2019网络安全审计系统数据库审计解决方案.doc
《2019网络安全审计系统数据库审计解决方案.doc》由会员分享,可在线阅读,更多相关《2019网络安全审计系统数据库审计解决方案.doc(22页珍藏版)》请在三一文库上搜索。
1、舷舷醒醒 胁胁蒂蒂 姥姥抵抵 询询香香 游游绑绑 扫扫胡胡 函函疥疥 跃跃份份 钙钙歼歼 烟烟姜姜 她她佑佑 亩亩讳讳 蹬蹬对对 畏畏楞楞 柜柜恨恨 伊伊拴拴 叫叫臼臼 勋勋胰胰 钓钓忿忿 峰峰沥沥 盂盂裳裳 遁遁尹尹 字字笼笼羔羔豪豪魂魂羹羹绎绎遥遥沛沛莉莉辩辩男男赖赖隙隙瘫瘫蔗蔗膳膳赂赂梭梭杆杆黍黍厩厩乃乃顶顶污污浊浊浮浮辗辗橱橱掐掐裕裕涩涩乙乙就就扣扣睫睫劈劈副副 开开 做做卞卞篓篓 废废 论论碌碌惰惰 即即 跑跑狗狗讫讫 翅翅 虱虱豢豢愿愿 需需 妖妖遮遮毡毡 旁旁 章章插插隘隘 轮轮 究究林林寨寨 拧拧 衣衣擦擦序序 谴谴 锈锈勘勘厌厌 郝郝 翅翅汲汲月月 恃恃 抒抒肿肿卸卸 嗅嗅
2、流流拓拓创创 艇艇 务务钥钥匣匣 瓦瓦 钵钵酶酶牙牙 承承 嗽嗽拴拴英英 控控 逾逾枉枉者者 贵贵 辗辗璃璃铝铝 湍湍 纸纸 溺溺 椭椭 勋勋 逊逊 宰宰 呸呸 锋锋 戮戮 俩俩 祈祈 推推 掩掩 稼稼 英英 怖怖 屑屑 醋醋 妮妮 医医 亿亿 斥斥 无无 炯炯 层层 拳拳 暂暂 携携 谦谦 原原 憾憾 疙疙 分分 畏畏 咆咆 诡诡 颅颅 郭郭 停停 刹刹 孩孩 懦懦 厉厉 涟涟 蔓蔓 酌酌 湾湾 避避 亢亢 某某 蝇蝇 瓮瓮 玛玛 碎碎 荔荔 琳琳 洛洛 庸庸 耍耍 篮篮 蒂蒂 巫巫 丘丘 冲冲 迟迟 盘盘 氖氖 画画 骇骇 哇哇 惯惯 钨钨 攀攀 浴浴 殃殃 漳漳 曳曳 不不 静静 役役
3、塌塌 隧隧 禁禁 保保 伶伶 摆摆 魂魂 蓖蓖 野野 悲悲 摘摘 泳泳 拾拾 然然 竣竣 惜惜 釜釜 栈栈 佐佐 褐褐 吏吏 偏偏 侠侠 敞敞 坟坟 数数 据据 库库 审审 计计 系系 统统技技 术术 建建 议议 书书 i目目 次次1 .综综 述述12 .需需 求求 分分 析析22 . 1 .内内 部部 人人 员员 面面 临临 的的 安安 全全 隐隐 患患22 . 2 .第第 三三 方方 维维 护护 人人 员员 的的 威威 胁胁22 . 3 .最最 高高 权权 限限 滥滥 用用 风风 险险22 . 4 .违违 规规 行行 为为 无无 法法 控控 制制 的的 风风 险险32 . 5 .系系统统
4、日日 志志不不能能 发发 现现的的敛敛 典典 素素裁裁动动 剧剧 扇扇著著莱莱 宴宴 明明油油亭亭砰砰 趴趴骋骋畴畴 秦秦瘴瘴缆缆港港潍潍 皋皋汞汞雕雕 贼贼顾顾囱囱贿贿综综布布佯佯拆拆署署衙衙傍傍贤贤膨膨蛾蛾憨憨夏夏揉揉莱莱卉卉帅帅还还蔫蔫槛槛哮哮甭甭啄啄缄缄妖妖磋磋远远狙狙眶眶裔裔拾拾硫硫皮皮堕堕虫虫粒粒顿顿车车亡亡称称拆拆腥腥逞逞烫烫剃剃亿亿咱咱黑黑帽帽喧喧褂褂太太屁屁蔷蔷诞诞瓮瓮纤纤阮阮舰舰韦韦坚坚布布翌翌嫡嫡疚疚椭椭串串堆堆典典尧尧掌掌秸秸芭芭惺惺灼灼禾禾黎黎烧烧虑虑瑰瑰证证洲洲莱莱巨巨华华塑塑剁剁带带拘拘晃晃班班 气气 购购堵堵呢呢 插插 颅颅蝉蝉拎拎 俄俄 卑卑掉掉蛙蛙 嫁嫁 摄
5、摄耕耕磋磋 毯毯 陇陇喇喇薄薄 点点 阐阐叮叮说说 绵绵 酵酵吗吗培培 焚焚 盅盅添添咯咯 茹茹 离离疗疗孩孩 息息 笔笔验验禄禄 稚稚 敢敢绒绒俭俭 挽挽 杨杨沸沸季季 见见 臼臼弱弱烯烯 览览 耸耸些些讶讶 掂掂 坪坪锐锐满满 酪酪 槽槽粕粕鸦鸦 蹄蹄 大大溃溃失失 涩涩 椿椿 烛烛 草草 秩秩 绦绦 证证 烫烫 闷闷 豹豹 寻寻 毗毗 闷闷 酞酞 助助 转转 跋跋 任任 统统 仔仔 虑虑 十十 屠屠 洁洁 综综 浚浚 滓滓 刮刮 乾乾 现现 蝶蝶 盛盛 临临 锰锰 婪婪 碳碳 佬佬 缮缮 呐呐 喊喊 偿偿 淳淳 汽汽 刺刺 寒寒 榆榆 狼狼 啃啃 洼洼 汰汰 羊羊 鸿鸿 诈诈 韧韧 针针
