網(wǎng)絡與數(shù)據(jù)庫安全審計系統(tǒng)方案

1、網(wǎng)絡與數(shù)據(jù)庫安全審計系統(tǒng)方案目錄用戶需求特性優(yōu)勢 客戶價值產品介紹 與數(shù)據(jù)庫相關的安全事故信息泄露信息篡改不良記錄刪除數(shù)據(jù)庫被破壞誰干的，外賊還是內鬼？IntranetInternet直接危害巨額經濟損失巨大信譽損失大量法律糾紛假如危害持續(xù)充值密碼循環(huán)盜用大量客戶資料被竊商業(yè)核心機密泄漏業(yè)務數(shù)據(jù)信息清空業(yè)務信息系統(tǒng)中斷A地運營商循環(huán)作案數(shù)月之久作案手段多樣一個案例某工程師發(fā)現(xiàn)合法的人做非法的事刻不容緩權限濫用權限提升身份驗證不足拒絕服務平臺漏洞通信協(xié)議漏洞 SQL 注入 審計記錄不足 備份數(shù)據(jù)暴露數(shù)據(jù)庫主要安全風險解決方案不包含威脅特征的操作行為IP欺騙蠕蟲病毒IDSIPSUSGAV入侵攻擊木

2、馬僵尸Hacker合法用戶濫用操作和誤操作不明賬號的操作DBA或超級用戶的操作共用賬號操作無法溯源利用技術手段空缺的行為濫用不規(guī)范操作帶來的DB風險破壞數(shù)據(jù)庫審計產品，監(jiān)控針對數(shù)據(jù)庫的不合規(guī)行為。DB審計相關政策法規(guī)-審計時間法規(guī)相關行業(yè)2001計算機信息系統(tǒng)安全保護等級劃分準則政府行業(yè)2002商業(yè)銀行內部控制指引 金融行業(yè)2002-2004 2002 Sarbanes-Oxley Act (bilingual) 、 PCAOB Auditing Standard No. 2美國上市的企業(yè)2005-2006國家電力監(jiān)管委員會第5 號令 電力二次系統(tǒng)安全防護規(guī)定電力二次系統(tǒng)安全防護專家組和工作組

3、提出電力二次系統(tǒng)安全防護總體方案；電力行業(yè)2004-2005中國移動集團內控手冊、中國移動業(yè)務支撐網(wǎng)安全域劃分和邊界整合技術規(guī)范中國電信股份有限公司內部控制手冊中國網(wǎng)通集團信息質量問責管理若干規(guī)定 、中國網(wǎng)通集團內部控制體系建設指導意見 電信行業(yè)2006銀行業(yè)金融機構信息系統(tǒng)風險管理指引商業(yè)銀行合規(guī)風險管理指引中國銀行業(yè)監(jiān)督委員會辦公廳文件銀監(jiān)辦通313號保險公司內部審計指引（試行）保險公司風險管理指引（試行）金融行業(yè)2006深圳證券交易所上市公司內部控制指引 上海證券交易所上市公司內部控制指引 中國上市的企業(yè)2008國家電網(wǎng)信息化工作部印發(fā)316號文件 國家電網(wǎng)公司信息化“SG186”工程安

4、全防護總體方案(試行)通知電力行業(yè)2008內部審計具體準則第28號信息系統(tǒng)審計政府、央企2010網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范網(wǎng)絡架構、數(shù)據(jù)安全需審計金融行業(yè)等級保護等級保護網(wǎng)絡安全、主機安全、應用安全二級、三級、四級等級保護大類小類要求二級要求網(wǎng)絡安全安全審計2主機安全安全審計4應用安全安全審計3三級要求網(wǎng)絡安全安全審計4主機安全安全審計6應用安全安全審計4四級要求網(wǎng)絡安全安全審計6主機安全安全審計7應用安全安全審計5等保-網(wǎng)絡安全要求審計對象人員、邊界和重要網(wǎng)絡設備（包括安全設備）審計記錄、審計策略審計要求二級：應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄二級：審計記錄

