帕拉迪数据库运维审计系统(解决方案).

前言近年来，有关数据库的安全事故可谓层出不穷，诸如支付宝内部员工泄漏1000万用户数据、银行内部数据信息泄露造成的账户资金失密、信用卡信息被盗用导致的信用卡伪造、企业内部机密数据泄露引起的竞争力下降……，这些情况无不说明了实施数据库安全审计的必要。杭州帕拉迪网络科技有限公司成立于2005年7月，专注于数据中心智能领域，作为数据中心“监控、调试、审计、分析”专家，解决了数据中心“规范管理”和“数据分析”两大疑难杂症。八年前通过方案创新造就了堡垒主机，解决了“人”与“机”之间的交互问题，把复杂的管理问题通过技术整合简单化，配合管理制度的落实进行有效和规范的运维管理。八年后通过技术创新铸就了数据库审计系统的辉煌，解决了“协议解码”的问题，运用当今最先进的流技术加以全协议解码，完成海量数据的完整审计与精准分析。公司简介目录目录ONTENTSC1数据库安全问题背景2数据库安全现状分析3帕拉迪产品解决方案过渡页目录ONTENTSC1数据库安全问题背景2数据库安全现状分析3帕拉迪产品解决方案各大网站核心数据泄露，引发数据库安全问题自2011年末开始CSDN的600万用户数据被泄露，垂直游戏网站多玩网被传泄露800万用户数据；天涯社区4000万用户数据包被疯传；51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网等相继被卷用户数据泄露风波；支付宝、当当网以及京东商城亦未幸免，网络传交通银行7000万及民生银行3500万用户卡号、姓名及密码泄露，恐慌感被推至高点，“泄密门”达到高潮。最新新闻有支付宝1000万用户数据泄漏、腾讯7500万QQ群用户数据泄漏。数据库频繁遭受入侵、篡改敏感信息泄露和数据篡改引发社会问题某医院主任反馈，现在很多医生都知道数据库账号（共同个），当医生病历写错时，自己可以直接进行修改。如被人误改或恶意篡改会给病人带来生命危险；某医院病人病历遭篡改，导致医疗纠纷，病人院前静坐，社会影响严重；深圳市10万孕产妇个人信息遭泄漏，使得孕产妇遭受各类广告骚扰；事件1事件2事件3事件4某医院患者病例信息泄漏，老人上当受骗，引发心脏病去世。合法人做非法的事，70%的安全威胁来自于企业的内部3.15移动联通网通“内鬼”泄密一调查公司的“私家侦探”涉案被抓后，牵出“移动、联通及原中国网通三大电信运营商的3个内鬼多次向其泄露公民个人信息”一事。2010年的3.15晚会上暴露出该电信行业内鬼泄密事件。事件的过程是内部坐席维护人员利用工作中的便利途径，获取客服操作员的工号、口令；利用该操作员身份登录客户应用系统。利用修改客服口令不需要旧口令的业务逻辑漏洞，直接修改用户客服密码；以用户的身份和修改后的新客服密码直接登录业务系统，导出短信、通话记录等信息，以此为私家侦探提供线索累计获利300多万。程稚瀚北京移动充值卡盗窃案2005年3月至8月间，被告人程稚瀚多次通过互联网，经由西藏移动通信有限责任公司（以下简称西藏移动公司）计算机系统，非法侵入北京移动通信有限责任公司（以下简称北京移动公司）充值中心，采取将数据库中已充值的充值卡数据修改后重新写入未充值数据库的手段，对已使用的充值卡进行非法充值后予以销售，非法获利人民币377．5万元。数据库故障无法及时定位排除XXXX单位业务系统运行一端时间后就会出现获取连接超时、失败，或者报告这是一个无效的连接等问题，需要重新启动服务器才能正常运行；还有一些类似业务访问慢等问题，这类问题经常困扰着数据库工程师。故障快速定位过渡页目录ONTENTSC1数据库安全问题背景2数据库安全现状分析3帕拉迪产品解决方案企业数据中心面临的内外部安全挑战内部用户外部用户数据库权限滥用恶意访问误操作越权使用DBA数据库开发人员……黑客互联网应用……不了解数据库“被”怎么了！数据资产使用“有规无据”!