东华软件
页面主体部分上边框
  • 网管
主要内容部分容器上边框

东华数据库信息审计系统

1背景分析
数据安全任重道远,如何在互联网发展的大潮下同时确保信息安全,已经成为全世界各行业普遍关注的焦点问题。现如今,数据泄露已经不仅仅关系到企业及个人的隐私安全,而是已经危及到全球。企业重要的数据信息和隐私信息存放在企业数据库中,是企业发展和生存重要的战略性资产,加强数据库信息隐私保护,防止竞争者和其他非法者窃取成为企业优先解决的问题。互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升,同时,攻击者为了获取敏感数据,产生了许多新型的攻击手段,比如SQL注入攻击,APT(高级持续攻击)等,也致使数据库信息泄露,资产面临严峻的挑战,主要表现在以下三个层面:
1. 管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,离职员工的后门,致使安全事件发生时,无法追溯并定位真实的破坏者。

2. 技术风险:Oracle、SQL Server、DB2、MySQL等是一个庞大而复杂的数据库系统,数据库安全漏洞溢出,注入攻击层出不穷,影响企业业务访问的稳定性,同时,数据库漏洞补丁跟进非常延后,让数据库受到0day攻击。

3. 审计风险:依赖于数据库本身的日志文件审计,存在诸多的弊端,比如:数据库开启审计功能会影响数据库本身的性能、数据库日志文件,数据库本身存在被篡改的风险,难于体现审计信息的有效性和公正性。此外,对于数据库中海量数据的挖掘,出现问题时能迅速定位审计人员也是企业必须面对和解决的一个核心问题。
 鉴于当前发生的数据库泄漏事件和等保2.0标准要求,需要实现数据访问活动可视,实时显示敏感数据的分布情况、访问情况、风险状况,及时发现数据的异常活动状况和存在的风险。同时,需要实现数据库安全合规,通过控制数据的访问活动,保证数据的安全,防止数据库中的敏感信息部分或全部被泄露,帮助企业通过等保、分保等测评和行业法规标准的检查。

 

2系统介绍
东华软件股份公司结合多年行业软件开发方面的经验,形成了一套有效的数据库监测及审计解决方案。通过对访问数据库流量与业务系统流量的分析与处理,在发生异常行为后,系统能够定位出何人(who)、何时(when)、何地(where)、以何种方式(what)进行违规访问,并回溯数据操作的整个过程。东华数据库信息审计系统能够实现国家在审计方面的要求,能够对违规操作进行安全监控,有效保护企业数据库免受非法人员攻击。
东华数据库信息审计系统主要功能如下:
深度检测技术:通过DPI和DFI技术对数据进行应用分流处理,得到相应的操作数据和行为数据,判断用户的行为数据是否违规;
服务器分析:对所配置的服务器进行活跃度分析、服务器总带宽、带宽、流量分析
数据库审计:支持Oracle、SQL-Server、DB2、MySQL、Sybase、Cache等多种数据库审计,支持白名单,可视化敏感数据的分布情况;
统方审计:能与医疗核心系统紧密结合,精确的审计出统方信息,并产生告警行为;
登录行为审计:对登录数据库的行为进行详细审计,记录登录信息,并对非法登录行为记录并告警;
访问事件审计:对访问数据库等的行为进行审计分析,还原访问数据库等的行为;
敏感词审计:支持自定义敏感名词库,能够帮助企业了解数据库服务器、敏感数据的分布情况;
数据库风险评估:评估数据库系统的风险,包括:弱口令检测、数据库系统漏洞、配置风险等;
高危行为审计:内置有规则库,也可进行通用规则配置,对高危行为事件进行审计;
网络活动审计:采集网络数据包,通过协议解析还原网络活动并记录;
重点对象监控:针对重要业务进行自定义,进行细粒度的行为记录与分析;
异常行为精确追溯:记录所有用户业务访问、系统维护、策略配置等操作行为,针对可疑对象、异常行为提供多种方式实时告警,精确定位异常对象的物理位置;
行为审计报告:根据日常行为生成审计报告。

东华数据库信息审计系统通过旁路部署的方式部署在网络之中。旁路部署方式采用核心交换机上设置端口镜像方法,使系统能够监听到所有用户通过交换机与服务器区和数据库系统进行通信的全部操作,这种方式接入基本不会影响链路状态,部署实施过程非常安全。

系统模式

3产品特点
3.1深度检测技术
东华数据库信息审计系统能深入分析TCP或UDP通信流量的内容。当IP数据包、TCP数据流或UDP包经过设备时,将会按照预定义的策略对应用内容进行操作。用户可以使用一定的规则或策略来定义这些变量,这些策略符合给予应用的类型或者数据业务的最终目标。

3.2服务器分析
东华数据库信息审计系统可以对所配置的服务器进行活跃度分析、服务器总带宽、带宽、流量分析。并可以将分析结果按带宽数值大小排名。显示总连接数、最大连接数、最小连接数等详细信息,方便管理人员对服务器使用情况有一个清晰的认识,方便进行服务器维护。

3.3数据库审计
东华数据库信息审计系统可同时支持多种数据库审计,包括Oracle、SQL-Server、DB2、MySQL、Sybase、Cache等多种数据库审计,并且系统可以根据不同的数据库对象定义不同的审计策略。系统支持对源IP、时间、客户端程序、业务系统、数据库用户、操作类型等精细日志查询。
系统在进行数据审计时为双向审计。不仅对请求报文进行审计,还会对响应报文进行审计。在双向审计策略配置时,可以对操作的影响行数、执行时长、执行状态、返回内容的行数统计、黑白名单策略、是否开启风险引擎进行设置。
系统在对Cache数据库的M语言审计时同样进行双向审计。同时对M语言的访问和M语言的返回结果进行审计,并结合我公司在医疗行业的经验并与HIS系统对接,对审计结果进行相应的还原。
系统可以实时监控数据库的运行状态,从服务器SQL、数据库SQL、客户端SQL等维度进行分析,记录SELECT、DELETE、Create等操作条目数。在状态异常时进行预警,提前防止业务瘫痪,保障业务系统的连续可用性。数据库性能审计内容包括:用户活动状况、数据库内存状态、文件系统状态、查询响应性能等。性能审计结果可以直接导出为报表文件,并可以设置告警条件,记录告警事件。

