帕拉迪数据库风险分析、安全监控审计及合规解决方案

帕拉迪数据库风险分析、安全监控审计及合规解决方案杭州帕拉迪网络科技有限公司Copyright(c)2005-20102(c)2005-20103根据最新研究显示,恶意内部人员和人为错误是对数据库安全的最大威胁,而不是外部入侵者。在对国际sybase用户组织216名成员的调查中发现,超过一半的受访者认为人为错误是对企业数据安全的最大威胁。在这次调查中,约有56%的非金融机构认为人为错误是最大的挑战,而24%受访者则认为滥用特权的恶意内部人员才是更大的威胁.而对于金融机构,这些数据则更加突出,77%受访者主要担心人为错误,约有48%的受访者担心内部人员滥用特权.近四分之一到受访者来自金融服务企业。电信员工等23人出售手机用户信息被起诉,23人被控出卖公民个人信息。2008年深圳市4万余孕产妇信息泄露事件。个人身份信息泄漏，网站等信息数据库容易遭受攻击。数据库安全威胁—来自内部的威胁Copyright(c)2005-201042011上半年发生的黑客攻击事件，受害者从各国政府机构到具有很高知名度的银行和商业公司，如美国军方承包商、国际货币基金组织、花旗银行和索尼，还有专业安全机构，如RSA。事实表明无人能幸免于黑客攻击，毕竟媒体报道出来的黑客事件只是“冰山一角”，还有大量未被报道，甚至都还不曾被发现的网络攻击存在。2011年黑客攻击纪事美军方承包商机密数据遭泄漏华盛顿邮报招聘网站遭黑Anonymous黑客组织瞄上苹果报业巨头Gannett数据库遭袭北大西洋公约网络书店遭袭艺电旗下网站遭袭EA证实遭遇黑客攻击巴西政府网站成最新受害者花旗集团：黑客攻击影响客户超过36万Sega用户数据库被黑黑客侵入国家级教育网站篡改官方数据造“真证书”黑客篡改双色球中奖数据3305万巨奖险些落入黑手数据库安全威胁—来自外部的威胁Copyright(c)2005-20105数据泄漏事件索尼在其博客表示，“超过7000万用户的个人资料于4月17日——4月19日被黑客非法获取，包括用户姓名，地址，电子邮件地址，生日，PlayStation网络密码，用户名等信息”。CNET网站的读者Konfuzed接受调查时表示，对没有第一时间受到警告表示失望。为什么索尼要等待16天才告诉我，应该对这次事件提高警惕，这样的服务和相应暴露了太多不足。不给出合理解释，我将放弃PS3。XXX医院“统方”事件医院的处方信息被统计后提供给医药代表，而后医药代表按照处方开具药品数量为响应的医师提供回扣。事件一经爆出，就引起强烈围观。对于一个军属医院来说，损失可能不止于金钱上……数据库泄密典型事件Copyright(c)2005-20106(c)2005-20107内部用户外部用户资源设备权限滥用恶意访问误操作权力限用系统管理员网管员安全管理员软件系统开发人员黑客代维厂商合作伙伴临时用户不了解数据库“被”怎么了！数据资产使用“有规无据”!缺少数据库行之有效的“分析审计依据“！数据库访问“暗箱操作”，数据库访问不透明！企业数据库现状Copyright(c)2005-20108•无法有效分析数据来源，做到快速定位。•没有数据库的完整审计记录，无法满足相关审计方面的要求。•对关键数据的访问无记录，出现事故无法追踪。•一旦数据库日志被清除，无法发现事故，无法做到事故定位。•对于黑客攻击，无法做到有效防范和攻击留痕。•非授权进入业务系统或误操作、越权操作，导致数据泄漏或被修改。•不能实时监控对数据库的非法访问，没有预警。目前数据库管理存在问题•数据库操作过程“雾化”，无有效快速分析依据。Copyright(c)2005-20109安全审计数据库管理系统的安全审计应：a)建立独立的安全审计系统；b)定义与数据库安全相关的审计事件；c)设置专门的安全审计员；d)设置专门用于存储数据库系统审计数据的安全审计库；e)提供适用于数据库系统的安全审计设置、分析和查阅的工具。《计算机信息系统安全等级保护数据库管理技术要求》法规遵从第十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。第四十四条企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。企业内部控制基本规范国际标准萨班斯法案ISO27001Copyright(c)2005-201010行业标准行业法规标准互联网服务商《互联网安全保护技术措施规定（82号令）》电信行业《中国移动集团内控手册》《中国移动业务支撑网安全域划分和边界整合技术规范》《中国电信股份有限公司内部控制手册》《中国网通集团信息质量问责管理若干规定》《中国网通集团内部控制体系建设指导意见》金融保险行业《银行业金融机构信息系统风险管理指引》《商业银行合规风险管理指引》《中国银行业监督委员会办公厅文件银监办通313号》《保险公司内部审计指引（试行）》《保险公司风险管理指引（试行）》《电子银行安全评估指引（2007）》《电子银行业务管理办法（2008）》《期货公司信息技术管理指引》《商业银行内部控制指引》——计算机信息系统的内部控制《支付卡行业数据安全标准——要求和安全评估程序（2008）》国内上市企业《深圳证券交易所上市公司内部控制指引》《上海证券交易所上市公司内部控制指引》电力行业《电力二次系统安全防护总体方案（2005）》《国家电网公司信息化“SG186”工程安全防护总体方案（实行）(2008)》医疗行业《互联网医疗保健信息服务管理办法》(卫生部令第66号)Copyright(c)2005-201011加强行政制度的规范从数据库运维及业务系统使用行为角度，制定相应的规范和制度。