缺少数据库行之有效的“分析审计依据“！数据库访问“暗箱操作”，数据库访问不透明！各行业法规和条例对数据安全的保障行业法规标准互联网服务商《互联网安全保护技术措施规定（82号令）》电信行业《中国移动集团内控手册》《中国移动业务支撑网安全域划分和边界整合技术规范》《中国电信股份有限公司内部控制手册》《中国网通集团信息质量问责管理若干规定》《中国网通集团内部控制体系建设指导意见》金融保险行业《银行业金融机构信息系统风险管理指引》《商业银行合规风险管理指引》《中国银行业监督委员会办公厅文件银监办通313号》《保险公司内部审计指引（试行）》《保险公司风险管理指引（试行）》《电子银行安全评估指引（2007）》《电子银行业务管理办法（2008）》《期货公司信息技术管理指引》《商业银行内部控制指引》——计算机信息系统的内部控制《支付卡行业数据安全标准——要求和安全评估程序（2008）》国内上市企业《深圳证券交易所上市公司内部控制指引》《上海证券交易所上市公司内部控制指引》电力行业《电力二次系统安全防护总体方案（2005）》《国家电网公司信息化“SG186”工程安全防护总体方案（实行）(2008)》医疗行业《互联网医疗保健信息服务管理办法》(卫生部令第66号)政府行业《信息安全技术信息系统安全等级保护基本要求（GBT22239-2008）》《关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）》《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安[2010]303号）》《国务院办公厅关于印发＜政府信息系统安全检查办法＞的通知（国办发〔2009〕28号）》传统的安全手段无法解决数据库安全传统安全手段也有鞭长莫及之处，数据库安全，迫切需要专业产品数据库系统自身审计存在先天缺陷业务系统自身审计数据库自身审计日志不具备第三方独立性日志记录可读性差影响数据库本身性能无法记录脱离业务系统的操作记录粒度不够，甚至无法记录SQL语句日志不具备第三方独立性记录无法与业务和操作人联系起来五大因素衡量数据库审计产品优良数据库审计部署安全数据库审计产品发展三阶段该阶段实现了对OSI七层模型中的表示层到应用层的覆盖，利用关键字对SQL整个语句的进行模糊匹配，主要对数据库访问行为实现内容记录，如数据库登陆账号、SQL语句等；用户可以利用该技术实现对SQL操作进行记录、分析和统计，该阶段能够满足对数据库审计的基本需求，但是在响应和分析的精度上存在较大误差，难以满足大中型用户对数据库审计的需求；第二阶段该阶段集中在应用层，实现对SQL语句的语义分析，尽可能的将操作数据库的SQL语句进行细粒度解析，比如账号名、数据库名、数据表名、字段名、字段值、返回码等，以满足针对各种违规行为的精确检测、响应和审计。第三阶段该阶段实现了对OSI七层模型中的网络层到会话层的覆盖，主要对数据库访问行为进行分析和统计，如IP、端口、连接次数等，用户可以利用该技术实现对数据库访问流量进行分析和统计。第一阶段深度语法协议解析内容审计流量行为审计过渡页目录ONTENTSC1数据库安全问题背景2数据库安全现状分析3帕拉迪产品解决方案数据库安全解决问题之路加强行政制度的规范从数据库运维及业务系统使用行为角度，制定相应的规范和制度。通过强力的流程管理避免权限的越权及违规使用。监控数据库访问过程通过技术手段，实时了解数据库的使用情况。筛选、记录核心数据的访问和使用过程。及时对违规事件进行告警。两者有效的配合，才是解决问题的根本方法！