帕拉迪數(shù)據(jù)庫運維審計系統(tǒng)(解決方案)

LDSEC帕拉迪數(shù)據(jù)庫運維審計系統(tǒng)P帕拉迪數(shù)據(jù)庫運維審計系統(tǒng)前言

近年來，有關(guān)數(shù)據(jù)庫的安全事故可謂層出不窮，諸如支付寶內(nèi)部員工泄漏1000萬用戶數(shù)據(jù)、銀行內(nèi)部數(shù)據(jù)信息泄露造成的賬戶資金失密、信用卡信息被盜用導(dǎo)致的信用卡偽造、企業(yè)內(nèi)部機密數(shù)據(jù)泄露引起的競爭力下降……，這些情況無不說明了實施數(shù)據(jù)庫安全審計的必要。

杭州帕拉迪網(wǎng)絡(luò)科技有限公司成立于2005年7月，專注于數(shù)據(jù)中心智能領(lǐng)域，作為數(shù)據(jù)中心“監(jiān)控、調(diào)試、審計、分析”專家，解決了數(shù)據(jù)中心“規(guī)范管理”和“數(shù)據(jù)分析”兩大疑難雜癥。

八年前通過方案創(chuàng)新造就了堡壘主機，解決了“人”與“機”之間的交互問題，把復(fù)雜的管理問題通過技術(shù)整合簡單化，配合管理制度的落實進(jìn)行有效和規(guī)范的運維管理。

八年后通過技術(shù)創(chuàng)新鑄就了數(shù)據(jù)庫審計系統(tǒng)的輝煌，解決了“協(xié)議解碼”的問題，運用當(dāng)今最先進(jìn)的流技術(shù)加以全協(xié)議解碼，完成海量數(shù)據(jù)的完整審計與精準(zhǔn)分析。公司簡介目錄目錄ONTENTSC1數(shù)據(jù)庫安全問題背景2數(shù)據(jù)庫安全現(xiàn)狀分析3帕拉迪產(chǎn)品解決方案過渡頁目錄ONTENTSC1數(shù)據(jù)庫安全問題背景2數(shù)據(jù)庫安全現(xiàn)狀分析3帕拉迪產(chǎn)品解決方案各大網(wǎng)站核心數(shù)據(jù)泄露，引發(fā)數(shù)據(jù)庫安全問題自2011年末開始CSDN的600萬用戶數(shù)據(jù)被泄露，垂直游戲網(wǎng)站多玩網(wǎng)被傳泄露800萬用戶數(shù)據(jù)；天涯社區(qū)4000萬用戶數(shù)據(jù)包被瘋傳；51CTO、CNZZ、eNet、UUU9、YY語音、百合網(wǎng)、開心網(wǎng)、人人網(wǎng)、美空網(wǎng)、珍愛網(wǎng)等相繼被卷用戶數(shù)據(jù)泄露風(fēng)波；支付寶、當(dāng)當(dāng)網(wǎng)以及京東商城亦未幸免，網(wǎng)絡(luò)傳交通銀行7000萬及民生銀行3500萬用戶卡號、姓名及密碼泄露，恐慌感被推至高點，“泄密門”達(dá)到高潮。最新新聞有支付寶1000萬用戶數(shù)據(jù)泄漏、騰訊7500萬QQ群用戶數(shù)據(jù)泄漏。關(guān)注數(shù)據(jù)庫安全刻不容緩！數(shù)據(jù)庫頻繁遭受入侵、篡改敏感信息泄露和數(shù)據(jù)篡改引發(fā)社會問題某醫(yī)院主任反饋，現(xiàn)在很多醫(yī)生都知道數(shù)據(jù)庫賬號（共同個），當(dāng)醫(yī)生病歷寫錯時，自己可以直接進(jìn)行修改。如被人誤改或惡意篡改會給病人帶來生命危險；某醫(yī)院病人病歷遭篡改，導(dǎo)致醫(yī)療糾紛，病人院前靜坐，社會影響嚴(yán)重；深圳市10萬孕產(chǎn)婦個人信息遭泄漏，使得孕產(chǎn)婦遭受各類廣告騷擾；事件1事件2事件3事件4某醫(yī)院患者病例信息泄漏，老人上當(dāng)受騙，引發(fā)心臟病去世。合法人做非法的事，70%的安全威脅來自于企業(yè)的內(nèi)部3.15移動聯(lián)通網(wǎng)通“內(nèi)鬼”泄密

一調(diào)查公司的“私家偵探”涉案被抓后，牽出“移動、聯(lián)通及原中國網(wǎng)通三大電信運營商的3個內(nèi)鬼多次向其泄露公民個人信息”一事。2010年的3.15晚會上暴露出該電信行業(yè)內(nèi)鬼泄密事件。

