020-38915841
一、產(chǎn)品介紹
“數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)”是一款落實(shí)數(shù)據(jù)分類分級(jí)后實(shí)時(shí)監(jiān)控并記錄數(shù)據(jù)庫(kù)系統(tǒng)各類操作和涉及相關(guān)的資產(chǎn)和數(shù)據(jù)的流量分析系統(tǒng)。通過(guò)對(duì)SQL語(yǔ)句和語(yǔ)法的分析,實(shí)時(shí)地、智能地解析對(duì)數(shù)據(jù)庫(kù)的各種操作,并記入數(shù)據(jù)庫(kù)審計(jì)設(shè)備中以便日后進(jìn)行查詢、分析、過(guò)濾,實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)庫(kù)系統(tǒng)的用戶操作的監(jiān)控和審計(jì)。
二、設(shè)計(jì)理念
為了部署一款既能獨(dú)立審計(jì)針對(duì)數(shù)據(jù)庫(kù)的各種訪問(wèn)行為,又不影響數(shù)據(jù)庫(kù)的高效穩(wěn)定運(yùn)行的系統(tǒng),主要以以下原則為設(shè)計(jì)準(zhǔn)繩。
實(shí)用性:于業(yè)務(wù)系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫(kù)中進(jìn)行集中存儲(chǔ),故對(duì)于數(shù)據(jù)庫(kù)的操作審計(jì)需要細(xì)化到數(shù)據(jù)庫(kù)指令、表名、視圖、字段等,同時(shí)具有回收站技術(shù),在數(shù)據(jù)庫(kù)出現(xiàn)關(guān)鍵錯(cuò)誤時(shí)及時(shí)響應(yīng),避免由于數(shù)據(jù)庫(kù)故障帶來(lái)的數(shù)據(jù)損失;
靈活性:審計(jì)系統(tǒng)可提供缺省的審計(jì)策略及自定義策略,可結(jié)合用戶業(yè)務(wù)特點(diǎn),對(duì)關(guān)鍵業(yè)務(wù)用戶、操作途徑、重要操作、重要表、重要字段進(jìn)行過(guò)濾審計(jì),并可指定操作事件發(fā)生時(shí),系統(tǒng)的響應(yīng)方式。
獨(dú)立性:審計(jì)系統(tǒng)應(yīng)獨(dú)立于數(shù)據(jù)庫(kù)系統(tǒng)存在,即使數(shù)據(jù)庫(kù)或者操作系統(tǒng)遭到破壞,仍然要保證審計(jì)日志的準(zhǔn)確性和完整性。同時(shí),審計(jì)系統(tǒng)的運(yùn)行,對(duì)數(shù)據(jù)庫(kù)系統(tǒng)和業(yè)務(wù)操作不應(yīng)造成性能影響。
擴(kuò)展性:當(dāng)業(yè)務(wù)系統(tǒng)進(jìn)行擴(kuò)容時(shí),審計(jì)系統(tǒng)可以平滑擴(kuò)容。系統(tǒng)支持向第三方平臺(tái)提供記錄的審計(jì)信息。
可靠性:審計(jì)系統(tǒng)能連續(xù)穩(wěn)定運(yùn)行,且提供足夠的存儲(chǔ)空間來(lái)存儲(chǔ)審計(jì)日志,滿足在線存儲(chǔ)至少36個(gè)月的要求;審計(jì)系統(tǒng)能夠保證審計(jì)記錄的時(shí)間的一致性,避免錯(cuò)誤時(shí)間記錄給追蹤溯源帶來(lái)的影響。
易用性:審計(jì)系統(tǒng)應(yīng)能夠基于操作進(jìn)行分析,能夠提供主體標(biāo)識(shí)(即用戶)、操作(行為)、客體標(biāo)識(shí)(設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng))的分析和靈活可編輯的審計(jì)報(bào)表。
三、產(chǎn)品功能
1、資產(chǎn)管理
資產(chǎn)自動(dòng)發(fā)現(xiàn):支持網(wǎng)卡流量抓包以及PCAP文件上傳,自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)流量?jī)?nèi)的數(shù)據(jù)庫(kù),記錄數(shù)據(jù)庫(kù)的IP地址、端口號(hào)、數(shù)據(jù)庫(kù)類型等信息,設(shè)備無(wú)需添加、即插即用實(shí)現(xiàn)數(shù)據(jù)庫(kù)審計(jì)
業(yè)務(wù)系統(tǒng)管理:以業(yè)務(wù)系統(tǒng)的角度查看,存在哪些網(wǎng)絡(luò)資產(chǎn)(主機(jī)、數(shù)據(jù)庫(kù)資產(chǎn))
主機(jī)資產(chǎn)管理:將終端資產(chǎn),進(jìn)行業(yè)務(wù)系統(tǒng)歸屬,部門歸類,屬主確認(rèn)等運(yùn)營(yíng)工作,最終形成完備的終端資產(chǎn)
組件資產(chǎn)管理:數(shù)據(jù)組件作為網(wǎng)絡(luò)空間數(shù)據(jù)承載的基礎(chǔ)設(shè)施,存儲(chǔ)著網(wǎng)絡(luò)空間活動(dòng)過(guò)程中的各類數(shù)據(jù),系統(tǒng)幫忙客戶進(jìn)行數(shù)據(jù)組件資產(chǎn)盤點(diǎn),并明確歸歸宿任人與部門。
數(shù)據(jù)資產(chǎn)管理:通過(guò)技術(shù)手段與人工服務(wù),協(xié)助用戶理順數(shù)據(jù)資產(chǎn),形成具有隸屬和并列關(guān)系的分類分級(jí)目錄。形成基于分類分級(jí)結(jié)果的數(shù)據(jù)治理基礎(chǔ)。
2、審計(jì)策略
數(shù)據(jù)庫(kù)安全審計(jì)主要是通過(guò)制定審計(jì)策略,發(fā)現(xiàn)流量中存在符合策略的命令從而完成審計(jì)操作的。系統(tǒng)除了自身內(nèi)置的策略之外,客戶可根據(jù)自身業(yè)務(wù)需求制定自定義的策略。當(dāng)前系統(tǒng)支持SQL白名單、SQL注入、數(shù)據(jù)庫(kù)漏洞及高級(jí)策略等規(guī)則的制定。規(guī)則的制定和開啟,當(dāng)審計(jì)流量時(shí)命中該規(guī)則即會(huì)觸發(fā)規(guī)則告警,根據(jù)不同的風(fēng)險(xiǎn)等級(jí)和預(yù)置規(guī)則,系統(tǒng)會(huì)做出相應(yīng)的響應(yīng)。主要有:
基于場(chǎng)景化的SQL流量類型劃分:基于客戶端IP、數(shù)據(jù)庫(kù)賬號(hào)、數(shù)據(jù)庫(kù)客戶端類型等維度制定邏輯表達(dá)式,用于區(qū)分不同場(chǎng)景的數(shù)據(jù)庫(kù)流量。
場(chǎng)景化分析:智能學(xué)習(xí)業(yè)務(wù)的SQL行為基線,并基于行為基線進(jìn)行告警。
自定義規(guī)則:可以根據(jù)客戶端IP、敏感資產(chǎn)所屬表、默認(rèn)DB、會(huì)話連接ID、敏感標(biāo)簽、實(shí)例名、結(jié)果行數(shù)、規(guī)則類型、SQL命令、風(fēng)險(xiǎn)級(jí)別、服務(wù)區(qū)IP、流量類型、訪問(wèn)時(shí)間、數(shù)據(jù)庫(kù)類型、應(yīng)用程序名等多因子聯(lián)合查詢。
3、審計(jì)方式
通過(guò)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)本地審計(jì)兩種審計(jì)方式,對(duì)數(shù)據(jù)庫(kù)來(lái)自運(yùn)維終端訪問(wèn)、來(lái)自網(wǎng)絡(luò)訪問(wèn)、來(lái)自DBL .ink的訪問(wèn)、來(lái)自加殼偽裝的訪問(wèn)、來(lái)自普通數(shù)據(jù)客戶端訪問(wèn)、來(lái)自數(shù)據(jù)庫(kù)本地訪問(wèn)、來(lái)自數(shù)據(jù)庫(kù)內(nèi)部的訪問(wèn)等全方位的數(shù)據(jù)庫(kù)訪問(wèn)行為進(jìn)行審計(jì)。
4、審計(jì)內(nèi)容
4.1 用戶審計(jì)
所有審計(jì)的目標(biāo)最終都是為了確定操作數(shù)據(jù)庫(kù)的人,對(duì)用戶的賬號(hào)、用戶的類型進(jìn)行統(tǒng)計(jì)分析,審計(jì)到特權(quán)用戶、新增用戶及刪除用戶。根據(jù)運(yùn)維、業(yè)務(wù)和BI的三個(gè)維度對(duì)用戶進(jìn)行類型劃分,并統(tǒng)計(jì)用戶的數(shù)量,查看流量中各類型用戶的占比情況。并還可審計(jì)出流量中用戶的活躍時(shí)間段、登錄時(shí)長(zhǎng)、登錄地址,綜合以上對(duì)用戶類型、活躍時(shí)間段、登錄時(shí)長(zhǎng)和地址,得到用戶畫像,更加清楚的了解用戶的使用情況。
4.2 資產(chǎn)審計(jì)
審計(jì)資產(chǎn)是數(shù)據(jù)庫(kù)對(duì)象,包括數(shù)據(jù)庫(kù)的類型、地址、端口等信息。審計(jì)到的新增數(shù)據(jù)庫(kù)和刪除的數(shù)據(jù)庫(kù),依照數(shù)據(jù)庫(kù)類型等維度做數(shù)據(jù)資產(chǎn)的分析。審計(jì)到數(shù)據(jù)庫(kù)后,匯總分析出表、列、敏感標(biāo)簽的新增、刪除、清空的數(shù)量。因?yàn)閿?shù)據(jù)庫(kù)為經(jīng)常訪問(wèn)的對(duì)象,因此審計(jì)維度中對(duì)于數(shù)據(jù)庫(kù)的請(qǐng)求SQL、返回結(jié)果集SQL做出趨勢(shì)圖,可以更加直觀的看出哪些數(shù)據(jù)庫(kù)、哪些表、哪些列會(huì)被經(jīng)常訪問(wèn)。
4.3 行為審計(jì)
操作行為會(huì)被歸為DDL、DML等操作行為。可統(tǒng)計(jì)出組件、用戶、用戶IP等維度的活躍時(shí)長(zhǎng)。登錄和請(qǐng)求等失敗的操作,根據(jù)用戶、用戶IP等維度進(jìn)行統(tǒng)計(jì)。
4.4 風(fēng)險(xiǎn)審計(jì)
針對(duì)數(shù)據(jù)庫(kù)遇到的軟件環(huán)境風(fēng)險(xiǎn)、數(shù)據(jù)泄漏風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn)和可疑操作四個(gè)大項(xiàng),20+子項(xiàng)進(jìn)行審計(jì),全方位發(fā)現(xiàn)風(fēng)險(xiǎn)。
5、風(fēng)險(xiǎn)告警
數(shù)據(jù)安全審計(jì)系統(tǒng)通過(guò)實(shí)時(shí)告警引擎和短信、郵件等多種告警手段來(lái)保證告警的實(shí)時(shí)性;通過(guò)精細(xì)化的事件審計(jì)、靈活的告警規(guī)則、重復(fù)事件合并和過(guò)濾功能、以及強(qiáng)大的搜索引擎保障來(lái)保證告警信息不會(huì)泛濫造成管理者麻木;通過(guò)精細(xì)化告警規(guī)則、未知威脅的智能化告警、SQL注入檢測(cè)、錯(cuò)誤操作檢測(cè)來(lái)方便管理者訂制需要的事件告警,管理者也可以依據(jù)自身的安全需求訂閱相關(guān)的告警。
6、事件查詢和溯源
