imperva針對(duì)國內(nèi)的對(duì)手分析

1、記錄的完整性

數(shù)據(jù)庫訪問來源

Imperva：

對(duì)所有數(shù)據(jù)庫的訪問進(jìn)行記錄，包括來自中間件服務(wù)器以及各種客戶端的訪問。

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：只能對(duì)通過特定終端和客戶端軟件的訪問進(jìn)行記錄，不能記錄所有的客戶端對(duì)數(shù)據(jù)庫的訪問

記錄針對(duì)數(shù)據(jù)庫的所有訪問

Imperva：可以進(jìn)行完全的記錄

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：由于僅僅通過關(guān)鍵字查詢分析，只能發(fā)現(xiàn)和記錄一部分?jǐn)?shù)據(jù)庫操作，某些數(shù)據(jù)庫訪問會(huì)被丟失

對(duì)回應(yīng)數(shù)據(jù)的記錄

Imperva：可以記錄SQL命令的回應(yīng)信息

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無法記錄

對(duì)BindVariable的支持

Imperva：

很多基于數(shù)據(jù)庫的查詢是通過BindVariable完成的。這就要求審計(jì)系統(tǒng)不光要記錄查詢中BindVariable的變量的名字，還要記錄BindVariable的數(shù)值。舉例來說：一個(gè)包含BindVariable的SQL是：select*fromaaawherename=:who,審計(jì)系統(tǒng)不光把這個(gè)SQL記錄下來，同時(shí)要記錄:who=jimmy,這樣才是完整的包含BindVariable的審計(jì)結(jié)果果

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品不支持

對(duì)直接操作數(shù)據(jù)庫的行為的記錄

Imperva：通過Agent實(shí)現(xiàn)

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：通過數(shù)據(jù)庫本身的審計(jì)功能，違反權(quán)限分離原則

2、全局用戶的追蹤

Imperva：可以追蹤審計(jì)到最終的應(yīng)用操作用戶

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無法追蹤審計(jì)到最終的的應(yīng)用操作用戶

3、指義語義的分析Imperva：可以對(duì)指令進(jìn)行準(zhǔn)確的、深入的分析

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：基于字串匹配的分析,導(dǎo)致分析的結(jié)果不完整，錯(cuò)誤非常普遍

4、全局用戶的追蹤

Imperva：對(duì)所有數(shù)據(jù)庫的訪問進(jìn)行記錄，包括來自中間件服務(wù)器以及各種客戶端的訪問。

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：只能對(duì)通過特定終端和客戶端軟件的訪問進(jìn)行記錄，不能記錄所有的客戶端對(duì)數(shù)據(jù)庫的訪問

5、記錄的信息/字段的全面性

Imperva：

對(duì)每條記錄提供多達(dá)25種信息/字段，包括所有必需的所有審計(jì)信息：

針對(duì)每一條數(shù)據(jù)庫的訪問，審計(jì)記錄要細(xì)致到每一次事務(wù)/查詢的原始信息記錄，應(yīng)該可以記錄所有的關(guān)鍵信息，至少包括以下各個(gè)方面：

數(shù)據(jù)庫服務(wù)器

源IP

目的IP

原始的查詢指令

去除具體參數(shù)的查詢指令

源應(yīng)用軟件

數(shù)據(jù)庫用戶名

訪問源操作系統(tǒng)用戶名

訪問源操作主機(jī)名

高級(jí)權(quán)限操作

存儲(chǔ)過程

目標(biāo)數(shù)據(jù)庫和Schema

StreamID

操作回應(yīng)內(nèi)容

操作返回的錯(cuò)誤代碼

操作回應(yīng)的時(shí)間

操作回應(yīng)的條目大小如果是前臺(tái)用戶通過Web利用應(yīng)用服務(wù)器訪問數(shù)據(jù)庫（BS架構(gòu)下），還應(yīng)可以審計(jì)記錄以下信息：前臺(tái)應(yīng)用程序的用戶名

前臺(tái)程序的URL

WebSessionID

Web客戶端IP

對(duì)于通過OracleEBS或SAP等應(yīng)用服務(wù)器訪問數(shù)據(jù)庫（CS架構(gòu)下），應(yīng)該可以記錄最終前臺(tái)用戶的用戶名

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：

提供非常有限的記錄信息。許多有價(jià)值的信息未提供，如：數(shù)據(jù)庫用戶名，登陸的主機(jī)名，使用的客戶端軟件，對(duì)請(qǐng)求的響應(yīng)，被訪問的數(shù)據(jù)庫/Schema，數(shù)據(jù)庫的錯(cuò)誤提示信息，應(yīng)用系統(tǒng)登錄用戶甚至具體的數(shù)據(jù)庫操作等6、審計(jì)策略可以非常靈活的定義

Imperva：

由于對(duì)于實(shí)際的生產(chǎn)系統(tǒng)，需要審計(jì)的數(shù)據(jù)庫訪問量非常大，這就要求有靈活的審計(jì)策略可以定義想要審計(jì)的數(shù)據(jù)庫操作的內(nèi)容?？梢远x審計(jì)策略的條件應(yīng)該包括以下各個(gè)關(guān)鍵字的條件組合：

