【信创安全方案推介】数据库安全审计解决方案

首先，很多企业自身缺乏有效的技术保障，无法及时发现和控制来自外部黑客的威胁。他们往往利用数据库本身的安全漏洞对数据库进行攻击，从而获取经济利益。

其次，随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙和入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规数据库操作却无能为力。

再次，大型企业普遍存在IT运维业务外包的情况，但对数据库等重要资产缺乏有效的监管措施和抗风险能力，导致数据库存在被恶意破坏的风险。

最后，一旦发生数据安全事件，数据库日志溯源往往是客户还原事故的唯一途径，但由于数据库日志并非全量记录并且容易被恶意破坏导致障碍重重。

通过本方案的实施，可以帮助用户解决以上几方面的数据库安全问题，使数据库安全得到有效的保护和控制。

数据库安全审计解决方案针对业务环境下的数据库操作行为进行细粒度审计的合规性管理，通过对业务系统及人员访问数据库的行为进行解析、分析、记录和统计，用来帮助用户事前规划预防，事中实时监视、违规行为响应，事后合规报告、事故追踪溯源，同时加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。

本方案能够监视并记录对数据库服务器的各类操作行为，实时、智能的解析对数据库服务器的各种操作，一般操作行为如数据库的登录，数据的导入导出、特定的SQL操作如对数据库表的插入、删除、修改，执行特定的存贮过程等，都能够被记录和分析，分析的内容可以精确到操作类型、操作对象（库、表、字段）。可记录操作的用户名、机器IP地址、客户端程序名、操作时间等重要信息，对于关键操作的数据库返回信息，包括操作结果、响应时长、select操作返回内容也可进行记录。同时，提供日志报表进行事后的分析、取证和生成审计报告。本方案由以下重要组件组成：

负责数据库流量的采集、数据库私有通信协议的解析、SQL语法分析和其它预处理；

按照平台下发配置的实时审计策略处理数据库操作记录数据，输出风险等级及告警标志；

负责数据库操作原始日志记录、数据库会话及事件、数据库操作统计信息及历史告警记录的存储；

实现对数据库操作历史记录的离线处理，包括历史记录的检索，统计、综合分析及价值挖掘等。

本方案基于先进的大数据安全防护理念，利用当前成熟的数据库安全技术，具有如下几方面的特色和优势 ：

利用内置重要数据资产模型进行全网智能扫描，帮助客户理清现有数据资产，绘制数据资产静态和动态视图。同时，利用内置的数据库安全检测引擎，对数据库资产进行风险扫描和安全状态评估，并给出专业的处理意见和建议。

通过关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的最初访问数据及请求信息，实现精确关联匹配；突破传统的单业务系统的单一三层关联能力，具备利用单点登录（SSO）技术的多业务系统的三层关联和精确匹配能力。

通过对数据库网络流量的采集和数据解析，利用各数据库类型私有通信协议各自特征，实现对不同类型数据库的自动识别，同时通过对数据库用户及终端的数据库行为进行机器学习建模，形成访问基线规则，对超出基线的风险访问行为对用户进行自动提醒和告警。

应用场景

场景1: 监控外部黑客通过互联网业务系统侵入数据库，进行数据窃取和数据破坏，对非法或危险行为进行实时审计。

场景2：对内部人员进行行为监控与审计，包括实时监控开发人员（本公司&外包）和DBA所有对数据库的访问。

方案要点

• 通过学习期建立应用模型

通过学习期尽可能充分的学习到应用系统中的各种“SQL语句特征”，形成初步的应用系统的“数据库应用模型”，这种模式不会执行控制动作，只执行告警和审计动作。

• 通过黑白名单机制实现的数据库访问控制

通过白名单语句的设置，可以最大限度的降低对应用系统正常行为的误判，保证了在安全策略保护下的应用系统的正常运行。

通过黑名单语句的设置，有效的对策略规则进行了补充和细化，起到了精确防护的效果。

• 通过风险处理规则最大限度保护系统正常运行

对应用系统的“风险策略控制”是逐渐严格，应用数据库防火墙的初期阶段，对上述规则相关的所有的风险级别的控制动作，统一设置为“放行”，并选择“告警通知”。

部署拓扑

实施效果

通过部署数据库审计和防火墙，有效阻止了来自互联网的外部入侵数据库窃取数据的黑客行为，同时实现了对内部和三方运维人员数据库敏感操作的有效震慑，并有效拦截数据库风险操作行为，提升了用户核心数据库的安全性。

  编辑：杨安、阮丹阳