產(chǎn)品概述

　　數(shù)據(jù)庫(kù)審計(jì)介紹

　　昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)(簡(jiǎn)稱：AAS)是一款軟硬一體化產(chǎn)品，首創(chuàng)雙向?qū)徲?jì)機(jī)制，全面覆蓋應(yīng)用、中間件、數(shù)據(jù)庫(kù)，達(dá)到“事前預(yù)防+事中防范十事后取證”的立體防御效果。審計(jì)系統(tǒng)采用數(shù)據(jù)庫(kù)深度報(bào)文協(xié)議解析技術(shù)DPI及動(dòng)態(tài)流檢測(cè)技術(shù)DFI等，將數(shù)據(jù)庫(kù)的各種訪問操作，解析還原為數(shù)據(jù)庫(kù)級(jí)的操作語(yǔ)句，通過預(yù)置的安全規(guī)則匹配，即可智能分析和監(jiān)控訪問者的各種操作，進(jìn)行實(shí)時(shí)威脅預(yù)警，并對(duì)事件進(jìn)行統(tǒng)計(jì)分析記錄，多重身份定位，有效支持電子取證。

      數(shù)據(jù)庫(kù)審計(jì)法規(guī)要求

　　法規(guī)控制在一些領(lǐng)域起了關(guān)鍵性的作用，例如在業(yè)務(wù)變更、業(yè)務(wù)流程驗(yàn)證、系統(tǒng)故障、人為違規(guī)操作等方面。因?yàn)閿?shù)據(jù)庫(kù)作為各項(xiàng)資產(chǎn)或者業(yè)務(wù)的核心，所以數(shù)據(jù)庫(kù)審計(jì)在各類標(biāo)準(zhǔn)法規(guī)中非常重要。

     《薩班斯法案》強(qiáng)調(diào)加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制，其中，IT系統(tǒng)內(nèi)部控制是緊密圍繞信息安全審計(jì)這一核心的。

      巴賽爾新資本協(xié)定(Basel II)要求全球銀行必須做好風(fēng)險(xiǎn)控管(risk management)，而這項(xiàng)“金融作業(yè)風(fēng)險(xiǎn)”的防范正需要業(yè)務(wù)信息安全審計(jì)為依托。

     《企業(yè)內(nèi)部控制具體規(guī)范》明確要求計(jì)算機(jī)信息系統(tǒng)應(yīng)采取權(quán)責(zé)分配及職責(zé)分工、建立訪問安全策略等審計(jì)措施以加強(qiáng)提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準(zhǔn)確性。

     《等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理技術(shù)要求》 第四章“數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求”中第四節(jié)“數(shù)據(jù)庫(kù)安全審計(jì)”中明確提出數(shù)據(jù)庫(kù)管理系統(tǒng)的安全審計(jì)應(yīng)：建立獨(dú)立的安全審計(jì)系統(tǒng);定義與數(shù)據(jù)庫(kù)安全相關(guān)的審計(jì)事件;設(shè)置專門的安全審計(jì)員;設(shè)置專門用于存儲(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)數(shù)據(jù)的安全審計(jì)庫(kù);提供適用于數(shù)據(jù)庫(kù)系統(tǒng)的安全審計(jì)設(shè)置、分析和查閱的工具。

      《ISO15408-2 安全功能要求》明確要求數(shù)據(jù)庫(kù)安全審計(jì)應(yīng)包括：識(shí)別、記錄、存儲(chǔ)和分析 那些與安全相關(guān)活動(dòng)(即由TSP 控制的活動(dòng))有關(guān)的信息;檢查審計(jì)記錄結(jié)果可用來(lái)判斷發(fā)生了哪些安全相關(guān)活動(dòng)以及哪個(gè)用戶要對(duì)這些活動(dòng)負(fù)責(zé)。

主要特性

      1、全面的數(shù)據(jù)庫(kù)審計(jì)

       昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)能夠針對(duì)目前主流的數(shù)據(jù)庫(kù)(ORACLE、MSSQL、MYSQL、POSTGRESQL、Caché、….)的各種操作進(jìn)行詳細(xì)的、實(shí)時(shí)的記錄，并以報(bào)表和數(shù)據(jù)庫(kù)列表的形式呈現(xiàn)給客戶!