源IP

目的IP

原始的查詢指令

去除具體參數(shù)的查詢指令

源應(yīng)用軟件

數(shù)據(jù)庫用戶名

訪問源操作系統(tǒng)用戶名

訪問源操作主機(jī)名

高級(jí)權(quán)限操作

存儲(chǔ)過程

目標(biāo)數(shù)據(jù)庫和Schema

StreamID

操作回應(yīng)內(nèi)容

操作返回的錯(cuò)誤代碼

操作回應(yīng)的時(shí)間

操作回應(yīng)的條目大小同樣如果是前臺(tái)用戶通過Web利用應(yīng)用服務(wù)器訪問數(shù)據(jù)庫（BS架構(gòu)下），或?qū)τ谕ㄟ^OracleEBS或SAP等應(yīng)用服務(wù)器訪問數(shù)據(jù)庫（CS架構(gòu)下），還應(yīng)可以根據(jù)前臺(tái)應(yīng)用程序的用戶名來定義審計(jì)記錄的策略

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無法靈活定義審計(jì)策略

7、訪問數(shù)據(jù)庫的用戶的行為規(guī)則的自動(dòng)建立

Imperva：

審計(jì)設(shè)備應(yīng)具有自動(dòng)建立用戶數(shù)據(jù)庫訪問行為模型的能力。自動(dòng)智能建模功能可以自動(dòng)學(xué)習(xí)、并且自動(dòng)適應(yīng)用戶數(shù)據(jù)庫及應(yīng)用系統(tǒng)的各方面特點(diǎn)，自動(dòng)建立“充分必要”的安全策略。同時(shí)，結(jié)合全面的、精細(xì)的手工定制和調(diào)優(yōu)功能，在最大程度的降低管理工作量的同時(shí)，提供最佳的安全配置。

所建立的用戶的行為規(guī)則包括但不限于以下要點(diǎn)：

訪問源

可為每個(gè)用戶自動(dòng)建立訪問源信息模型，內(nèi)容包括：

源IP地址，源應(yīng)用程序，源操作系統(tǒng)的主機(jī)名和用戶名等。

IP地址

應(yīng)用程序

OS主機(jī)名

OS用戶名

查詢指令的策略

為每個(gè)用戶自動(dòng)建立數(shù)據(jù)庫訪問操作指令的基線，內(nèi)容是所有正常的、允許的SQL操作指令。

表的訪問和操作權(quán)限

為每個(gè)用戶自動(dòng)建立對(duì)數(shù)據(jù)庫的表進(jìn)行訪問及相關(guān)操作的基線，內(nèi)容是所有正常的、允許的對(duì)各個(gè)表的操作權(quán)限。

可訪問的數(shù)據(jù)庫和Schema

為每個(gè)用戶自動(dòng)建立對(duì)數(shù)據(jù)庫和Schema訪問的基線，內(nèi)容是可正常訪問的數(shù)據(jù)庫和Schema。用戶訪問模型自動(dòng)建立功能分析實(shí)際數(shù)據(jù)庫流量并使用復(fù)雜的學(xué)習(xí)算法創(chuàng)建每個(gè)訪問數(shù)據(jù)庫的用戶或應(yīng)用的所有合法活動(dòng)分析模型。

此模型不僅僅作為后來審計(jì)評(píng)估使用變化或應(yīng)用行為的基準(zhǔn)，并且是自動(dòng)生成的數(shù)據(jù)庫使用安全政策，允許信息安全小組不僅僅可以監(jiān)視并審計(jì)使用，而且保護(hù)數(shù)據(jù)庫免受非法行為。學(xué)習(xí)算法不斷應(yīng)用到實(shí)際流量中以便當(dāng)用戶活動(dòng)隨著時(shí)間發(fā)展時(shí)，有效變化將自動(dòng)重新組織并集成到行為模型中。如果用戶訪問數(shù)據(jù)庫的時(shí)候，行為模型的偏差將自動(dòng)觸發(fā)一個(gè)報(bào)警并可以根據(jù)嚴(yán)重性進(jìn)行阻斷。

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無

8、審計(jì)數(shù)據(jù)分析工具

Imperva：

提供內(nèi)置的數(shù)據(jù)分析工具，提供歸并、過濾、排序等功能

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：

沒有內(nèi)置的分析工具，無法對(duì)審計(jì)結(jié)果進(jìn)行查找和檢索

9、敏感表的定義

Imperva：可定義敏感表，任何用戶對(duì)敏感表的非法和違規(guī)訪問可以產(chǎn)生特別的報(bào)警

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無法定義敏感表

10、對(duì)數(shù)據(jù)庫的全面保護(hù)