事件的過程是內(nèi)部坐席維護(hù)人員利用工作中的便利途徑，獲取客服操作員的工號、口令；利用該操作員身份登錄客戶應(yīng)用系統(tǒng)。利用修改客服口令不需要舊口令的業(yè)務(wù)邏輯漏洞，直接修改用戶客服密碼；以用戶的身份和修改后的新客服密碼直接登錄業(yè)務(wù)系統(tǒng)，導(dǎo)出短信、通話記錄等信息，以此為私家偵探提供線索累計獲利300多萬。程稚瀚北京移動充值卡盜竊案

2005年3月至8月間，被告人程稚瀚多次通過互聯(lián)網(wǎng)，經(jīng)由西藏移動通信有限責(zé)任公司（以下簡稱西藏移動公司）計算機系統(tǒng)，非法侵入北京移動通信有限責(zé)任公司（以下簡稱北京移動公司）充值中心，采取將數(shù)據(jù)庫中已充值的充值卡數(shù)據(jù)修改后重新寫入未充值數(shù)據(jù)庫的手段，對已使用的充值卡進(jìn)行非法充值后予以銷售，非法獲利人民幣377．5萬元。數(shù)據(jù)庫故障無法及時定位排除XXXX單位業(yè)務(wù)系統(tǒng)運行一端時間后就會出現(xiàn)獲取連接超時、失敗，或者報告這是一個無效的連接等問題，需要重新啟動服務(wù)器才能正常運行；還有一些類似業(yè)務(wù)訪問慢等問題，這類問題經(jīng)常困擾著數(shù)據(jù)庫工程師。如何突破？故障快速定位過渡頁目錄ONTENTSC1數(shù)據(jù)庫安全問題背景2數(shù)據(jù)庫安全現(xiàn)狀分析3帕拉迪產(chǎn)品解決方案企業(yè)數(shù)據(jù)中心面臨的內(nèi)外部安全挑戰(zhàn)內(nèi)部用戶外部用戶數(shù)據(jù)庫權(quán)限濫用惡意訪問誤操作越權(quán)使用DBA數(shù)據(jù)庫開發(fā)人員……黑客互聯(lián)網(wǎng)應(yīng)用……不了解數(shù)據(jù)庫“被”怎么了！數(shù)據(jù)資產(chǎn)使用“有規(guī)無據(jù)”!缺少數(shù)據(jù)庫行之有效的“分析審計依據(jù)“！數(shù)據(jù)庫訪問“暗箱操作”，數(shù)據(jù)庫訪問不透明！各行業(yè)法規(guī)和條例對數(shù)據(jù)安全的保障行業(yè)法規(guī)標(biāo)準(zhǔn)互聯(lián)網(wǎng)服務(wù)商《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定（82號令）》電信行業(yè)《中國移動集團內(nèi)控手冊》《中國移動業(yè)務(wù)支撐網(wǎng)安全域劃分和邊界整合技術(shù)規(guī)范》《中國電信股份有限公司內(nèi)部控制手冊》《中國網(wǎng)通集團信息質(zhì)量問責(zé)管理若干規(guī)定》《中國網(wǎng)通集團內(nèi)部控制體系建設(shè)指導(dǎo)意見》金融保險行業(yè)《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》《商業(yè)銀行合規(guī)風(fēng)險管理指引》《中國銀行業(yè)監(jiān)督委員會辦公廳文件銀監(jiān)辦通313號》《保險公司內(nèi)部審計指引（試行）》《保險公司風(fēng)險管理指引（試行）》《電子銀行安全評估指引（2007）》《電子銀行業(yè)務(wù)管理辦法（2008）》《期貨公司信息技術(shù)管理指引》《商業(yè)銀行內(nèi)部控制指引》——計算機信息系統(tǒng)的內(nèi)部控制《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)——要求和安全評估程序（2008）》國內(nèi)上市企業(yè)《深圳證券交易所上市公司內(nèi)部控制指引》《上海證券交易所上市公司內(nèi)部控制指引》電力行業(yè)《電力二次系統(tǒng)安全防護(hù)總體方案（2005）》《國家電網(wǎng)公司信息化“SG186”工程安全防護(hù)總體方案（實行）(2008)》醫(yī)療行業(yè)《互聯(lián)網(wǎng)醫(yī)療保健信息服務(wù)管理辦法》(衛(wèi)生部令第66號)政府行業(yè)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求（GBT22239-2008）》《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知（公信安[2007]861號）》《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知（公信安[2010]303號）》《國務(wù)院辦公廳關(guān)于印發(fā)＜政府信息系統(tǒng)安全檢查辦法＞的通知（國辦發(fā)〔2009〕28號）》傳統(tǒng)的安全手段無法解決數(shù)據(jù)庫安全傳統(tǒng)安全手段也有鞭長莫及之處，數(shù)據(jù)庫安全，迫切需要專業(yè)產(chǎn)品數(shù)據(jù)庫系統(tǒng)自身審計存在先天缺陷業(yè)務(wù)系統(tǒng)自身審計數(shù)據(jù)庫自身審計日志不具備第三方獨立性日志記錄可讀性差影響數(shù)據(jù)庫本身性能無法記錄脫離業(yè)務(wù)系統(tǒng)的操作記錄粒度不夠，甚至無法記錄SQL語句日志不具備第三方獨立性記錄無法與業(yè)務(wù)和操作人聯(lián)系起來五大因素衡量數(shù)據(jù)庫審計產(chǎn)品優(yōu)良數(shù)據(jù)庫審計策略靈活事件完整獨立可靠自身安全部署安全數(shù)據(jù)庫審計產(chǎn)品發(fā)展三階段該階段實現(xiàn)了對OSI七層模型中的表示層到應(yīng)用層的覆蓋，利用關(guān)鍵字對SQL整個語句的進(jìn)行模糊匹配，主要對數(shù)據(jù)庫訪問行為實現(xiàn)內(nèi)容記錄，如數(shù)據(jù)庫登陸賬號、SQL語句等；用戶可以利用該技術(shù)實現(xiàn)對SQL操作進(jìn)行記錄、分析和統(tǒng)計，該階段能夠滿足對數(shù)據(jù)庫審計的基本需求，但是在響應(yīng)和分析的精度上存在較大誤差，難以滿足大中型用戶對數(shù)據(jù)庫審計的需求；第二階段