3.4统方行为审计
东华数据库信息审计系统可以使实现医疗统方审计,支持业内主流的数据库系统(Oracle、SQL-Server、DB2、MySQL、Sybase、Cache等)与医院HIS系统(东华、卫宁、天健、中联等),能与医疗行业核心系统紧密结合,很精确的审计可疑的统方信息,产生告警行为。实现对告警数据的概览,显示告警匹配的规则名称、告警的级别。在详细告警信息中可显示详细的告警数据,比如:服务器IP、客户端IP、告警级别、告警名称、处理状态、处理结果等信息。

3.5登录行为审计
东华数据库信息审计系统可以对登录数据库的行为进行详细审计,对数据流量进行详细分析,审计并记录被访问对象相关信息,包括保护对象名、数据库类型、数据库实例、数据库主机名等信息。记录访问信息,包括数据库采购人、登录时间、退出时间、应用采购人、主机名、客户端IP、MAC地址、应用程序名、使用的操作系统采购人等信息。记录对应的触发规则名称及审计级别。记录登录是否成功的信息等。
系统还会对暴力破解、撞库等非法登录行为进行识别、审计,对非法登录行为记录并告警。

3.6访问事件审计
东华数据库信息审计系统对访问数据库等的行为进行审计,可以记录被访问对象信息,包括数据库类型、服务端IP、资产等信息,记录访问者的信息,包括客户端IP、访问时间、终端IP、终端应用、终端采购人名等信息,记录触发的规则名称、审计级别、原始操作语句等信息。系统具有操作语句翻译功能。可将机器语言翻译成自然语言。

3.7敏感词审计
东华数据库信息审计系统内置敏感名词库,同时支持管理员自动增加敏感词,能够帮助企业了解数据库服务器、敏感数据的分布情况。针对数据库系统建立对应的CSP、M语言、SQL等名词解释库,系统可以根据名词解释库识别相应的操作行为,并翻译成直观的操作过程,对于某个操作做到正确解释,完整操作回放等。将所发现的重要服务器、服务、数据自动分类,并生成敏感词统计报表。

3.8数据库风险评估
通过扫描的方式静态的评估数据库系统的风险,扫描内容包括:弱口令检测、数据库系统漏洞、配置风险等。
弱口令检测的目的是测试数据库账号的口令的强度,确保不存在缺省口令和弱口令。选取不同的字典文件对缺省口令、生日数字口令、字母组合口令、姓名口令等进行检测。
漏洞扫描检测软件相关漏洞,包括SQL注入漏洞。这些漏洞需要厂家的后续补丁来进行修正。入侵者通过利用漏洞可以破坏系统,或者提升自身的系统权限,访问敏感数据,威胁系统的安全。 配置风险扫描的目的是检测系统中各种配置参数的安全性。对每一个系统配置进行扫描前,可由用户为每一个系统配置设置参数,之后执行特定的检测脚本,根据返回结果判断风险是否存在。

3.9高危行为审计
东华数据库信息审计系统内置有规则库,规则库包含2000余条策略。可以对高危DDL操作事件、高危DML操作事件、登录失败事件、SQL注入攻击事件等高危行为事件进行审计。并且内置风险引擎策略。可以对触发SQL注入特征库、漏洞特征库的流量进行精准识别并告警。同时也可自定义SQL注入特征库和漏洞特征库。进行SQL注入特征库和漏洞特征库的新增、删除、修改、启用、停用等操作。

3.10异常行为精确追溯
东华数据库信息审计系统支持多种条件查询,系统能通过多种条件及时发现用户越权操作行为,并对监控操作做出风险评估,管理员能收到相关行为的详细告警信息。系统提供全面的审计记录,能详细的记录用户的操作行为,并对违规的行为进行告警。

3.11违规行为告警
东华数据库信息审计系统内置有告警规则库,包含SQL,Global, mdtrak, his web, telnet等告警规则,同时系统支持自定州告警规则配置,可根据请求和响应数据的关键字告警,响应数据的响应时间,返回行数告警等关键信息配置告警规则。系统对于符合告警的行为进行审计并告警,告警行为审计记录告警级别和处理状态,同时系统可以通过邮件告警和短信告警的方式通知相关人员。系统具有告警审核功能,可以对告警行为进行二次人工研判,并将研判结果进行记录。

3.12黑白名单策略
东华数据库信息审计系统可以设置审计白名单、告警白名单和审计黑名单设置。在设置审计白名单后,系统不审计来自于审计白名单的流量;在审计告警白名单后,系统将不对来自告警白名单的的流量进行告警。在设置审计黑名单后,系统只审计来自于黑名单的流量。

3.13全面的报表报告
通过东华数据库信息审计系统自带的报表报告模块,可为用户自动生成报表报告。报表报告通过自定义,能够实现每天、每周,每月,每年的报表报告。在报表报告中可显示告警的数量,告警的详细内容等信息。生成的报表报告可按pdf、excel、word等报表格式输出,并按配置将生成的报表自动发送指定邮箱。

主要内容部分容器下边框
页面主体部分底边框