Imperva：

這是數(shù)據(jù)庫安全審計(jì)產(chǎn)品的重要功能，可以實(shí)時(shí)保護(hù)核心核心數(shù)據(jù)庫免遭各種非法行為和破壞。在數(shù)據(jù)庫操作所經(jīng)過的網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用軟件方面，相應(yīng)的安全規(guī)則就是：防火墻、IPS規(guī)則、應(yīng)用協(xié)議保護(hù)；這部分規(guī)則可以是靜態(tài)的，已經(jīng)根據(jù)數(shù)據(jù)庫和應(yīng)用系統(tǒng)的要求做了精細(xì)的預(yù)設(shè)，同時(shí)還可以進(jìn)一步的根據(jù)實(shí)際需要進(jìn)行微調(diào)。此功能應(yīng)包括：數(shù)據(jù)庫應(yīng)用保護(hù)

審計(jì)設(shè)備連續(xù)比較數(shù)據(jù)庫訪問模型的真實(shí)用戶操作的差異。來自分析的重要偏差生成警報(bào)，并且惡意的行為可以根據(jù)策略有選擇性的阻止。客戶化策略實(shí)施

除了基于特征文件的安全政策外，管理可以定義任意粒度的客戶政策。例如：管理員可以設(shè)置訪問系統(tǒng)對(duì)象的查詢策略，甚至對(duì)包含特定文本模式的查詢。政策偏離可以生成一個(gè)警報(bào)或者迅速阻止活動(dòng)。行為特征代碼分析完成數(shù)據(jù)庫平臺(tái)保護(hù)

應(yīng)該具有(IPS)保護(hù)數(shù)據(jù)庫基礎(chǔ)設(shè)施免受針對(duì)數(shù)據(jù)庫平臺(tái)及操作系統(tǒng)軟件中已知漏洞蠕蟲及其它攻擊。IPS功能主要通過檢查數(shù)據(jù)庫訪問是否和特征代碼庫匹配來判斷是否會(huì)觸發(fā)數(shù)據(jù)庫的漏洞。特征代碼庫要求和國際安全研究組織同步，并且可以包含自定義的SQL特征。

特征代碼要保證可以在線升級(jí)，可以使得系統(tǒng)在第一時(shí)間內(nèi)抵御最新出現(xiàn)的針對(duì)數(shù)據(jù)庫的非法危害行為以及在數(shù)據(jù)庫沒有打補(bǔ)丁的情況下，防止數(shù)據(jù)庫廠家的安全漏洞造成的危害防火墻層面和SQL協(xié)議層面保護(hù)

防火墻層面是在網(wǎng)絡(luò)層面保護(hù)數(shù)據(jù)庫免受各種網(wǎng)絡(luò)層面的非法操作威脅。同時(shí)對(duì)于上層協(xié)議（SQL的通信）的合法性及濫用的檢測，對(duì)于數(shù)據(jù)庫服務(wù)器軟件也非常重要。對(duì)此，審計(jì)設(shè)備應(yīng)該專門提供SQL應(yīng)用協(xié)議檢測的功能，來檢測SQL協(xié)議是否合法或符合標(biāo)準(zhǔn)的規(guī)定。在數(shù)據(jù)庫保護(hù)層面，對(duì)于非法操作，可以進(jìn)行非常豐富的響應(yīng)動(dòng)作，分為三類：告警響應(yīng)，即時(shí)行動(dòng)，后續(xù)行動(dòng)。即時(shí)行動(dòng)可以將數(shù)據(jù)包丟棄，后續(xù)行動(dòng)就是通過對(duì)外通信來通知管理人員有非法行為發(fā)生。

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無

11、提供實(shí)時(shí)的告警

Imperva：提供實(shí)時(shí)告警功能，對(duì)各種違規(guī)操作和非法操作按照不同情況分別提供告警

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無

12、極高的性能

Imperva：最高達(dá)到2Gbps和20萬每秒SQL交易量的極高性能

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：最高1Gbps的性能

13、實(shí)時(shí)阻斷功能

Imperva：對(duì)嚴(yán)重的違規(guī)和非法操作可以進(jìn)行實(shí)時(shí)阻斷

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無

14、提供專業(yè)的塞班斯/PCI/HIPPA合規(guī)審計(jì)報(bào)告

Imperva：

根據(jù)塞班斯審計(jì)規(guī)范，提供專業(yè)的審計(jì)報(bào)告包——包含各種數(shù)據(jù)庫審計(jì)的專業(yè)報(bào)告

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無

15、多層次的數(shù)據(jù)庫保護(hù)功能

Imperva：

從IP層面、SQL協(xié)議層面、特征碼層面、用戶行為規(guī)則層面全面保護(hù)數(shù)據(jù)庫

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無

16、及時(shí)的特征碼升級(jí)保證系統(tǒng)抵御最新的攻擊和數(shù)據(jù)庫漏洞

Imperva：

每兩個(gè)星期的特征碼升級(jí)，可以使得系統(tǒng)在第一時(shí)間內(nèi)抵御最新出現(xiàn)的針對(duì)數(shù)據(jù)庫的非法危害行為以及在數(shù)據(jù)庫沒有打補(bǔ)丁的情況下，防止數(shù)據(jù)庫廠家的安全漏洞造成的危害

傳統(tǒng)數(shù)據(jù)庫安全審計(jì)產(chǎn)品：無

17、數(shù)據(jù)庫安全評(píng)估

Imperva：對(duì)數(shù)據(jù)庫的漏洞