數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)提供安全事件查詢功能,基礎(chǔ)搜索查詢方式靈活方便,可直接查詢到包含關(guān)鍵詞的相關(guān)事件;高級(jí)搜索通過(guò)更加精準(zhǔn)的因子表達(dá)式,寫出多因子的搜索條件,可以更精準(zhǔn)的查詢到目標(biāo)事件。能夠針對(duì)某個(gè)登錄主題進(jìn)行從數(shù)據(jù)庫(kù)登錄到當(dāng)前操作的時(shí)間序列安全事件回溯,是真正基于數(shù)據(jù)庫(kù)會(huì)話的一致性回溯。也可以對(duì)某條安全事件進(jìn)行同類事件回顧,回溯相同的安全審計(jì)事件在歷史上的發(fā)生情況。
7、外部產(chǎn)品聯(lián)動(dòng)
外部的聯(lián)動(dòng)主要是針對(duì)分類分級(jí)的聯(lián)動(dòng)和對(duì)上安全管理中心的聯(lián)動(dòng)。
外部分類分級(jí)對(duì)接:通過(guò)對(duì)接外部分類分級(jí)系統(tǒng),將分類分級(jí)后的數(shù)據(jù)同步至本系統(tǒng)。并將同步過(guò)來(lái)的敏感標(biāo)簽同步至審計(jì)日志中。
安全管理中心聯(lián)動(dòng):可通過(guò)ServerLess機(jī)制快速定義API,無(wú)需定制開發(fā)就可以快速與其他產(chǎn)品以API的形式打通,可以接收其他產(chǎn)品的數(shù)據(jù),也可將數(shù)據(jù)傳輸給其他產(chǎn)品。ServerLess機(jī)制支持JAVA、Python等語(yǔ)言。
8、消息訂閱
數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)具有消息訂閱功能,支持短信、郵件、syslog形式的消息發(fā)送。消息訂閱可用于策略告警通知、報(bào)表定期發(fā)送。
9、合規(guī)報(bào)表
審計(jì)統(tǒng)計(jì)報(bào)表是數(shù)據(jù)庫(kù)安全審計(jì)常規(guī)化的關(guān)鍵功能支持,數(shù)據(jù)安全審計(jì)系統(tǒng)提供極為豐富的手段以支持用戶日常性的報(bào)表導(dǎo)出任務(wù),內(nèi)置了多種報(bào)表模板,基本涵蓋數(shù)據(jù)安全涉及的所有方面。例如:用戶畫像分析報(bào)表、數(shù)據(jù)庫(kù)審計(jì)風(fēng)險(xiǎn)分析報(bào)告,元數(shù)據(jù)溯源分析、薩班斯合規(guī)報(bào)表等。這些報(bào)表皆可進(jìn)行任務(wù)調(diào)度,以日?qǐng)?bào)、周報(bào)和月報(bào)的形式導(dǎo)出,并支持通過(guò)消息訂閱進(jìn)行定期發(fā)送。
四、產(chǎn)品優(yōu)勢(shì)
1、落實(shí)分類分級(jí)后的數(shù)據(jù)流動(dòng)監(jiān)測(cè)
數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)監(jiān)測(cè)產(chǎn)品通過(guò)和數(shù)據(jù)分類分級(jí)對(duì)接,能夠得到數(shù)據(jù)分級(jí)分類清單及標(biāo)簽,為后續(xù)針對(duì)數(shù)據(jù)級(jí)別緯度的監(jiān)測(cè)打好了基礎(chǔ)。后續(xù),可以根據(jù)庫(kù)、表、列中的數(shù)據(jù)標(biāo)簽,識(shí)別處數(shù)據(jù)的級(jí)別,并和人員權(quán)限做綁定。
