進(jìn)行機(jī)器學(xué)習(xí)建模。
用戶三權(quán)分立管理
系統(tǒng)采用基于角色的權(quán)限控制機(jī)制�,內(nèi)置系統(tǒng)管理員、安全管理員和審計(jì)管理員三種角色�����,完全滿足三權(quán)分立的合規(guī)性要求���。
Ipv4v6雙棧協(xié)棧支持
系統(tǒng)具備同時(shí)支持IPv4�����、IPv6協(xié)議的數(shù)據(jù)庫(kù)網(wǎng)絡(luò)流量的接入���、解析和審計(jì)�����,并在系統(tǒng)界面上統(tǒng)一展現(xiàn)����。
終端用戶三層關(guān)聯(lián)
系統(tǒng)關(guān)聯(lián)應(yīng)用層的訪問和數(shù)據(jù)庫(kù)層的訪問操作請(qǐng)求�����,可以追溯到應(yīng)用層的最初訪問數(shù)據(jù)及請(qǐng)求信息�����,同時(shí)具備單點(diǎn)登錄(SSO)技術(shù)的多業(yè)務(wù)系統(tǒng)的三層關(guān)聯(lián)和精確匹配能力���。
輕量旁路阻斷能力
系統(tǒng)除了實(shí)現(xiàn)數(shù)據(jù)庫(kù)的監(jiān)控和審計(jì)��,針對(duì)某些運(yùn)維數(shù)據(jù)鏈路����,若發(fā)現(xiàn)有危險(xiǎn)操作,可對(duì)此數(shù)據(jù)鏈路進(jìn)行通信阻斷���,防止可疑終端通過此鏈路進(jìn)行后續(xù)危險(xiǎn)操作����,從而避免數(shù)據(jù)庫(kù)受到損害�。
典型部署:
系統(tǒng)采用分層模塊化架構(gòu)設(shè)計(jì),數(shù)據(jù)采集�、協(xié)議解碼����、審計(jì)引擎和審計(jì)中心各模塊在業(yè)務(wù)功能邏輯上相互獨(dú)立,采用松耦合接口方式進(jìn)行數(shù)據(jù)交互�����,使得系統(tǒng)部署方式靈活����,能適應(yīng)各種用戶網(wǎng)絡(luò)場(chǎng)景。系統(tǒng)典型的部署模式包括獨(dú)立設(shè)備部署���、分布式部署模式和軟探針部署模式�,具體描述如下:
1、獨(dú)立設(shè)備部署模式
獨(dú)立設(shè)備部署模式是尤為常見的部署模式�����,適用于絕大多數(shù)用戶應(yīng)用場(chǎng)景�,數(shù)據(jù)庫(kù)審計(jì)設(shè)備直接通過用戶交換機(jī)鏡像方式旁路采集用戶各業(yè)務(wù)數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)流量進(jìn)行審計(jì),部署網(wǎng)絡(luò)拓?fù)淙缦聢D:
立設(shè)備部署模式-01.png)
2����、分布式部署模式
分布式部署將審計(jì)系統(tǒng)的探針審計(jì)引擎及審計(jì)中心功能分離,審計(jì)中心統(tǒng)一負(fù)責(zé)數(shù)據(jù)庫(kù)審計(jì)日志數(shù)據(jù)的存儲(chǔ)和分析���,審計(jì)探針引擎負(fù)責(zé)數(shù)據(jù)庫(kù)操作數(shù)據(jù)的采集�、解析和審計(jì)��,一個(gè)審計(jì)中心可管理多個(gè)審計(jì)探針和審計(jì)引擎�,該部署模式適用于大型集團(tuán)式分級(jí)業(yè)務(wù)網(wǎng)絡(luò)用戶場(chǎng)景,部署網(wǎng)絡(luò)拓?fù)淙缦聢D:
3��、軟探針部署模式
軟探針部署模式是將物理探針引擎功能分拆���,將數(shù)據(jù)采集功能變更為軟件模塊部署于客戶數(shù)據(jù)庫(kù)服務(wù)器上��,其余的數(shù)據(jù)解析和審計(jì)功能則后移到審計(jì)設(shè)備�。此種部署模式適用于WEB服務(wù)器與數(shù)據(jù)庫(kù)合設(shè)以及虛擬化場(chǎng)景,部署網(wǎng)絡(luò)拓?fù)淙缦聢D所示:
