数据库审计系统

Copyright©2015NeusoftCorporation东软NetEye数据库审计系统PPT东软公司数据库面临的风险及产品需求信息泄露篡改数据库故障业务中断遭受攻击存在安全漏洞完整的数据库审计对违规事件提示告警数据库优化对故障原因定位分析面临的风险产品需求•数据库•用户•故障诊断专家•数据安全专家•性能分析专家•邮件告警•网页告警•会话•操作•告警数据库行为审计安全策略设置统计报表专家系统功能概述数据库访问审计WhoWhenWhereWhatMSSQLOracleDB2SybaseMySQLftptelnet审计记录统计报表异常告警InformaxDBA实时监控审计策略设置审计数据协议分析数据库策略设置策略匹配数据库管理员网页告警邮件告警完整审计专家系统•数据库健康体检•故障点场景还原•失败SQL分析故障诊断专家•攻击行为分析•越权操作分析•安全状态分析数据安全专家•时间优化•内容优化系统优化专家故障诊断专家数据库健康体检故障诊断专家•发现时间•故障原因•数据库状态•会话记录故障点场景还原•时间•错误消息•耗时失败SQL分析•操作记录•FTP/Telnet•业务•失败SQL数据安全专家•暴力登录•SQL注入分析攻击行为分析•越权访问扫描越权操作分析•可疑端口•可疑进程•危险操作安全状态分析系统优化专家业务操作趋势数据库压力趋势时间优化资源-SQL分析SQL耗时分析内容优化统计报表数据库统计用户统计时间走势告警统计流量统计操作统计IP数据头源地址目的地址IP数据内容TDS、TNS\DRDA\MYSQL\L2-L4检测：网络层感知L7检测：应用层感知精准的协议与应用分析零风险部署操作界面展示我的导航IE窗口式设计配置审计策略3.1进入审计与防火墙=》策略中心进行策略配置，点击添加策略。3.3设置delete（删除操作）为高风险。3.2在添加的策略下面添加规则。3、策略配置默认规则4.1、在规则中若如右图设置一条默认规则，代表对于数据库的所有访问都是记录的。若无审计信息就要看一下这里是否配置了规则。4.2、若无最新流量请查看数据库引擎是否启动，缓存策略是否改为了1条，所添加的策略是否应用到了数据库引擎。*缓存策略设置在通用配置=》采集器配置模块下。4、数据库审计–其他说明规则的优先级4.3对于策略，规则的解释在策略下添加规则有四种类型，若同一条策略下有多条规则；那么匹配的优先级为：黑名单=白名单=优先级无优先级若有多条无优先级的默认规则那匹配的顺序为从上往下，切默认规则可以上下调整顺序。黑名单（阻断，记录，具有优先级）白名单（通过，不记录，具有优先级）优先级（优先匹配，具有优先级）默认规则(无优先级)默认规则：可以调换，可以设置很多条；若有多条默认规则，在上者优先匹配。黑白名单优先级规则都是具有优先级的当一条策略中有多条具有优先级的规则的时候匹配顺序从上往下，命中则停止匹配。全局参数配置对应策略配置下的目标表、表组两个概念；表组是多个表的集合,用于匹配SQL语句同时关联多张表的情况。数据库Schema集：对于Oracle可理解为多张表的集合，对于Mysql数据库就是数据库名，对于Sqlserver数据库Schema就是架构。存储过程是在数据库端用于完成特定操作的SQL语句集，在调用存储过程的时候是使用的存储过程名，这里要填写使用的就是存储过程名。数据库列就是数据库表的列名4.4全局参数配置规则配置说明4.5规则配置说明通过对数据库访问的各种特征如SQL来源IP、SQL访问的目标数据库表等，来组合设置访问匹配规则；达到对数据库细粒度的访问审计记录告警或进行访问控制。增、删、改、查、特权操作、登录、登出。一条对数据库的SQL操作，同时（操作）影响数据库的行数。对数据库进行的除增删改查之外的其他一些操作的匹配，如授权操作grant.规则配置说明续关键字（词）执行失败的SQL语句的匹配审计。在防火墙模式下对某些语句进行替换，格式为：原词/替换词多个替换词之间使用回车进行分割与系统设备和敏感数据扫描模块下的敏感数据发现结合使用。用于匹配用户登录、退出成功与失败。数据库防火墙模块1、数据库防火墙模块提供屏蔽、访问控制、阻断功能。DB服务器2.1防火墙模式将设备串接在网络中在数据库服务器之前，设备默认第一个、第二个网口为防火墙接口。