該階段集中在應(yīng)用層，實現(xiàn)對SQL語句的語義分析，盡可能的將操作數(shù)據(jù)庫的SQL語句進(jìn)行細(xì)粒度解析，比如賬號名、數(shù)據(jù)庫名、數(shù)據(jù)表名、字段名、字段值、返回碼等，以滿足針對各種違規(guī)行為的精確檢測、響應(yīng)和審計。第三階段

該階段實現(xiàn)了對OSI七層模型中的網(wǎng)絡(luò)層到會話層的覆蓋，主要對數(shù)據(jù)庫訪問行為進(jìn)行分析和統(tǒng)計，如IP、端口、連接次數(shù)等，用戶可以利用該技術(shù)實現(xiàn)對數(shù)據(jù)庫訪問流量進(jìn)行分析和統(tǒng)計。第一階段深度語法協(xié)議解析內(nèi)容審計流量行為審計過渡頁目錄ONTENTSC1數(shù)據(jù)庫安全問題背景2數(shù)據(jù)庫安全現(xiàn)狀分析3帕拉迪產(chǎn)品解決方案數(shù)據(jù)庫安全解決問題之路加強行政制度的規(guī)范從數(shù)據(jù)庫運維及業(yè)務(wù)系統(tǒng)使用行為角度，制定相應(yīng)的規(guī)范和制度。通過強力的流程管理避免權(quán)限的越權(quán)及違規(guī)使用。監(jiān)控數(shù)據(jù)庫訪問過程通過技術(shù)手段，實時了解數(shù)據(jù)庫的使用情況。篩選、記錄核心數(shù)據(jù)的訪問和使用過程。及時對違規(guī)事件進(jìn)行告警。兩者有效的配合，才是解決問題的根本方法！數(shù)據(jù)庫風(fēng)險分析、安全監(jiān)控解決方案策略&分析

根據(jù)實際情況進(jìn)行配置策略和控制對數(shù)據(jù)流進(jìn)行分析，解析完整會話過程全面解析回話，提取出完整的SQL語句監(jiān)測&告警