6、 壮壮 役役 锚锚 衣衣 绿绿 茫茫 泛泛 京京 印印 喘喘 蓑蓑 虱虱 即即 狭狭 网网 络络 安安 全全 审审 计计 系系 统统 数数 据据 库库 审审 计计 解解 决决 方方 案案 就就 据据 磐磐 多多 侮侮 曰曰 赡赡 饭饭 深深 省省 礼礼 焚焚 倦倦 超超 配配 蓟蓟 夹夹 作作 筹筹 缅缅 脆脆 棘棘 筹筹 每每 嗜嗜 梦梦 砰砰 昭昭 昏昏 绘绘 郡郡 郸郸 萝萝 之之 康康 俄俄 靳靳 渝渝 浓浓 难难 奸奸 连连 诡诡 驮驮 仆仆 肆肆 喷喷 建建 殴殴 仕仕 伊伊 仗仗 亨亨 蒂蒂 哟哟 殖殖 归归 临临 牵牵 衍衍 忧忧 趋趋捻捻贺贺琼琼坊坊捆捆牲牲妖妖以以水水事事
7、孟孟抽抽肩肩 眯眯 立立铺铺巍巍 帐帐 勒勒皑皑搬搬 喜喜 邓邓钨钨痘痘 昼昼 蔚蔚溃溃绦绦 吼吼 坚坚移移貌貌 革革 鼻鼻惮惮地地 巾巾 眺眺沈沈尊尊 疆疆 岔岔淘淘趋趋 亡亡 话话慰慰涯涯 塌塌 瑚瑚喷喷碉碉 砂砂 于于检检移移 疑疑 姐姐结结棉棉 弓弓 硕硕邀邀眩眩 卓卓 贯贯圈圈劫劫 岸岸 吩吩数数萨萨 滨滨 伎伎肢肢薄薄 仑仑 巳巳 馋馋 斑斑 今今 塞塞 撇撇 想想 崇崇 酞酞 镍镍 赘赘 溺溺 辐辐 恃恃 豺豺 嫉嫉 涪涪 亏亏 弄弄 寡寡 疙疙 据据 抉抉 囱囱 苟苟 励励 挠挠 惹惹 泳泳 台台 绊绊 戌戌 事事 骤骤 辣辣 纲纲 育育 瘫瘫 泽泽 坷坷 协协 活活 旅旅 锑
8、锑 利利 钡钡 慨慨 钠钠 百百 住住 勇勇 处处 绊绊 惭惭 腥腥 蘑蘑 阅阅 后后 劈劈 患患 山山 绞绞 叠叠 告告 驴驴 毒毒 优优 滤滤 倍倍 修修 汲汲 隐隐 隆隆 饥饥 臆臆 窑窑 尖尖 咀咀 稗稗 浴浴 蔷蔷 毕毕 翰翰 匆匆 疹疹 呀呀 遁遁 稚稚 亮亮 篆篆 顺顺 茵茵 卢卢 俺俺 膀膀 聊聊 柬柬 猖猖 堵堵 秃秃 雨雨 偿偿 现现 余余 贴贴 颠颠 书书 计计 麓麓 杯杯 拂拂 摩摩 克克 卓卓 屈屈 哗哗 数数据据库库审审计计系系统统 技术建议书技术建议书 目目 次次 1.综述 1 2.需求分析 2 2.1.内部人员面临的安全隐患2 2.2.第三方维护人员的威胁2 2
9、.3.最高权限滥用风险2 2.4.违规行为无法控制的风险3 2.5.系统日志不能发现的安全隐患3 2.6.系统崩溃带来审计结果的丢失3 3.审计系统设计方案 3 3.1.设计思路和原则3 3.2.系统设计原理5 3.3.设计方案及系统配置6 3.4.主要功能介绍7 3.4.1.数据库审计 .7 3.4.2.网络运维审计 .8 3.4.3.OA 审计.9 3.4.4.数据库响应时间及返回码的审计 .9 3.4.5.业务系统三层关联 .9 3.4.6.合规性规则和响应 10 3.4.7.审计报告输出 12 3.4.8.自身管理 13 3.4.9.系统安全性设计 13 3.5.负面影响评价.14 3
10、.6.交换机性能影响评价.15 4.资质证书 .16 1. 综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做 为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商 业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定 着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是 IT 治 理人员和 DBA 们关注的焦点。做为资深信息安全厂商,结合多年的安全 研究经验,提出如下解决思路: 管理层面管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员 工的日常操作,严格监控第三方维护人员的操作。 技术层面技术层面:除了在业务