       能夠?qū)徲?jì)的內(nèi)容包括：

       審計(jì)用戶對(duì)數(shù)據(jù)庫(kù)的登錄、注銷

       審計(jì)用戶到數(shù)據(jù)庫(kù)表的查詢、插入、修改、刪除、創(chuàng)建……

       能夠監(jiān)控各類數(shù)據(jù)庫(kù)的連接客戶的操作

       支持的數(shù)據(jù)庫(kù)類型包括：ORACEL、DB2、INFORMIX、SYBASE、MSSQL Server、MYSQL、POSTGRESQL、Caché

       2、遠(yuǎn)程服務(wù)器操作審計(jì)

        昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)支持主流的遠(yuǎn)程服務(wù)器訪問操作，包括對(duì)Telnet、FTP、Rlogin、X11等操作的審計(jì)，能夠全程記錄遠(yuǎn)程訪問用戶的各種操作。

       3、豐富的報(bào)警設(shè)置

        用戶可以自定義各種報(bào)警事件，并設(shè)置報(bào)警事件的類別。當(dāng)數(shù)據(jù)庫(kù)遭遇到攻擊、定制報(bào)警策略促發(fā)時(shí)，系統(tǒng)會(huì)自動(dòng)的告警出來(lái)!目前報(bào)警為高級(jí)、較高、中級(jí)、低級(jí)四個(gè)級(jí)別。

       4、靈活的審計(jì)策略

        昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)使用審計(jì)引擎對(duì)所有的數(shù)據(jù)庫(kù)活動(dòng)、數(shù)據(jù)庫(kù)服務(wù)器遠(yuǎn)程操作進(jìn)行實(shí)時(shí)的、動(dòng)態(tài)的審計(jì)，并根據(jù)審計(jì)到客戶端(IP、MAC、用戶名……)、中間件(操作語(yǔ)句)、服務(wù)端(返回值、響應(yīng)時(shí)間……)信息，自定義策略，實(shí)現(xiàn)審計(jì)可視化、可管理行。

       5、系統(tǒng)管理

        昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的管理控制臺(tái)集中管理應(yīng)用審計(jì)系統(tǒng)，審計(jì)人員可以通過管控平臺(tái)是實(shí)時(shí)監(jiān)控應(yīng)用審計(jì)設(shè)備的各種狀態(tài)，包括：

            系統(tǒng)運(yùn)行狀態(tài)，CPU、內(nèi)存、硬盤的消耗等。

            系統(tǒng)自身運(yùn)行的各種日志信息。

            用戶管理，管理各種用戶的權(quán)限，以及用戶對(duì)審計(jì)設(shè)備的操作狀況。

產(chǎn)品優(yōu)勢(shì)

       昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)通過網(wǎng)絡(luò)完全獨(dú)立地采集審計(jì)數(shù)據(jù)，這使得數(shù)據(jù)庫(kù)維護(hù)或開發(fā)小組，安全審計(jì)小組的工作進(jìn)行適當(dāng)?shù)姆蛛x。而且，審計(jì)工作不影響數(shù)據(jù)庫(kù)的性能、穩(wěn)定性或日常管理流程。審計(jì)結(jié)果獨(dú)立存儲(chǔ)于昂楷數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)自帶的存儲(chǔ)空間中，避免了數(shù)據(jù)庫(kù)特權(quán)用戶或惡意入侵?jǐn)?shù)據(jù)庫(kù)服務(wù)器用戶，干擾審計(jì)信息的公正性。

      1、全跟蹤細(xì)膩度審計(jì)

       全面性：針對(duì)業(yè)務(wù)層、應(yīng)用層、數(shù)據(jù)庫(kù)等各個(gè)層面的操作進(jìn)行跟蹤定位，包括數(shù)據(jù)庫(kù)SQL執(zhí)行情況、數(shù)據(jù)庫(kù)返回值等;