5、應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息三級新增：應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表三級新增：應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等四級新增：應定義審計跟蹤極限的閾值，當存儲空間接近極限時，能采取必要的措施，當存儲空間被耗盡時，終止可審計事件的發(fā)生四級新增：應根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務器同步等保-主機安全要求審計對象審計員、重要服務器操作系統(tǒng)、重要數(shù)據(jù)庫系統(tǒng)審計要求二級：審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶二級：審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命

6、令的使用等系統(tǒng)內重要的安全相關事件二級：審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等二級：應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表三級新增：應保護審計進程，避免受到未預期的中斷三級新增：應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等四級新增：應能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計等保-應用安全要求審計對象審計員，重要應用系統(tǒng)審計要求二級：應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計二級：應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄二級：審計記錄的內容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等三級新增：應提供對審

7、計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能四級新增：應根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計接口目錄用戶需求特性優(yōu)勢 客戶價值產品介紹 產品架構捕包管理系統(tǒng)報表系統(tǒng)網(wǎng)絡數(shù)據(jù)包網(wǎng)絡數(shù)據(jù)包解析通信審計策略瀏覽器天玥網(wǎng)絡安全審計系統(tǒng)引擎數(shù)據(jù)中心零拷貝碎片重組狀態(tài)檢測協(xié)議解析流重組規(guī)則匹配攻擊檢測響應解密技術日志上傳事件告警違規(guī)阻斷對外接口系統(tǒng)管理策略配置日志存儲關聯(lián)分析 數(shù)據(jù)庫訪問關聯(lián) - 實時三層關聯(lián) - 跳轉訪問審計 - 嵌套操作審計 數(shù)據(jù)庫細粒度審計 - 操作對象細分 - 操作類型細分 - 客戶端類型細分 - 數(shù)據(jù)庫響應細分 全面協(xié)議支持 - 數(shù)據(jù)庫協(xié)議：Oracle等13種 - 字符協(xié)議

8、：Telnet、SSH - 圖形協(xié)議：RDP、VNC - 文件協(xié)議：Netbios、FTP、NFS - 郵件協(xié)議：SMTP、POP3 - 其他：Radius、HTTP、HTTPS產品特性 數(shù)據(jù)庫安全監(jiān)控業(yè)務網(wǎng)合規(guī)審計客戶價值 審計日志處理 - 高速日志記錄 - 有效日志檢索 - 客戶化審計報表 全過程審計天玥網(wǎng)絡安全審計系統(tǒng)讓數(shù)據(jù)庫安全變得簡單 以數(shù)據(jù)為核心關注應用安全 高性能處理 深層監(jiān)測 精確溯源深層監(jiān)測全方位審計OracleSQL-ServerDB2數(shù)據(jù)庫操作TeradataSybase人大金倉南大通用達夢數(shù)據(jù)庫InformixTelnetRloginRDP/VNC運維協(xié)議Netbios

9、/NFSSSH公開協(xié)議解析不同的編碼格式的協(xié)議非公開協(xié)議解析的能力不同版本的協(xié)議MySQLCachePostgreSQLSCPSFTPFTP圍繞數(shù)據(jù)庫的業(yè)務網(wǎng)絡的合規(guī)審計，同時支持各種運維協(xié)議。HTTP（S）SMTP/POP3神通（Oscar ）深層監(jiān)測過程關聯(lián)審計對跳轉訪問、嵌套操作、三層模式訪問進行關聯(lián)審計。URLSQL深層監(jiān)測策略配置用戶IP資源IP策略生效時間詳細定義針對各種數(shù)據(jù)庫行為的審計策略，包括數(shù)據(jù)庫響應。頁面告警入日志庫Syslog告警SNMP告警短信告警郵件告警自然人帳號服務帳號深層監(jiān)測操作規(guī)則集缺省規(guī)則集自定義規(guī)則集細粒度的操作規(guī)則集定義，保證了精細審計和準確控制。數(shù)據(jù)庫訪