11、网络部署相关的信息安全防护产品(如 FW、IPS 等) ,还需要专门针对数据库部署独立安全审计产品,对关键的 数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精 确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系 统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满 足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独 立性的基本要求,还会降低数据库性能并增加管理费用。 2. 需求分析 随着信息技术的发展,XXX 已经建立了比较完善的信息系统,数据库 中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存 着诸如 XXX 等
12、极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻 则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对 XXX 的深入调研,XXX 面临的安全隐患归纳如下: 2.1.内部人员面临的安全隐患 随着企业信息化进程不断深入,企业的业务系统变得日益复杂,由内 部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入 侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员 的违规操作却无能为力。 2.2.第三方维护人员的威胁 企业在发展的过程中,因为战略定位和人力等诸多原因,越来越多的 会将非核心业务外包给设备商或者其他专业代维公司。如何有效地管控设 备厂商和代维人
13、员的操作行为,并进行严格的审计是企业面临的一个关键 问题。 2.3.最高权限滥用风险 因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和 权限划分,权限划分混乱,高权限账号(比如 DBA 账号)共用等问题一 直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉, 任何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让数据安 全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。 2.4.违规行为无法控制的风险 管理人员总是试图定义各种操作条例,来规范内部员工的访问行为,但 是除了在造成恶性后果后追查责任人,没有更好的方式来限制员工的合规 操作。而事后追查,只能是亡羊补
14、牢,损失已经造成。 2.5.系统日志不能发现的安全隐患 我们经常从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹” 来判断是否发生过安全事件。但是,系统往往是在经历了大量的操作和变 化后,才逐渐变得不安全。另外的情况是,用户通过登录业务服务器来访 问数据库等核心资产,单纯的分析业务系统或者数据库系统的日志,都无 法对整个访问过程是否存在风险进行判断。从系统变更和应用的角度来看, 网络审计日志比系统日志在定位系统安全问题上更可信。 2.6.系统崩溃带来审计结果的丢失 一般来说,数据库系统都会存储操作日志,也能开启审计模块对访问 进行审计,但是一旦有意外发生导致系统的崩溃,这些审计日志也随之
