數據庫安全審計

隨着互聯網的快速發展，企業經過各類應用產生在數據庫中的全部關於商業以及公共安全性的數據，已經成爲各企事業單位最具備價值的資產。一般企業爲了防止這些敏感數據被競爭對手或者黑客非法獲取，用以謀求不正當的利益，都會經過各類方式將這些信息嚴密保護起來。

可是，根據星瑞格軟件統計顯示：企業絕大多數重要的敏感的 數據存儲於數據庫，90%以上敏感信息泄露源於數據庫。而外泄的敏感信息主要是我的信息泄露，包括：用戶名、用戶密碼、電子郵件、電話號碼、銀行帳號、我的財產信息等。對於數據泄露的方式，主要包括：外包商濫用、離職員工竊取、管理者濫用、使用者誤操做、內部人員竊取以及黑客竊取等。這也代表，企業對數據庫防禦並無想象中的那麼完美，而是面臨各類安全風險的挑戰。

而數據庫安全審計系統能夠對數據的訪問操做行爲作一個完整的記錄，以備違反安全規則的事件發生後，能有效的追查責任和分析緣由，必要時還能夠爲懲罰惡意攻擊行爲提供必要的證據。這就對數據庫安全審計產品提出了一個最基本的要求：完整的紀錄。

法規控制在一些領域起了關鍵性的做用，例如在業務變動、業務流程驗證、系統故障、人爲違規操做等方面。由於數據庫做爲各項資產或者業務的核心，因此數據庫審計在各種標準法規中很是重要。

《薩班斯法案》強調增強與財務報表相關的IT系統內部控制，其中，IT系統內部控制是緊密圍繞信息安全審計這一核心的。

巴賽爾新資本協定(Basel II)要求全球銀行必須作好風險控管(risk management)，而這項「金融做業風險」的防範正須要業務信息安全審計爲依託。

《企業內部控制具體規範》明確要求計算機信息系統應採起權責分配及職責分工、創建訪問安全策略等審計措施以增強提升信息系統的可靠性、穩定性、安全性及數據的完整性和準確性。

《等級保護數據庫管理技術要求》 第四章「數據庫管理系統安全技術要求」中第四節「數據庫安全審計」中明確提出數據庫管理系統的安全審計應：創建獨立的安全審計系統;定義與數據庫安全相關的審計事件;設置專門的安全審計員;設置專門用於存儲數據庫系統審計數據的安全審計庫;提供適用於數據庫系統的安全審計設置、分析和查閱的工具。

《ISO15408-2 安全功能要求》明確要求數據庫安全審計應包括：識別、記錄、存儲和分析 那些與安全相關活動(即由TSP 控制的活動)有關的信息;檢查審計記錄結果可用來判斷髮生了哪些安全相關活動以及哪一個用戶要對這些活動負責。

主要特性
一、全面的數據庫審計

數據庫審計系統可以針對目前主流的數據庫(ORACLE、MSSQL、MYSQL、POSTGRESQL、Caché、….)的各類操做進行詳細的、實時的記錄，並以報表和數據庫列表的形式呈現給客戶!

可以審計的內容包括：

審計用戶對數據庫的登陸、註銷

審計用戶到數據庫表的查詢、插入、修改、刪除、建立……

可以監控各種數據庫的鏈接客戶的操做

支持的數據庫類型包括：ORACEL、DB二、INFORMIX、SYBASE、MSSQL Server、MYSQL、POSTGRESQL、Caché

二、遠程服務器操做審計

數據庫審計系統支持主流的遠程服務器訪問操做，包括對Telnet、FTP、Rlogin、X11等操做的審計，可以全程記錄遠程訪問用戶的各類操做。

三、豐富的報警設置

用戶能夠自定義各類報警事件，並設置報警事件的類別。當數據庫遭遇到攻擊、定製報警策略促發時，系統會自動的告警出來!目前報警爲高級、較高、中級、低級四個級別。

四、靈活的審計策略

數據庫審計系統使用審計引擎對全部的數據庫活動、數據庫服務器遠程操做進行實時的、動態的審計，並根據審計到客戶端(IP、MAC、用戶名……)、中間件(操做語句)、服務端(返回值、響應時間……)信息，自定義策略，實現審計可視化、可管理行。

