数据库审计服务是一款专业、主动、实时监控数据库安全的审计产品,可用于审计云数据库、自建数据库和nosql数据库。
数据库审计服务将数据库监控、审计技术与公共云环境相结合,针对数据库sql注入、风险操作等数据库风险行为进行记录与告警,形成对核心数据的安全防护,为数据库提供完善的安全诊断、维护、管理功能。
数据库审计服务符合等级保护三级标准,帮助您满足合规性要求,包括但不限于:
中国银监会、工业和信息化部、公安部、国家互联网信息办公室制定的《网络借贷信息中介机构业务活动管理暂行办法》中第十八条指出需要进行信息安全检查和审计。
【数据库安全审计系统适用范围】
数据库审计服务可以帮助您解决以下问题:
助力企业顺利通过等保合规审计,提供等保三级及其他行业合规审计依据。
支持审计数据增量备份,满足等保规范对审计数据保存期限要求。
具备风险状况、运行状况、性能状况、语句分布的实时监控能力。
帮助您记录、分析、追查数据库安全事件。
通过数据库性能诊断,追踪危险事件和不安全操作。
有效发现程序后门,降低数据泄密风险。
提供数据库实时风险告警能力,及时响应数据库攻击。
【数据库安全审计系统作用】
一、数据库发现与管理
审计系统可基于流量识别技术,自动发现、添加数据库并快速进行审计。针对网络内未知的数据库信息进行有效梳理,可以解决现场网络环境复杂、数据库资产不清晰等问题。
对百量级的数据库做合理管控并添加“关注”,提供可视化的状态监控界面,可以实时观测数据库的语句吞吐量和风险状况。支持数据库列表导入导出,可快速加载审计列表,并对同类或同业务数据库进行分组管理。
二、探针式数据采集
数据库审计系统的部署方式多样,除了常规的旁路审计部署之外,还可以基于“探针”方式捕获数据库流量,可适用于复杂的虚拟化网络环境。
三、加密协议解析
数据库安全审计系统针对更深层次的加密协议,系统可以通过“导入加密证书”的方式进行通讯协议解密。
四、应用关联审计与监控
数据库安全审计统采用应用端插件部署方式,可基于应用会话捕获【应用账户】及【应用 ip】等关联审计信息,并添加到风险策略进行风险行为监控。针对应用端与业务服务器分离的【四层关联系统】,同样可基于插件部署捕获到应用的原始访问信息,实现应用审计的有效溯源。
系统为便于非技术人员解读审计日志,提供 sql 语句业务翻译功能,并针对来源 ip设置业务别名,从而形成业务人员可读、可操作的审计分析记录。
五、数据库入侵行为监测
数据库安全审计系统提供针对数据库漏洞攻击的“检测”功能:当外部系统利用数据库漏洞进行数据库攻击时,系统可以实时捕获到对应的 sql 语句及相关会话信息并发送告警,帮助用户实时监控数据库漏洞风险并有效追溯风险来源。
六、数据库异常行为监测
数据库审计系统基于建模语句波动情况,进行有效的分析和深入的挖掘。当数据库访问行为异常时,系统可通过波动分析、敏感数据监控以及敏感数据遮蔽提供实时的告警能力,降低数据泄露的损失。
七、数据库违规行为监测
数据库安全审计系统提供丰富的规则类型,可以针对不同的数据库访问来源,提供对敏感表的访问权限、操作权限和影响行数的有效监控,并结合对 no where 语句风险的判断,避免大规模数据泄露和篡改。
八、多维度关联分析
数据库安全审计系统在纵向维度,提供数据库全局查询、分组查询和独立查询三种分析视角,用户可以根据业务需求进行综合分析。用户可以从访问源入手对多个数据库进行全局查询,快速定位风险访问来源;也可以针对某一数据库进行深度钻取分析,有效评定数据库风险。
九、丰富的报表展现
【报表】功能是将审计日志进行数据化分析的具体表现形式。系统将报表划分为多种类型,帮助安全管理人员更加便捷、深入的剖析数据库运行风险。
十、数据库性能分析
数据库安全审计系统内容全面,可以对数据库的 sql 吞吐量、会话并发量进行实时监控,从而评估数据库运行状态和资源使用情况。
十一、数据备份与恢复
数据库安全审计系统根据不同的业务场景,可以按“高压缩比”存储,有效利用存储空间,或者按照“高性能”存储,有效利用系统资源。
在满足和合规要求的基础上,系统为了最大限度的保留审计日志,支持备份文件的对外传输,可自定义上传 ftp、sftp、nfs 等服务平台做永久性留存。系统支持手动恢复能力,用户可以按“天”将备份数据恢复到在线系统进行检索分析。
十二、对外数据传输接口
数据库安全审计系统提供数据对外传输能力,并提供标准化接口。系统对接方式包括syslog 传输、webservice 接口、大数据平台对接,除了上述日志传输方式之外,系统还可以抽取“系统审计日志”并传输给第三方系统监管平台;或者通过 snmp 方式传递系统的 cpu、内存等操作系统层信息,便于用户对审计设备的监督、管理。
