专家讲述建设数据库审计系统的重要性

　　1 数据库安全概述

　　数据库是任何商业和公共安全中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面：

　　 管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

　　 技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具(比如：防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。

　　 审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。

　　伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。

　　2 数据安全要求

　　 防泄密要求：各行各业存储有大量的隐私信息及机密信息，如医疗行业类似病人的姓名、家庭住址、联系电话、病情状况、药品药价等等都是属于机密级别相当高的数据，而此类数据又要着相当大的商业价值，对于犯罪分子具有极大的诱惑力。综合分析，各行业对数据斗都有着一定的防泄密要求，如果类似发生病人信息外泄，将会对个人、对社会、对行业带来非常大的负面影响。

　　 可用性、完整性要求：数据库系统作为信息应用的基础设施，鉴于目前实际业务与信息系统的结合程度，如果一旦出现数据库瘫痪或数据出错而导致的数据不可用状况，将直接导致整个系统瘫痪，整个单位将无法正常运转，将会给社会造成恶劣的影响，给单位造成经济上和形象上的巨大损失。

　　3 数据库监控的客观需求

　　数据库监控的目的概括来说主要是三个方面：一是让管理者实时全面了解数据库实际发生的操作情况;二是在可疑行为发生时可以自动启动预先设置的告警流程，尽可能防范数据库风险的发生;三是一旦发生非法操作，触发事先设置好的防御策略，实行阻断，实现主动防御。因此，如何采取一种可信赖的综合途径，确保数据库活动记录的100%捕获是极为重要的，任何一种遗漏关键活动的行为，都会导致数据库安全上的错误判断，并且干扰数据库在运行时的性能。只有充分理解单位对数据库安全管理的客观需求，才能够给出行之有效的解决方案：

　　 捕捉数据访问：不论在什么时间、以什么方式、只要数据被修改或查看了就需要自动对其进行追踪;

　　 捕捉数据库配置变化：当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时，需要进行自动追踪;

　　 自动告警：当探测到值得注意的情况时，需要自动启动事先设置的告警策略，以便数据库安全管理员及时采取有效应对措施，能够识别严重影响业务运行的高风险行为且采取有效的手段阻止;

　　 自动防御：当探测到值得注意的情况时，需要自动启动事先设置的告警策略，以便数据库安全管理员及时采取有效应对措施，对于严重影响业务运行的高风险行为甚至可以立即阻断;

　　 监控策略的灵活配置和管理：提供一种直截了当的方法来配置所有目标服务器的监控形式、具体说明关注的活动以及风险来临时采取的动作;

　　 监控记录的管理：将从多个层面追踪到的信息自动整合到一个便于管理的，长期通用的数据存储中，且这些数据需要独立于被监控数据库本身;

　　 灵活的报告生成：临时和周期性地以各种格式输出监控分析结果，用于显示、打印和传输;

　　4 数据库系统安全审计模型

　　5 审计系统的功能结构

　　6 审计系统的功能组成

　　6.1 静态审计

　　静态审计的目的是代替繁琐的手工检查,预防安全事件的发生。通过静态审计，完成对目标数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等的审计与检测，为后续制定动态审计策略提供有力的依据。

　　6.2 细粒度动态审计

　　数据库动态审计可以彻底摆脱数据库的黑匣子状态，提供4W(who/when/where/what)审计数据。通过实时监测并智能地分析、还原各种数据库操作，解析数据库的登录、注销、插入、删除、存储过程的执行等操作，还原SQL操作语句;跟踪数据库访问过程中的所有细节，包括用户名、数据库操作类型、所访问的数据库表名、字段名、操作执行结果、数据库操作的内容取值等。

　　 全方位的数据库活动审计：实时监控来自各个层面的所有数据库活动以及活动的内容。如：来自应用程序发起的数据库操作请求、来自数据库客户端工具的操作请求、来自数据库管理人员远程登录数据库服务器产生的操作请求、操作返回的结果等。

　　 潜在危险活动重要审计：提供对DDL类操作、DML类操作的重要审计功能，重要审计规则的审计要素可以包括：用户、源IP地址、操作时间(任意天、一天中的时间、星期中的天数、月中的天数)、使用的SQL操作类型(Select/Insert/Update/Delete/Truncate/Create/Drop/Rollback/Grant/Alter/Call/Execute/Logout/Login)。当某个数据库活动匹配了事先定义的重要审计规则时，一条报警将被记录以进行审计。