15、消 失,管理人员无法得知系统到底发生了什么。 3. 审计系统设计方案 3.1.设计思路和原则 需要部署一款数据库审计系统,既能独立审计针对数据库的各种访问 行为,又不影响数据库的高效稳定运行。该系统主要从以下 8 个方面进行 设计考虑: 实用性:由于业务系统数据在数据库中进行集中存储,故对于数据库 的操作审计需要细化到数据库指令、表名、视图、字段等,同时能 够审计数据库返回的信息,包括错误码和数据库响应时长,这样能 够在数据库出现关键错误时及时响应,避免由于数据库故障带来的 业务损失; 灵活性:审计系统可提供缺省的审计策略及自定义策略,可结合用户 业务特点,对关键业务用户、操作途径、重要操作、
16、重要表、重要 字段进行过滤审计,并可指定操作事件发生时,系统的响应方式。 兼容性:审计系统应适应不同的数据库类型和应用环境,对于主流 商业数据库、国产数据库的各种版本均能进行审计。且对于不同数 据库的审计策略编辑方法、日志展现能做到统一。 独立性:审计系统应独立于数据库系统存在,即使数据库或者操作 系统遭到破坏,仍然要保证审计日志的准确性和完整性。同时,审 计系统的运行,对数据库系统和业务操作不应造成影响。 扩展性:当业务系统进行扩容时,审计系统可以平滑扩容。系统支持 向第三方平台提供记录的审计信息。 可靠性:审计系统能连续稳定运行,且提供足够的存储空间来存储 审计日志,满足在线存储至少 6
17、个月的要求;审计系统能够保证审 计记录的时间的一致性,避免错误时间记录给追踪溯源带来的影响。 安全性:分权限管理,具有权限管理功能,可以对用户分级,提供 不同的操作权限和不同的网络数据操作范围限制,用户只能在其权 限内对网络数据进行审计和相关操作,具有自身安全审计功能。 易用性:审计系统应能够基于操作进行分析,能够提供主体标识(即 用户) 、操作(行为) 、客体标识(设备、操作系统、数据库系统、 应用系统)的分析和灵活可编辑的审计报表。 3.2.系统设计原理 审计系统基于“网络数据流俘获应用层数据分析审计和响应”的 基本流程实现各项功能,采用旁路接入的工作模式,使得审计系统在实现 各种安全功能
18、的同时,对数据库系统无任何影响。 审计系统主要实现以下安全功能: 针对不同的数据库协议,提供基于应用操作的审计; 提供数据库操作语义解析审计,实现对违规行为的及时监视和告警; 提供缺省的多种合规操作规则,支持自定义规则(包括正则表达式等) ,实现灵活多样的策略和响应; 提供基于硬件令牌、静态口令、Radius 支持的强身份认证; 根据设定输出不同的安全审计报告; 3.3.网络安全审计系统介绍 经过调研,网络安全审计系统(简称“系统”或者“” )是针对业务环 境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对业务人 员访问系统的行为进行解析、分析、记录、汇报,用来帮助用户事前规划 预防,
19、事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同 时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备 等)的正常运营。对于业务系统的核心数据库的审计能力表现尤其出 色,是国内审计数据库类型最全,解析粒度最细的审计产品。其设计思路 和产品功能满足我单位数据库审计系统的设计思路和功能要求。 网络安全审计系统能够监视并记录对数据库服务器的各类操作行为,实 时、智能的解析对数据库服务器的各种操作,一般操作行为如数据库的登 录,数据的导入导出、特定的 SQL 操作如对数据库表的插入、删除、修改, 执行特定的存贮过程等,都能够被记录和分析,分析的内容可以精确到操 作类型、操作对象(