10、問實時統(tǒng)計數(shù)據(jù)庫訪問趨勢統(tǒng)計最近30天告警事件統(tǒng)計最近3個月告警事件統(tǒng)計最近30天告警事件操作對象表統(tǒng)計最近3個月告警事件操作對象表統(tǒng)計深層監(jiān)測各種專業(yè)趨勢信息精確溯源細粒度日志對于審計到的網(wǎng)絡訪問行為進行細粒度解析和記錄，具體到列和值。精確溯源信息鉆取審計會話與事件互相關聯(lián)，報表的統(tǒng)計數(shù)字可直接下鉆到具體事件。精確溯源查詢統(tǒng)計和報表報表系統(tǒng)，提供審計狀態(tài)展現(xiàn)、日志查詢、統(tǒng)計取證、審計報告。狀態(tài)查詢統(tǒng)計取證報告目錄用戶需求特性優(yōu)勢 客戶價值產品介紹 各類數(shù)據(jù)庫訪問行為及內容審計對數(shù)據(jù)庫系統(tǒng)返回結果進行審計和關鍵信息還原Select * from T-UserIDnameage1a162b323

11、c28細粒度解析：命令、表、客戶端程序名、操作結果、響應時間、列名、列值等。存儲過程內容審計數(shù)據(jù)庫傳統(tǒng)數(shù)據(jù)庫審計只審計存儲過程名：EXECUTEau_info_all審計存儲過程名和內容CREATEPROCEDUREau_info_allAS SELECTau_lname,au_fname,title,pub_nameFROMauthorsaINNERJOINtitleauthortaONa.au_id=ta.au_idINNERJOINtitlest ONt.title_id=ta.title_idINNERJOINpublisherspONt.pub_id=p.pub_idGO應用系統(tǒng)運維

12、人員解決了違規(guī)者利用存儲過程調用來躲避數(shù)據(jù)庫審計的問題異常行為智能審計通過自學習，自動建立訪問行為基線。超過基線的異常訪問智能告警，極大降低人工配置策略和分析審計日志的工作量。賬號Alice客戶端程序：CrmApp.exe訪問表：Customer操作類型：select、insert、update訪問頻率：一小時內select不超過200次，update不超過50次賬號Bob客戶端程序：PLSQL訪問表：Salary，Employee操作類型：select、insert訪問頻率：一小時內不超過10次賬號Mary客戶端程序：ErpApp.exe訪問表：Order操作類型：insert、update

13、訪問頻率：一小時內insert不超過10次,update不超過3次異常：一小時內對Order表88次insert用戶1用戶2用戶3客戶端2應用系統(tǒng)(集群)數(shù)據(jù)庫服務器（集群）數(shù)據(jù)庫賬號常見業(yè)務系統(tǒng)架構業(yè)務操作先訪問應用系統(tǒng)，應用再訪問數(shù)據(jù)庫，存在賬號、路徑追溯的問題web應用前后臺關聯(lián)審計客戶端1業(yè)務賬號1業(yè)務賬號2業(yè)務賬號3客戶端3web應用前后臺關聯(lián)審計（續(xù)）時間級別數(shù)據(jù)庫帳號源IP數(shù)據(jù)庫名表名命令SQL2013-03-15 16:30:01低級WebusrORALUser_rolesSELECTSELECT name FROM user_roles WHERE role = CONNEC

14、T2013-03-15 16:30:01中級WebusrORALUser_rolesUPDATEUpdateuser_roles set password 123 WHERE role = CONNECT時間級別業(yè)務賬號業(yè)務客戶端IP業(yè)務URL數(shù)據(jù)庫帳號數(shù)據(jù)庫名表名命令SQL2013-03-15 16:30:01低級Alice/xxWebuserORALUser_rolesSELECTSELECT name FROM user_roles WHERE role = CONNECT2013-03-15 16:30:01中級Bob/xxWebuserORALUser_rolesUPDATEUpda

