數據庫審計與風險控制解決方案

作者：比特 2009-03-31 11:57:52

數據庫是企業核心業務開展過程中最具有戰略性的資產，通常都保存著重要的商業伙伴和客戶信息，這些信息需要被保護起來，以防止競爭者和其他非法者獲取。

1 概述

1.1 數據庫面臨的安全挑戰

數據庫是企業核心業務開展過程中最具有戰略性的資產，通常都保存著重要的商業伙伴和客戶信息，這些信息需要被保護起來，以防止競爭者和其他非法者獲取。互聯網的急速發展使得企業的數據庫信息價值及可訪問性得到了提升，同時，也致使數據庫信息資產面臨嚴峻的挑戰，概括起來主要表現在以下三個層面：

管理層面：主要表現為人員的職責、流程有待完善，內部員工的日常操作有待規范，第三方維護人員的操作監控失效等等，致使安全事件發生時，無法追溯并定位真實的操作者。

技術層面：現有的數據庫內部操作不明，無法通過外部的任何安全工具(比如：防火墻、IDS、IPS等)來阻止內部用戶的惡意操作、濫用資源和泄露企業機密信息等行為。

審計層面：現有的依賴于數據庫日志文件的審計方法，存在諸多的弊端,比如:數據庫審計功能的開啟會影響數據庫本身的性能、數據庫日志文件本身存在被篡改的風險，難于體現審計信息的真實性。

伴隨著數據庫信息價值以及可訪問性提升，使得數據庫面對來自內部和外部的安全風險大大增加，如違規越權操作、惡意入侵導致機密信息竊取泄漏，但事后卻無法有效追溯和審計。

1.2 數據庫審計的客觀需求

數據庫審計與風險控制的目的概括來說主要是三個方面：一是確保數據的完整性;二是讓管理者全面了解數據庫實際發生的情況;三是在可疑行為發生時可以自動啟動預先設置的告警流程，防范數據庫風險的發生。因此，如何采取一種可信賴的綜合途徑，確保數據庫活動記錄的100%捕獲是極為重要的，任何一種遺漏關鍵活動的行為，都會導致數據庫安全上的錯誤判斷，并且干擾數據庫在運行時的性能。只有充分理解企業對數據庫安全審計的客觀需求，才能夠給出行之有效的解決方案：

捕捉數據訪問：不論在什么時間、以什么方式、只要數據被修改或查看了就需要自動對其進行追蹤;

捕捉數據庫配置變化：當“數據庫表結構、控制數據訪問的權限和數據庫配置模式”等發生變化時，需要進行自動追蹤;

自動防御：當探測到值得注意的情況時，需要自動啟動事先設置的告警策略，以便數據庫安全管理員及時采取有效應對措施，對于嚴重影響業務運行的高風險行為甚至可以立即阻斷;

審計策略的靈活配置和管理：提供一種直截了當的方法來配置所有目標服務器的審計形式、具體說明關注的活動以及風險來臨時采取的動作;

審計記錄的管理：將從多個層面追蹤到的信息自動整合到一個便于管理的，長期通用的數據存儲中，且這些數據需要獨立于被審計數據庫本身;

靈活的報告生成：臨時和周期性地以各種格式輸出審計分析結果，用于顯示、打印和傳輸;

1.3 現有的數據庫審計解決方案的不足

傳統的審計方案，或多或少存在一些缺陷，主要表現在以下幾個方面：

傳統網絡安全方案：依靠傳統的網絡防火墻及入侵保護系統(IPS)，在網絡中檢查并實施數據庫訪問控制策略。但是網絡防火墻只能實現對IP地址、端口及協議的訪問控制，無法識別特定用戶的具體數據庫活動(比如：某個用戶使用數據庫客戶端刪除某張數據庫表);而IPS雖然可以依賴特征庫有限阻止數據庫軟件已知漏洞的攻擊，但他同樣無法判別具體的數據庫用戶活動，更談不上細粒度的審計。因此，無論是防火墻，還是IPS都不能解決數據庫特權濫用等問題。

基于日志收集方案：需要數據庫軟件本身開啟審計功能，通過采集數據庫系統日志信息的方法形成審計報告，這樣的審計方案受限于數據庫的審計日志功能和訪問控制功能，在審計深度、審計響應的實時性方面都難以獲得很好的審計效果。同時，開啟數據庫審計功能，一方面會增加數據庫服務器的資源消耗，嚴重影響數據庫性能;另一方面審計信息的真實性、完整性也無法保證。

