数据库审计系统
产品概述
随着信息化的发展,数据库成为客户核心数据的存储载体,数据安全与稳定直接关系着业务系统的安全与稳定,数据库遭受攻击,会直接导致用户敏感数据泄露,间接可能导致用户业务系统的停机,因此信息安全建设的中心由网络防护向数据防护转移,数据库系统的安全防护已然成为威胁防御的重点。
威努特数据库审计系统(DBA)通过监控数据库的多重状态和通信内容,不仅能准确评估数据库所面临的风险,而且可以通过日志记录提供事后追查机制。主要功能包括:单双向审计、日志检索、风险告警、灵活策略配置、实时报表、自动学习、敏感数据发现、性能监控、风险扫描等。
产品特点
全面的数据库风险评估
支持Oracle、Mysql、SQL Server、Db2、Sybase、达梦、人大金仓、神州通用、Hadoop Hive等主流数据库,通过实时数据库运行状态监控,威努特数据库审计系统能够及时发现数据库在运行中出现的性能异常,并且结合审计日志准确定位异常操作,防止因性能问题、误操作和恶意攻击而导致的业务瘫痪,合理优化业务系统;
通过内置的扫描策略,威努特数据库审计系统能够及时发现数据库系统在运行时可能出现的配置、管理风险、数据库软件本身存在的漏洞,并给出修复建议。
丰富的数据库操作审计规则
威努特数据库审计系统提供基本的审计规,对数据库进行全面的访问行为监控,配置简单方便;
威努特数据库审计系统提供高级的审计规则,包括:多关键字匹配、正则表达式和SQL模式等,可以对数据库进行精确的访问行为监控;
当遇到数据访问量大、数据库用户繁多的数据库应用场景时,威努特数据库审计系统提供基于自动学习的基线策略模型,能够自动识别操作是否偏离基线策略,发现有偏离时将实时告警。
高效的数据处理能力
威努特数据库审计系统采用完全自主的技术体系,支持硬件零拷贝技术、多级缓存技术、基于BigTable和MapReduct的存储技术和基于倒排索引的检索技术等,实现审计记录的快速查询。将设备旁路接入网络,即可对添加的数据库进行协议解析,并对解析内容快速入库建立索引文件,从而在审计分析时实现高效的查询机制,数据连续处理能力30000~50000以上SQL/s,日志存储能力可达30亿-100亿条SQL/TB。
产品功能
数据库类型
不限级数的进行分层分级管理;支持虚拟线路和分级带宽管理,支持4级通道嵌套; 支持Oracle、Mysql、SQL Server、Db2、Sybase、达梦、人大金仓、神州通用、Hadoop Hive等主流数据库;
支持OCI/JDBC/OLEDB/ODBC等常见协议。
审计规则
支持syslog方式外发日志告警信息; 通过None、MD5、SHA认证方式对SNMP用户进行认证。
记录日志、不记录日志、日志的风险等级自定义;
数据库访问的时间、次数审计;
访问的源审计:访问客户端IP、客户端操作系统主机名、客户端操作系统用户名、客户端连接工具名、数据库用户名;
访问的目标审计:数据库IP、数据库实例、表、列、触发器、存储过程、视图、函数、包等;
数据库的返回状态审计:执行成功、执行失败、执行时长、返回行数、登录成功、登录失败;
SQL异常、SQL模式、SQL关键字等审计。
访问行为基线
自动学习的特征有:数据库用户、源IP、目标数据库 、源应用程序、主机名、系统用户名、表与操作、查询组、特权操作等;
行为基线支持自动更新:支持根据业务情况生成不同阶段的基线策略,支持偏离基线时使用的动作、风险级别可配,支持模型特征的总量配置;
支持用户名、客户端IP绑定的形式进行特征学习(针对CS架构情况下,多个终端使用相同的数据库用户)。
防护策略
支持全局参数配置,方便不同策略引用
内置高风险规则,防范维护人员执行no where 删除、truncate table等合法授权的高危操作检测;
支持默认情况下全部记录的规则,为自动学习提供策略支持;
支持数据库连接工具白名单功能,自动忽略数据库连接工具访问数据库的默认操作;
内置清表、删表、提权高风险操作特征规则。
审计日志
日志内容能够详尽的显示访问行为发生的具体特征,具体信息包括:访问的时间、次数,访问的源,访问的目标,操作类型,敏感数据判断,SQL内容,执行时间,风险等级等;
支持Oracle变量绑定、双向审计、存储过程、SQL Server辅助登录;
支持检索结果导出,导出文件格式PDF、EXCEL、WORD;
支持以风险等级、匹配的策略、时间、其他操作条件对告警日志进行查询;
支持告警日志外发至第三方日志平台,外发格式有SYSLOG、SNMP、FTP、EMAIL;
支持对误报的告警日志进行处理,包括加入基线、加入SQL注入例外、禁用SQL注入规则;
支持以柱状图的形式显示事件(策略命中计数)排名;
支持以折线图的形式显示访问来源趋势和攻击趋势。
风险评估
支持弱口令检测,保证口令的强壮度;
支持对数据库系统用户权限分配的风险扫描,发现权限分配是否合理;
支持对数据库、操作系统的安全配置检测,检测范围包括:系统类、授权类、认证类;
系统应提供扫描策略自定义功能,可以根据实际情况进行策略调整。
系统管理
支持三权分立的内置用户设置,不同用户负责产品不同模块的配置与使用;
支持系统配置+审计日志的全量备份;
支持系统时间手工、自动与NTP服务器同步,保证审计日志时间准确性;
支持系统能够自动对审计进程、解析进程、存储进程、检索进程进行诊断分析,方便用户排除故障;
支持系统CPU、内存、网络吞吐率、交换分区、磁盘的使用率监控,支持磁盘的读写速率监控。
应用场景
旁路部署
通过端口镜像方式捕获数据流量,对引入的流量进行审计和安全分析,不改变网络拓扑、不影响业务数据、不改变使用习惯。
数据库资产可视化
可视化数据库资产分布和风险情况,提升数据安全治理能力。通过首页监控,展示数据库服务器的分布情况和风险状态;实时监控用户的数据库操作行为,及时对异常行为进行告警,防止业务瘫痪,保障业务系统的可用性。
安全事件溯源
提供详尽的数据库访问特征信息,帮助用户精准分析异常操作,结合三层审计关联到最终的业务操作用户,完善溯源手段,为所有安全事件提供事后追查依据。
等保合规
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)明确要求二级及以上的信息系统“应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计”。威努特数据库审计系统能够对数据库的访问行为进行全方位的监控,实现对数据库往来信息的全面记录,满足等保对数据库系统安全审计的要求。系统支持审计数据增量备份,满足等保对审计数据保存期限的要求。