数据库风险分析、安全监控解决方案策略&分析•根据实际情况进行配置策略和控制•对数据流进行分析，解析完整会话过程•全面解析回话，提取出完整的SQL语句监测&告警•唯一、真实地展现数据库流量和回话的监控视窗•完善和灵活的告警策略定制•多种告警机制•实时的策略告警审计&报表•细粒度全会话审计•会话记录多条件查询，精确定位•提供可模板化的报表展现，灵活可定制发现&分类•来源识别，自动发现主机IP，程序等信息•识别敏感数据，自定义分类•提供黑白名单模式，进行有效区分帕拉迪网络科技提供数据库安全整个生命周期的完整解决方案帕拉迪产品部署模式核心关键技术唯一能精确对变量绑定值进行审计•实现三层业务审计，回溯业务流程•账号、ID号、个人信息、IP等信息唯一对协议进行全解析•实现对TNS、TDS数据库协议的全解析•PCAP包实现逆向解析及故障分析唯一采用流技术对数据库进行审计•状态相关，把杂乱传输的数据包梳理成有序传输的数据流•记录完整的TCP会话•超过1460个字节的SQL语句•超过1460个字节的变量值唯一能对超长SQL语句进行审计创新实用的IO模型与全文检索创新的IO模型与全文检索架构1、提供来源IP白名单、SQL语句级别白名单2、记录白名单之外的一切协议解码详细数据3、实时告警并记录、输出关注事件4、利用全文索引，搜索定位可疑事件5、可选择记录原始PCAP流数据证据产品功能优势•数据库业务活动监控，能对系统自身资源使用情况以及数据库业务SQL语句交易量、并发连接、突发连接、网络流量等进行实施监控；监控•超级嗅探提供数据库操作事件RAWPacket，为调优、排错提供直接依据；•辅助DBA诊断调试数据库网络活动。调试•完整保存会话记录；•完整解析超长SQL语句；•BindVariable（变量绑定）完美识别与匹配，精确还原语句意图；•Select返回行列结果解析，实现双向的完全审计；•登录参数完全捕获。审计•灵活的告警策略配置，精确到字段，提供实时报警功能；•多条件查询会话记录，精准快速的锁定审计信息；•PCAP原始会话数据包提供网络活动原始数据信息；•完善的可定制的报表系统，强大的预制安全模版。分析系统状态监控界面和可视化动态实时监控效果实时了解数据库系统的连接数、性能等指标。可及时发现数据库的性能问题。为在系统出现问题前解决问题，提供了时间保障。1、数据库状态的实时监控2、1个月内数据库性能统计3、通过数据分析，判断业务负载情况和访问情况（不同业务系统访问的情况以及不同时间段业务的负荷情况）4、突发状况监控，业务突增（外部攻击）监控和分析数据库PCAP包调试提供原始数据包下载，辅助DBA诊断调试数据库网络活动。完整流会话审计完整的会话审计与会话过滤功能，快速追踪事件信息，定位事件类型。超长SQL语句能够解析超过1460字节以上SQL语句，支持超长SQL语句重组解析绑定变量审计数据库一般的处理过程：例如：select*fromnamewherenameid=’001’;//不使用绑定变量如果再查询“002”，“003”，”nnn”需要进行n次硬解析，大量浪费系统资源例如：select*fromnamewherenameid=:c_did;//使用绑定变量相同的查询语句只需要进行一次硬解析数据库性能优化机制绑定变量审计使人员、操作、变量相关联审计结果展现灵活告警策略配置灵活的告警策略配置帕拉迪DBXpert拥有灵活的告警策略配置引擎。可关联数据库访问事件的细粒度条件。•标准SQL命令•客户端网络地址•客户端应用程序•数据库用户名称•客户端主机名称•客户端系统用户•Select控制项•返回或影响行数•数据库执行时间•目标表、列(多字段，多表联合匹配)灵活详细的策略告警完善的可定制的报表系统实时的数据库性能监测及风险统计实时了解数据库系统的连接数、性能等指标。可及时发现数据库的性能问题。为在系统出现问题前解决问题，提供了时间保障。价值总结用户收益•满足合规性要求，顺利通过IT审计；•有效减少核心信息资产的破坏和泄漏；•追踪溯源，便于事后追查原因与界定责任；•直观掌握业务系统运行的安全状况；•实现独立审计，完善IT内控机制。数据中心!谢谢观看！