可以針對(duì)人員數(shù)據(jù)訪問(wèn)情況(如A訪問(wèn)了數(shù)據(jù)庫(kù)的四級(jí)數(shù)據(jù))、敏感數(shù)據(jù)違規(guī)訪問(wèn)、敏感數(shù)據(jù)異常下載、用戶異常下載進(jìn)行等數(shù)據(jù)及敏感數(shù)據(jù)操作進(jìn)行審計(jì)和告警。
2、數(shù)據(jù)資產(chǎn)全生命周期管理
可以針對(duì)數(shù)據(jù)資產(chǎn)的生命周期進(jìn)行管理,主要包括:
? 敏感數(shù)據(jù)流向分析
? 敏感數(shù)據(jù)流入非敏節(jié)點(diǎn)
? 冷數(shù)據(jù)、熱數(shù)據(jù)TOP分析
? 敏感詞告警
? 元數(shù)據(jù)生命周期分析
? 數(shù)據(jù)通道違規(guī)
? 高敏數(shù)據(jù)違規(guī)使用
? 敏感數(shù)據(jù)分布與動(dòng)態(tài)變更分析
? 數(shù)據(jù)過(guò)度拉取
? 數(shù)據(jù)的新增,使用,銷毀趨勢(shì)
3、數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)全生命周期監(jiān)測(cè)
? 資產(chǎn)可視:通過(guò)對(duì)數(shù)據(jù)庫(kù)的分析,自動(dòng)識(shí)別數(shù)據(jù)庫(kù)、表、字段數(shù)量,對(duì)數(shù)據(jù)庫(kù)訪問(wèn)情況進(jìn)行梳理。
? 用戶可管:數(shù)據(jù)用戶梳理與風(fēng)險(xiǎn)分析
? 行為可控:根據(jù)給定事件,完整還原用戶事件,通過(guò)指定用戶,分析出該IP或用戶的訪問(wèn)基線
? 風(fēng)險(xiǎn)可知:審計(jì)所有操作,通過(guò)行為分析預(yù)知潛在風(fēng)險(xiǎn)。
? 溯源可查:根據(jù)給定的敏感數(shù)據(jù)或者敏感表追溯訪問(wèn)者、訪問(wèn)事件,流出數(shù)量。
? 運(yùn)營(yíng)可感:通過(guò)對(duì)數(shù)據(jù)資產(chǎn)全生命周期展示和用戶行為分析,體現(xiàn)較好的運(yùn)營(yíng)效果。
4、數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)全覆蓋
整理出與數(shù)據(jù)庫(kù)有關(guān)的風(fēng)險(xiǎn),將風(fēng)險(xiǎn)根據(jù)危害程度分成四個(gè)等級(jí),根據(jù)等級(jí)統(tǒng)計(jì)風(fēng)險(xiǎn)的數(shù)量,對(duì)數(shù)據(jù)庫(kù)的風(fēng)險(xiǎn)進(jìn)行全方位監(jiān)測(cè)。
5、多個(gè)緯度進(jìn)行精準(zhǔn)審計(jì)
? 精準(zhǔn)審計(jì)到操作人:通過(guò)應(yīng)用程序賬戶以及CA數(shù)字認(rèn)證和U盾,可以精確識(shí)別到操作自然人。
? 精準(zhǔn)審計(jì)到具體操作:用精確審計(jì)到操作庫(kù)對(duì)象、表對(duì)象;精確審計(jì)到具體的列對(duì)象;具體操作的SQL語(yǔ)句戶。
? 精確審計(jì)到三層終端:既可以精確審計(jì)到二層訪問(wèn)的終端,也可以精確審計(jì)到來(lái)自于三層B/S架構(gòu)下的瀏覽器終端信息,包括IP、用戶、應(yīng)用模塊。
? 精確審計(jì)到操作工具:精確識(shí)別連接數(shù)據(jù)庫(kù)連接工具,防止被假冒應(yīng)用注入或者數(shù)據(jù)竊取。
手機(jī):18925140249 公司地址:廣東省廣州市天河區(qū) 電 話:020-38915841 企業(yè)郵箱:business@yshsec.com |
|
020-38915841  |
聯(lián)系我們
在線留言
客服電話