通过强力的流程管理避免权限的越权及违规使用。监控数据库访问过程通过技术手段，实时了解数据库的使用情况。筛选、记录核心数据的访问和使用过程。及时对违规时间进行告警。解决问题之路两者有效的配合，才是解决问题的根本方法！Copyright(c)2005-201012数据库风险分析、安全监控解决方案•来源识别，自动发现主机，IP，程序等信息•识别敏感数据，自定义分类•提供黑白名单模式，进行有效区分•对数据流分析，解析完整会话过程•全面解析会话，提取出完整的SQL语句。•优化数据库架构，加固数据库安全体系•提供各个层面的安全保护•安全事件的详细分析•细粒度全会话审计•会话记录多条件查询，精确定位•记录原始数据库，强化审计力度•提供可模板化的报表展现，灵活可定制•唯一、真实的展现数据库流量及会话的监控视窗•完善和灵活的告警策略定制•多种警告机制•实时的告警核心数据库Copyright(c)2005-201013使用旁路部署方式不影响现有网络拓扑机构。不对数据库系统进行改造。不影响现有数据库系统性能。最高2Gps的处理能力。支持分级部署及集群部署。端口镜像开发人员数据库服务器群应用服务器群WEB服务器交换机运维人员系统用户防火墙DbXpert数据库安全审计人员审计人员可通过浏览器、邮件等方式获得最新的警告信息全面支持不同平台的数据库审计产品部署模式Copyright(c)2005-201014优势第三方独立式数据库审计系统，非堡垒模式，不易遭受攻击。网络旁路部署，无需安装客户端引擎，不影响业务系统、数据库，不改变网络拓扑结构。支持分级部署、集群模式。基于流和会话技术，全状态、全协议解码，能够实现超长SQL语句解析，能够实现变量绑定解析，进而可以实现流原始网络包，以供网络调试、是数据库调试、原始证据保留，以便进一步分析和取证。以会话方式展现，完全解析登录参数。基于流识别技术，实现返回值、返回状态全面分析，实现对Select语句结果进行分析，实现对数据库活动进行实时监控。采用实时全文检索技术，可以对会话进行细粒度全文检索和扩展服务。Copyright(c)2005-201015优势基于流和会话技术，能实现数据库源程序、登录用户、源程序（）用户名称等的SQL语句“实时报警”。数据库会话登录参数在会话活动（）在开始登录数据包内，需要将登录参数记录在流标签内并实现策略应用。基于流和会话技术，实现原始会话包保留功能，为审计提供最原始依据。详尽和灵活的策略定制模式和告警设置。可实现ORACLE重定向关联审计分析与策略应用。完整的可供事后鉴定分析的审计依据。通过完整的会话记录，对数据库、中间件的状态分析，优化数据结构及存储过程，是数据库DBA手中的一把利器。通过实时监控界面，对网络流量及会话完整了解，处理突发情况。Copyright(c)2005-201016(c)2005-201017传统审计模式盲点数据库日志及业务日志审计影响数据库性能；记录可读性差；日志不具备第三方独立性；记录无法与业务，与人挂钩无法记录脱离业务系统的操作；记录粒度不够，甚至无法记录SQL语句和绑定变量；日志容易被清除或改写；追溯事故原因及事故来源困难；Copyright(c)2005-201018产品改造而成，存在以下的盲点：基于单个网络包，只能以SQL语句方式展现，只报告数据库的行为和访问的表,并不知道访问了真正的核心数据，不知道取了多少条记录;只能实现单包返回状态分析，不全面，很片面，永不能实现对查询结果进行分析。长SQL语句无法支持，提供逃避审计通道；协议解码不完全（无会话技术就不可能完全解码）；变量绑定不支持或不完整（审计素材有用性缺失，不支持意味着无用）；无法全部存储分析审计数据，记录之后，不能查询；无法记录下原始数据包，缺乏最原始的审计依据；事后报警，做不到事前防范，事中报警；基于IDS技术，长会话记录分散记录，审计困难；部分产品需要改变网络拓扑，甚至需要在数据库服务器上安装采集器，易造成安全漏洞。Copyright(c)2005-201019、利用SQL语句注释功能，利用目前国内数据库审计产品协议解码不完全和超长SQL语句审计能力缺失特点，撰写超过1460长度的特殊SQL语句，逃避审计。此法既可逃避审计，同时，也可以达成非法操作目的，简单实用。2、重放包含某SQL语句的网络数据包，首先瘫痪数据库协议审计产品。传统数据库审计产品基于网络数据包进行分析，高速重放攻击数据包，会造成数据库审计产品CPU负载过高，系统IO负载过高，分析查询数据过大，进而使数据库协议审计产品发生崩溃，无法使用，产生“拒绝服务”。此法可永久性崩溃数据库协议审计产品监控，直到厂商重新安装更新系统。此法不会对用户数据产生实质性损坏。重放10240000个包含1KSQL语句长度的网络数据包，可产生10G存储空间，花费时间最多70秒。3、针对数据库日志和业务系统日志，通过清除日志等方式可以逃避审计。Copyright(c)2005-201020可以自动发现到连入数据库