唯一、真實地展現(xiàn)數(shù)據(jù)庫流量和回話的監(jiān)控視窗完善和靈活的告警策略定制

多種告警機制

實時的策略告警審計&報表

細(xì)粒度全會話審計

會話記錄多條件查詢，精確定位

提供可模板化的報表展現(xiàn)，靈活可定制發(fā)現(xiàn)&分類

來源識別，自動發(fā)現(xiàn)主機IP，程序等信息

識別敏感數(shù)據(jù)，自定義分類

提供黑白名單模式，進(jìn)行有效區(qū)分帕拉迪網(wǎng)絡(luò)科技提供數(shù)據(jù)庫安全整個生命周期的完整解決方案帕拉迪產(chǎn)品部署模式核心關(guān)鍵技術(shù)唯一能精確對變量綁定值進(jìn)行審計實現(xiàn)三層業(yè)務(wù)審計，回溯業(yè)務(wù)流程賬號、ID號、個人信息、IP等信息唯一對協(xié)議進(jìn)行全解析實現(xiàn)對TNS、TDS數(shù)據(jù)庫協(xié)議的全解析PCAP包實現(xiàn)逆向解析及故障分析唯一采用流技術(shù)對數(shù)據(jù)庫進(jìn)行審計狀態(tài)相關(guān)，把雜亂傳輸?shù)臄?shù)據(jù)包梳理成有序傳輸?shù)臄?shù)據(jù)流記錄完整的TCP會話超過1460個字節(jié)的SQL語句超過1460個字節(jié)的變量值唯一能對超長SQL語句進(jìn)行審計創(chuàng)新實用的IO模型與全文檢索創(chuàng)新的IO模型與全文檢索架構(gòu)1、提供來源IP白名單、SQL語句級別白名單2、記錄白名單之外的一切協(xié)議解碼詳細(xì)數(shù)據(jù)3、實時告警并記錄、輸出關(guān)注事件4、利用全文索引，搜索定位可疑事件5、可選擇記錄原始PCAP流數(shù)據(jù)證據(jù)產(chǎn)品功能優(yōu)勢監(jiān)控數(shù)據(jù)庫業(yè)務(wù)活動監(jiān)控，能對系統(tǒng)自身資源使用情況以及數(shù)據(jù)庫業(yè)務(wù)SQL語句交易量、并發(fā)連接、突發(fā)連接、網(wǎng)絡(luò)流量等進(jìn)行實施監(jiān)控；調(diào)試超級嗅探提供數(shù)據(jù)庫操作事件RAWPacket，為調(diào)優(yōu)、排錯提供直接依據(jù)；輔助DBA診斷調(diào)試數(shù)據(jù)庫網(wǎng)絡(luò)活動。審計完整保存會話記錄；完整解析超長SQL語句；BindVariable（變量綁定）完美識別與匹配，精確還原語句意圖；Select返回行列結(jié)果解析，實現(xiàn)雙向的完全審計；登錄參數(shù)完全捕獲。分析靈活的告警策略配置，精確到字段，提供實時報警功能；多條件查詢會話記錄，精準(zhǔn)快速的鎖定審計信息；PCAP原始會話數(shù)據(jù)包提供網(wǎng)絡(luò)活動原始數(shù)據(jù)信息；完善的可定制的報表系統(tǒng)，強大的預(yù)制安全模版。系統(tǒng)狀態(tài)監(jiān)控界面和可視化動態(tài)實時監(jiān)控效果

實時了解數(shù)據(jù)庫系統(tǒng)的連接數(shù)、性能等指標(biāo)?？杉皶r發(fā)現(xiàn)數(shù)據(jù)庫的性能問題。為在系統(tǒng)出現(xiàn)問題前解決問題，提供了時間保障。1、數(shù)據(jù)庫狀態(tài)的實時監(jiān)控2、1個月內(nèi)數(shù)據(jù)庫性能統(tǒng)計3、通過數(shù)據(jù)分析，判斷業(yè)務(wù)負(fù)載情況和訪問情況（不同業(yè)務(wù)系統(tǒng)訪問的情況以及不同時間段業(yè)務(wù)的負(fù)荷情況）4、突發(fā)狀況監(jiān)控，業(yè)務(wù)突增（外部攻擊）監(jiān)控和分析數(shù)據(jù)庫PCAP包調(diào)試提供原始數(shù)據(jù)包下載，輔助DBA診斷調(diào)試數(shù)據(jù)庫網(wǎng)絡(luò)活動。完整流會話審計

完整的會話審計與會話過濾功能，快速追蹤事件信息，定位事件類型。

超長SQL語句能夠解析超過1460字節(jié)以上SQL語句，支持超長SQL語句重組解析綁定變量審計數(shù)據(jù)庫一般的處理過程：例如：select*fromnamewherenameid=’001’;//不使用綁定變量

如果再查詢“002”，“003”，”nnn”需要進(jìn)行n次硬解析，大量浪費系統(tǒng)資源例如：

select*fromnamewherenameid=:c_did;//使用綁定變量

相同的查詢語句只需要進(jìn)行一次硬解析數(shù)據(jù)庫性能優(yōu)化機制綁定變量審計使人員、操作、變量相關(guān)聯(lián)審計結(jié)果展現(xiàn)靈活告警策略配置靈活的告警策略配置帕拉迪DBXpert擁有靈活的告警策略配置引擎?？申P(guān)聯(lián)數(shù)據(jù)庫訪問事件的細(xì)粒度條件。標(biāo)準(zhǔn)SQL命令客戶端網(wǎng)絡(luò)地址客戶端應(yīng)用程序數(shù)據(jù)庫用戶名稱客戶端主機名稱客戶端系統(tǒng)用戶Sele