15、teuser_roles set password 123 WHERE role = CONNECT常規(guī)審計：只能審計頁面訪問或數(shù)據(jù)庫訪問的單一過程，無法追蹤溯源關聯(lián)審計：前后臺關聯(lián)，得到SQL的業(yè)務用戶ID，得到頁面動作引發(fā)的數(shù)據(jù)庫變化數(shù)據(jù)庫操作命令級阻斷傳統(tǒng)審計產品：會話級阻斷，阻斷效果無法保障天玥：當需要更強防護手段時，可命令級阻斷，只對高危操作執(zhí)行阻斷，當前會話依然存活。高性能處理數(shù)據(jù)中心與審計引擎采用獨立平臺，將管理與檢測分擔在不同硬件，提高整體處理性能。采用專業(yè)的狀態(tài)檢測和特征匹配相結合算法，提升數(shù)據(jù)包解析速度。數(shù)據(jù)預處理技術，將日志的檢索和統(tǒng)計工作分散進行，1T日志的檢索速度達秒

16、級。借鑒啟明星辰IDS的零拷貝技術，千兆網(wǎng)絡捕包性能達到線速。專業(yè)設計的數(shù)據(jù)庫結構，優(yōu)化審計日志入庫方式，提升入庫速度，達10萬條/秒以上。業(yè)界最高！IDS審計零拷貝狀態(tài)檢測特征匹配審計響應DB預處理審計日志審計報表多級分布式管理，全方位審計多級管理：適應用戶多層管理架構，可以實現(xiàn)審計系統(tǒng)的多級管理。分布式部署：一個數(shù)據(jù)中心可以對多個審計引擎進行管理和控制。數(shù)據(jù)庫服務器區(qū)域數(shù)據(jù)中心在線引擎運維區(qū)域旁路引擎在線審計實現(xiàn)的基礎為“建立唯一訪問路徑，一切的行為均通過該路徑進行訪問，只審計該路徑”旁路審計實現(xiàn)的基礎為“一切網(wǎng)絡訪問行為均不可信，均需要審計”兩種審計部署方式存在著很強的互補性，通常都會一

17、起部署，從而實現(xiàn)控制與審計的完美結合全方位保障數(shù)據(jù)庫安全結合漏洞掃描、接入認證、訪問控制和攻擊檢測等手段，充分保證數(shù)據(jù)庫安全漏洞掃描接入認證訪問控制SQL注入、XSS攻擊防護安全審計數(shù)據(jù)庫全面&細微兼容CVE、CNCVE、CNNVD數(shù)據(jù)庫漏洞數(shù)580+提交CVE漏洞數(shù)85+微軟MAPP合作伙伴密碼USBkeyLDAP、AD域Radius吉大正元北京CA數(shù)據(jù)庫審計的發(fā)展歷史SQL記錄語義解析關聯(lián)審計DAP會話記錄2003年2005年2008年2010年2012年漏洞掃描違規(guī)阻斷攻擊防護行為審計訪問控制性能監(jiān)控技術優(yōu)勢數(shù)據(jù)庫審計的多項領先技術產品支持的數(shù)據(jù)庫類型最多第一家提出數(shù)據(jù)庫“語義解析”的審

18、計方法第一家通過IPv6 Phase2 Ready認證第一家通過安全產品測評EAL 3級認證第一家通過保密局審計產品增強級認證第一家支持在線部署和實時命令阻斷的審計產品產品采用的專利技術最多2003年上市，十年的技術積累，造就了多項業(yè)內第一第一家提出“三層關聯(lián)”的審計方法技術優(yōu)勢專利列表CN1953454 基于角色管理的安全審計方法及系統(tǒng) CN101388010 一種Oracle數(shù)據(jù)庫審計方法及系統(tǒng)CN101426008 一種基于回顯的審計方法及系統(tǒng) CN101436956 一種數(shù)據(jù)庫操作響應時間測算方法及系統(tǒng) CN101388899 一種Web服務器前后臺關聯(lián)審計方法及系統(tǒng) CN101453