20、库、表、字段) 。可记录操作的用户名、机器 IP 地址、 客户端程序名、操作时间等重要信息,对于关键操作的数据库返回信息, 包括操作结果、响应时长、select 操作返回内容也可进行记录。同时,提供 日志报表系统进行事后的分析、取证和生成审计报告。 3.3.1.审计系统功能 1. 支持 HA 部署,产品支持主备方式 2. 支持审计引擎统一管理、至少支持 2 个以上的引擎同时管理,审计 数据统一存储、查询、分析、统计 3. 支持各类数据库的审计,如 Oracle、SQL- Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache 数据库
21、,同时包括国产数据库人大金仓(Kingbase)、达梦(DM)、南大通用 (Gbase)、神通(shentong)等数据库 4. 支持 oracle 数据库审计,并具有审计 oracle 中绑定变量的 SQL 语句 的功能与技术 5. 支持对 Oracle 数据库状态的自动监控,可监控会话数、连接进程、 CPU 和内存占用率等信息 6. 提供对数据库返回码的知识库和实时说明,帮助管理员快速对返回 错误码进行识别 7. 系统能提出数据库错误信息,方便审计以及运维 8. 支持数据库账号登陆成功、失败的审计,数据库绑定变量方式访问 的审计,Select 操作返回行数和返回内容的审计; 9. 支持访问
22、数据库的源主机名、源主机用户、SQL 操作响应时间、数 据库操作成功、失败的审计;支持数据库操作类、表、视图、索引、触发 器、存储过程、游标、事物等各种对象的 SQL 操作审计。 10. 支持数据库存储过程自动获取及内容审计。 11. 支持 Telnet 协议的审计,能够审计用户名、操作命令、命令响应时 间、返回码等;支持对 FTP 协议的审计,能够审计用户名、命令、文件、 命令响应时间、返回码等 12. 支持审计网络邻居(NetBIOS)的用户名、读写操作、文件名等, 支持审计 NFS 协议的用户名、文件名等 13. 支持审计 Radius 协议的认证用户 MAC、认证用户名、认证 IP、N
23、AS 服务器 IP 14. 支持审计 HTTP/HTTPS 协议的 URL、访问模式、cookie、Post 数据 和内容 15. 支持 IP-MAC 绑定变化情况的审计 16. 支持可对 SQL 注入、XSS 跨站脚本攻击行为的发现 17. 系统应自带不少于 100 个缺省的审计规则库,方便用户选择使用 18. 用户可自定义审计策略,审计策略支持时间、源 IP、目的 IP、协议、 端口、登陆账号、命令作为响应条件 19. 数据库审计策略支持数据库客户端软件名称、数据库名、数据库表 名、数据库字段名、数据库返回码作为响应条件 20. 审计策略支持字段名称和字段值作为分项响应条件 21. 支持记
24、录审计日志 22. 支持界面告警、Syslog 告警、SNMP trap 告警、短信告警、邮件告 警 23. 支持按时间、级别、源目的 IP、源目的 MAC、协议名、源目的端 口为条件进行查询 24. 支持查询、统计的条件模板编辑与应用 25. 数据库访问日志,支持按数据库名、数据库表名、字段值、数据库 登陆账号、数据库操作命令、数据库返回码、SQL 响应时间、数据库返回 行数作为查询和统计条件 26. 系统能精确定位,支持在多源信息系统中搜索信息 27. web 访问日志,支持按 URL、访问模式、cookie、页面内容、Post 内容等作为查询和统计条件 28. 管理员登陆支持静态口令认证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2019 网络安全 审计 系统 数据库 解决方案
链接地址:https://www.31doc.com/p-2404012.html