　　 敏感信息细粒度审计：对业务系统的重要信息，提供完全自定义的、精确到字段及记录内容的细粒度审计功能。自定义的审计要素包括登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间段(本日、本周、本月、最近三小时、最近十二小时、最近二十四小时、最近七天、最近三十天、任意时间段)、使用的SQL操作类型(Select/Insert/Update/Delete/Truncate/Create/Drop /Rollback/Grant/Alter/Call/Execute/Logout/Login)、记录内容。

　　 完善的双向审计：系统不仅对数据库操作请求进行实时审计，而且还可对数据库系统返回结果进行完整的还原和审计;

　　 三层审计支持

　　对于B/S架构的应用系统而言，用户通过WEB服务器实现对数据库的访问，传统的数据库审计系统只能审计到WEB 服务器的相关信息，无法识别是哪个原始访问者发出的请求。安恒DAS-DBAuditor通过关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息(如：操作发生的URL、客户端的IP等信息)，通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。

　　6.3 安全事件回放

　　允许安全管理员提取历史数据，对过去某一时段的事件进行回放，真实展现当时的完整操作过程，便于分析和追溯系统安全问题。

　　很多安全事件或者与之关联的事件在发生一段时间后才引发相应的人工处理, 这个时候, 作为独立审计的审计系统就发挥特别的作用. 因为所有的FTP、telnet、客户端连接等事件都保存后台(包括相关的告警), 对相关的事件做定位查询，缩小范围，使得追溯变得容易;同时由于这是独立监控审计模式, 使得相关的证据更具有公证性。

　　6.4 职责分离

　　SOX法案或者专业职责标准(如PCI)中明确提出对工作人员进行职责分离，系统设置了权限角色分离，如系统管理员负责设备的运行设置;规则配置员负责相关数据库操作规则的设定;审计员负责查看相关审计记录及规则违反情况;日志员负责查看整体设备的操作日志及规则的修改情况等。

　　7 公司介绍

　　杭州安恒信息技术有限公司(DBAPPSecurity)，简称“安恒信息”，核心成员来自美国硅谷、德国、加拿大及业内著名安全厂商、电信运营商、大型上市公司，国内总部设在杭州，并在北京、上海、广东、山东等地设有分支机构。

　　安恒信息核心团队拥有多年互联网应用安全攻防、WEB应用和数据库安全防御和审计的深厚技术背景与丰富安全实践经验，以全球领先具有完全自主知识产权的安全技术，致力于为客户提供WEB应用安全和数据库安全的全面风险评估、合规性深度检测、安全加固及防御、安全审计等全面解决方案。

　　7.1 国际知名的安全研究专家团队

　　安恒在信息安全领域拥有一支强大技术实力和攻防经验的专家和研发团队。公司的主要创始人都是国际知名的WEB应用与数据库安全专家，对信息安全技术研究极具创新能力。

　　范渊：杭州安恒信息技术有限公司CEO&CTO

　　范渊先生，毕业于美国加州州立大学，计算机科学硕士。国际著名安全公司十多年的技术研发和项目管理经验。对在线安全，数据库安全和审计，Compliance(如SOX,PCI,ISO17799/27001)有极其深刻的研究。由于他在信息安全领域的技术创新的成功实践，成为第一个登上全球顶级安全大会BLACKHAT(黑帽子)大会进行演讲的中国人。目前拥有CISSP、CISSA、GCIH、GCIA等证书。

　　Alexander Kornbrust：杭州安恒信息技术有限公司首席科学家

　　Mr. Alexander是全球数据库安全领域的顶级专家之一，对数据库安全技术研究具有极其领先的技术实力。每年提交几十个0-DAY BUG给ORACLE等主要数据库厂商。

　　公司拥有超过五十人具有丰富WEB应用和数据库安全扫描、防护开发经验的专业团队，从事产品的研发和安全研究。

　　7.2 全球领先的专利技术

　　安恒目前拥有两项国际领先的完全自主知识产权的信息安全领域专利技术：

　　 WEB应用安全深度扫描(专利号：US60/835471)

　　 WEB和数据库入侵异常检测(专利号：US60/835472)

　　国内专利已经申请完毕。

　　7.3 成功案例与典型客户

　　部分国内客户名单

　　 2008奥组委

　　 工信部

　　 公安部

　　 公安部一所

　　 公安部三所

　　 中石油

　　 中信银行

　　 中国电信研究院

　　 中国电力研究院

　　 江西省劳动保障厅

　　 浙江省电信公司

　　 浙江省移动公司

　　 浙江省公安厅

　　 中国原创音乐基地

　　 9158电子商务WEB应用系统

　　 宁波日报报业集团

　　………