19、358 一種oracle數(shù)據(jù)庫綁定變量的sql語句審計方法及系統(tǒng) CN101453359 一種數(shù)據(jù)庫錯誤信息提取方法及系統(tǒng) CN101471926 網(wǎng)絡行為審計訪問規(guī)則定義方法及系統(tǒng) CN101561806 DB2數(shù)據(jù)庫操作的信息提取和審計方法及其裝置、系統(tǒng) CN101562528 一種網(wǎng)絡審計類軟件的授權方法 CN101562603 一種通過回顯解析telnet協(xié)議的方法及系統(tǒng) CN101582880 一種基于被審計對象的報文過濾方法及系統(tǒng) CN101527626 TELNET用戶操作過程靜態(tài)數(shù)據(jù)的保存回放方法 CN101478406 一種實時監(jiān)視遠程用戶網(wǎng)絡操作行為的方法。 市場優(yōu)勢國內市

20、場排名第一中國區(qū)數(shù)據(jù)庫安全審計與防護市場占有率第一市場優(yōu)勢產品資質與榮譽通過各權威機構最高級別認證，獲得多項榮譽計算機信息系統(tǒng)安全專用產品銷售許可證（國標增強級） 國家信息安全認證產品證書（ EAL 3）涉密信息系統(tǒng)產品檢測證書（增強級）強制認證產品證書（增強級）軍用信息安全產品認證證書（軍B級）計算機軟件著作權登記證書 IIPv6 Ready Phase-2認證2012年中國區(qū)數(shù)據(jù)庫安全審計與防護市場領導獎2010年度最佳數(shù)據(jù)庫安全審計產品北京市自主創(chuàng)新產品行業(yè)采購網(wǎng)絡安全產品首選品牌特性優(yōu)勢總結協(xié)議支持最多：全面覆蓋13類數(shù)據(jù)庫系統(tǒng)；全面覆蓋業(yè)務網(wǎng)運維環(huán)境；協(xié)議解析最深：精確到命令級的深層

21、審計；SQL語義解析；技術基礎最厚：創(chuàng)新型的RBAC審計模型；融合IDS的技術積累;最廣泛深入的協(xié)議解析實時三層關聯(lián)：數(shù)據(jù)庫行為到WEB客戶端的精確定位；業(yè)務跳轉審計：通過服務器的跳轉訪問行為全程跟蹤；日志關聯(lián)查詢：訪問會話和具體操作的關聯(lián)查詢；關聯(lián)統(tǒng)計報表。業(yè)務操作全過程審計行業(yè)應用最廣：已遍及四大運營商、金融、大企業(yè)、政府機構等；行業(yè)應用最多：超過100家大型用戶的應用錘煉；應用基礎最厚：融合在風險評估、管理咨詢、安全域建設等領域的實踐積累。緊貼客戶的最佳實踐深層監(jiān)測精確溯源目錄用戶需求特性優(yōu)勢 客戶價值產品介紹 避免與數(shù)據(jù)庫相關的安全事故信息泄露信息篡改不良記錄刪除數(shù)據(jù)庫被破壞內部人員違

22、規(guī)記錄關鍵操作報警誤操作和攻擊防范高危操作阻斷產品型號豐富的產品型號和性能規(guī)格，覆蓋絕大多數(shù)用戶的部署需求GE500ECA500GE1000ECA2300CA2800天玥網(wǎng)絡安全審計系統(tǒng)GE1500ERGE1800ERCA3600CA6500大型企業(yè)級萬兆網(wǎng)絡應用中小型企業(yè)級百兆網(wǎng)絡應用中型企業(yè)級千兆網(wǎng)絡應用大中型企業(yè)級千兆網(wǎng)絡應用大型企業(yè)級千兆網(wǎng)絡應用CA8800不包含威脅特征的操作行為IP欺騙蠕蟲病毒IDSIPSUSGAV入侵攻擊木馬僵尸Hacker行為 合法用戶濫用操作和誤操作不明賬號的操作DBA或超級用戶的操作共用賬號操作無法溯源利用技術手段空缺的行為濫用不規(guī)范操作帶來的DB風險破壞DB 滿足合規(guī)性要求，順利通過等級保護、分級保護、IT審計 有效響應、減少業(yè)務系統(tǒng)核心信息資產的破壞和泄漏 有效控制運維操作風險，便于事后追查原因與界定責任