十三、集群管理
数据库安全审计系统提供多设备分布式部署能力,并支持数据集中化管理和分析。在网络内已部署多个审计节点的前提下,建立独立的集群管理中心。集群管理中心对各节点具备远程登录和系统管理,各节点通过上报、审批加入集群管理列表。
【数据库安全审计工作原理】
数据库审计服务通过旁路监听模式,支持完全独立于数据库的部署。在不影响数据库日常运行效能的前提下,实现灵活的审计与监控。
基于数据库操作语句进行审计,监视数据库登录、访问行为,有效地实施审计策略。数据库审计服务还具备强大的数据库活动审计分析能力,从多个角度灵活呈现数据库的活动状态,帮助您有效执行安全策略。
采用全新的人机交互操作模式,基于人性化、专业化和可用性三个层面设计产品界面。在审计日志统计分析方面,数据库审计服务采用独创的综合性统计分析报表,基于日报、周报、月报等基础型业务报表(可设置自动定时发送),并结合专项性的模式分析类报表,开启数据库审计产品报表展现形式的新纪元。
审计查询方式支持单库(单个数据库)级和全库(所有数据库)级两个层面进行审计查询。采用多重页面钻取功能,逐层递进地引导用户完成审计日志的查询分析。同时,为方便您定制审计规则,采用优先级由上而下的规则命中机制,从多个层面定义数据库审计规则。
【数据库安全审计的优势】
一、系统可审计的数据库类型涵盖国内外 12 种主流数据库,包括:
1) 国际主流:oracle、sql server、db2、sybase、informix、postgresql、cachedb;
2) 国内主流:gbase(南大通用)、dm(达梦)、kingbase(人大金仓)、oscar(神舟);
为适应大数据分析的市场需求,针对 hadoop 大数据和非关系型数据库,提供完善的审计与监控能力。沿用关系型数据库的规则配置、业务分析流程,提高非关系型数据的分析能力。
一、 审计范围全面
系统可审计的业务范畴全面,审计数据来源包括:
1) 旁路镜像审计;
2) 探针式数据采集;
3) 虚拟机 vds 引流;
4) 远程登录行为审计;
5) 本地回环口流量采集;
6) telnet 行为记录;
7) 加密协议解析;
二、 审计内容全面
系统的审计元素覆盖数据库整体交互过程,包括:
1) 应用层信息:应用账户、应用 ip;
2) 客户端信息:客户端 ip、主机名称、操作系统账号、客户端工具/应用程序;
3) 数据库信息:数据库 ip 地址、用户名、数据库类型、版本、字符集;
4) 对象信息:实例、schema、表、字段、包、存储过程、函数、视图;
5) 响应信息:应答错误码、影响行数、返回结果集等;
6) 其他信息:登录时间、操作时间、sql 响应时长等
三、 分析角度全面
产品可提供的规则视角全面,可基于如下几个维度分析审计日志:
1) 全库\数据库组\单库
2) 语句与会话的关联审计
3) 区分数据库实例审计
4) 会话深度分析
5) 数据库性能异常分析(topsql 等)
四、 策略配置全面
本系统支持全局策略配置,根据【数据库类型】和【业务类型】添加不同的规则组,可引用不同的数据库开启监控策略,提供全面的数据库攻击行为监控技术:
五、数据库审计系统具备高效的日志检索能力,实现审计记录的快速查询。当设备旁路进入网络,即可对添加的数据库进行协议解析,并对解析内容快速入库建立索引文件,从而在审计分析时实现高效的查询机制,大型审计记录分析运算入库时间小于 30s,亿级别数据规模单条记录查询响应时间小于 10s,达到业界领先水平。索引文件和数据表文件如果损坏,系统会启用自动修复机制,以确保系统日志查询时的有效性和准确性。
六、审计系统基于精确协议分析、完全 sql 解析、参数化匹配、长语句解析、多语句解析和100%应用关联技术,创造了业界准确的数据库审计产品,为可信审计追踪提供了坚实的基础。
七、提供 3 级存储机制,包括在线存储库、历史压缩库和远程备份库,使千亿级数据存储不再困难。通过在线存储库保证高效响应,在历史压缩库中提供 10 倍以上压缩比,通过远程备份库完成第三方存储设备利用,并通过专项接口与外部高效存储阵列对接。
数据库安全审计产品在硬件层面支持 raid 0/1/5 硬盘存储模型,并支持 ssd 固态硬盘提高 i/o 读写速率。系统在保障审计日志高效入库的同时,在硬件层面实现冗余存储。高端设备以可插拔硬盘方式实现存储空间的动态扩容,可实现 60t 硬盘存储。
试用申请