       細(xì)粒度：精確到表、對(duì)象、記錄內(nèi)容的細(xì)粒度審計(jì)策略，實(shí)現(xiàn)對(duì)敏感信息的精細(xì)監(jiān)控;

       獨(dú)立性：基于獨(dú)立監(jiān)控審計(jì)的工作模式，實(shí)現(xiàn)了數(shù)據(jù)庫(kù)管理與審計(jì)的分離，保證了審計(jì)結(jié)果的真實(shí)性、完整性、公正性。

      2、權(quán)限分離

       昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)設(shè)置了權(quán)限角色分離，如系統(tǒng)管理員負(fù)責(zé)設(shè)備的運(yùn)行設(shè)置;審計(jì)員負(fù)責(zé)查看相關(guān)審計(jì)記錄及規(guī)則違反情況;日志員負(fù)責(zé)查看整體設(shè)備的操作日志及規(guī)則的修改情況等。

      3、事件準(zhǔn)確定位

       傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)定位往往局限于IP地址和MAC地址，很多時(shí)候不具備可信性。昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可以對(duì)IP、MAC、用戶名、服務(wù)端等一系列進(jìn)行關(guān)聯(lián)分析，從而追蹤到具體人。

      4、獨(dú)特報(bào)表功能

       (1)合規(guī)性報(bào)表

       昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)報(bào)表會(huì)根據(jù)合規(guī)性要求，輸出不同類型的報(bào)表。例如，可根據(jù)等級(jí)保護(hù)三級(jí)要求，輸出符合等保相關(guān)項(xiàng)目滿足的度的報(bào)表。

       (2)策略定制化報(bào)表

       根據(jù)審計(jì)人員關(guān)系的主要問題，定制符合需求的策略規(guī)則輸出報(bào)告，使審計(jì)人員能夠迅速的得到自己需要的審計(jì)信息。

       (3)完備的自身安全

       昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)全方位確保設(shè)備本身的高可用性，主要包括：硬件級(jí)安全冗余、系統(tǒng)級(jí)防攻擊策略、告警措施等。

部署方式

       為了完全不影響數(shù)據(jù)庫(kù)系統(tǒng)自身性能與運(yùn)行，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)支持采用旁路監(jiān)聽或模式，具體可分為核心交換機(jī)網(wǎng)絡(luò)監(jiān)聽模式、網(wǎng)橋模式和數(shù)據(jù)庫(kù)系統(tǒng)主機(jī)上實(shí)施監(jiān)聽模式。

      1、交換機(jī)網(wǎng)絡(luò)監(jiān)聽模式

        通過在核心交換機(jī)上設(shè)置端口鏡像模式或采用TAP分流監(jiān)聽模式，使安全審計(jì)引擎能夠監(jiān)聽到所有用戶通過交換機(jī)與數(shù)據(jù)庫(kù)進(jìn)行通訊的全部操作。

      2、數(shù)據(jù)庫(kù)系統(tǒng)主機(jī)網(wǎng)絡(luò)監(jiān)聽模式

       通過在數(shù)據(jù)庫(kù)系統(tǒng)主機(jī)上部署網(wǎng)絡(luò)監(jiān)聽的審計(jì)接入模塊，審計(jì)接入模塊能夠監(jiān)聽所有用戶與數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行的全部通信，獲得對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的所有訪問操作，審計(jì)接入模塊發(fā)送給審計(jì)系統(tǒng)，并記錄在審計(jì)系統(tǒng)中。

       網(wǎng)絡(luò)監(jiān)聽模式最大的優(yōu)點(diǎn)就是與現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)無(wú)關(guān)，部署過程不會(huì)給數(shù)據(jù)庫(kù)系統(tǒng)帶來(lái)性能上的負(fù)擔(dān)，即使數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)出現(xiàn)故障也不會(huì)影響數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)行，具備易部署、無(wú)風(fēng)險(xiǎn)的特點(diǎn)。