运营商数据库防御与审计解决方案

　　1 概述

　　互联网的急速发展使得运营商的数据库信息价值及可访问性得到了提升，同时，也致使数据库信息资产面临以下三个层面的挑战：

　　■ 管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

　　■ 技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息。

　　■ 审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,难于体现审计信息的真实性。

　　数据库防御与审计的目的就是规避上述三个层面的安全风险，确保数据库信息的完整性、审计记录的真实性及攻击防范的及时有效性。为了达到数据完整性的目标，要求数据库防御与审计系统能够100%的捕捉数据访问、自动追踪数据库配置变化;同样，为了保持审计记录的真实性，需要对审计记录的存储与管理独立于被审计的数据库本身，而实时有效的防范，则需要依靠灵活的安全策略去实现。

　　依靠传统的网络防火墙及入侵保护系统(IPS)，在网络中检查并实施数据库访问控制策略的安全解决方案因无法实现对特定用户数据库操作的识别，无法实现细粒度的操作审计，致使其在面对运营商切实的数据库权限滥用等安全问题时束手无策。而开启数据库软件自身的审计功能，一方面会大大影响数据库系统的性能，另一方面也无法保证审计信息的真实性。

　　为了解决运营商数据库安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求，亚龙(安恒)与浙江鸿程共同研制并成功推出了全球领先的、面向运营商核心数据库的、集“全方位的风险评估、多视角的访问控制、深层次的审计报告”于一体的数据库防御与审计设备，即明御数据库防御与审计系统(简称：DAS-DBAuditor)，为运营商核心数据库提供全方位安全防护。

　　在运营商业务支撑网络中部署了DAS-DBAuditor，可以实现运营商核心数据库的“系统运行可视化、日常操作可跟踪、安全事件可鉴定”目标，解决运营商数据库所面临的管理层面、技术层面、审计层面的三大风险,以满足运营商的不断增长的业务需要。

　　2 方案概述

　　2.1 功能介绍

　　如下图所示，DAS-DBAuditor主要的功能模块包括“自动化风险评估、动态建模、实时监控与防御、全方位审计分析、配置管理及综合查询、SOX审计”几个部分。

■ 自动化风险评估：

　　DAS-DBAuditor依托其权威性的数据库风险规则库，自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等全方位的扫描，最终形成严谨的评估报告及加固建议。通过自动化的风险评估，可以为后续的安全策略设置提供有力的依据。

　　■ 动态平衡建模：

　　DAS-DBAuditor通过智能自学习引擎，完成对数据库正向安全模型的自动创建，动态建模弥补了手工创建及维护安全规则的最大不足。

　　■ 实时监控与防御：

　　DAS-DBAuditor依赖智能自学习创建的正向安全模型，可防止数据库受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时，DAS-DBAuditor会自动根据预设置的访问控制策略进行第一道防护、继而通过对数据库活动的实时监控，进行特征检测及异常检测。任何尝试的攻击都会被检测到并实时阻断或告警。

　　■ 全方位、细料度审计分析：

　　DAS-DBAuditor基于“数据捕获→应用层数据分析→监控、审计和响应” 的模式提供各项安全功能，使得它的审计功能大大优于基于日志收集的审计系统，主要包括以下几个方面：

　　实时监控审计：DAS-DBAuditor实现了数据库访问信息的完整捕获，通过专利级的双引擎技术将用户活动中的正常变化与实际恶意或不符合规定的活动进行有效区分。同时，按风险等级、事件发生时间、攻击对象、攻击类型等组合条件提供对所有的潜在危险活动的分类统计报告。

　　数据库操作审计：彻底摆脱数据库的黑匣子状态，提供4W(who/when/where/what)审计数据。

　　远程访问操作审计： 对FTP、Telnet等进行命令级的实时监控与审计。

　　关联分析：单个离散的数据库操作还不足于了解用户的真实意图，一连串的会话\用户帐号\数据库操作对象结合起来，可以更加清晰地判断用户的意图(违规的\粗心的\恶意的)。

　　事件回放：允许安全管理员提取历史数据，对过去某一时间段内的事件进行回放，真实展现当时的完整操作过程，便于分析和追溯系统安全问题。

　　趋势管理：提供多层次的历史数据库分析，通过不同周期内数据库使用、运行、攻击、异常情况的对比分析，了解系统安全的变化趋势。

　　■ 配置管理与综合查询：

　　DAS-DBAuditor提供WEB-base的管理页面，数据库安全管理员在不需要安装任何客户端软件的情况下，基于标准的浏览器即可完成对DAS-DBAuditor 的配置管理与综合查询，包括“保护对象配置、智能自学习规则配置、安全策略配置、审计策略配置、实时告警显示、自定义告警查询、审计记录查询、审计日志查询及报表查询”等等。

　　■ SOX审计：

　　DAS-DBAuditor通过一系列的数据控制政策，为运营商的经营活动、企业管理、项目和投资活动，提供符合SOX法案302、404条款规定的专业审计报表。

　　2.2 系统部署

　　■ 零风险、多种方式部署

　　DAS-DBAuditor由一个集中管理的服务端及若干个传感器组成。传感器用于审计数据收集、实时风险检测和防御;服务端用于对分布式部署的传感器进行集中的配置和管理。在实际的部署中，传感器既可以与服务端集成在一台物理设备中，也可以独立于单个的物理设备中。