2、设备连接方式2.2在防火墙模式下，WEB页面管理IP使用fire1的IP地址。3、给fire1配置IP地址。登录系统管理员进入系统配置=系统配置=接口配置=访问控制防火墙多路设置。编辑给fire1填写一个IP地址，此IP地址与eth3管理口IP不可在同一个网段。应用服务器NetEye数据安全平台数据库防火墙模块续一4、添加数据库加固点，通用配置==》数据库加固点。添加加固点后添加审计与防火墙功能。5、添加规则防火墙策略规则（同审计策略规则）添加一条策略对查询行为进行阻断。数据库防火墙模块续二6、执行一条select语句查看审计日志信息可以看到此条对数据库发起的select语句被成阻断了。还有更多阻断策略组合请参照数据库审计策略规则进行设置。数据库防火墙模块续三7、其它注意事项先用两台PC分别接设备的eth0、eth1进行模拟测试，若网络能通并可以正常审计阻断则把设备接入实际网络中。接入实际网络环境，进行测试；观察网络是否通畅，在检索中查看最新流量是否有数据。硬件具有Bypass功能，若设备发生故障，如断电等情况，会自动进入全通状态。fire1的IP与eth3也就是默认WEB管理IP不能在同一个网段。可以使用fire1的IP进行WEB管理。数据发现模块设备数据发现分为服务扫描和数据扫描两大功能，可分别用于扫描网络中存在的服务以及核心敏感数据。服务扫描引擎将扫描到的设备自动添加到加固点。设置扫描的网段。本网段：只扫描与设备同网段的服务；选择IP地址组：选择在高级中添加的IP地址组。设定网段：手动指定扫描的网段。指定扫描的端口范围，内置有两个端口组；也可以在高级中手动设置。选择要扫描的服务类型。1、服务引擎配置数据发现模块续自定义添加IP地址组自定义添加端口组2、高级配置3、开启服务扫描功能4、在服务下查看服务扫描结果配置扫描引擎将扫描的敏感数据自动应用到规则中敏感数据类型，也可以在高级中自定义敏感数据类型设置要扫描的数据库设置要扫描的数据库表数据扫描引擎1、数据扫描引擎配置配置扫描引擎续一2、凭证：即数据扫描的范围，可以根据服务扫描结果进行设定，也可以自定义进行设置。3、高级：设置要扫描的敏感数据，在系统中有内置的12种敏感数据，也可以根据需要进行自定义添加。4、启动扫描配置扫描引擎续二5、在数据发现下查看数据发现结果6、查看数据扫描概要信息风险扫描模块通过制定和执行安全策略，可以扫描出从口令过于简单，权限控制到系统配置等一系列问题，生成易于用户理解的报告，并且对于违背和不遵循安全性策略的做法提供可行性建议。1、添加策略组，可以从内置的策略中选择所关心的安全策略。2、弱口令检测：检测数据库是否存在过于简单的密码问题风险扫描模块续一3、启动风险扫描，对数据库进行风险扫描4、风险扫描完成后自动生成报表，存放在历史报表中。5、查看报表，并且可以将报表导出数据库状态监控模块用线图、表格、图表等形式直观的展现数据库的配置信息和运行状态1、在通用配置数据库加固点中添加数据库状态监控2、查看数据库状态监控信息，监控信息可以导出报表数据库透明加密模块防止数据存储介质丢失、DBA权限泄漏、直接复制文件等情况造成的数据泄密。1、登录安全管理员=》通用配置=》添加数据库加固点2、以系统管理员登录系统，添加需要进行加密的数据源；添加完成之后在需要加密的数据库上安装加密程序3、导入需要加密的表。数据库透明加密模块续一4、以安全管理员登录，进入数据库加密模块配置写入保护。5、选择需要加密的数据表的行或列进行写入保护操作。6、加密完成后查看数据库加密表信息。明文对第四列，二、三行进行加密密文数据库透明加密模块续二7、对加密后的表对system用户授予select权限，授权后执行select*fromasptt.table1，将会得到明文信息;8、使用asptt用户登录，执行select*fromtable1。作为未经授权的账号，系统将反馈加密后的乱码；9、表授权：对表的访问权限按照程序名，IP地址，时间范围等信息进行授权管理。高效性人性化高稳定性完备性NetEyeDBA数据库审计系统零风险精确性产品特点Copyright©2015NeusoftCorporationThanks