五、系統管理

數據庫審計系統的管理控制檯集中管理應用審計系統，審計人員能夠經過管控平臺是實時監控應用審計設備的各類狀態，包括：

系統運行狀態，CPU、內存、硬盤的消耗等。

系統自身運行的各類日誌信息。

優點
數據庫審計系統經過網絡徹底獨立地採集審計數據，這使得數據庫維護或開發小組，安全審計小組的工做進行適當的分離。並且，審計工做不影響數據庫的性能、穩定性或平常管理流程。審計結果獨立存儲於昂楷數據庫安全審計系統自帶的存儲空間中，避免了數據庫特權用戶或惡意入侵數據庫服務器用戶，干擾審計信息的公正性。

一、全跟蹤細膩度審計

全面性：針對業務層、應用層、數據庫等各個層面的操做進行跟蹤定位，包括數據庫SQL執行狀況、數據庫返回值等;

細粒度：精確到表、對象、記錄內容的細粒度審計策略，實現對敏感信息的精細監控;

獨立性：基於獨立監控審計的工做模式，實現了數據庫管理與審計的分離，保證了審計結果的真實性、完整性、公正性。

二、權限分離

數據庫審計系統設置了權限角色分離，如系統管理員負責設備的運行設置;審計員負責查看相關審計記錄及規則違反狀況;日誌員負責查看總體設備的操做日誌及規則的修改狀況等。

三、事件準肯定位

傳統的數據庫審計定位每每侷限於IP地址和MAC地址，不少時候不具有可信性。昂楷數據庫審計系統能夠對IP、MAC、用戶名、服務端等一系列進行關聯分析，從而追蹤到具體人。

四、獨特報表功能

(1)合規性報表

數據庫審計系統報表會根據合規性要求，輸出不一樣類型的報表。例如，可根據等級保護三級要求，輸出符合等保相關項目知足的度的報表。

(2)策略定製化報表

根據審計人員關係的主要問題，定製符合需求的策略規則輸出報告，使審計人員可以迅速的獲得本身須要的審計信息。

(3)完備的自身安全

數據庫審計系統全方位確保設備自己的高可用性，主要包括：硬件級安全冗餘、系統級防攻擊策略、告警措施等。
用戶管理，管理各類用戶的權限，以及用戶對審計設備的操做情況。

部署方式
爲了徹底不影響數據庫系統自身性能與運行，數據庫審計系統支持採用旁路監聽或模式，具體可分爲核心交換機網絡監聽模式、網橋模式和數據庫系統主機上實施監聽模式。

一、交換機網絡監聽模式
 

經過在覈心交換機上設置端口鏡像模式或採用TAP分流監聽模式，使安全審計引擎可以監聽到全部用戶經過交換機與數據庫進行通信的所有操做。

 

二、數據庫系統主機網絡監聽模式

經過在數據庫系統主機上部署網絡監聽的審計接入模塊，審計接入模塊可以監聽全部用戶與數據庫系統進行的所有通訊，得到對數據庫系統的全部訪問操做，審計接入模塊發送給審計系統，並記錄在審計系統中。

網絡監聽模式最大的優勢就是與現有數據庫系統無關，部署過程不會給數據庫系統帶來性能上的負擔，即便數據庫審計系統出現故障也不會影響數據庫系統的正常運行，具有易部署、無風險的特色。可是，其部署的實現原理決定了網絡監聽技術在針對加密協議時，只能實現到會話級別審計(便可以審計到時間、源IP、源端口、目的IP、目的端口等信息)，而無法對內容進行審計。