　　DAS-DBAuditor可灵活支持直连、旁路的模式部署到网络中，因此，部署时不需要对现有的网络体系结构(包括：路由器、防火墙、应用层负载均衡设备、应用服务器等)进行调整。同时，依靠“亚龙、鸿程”自主研发的双引擎技术，检测过程中无需对应用程序进行修改，实现应用层的零风险部署。

■不影响数据库业务本身：

　　DAS-DBAuditor主要是通过网络抓包进行数据采集，因此并不影响数据库保护对象本身的运行与性能，主要体现在以下几个方面：

　　不需要对数据库软件进行更改;

　　不占用数据库本身的资源，比如：CPU资源、内存资源、磁盘资源等;

　　无需数据库的管理权限;

　　■高可用性：

　　DAS-DBAuditor全方位确保设备本身的高可用性，包括物理保护、掉电保护、系统故障保护、不间断的管理保护、100%的完整数据包捕获，同时，在具备冗余体系结构的环境中，支持Active-Active或Active-Standby部署配置。

　　3 技术实现

　　3.1风险检测和防御

　　■高性能的流量捕获和解析能力：

　　基于FPGA硬件技术的“亚龙、鸿程”专用硬件加速接口卡可以在1G、2.5G、10G高速环境下线速捕获，并且捕获过程中不占用任何CPU资源，将所有处理能力提供给应用程序。基于硬件加速的技术，保证了DAS-DBAuditor具备交换机一样的高吞吐量和低延时，能够满足如特殊应用的低延时要求，保证了2～7层深度过滤时千兆级线速性能。

　　■ 专利双引擎技术：

　　DAS-DBAuditor使用特征引擎和智能异常引擎两套引擎，并可以在规则中同时使用：

　　特征引擎：从一个或者多个网络数据包中提取出特定模式，这些模式如果与已知的入侵模式匹配，就可以得出一定的危险级别。

　　智能异常检测引擎：对偏离正常应用安全模型、用户行为模型的事件，应用异常引擎算法进行检测分析、告警、阻断。

■ 智能化的安全模型：

　　“亚龙、鸿程”的智能自学习引擎可以帮助用户快速创建正向数据库安全模型，该模型主要元素如下：

　　网络层：IP地址、操作系统用户、客户端应用程序名等等;

　　数据库层：数据库用户、会话发生时间、登录失败、数据库操作(select/delete/drop/insert……)、数据库对象(table/view/……)及内容等等;

　　■ 灵活的安全策略：

　　DAS-DBAuditor可以对上述安全模型中的任意元素进行组合，生成满足应用需求的安全策略，同时，系统提供预先设置的安全策略，以缩短设备部署时间。对于运营商的特殊需求，可以通过专家模式自定义策略实现。

　　■ 独特的安全知识库：

　　DAS-DBAuditor内置了数据库安全专家整理的数据库安全知识库，配合系统的异常模型，使得系统上线后不需要做复杂的配置就可以保护数据库对象的安全。

　　■ 多种防御机制：

　　DAS-DBAuditor提供了实时阻断、TCP会话重置、延迟转发、服务端告警等多种防御机制，其中服务端的告警可支持“发送邮件、发送短信、Syslog”等多种;

　　3.2 数据库审计

　　DAS-DBAuditor数据库审计功能参照“数据采集--数据标准化—数据归并—安全事件关联—审计结果呈现”流程进行，其中：

　　■ 审计数据采集：

　　通过“网络抓包、本地操作审计”两种方式采集账号登录行为数据、账号登录后的各种操作记录。DAS-DBAuditor对审计数据的采集大多数情况下是通过网络获取，由于其采用了专用硬件加速接口卡，可以在1G、2.5G、10G高速环境下线速捕获，因此保证了DAS-DBAuditor具备交换机一样的高吞吐量和低延时、并且确保了审计信息的不会丢失。

　　■ 审计数据标准化：

　　把来自多种采集方式的数据转化成标准格式，并进行排重处理，然后写入审计数据库。

　　■ 审计数据归并：

　　对于标准化处理后的审计数据进行归并(会聚)。归并规则，就是在什么情况下，满足什么条件，对哪些字段进行归并。事件归并功能可以对海量的审计数据依据归并条件进行归并，达到简化审计数据，提高审计数据准确率。

　　■ 安全事件关联：通过安全事件关联功能，来深度挖掘安全隐患、判断审计数据的严重程度。

　　■ 审计结果呈现：

　　审计数据的呈现与安全风险管理是密切相关的。DAS-DBAuditor提供对审计数据进行实时监控和实时展现。在审计数据的展现或响应中，可以支持邮件、弹出窗口、syslog、SNMP Trap、手机信息、声音报警等多种方式。同时，DAS-DBAuditor内嵌了功能强大的报表模块，提供预定义固定格式报表、，自定义报表功能，支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式的数据导出。