其他諸如應用程序修改、數據源觸發器、統一認證系統授權等等方式，均只能記錄有限的信息，更加無法提供細料度的數據庫操作審計。

1.4 本方案解決的數據庫安全問題

為了解決企業數據庫安全領域的深層次、應用及業務邏輯層面的安全問題及審計需求，杭州安恒信息技術有限公司依靠其對入侵檢測技術的深入研究及安全服務團隊積累的數據庫安全知識，研制并成功推出了全球領先的、面向企業核心數據庫的、集“全方位的風險評估、多視角的訪問控制、深層次的審計報告”于一體的數據庫審計與風險控制設備，即明御數據庫審計與風險控制系統，為企業核心數據庫提供全方位安全防護。

在企業業務支撐網絡中部署了明御數據庫審計與風險控制系統，可以實現企業核心數據庫的“系統運行可視化、日常操作可跟蹤、安全事件可鑒定”目標，解決企業數據庫所面臨的管理層面、技術層面、審計層面的三大風險,以滿足企業的不斷增長的業務需要。明御數據庫審計與風險控制系統對于企業數據庫的安全防護功能，概括起來體現在以下三個方面：

首先：明御數據庫審計與風險控制系統采用“網絡抓包、本地操作審計”組合工作模式，結合安恒專用的硬件加速卡，確保數據庫訪問的100%完整記錄，為后續的日常操作跟蹤、安全事件鑒定奠定了基礎。

其次：明御數據庫審計與風險控制系統通過專利級的雙引擎技術，一方面利用數據庫安全研究團隊多年積累的安全知識庫，防止無意的危險誤操作，阻止數據庫軟件漏洞引起的惡意攻擊;另一方面，依賴智能自學習過程中動態創建的安全模型與異常引擎相結合，有效控制越權操作、違規操作等異常操作行為。

再者：明御數據庫審計與風險控制系統依賴其獨特的數據庫安全策略庫，可以深入到應用層協議(如操作命令、數據庫對象、業務操作過程)實現細料度的安全審計，并根據事先設置的安全策略采取諸如產生告警記錄、發送告警郵件(或短信)、提升風險等級、加入黑名單、立即阻斷等響應。同時，明御數據庫審計與風險控制系統可以提供多視角的審計報告，即根據實時記錄的網絡訪問情況，提供多種安全審計報告，更清晰地了解系統的使用情況以及安全事件的發生情況，并可根據這些安全審計報告進一步修改和完善數據庫安全策略庫。

#p#

2 方案總體結構

2.1 主要功能

如下圖所示，數據庫審計與風險控制系統主要的功能模塊包括“靜態審計、實時監控與風險控制、動態審計(全方位、細粒度)、審計報表、安全事件回放、審計對象管理、系統配置管理管理”幾個部分。

2.1.1 數據庫靜態審計

數據庫靜態審計的目的是代替繁瑣的手工檢查,預防安全事件的發生。數據庫審計與風險控制系統依托其權威性的數據庫安全規則庫，自動完成對幾百種不當的數據庫不安全配置、潛在弱點、數據庫用戶弱口令、數據庫軟件補丁、數據庫潛藏木馬等等靜態審計，通過靜態審計，可以為后續的動態防護與審計的安全策略設置提供有力的依據。

2.1.2 實時監控與風險控制

數據庫審計與風險控制系統可保護業界主流的數據庫系統，防止受到特權濫用、已知漏洞攻擊、人為失誤等等的侵害。當用戶與數據庫進行交互時，數據庫審計與風險控制系統會自動根據預設置的風險控制策略，結合對數據庫活動的實時監控信息，進行特征檢測及審計規則檢測，任何嘗試的攻擊或違反審計規則的操作都會被檢測到并實時阻斷或告警。

2.1.3 數據庫動態審計

數據庫審計與風險控制系統基于“數據捕獲→應用層數據分析→監控、審計和響應” 的模式提供各項安全功能，使得它的審計功能大大優于基于日志收集的審計系統，通過收集一系列極其豐富的審計數據，結合細粒度的審計規則、以滿足對敏感信息的特殊保護需求。

數據庫動態審計可以徹底擺脫數據庫的黑匣子狀態，提供4W(who/when/where/what)審計數據。通過實時監測并智能地分析、還原各種數據庫操作，解析數據庫的登錄、注銷、插入、刪除、存儲過程的執行等操作，還原SQL操作語句;跟蹤數據庫訪問過程中的所有細節，包括用戶名、數據庫操作類型、所訪問的數據庫表名、字段名、操作執行結果、數據庫操作的內容取值等。

全方位的數據庫活動審計：實時監控來自各個層面的所有數據庫活動。如：來自應用程序發起的數據庫操作請求、來自數據庫客戶端工具的操作請求、來自數據庫管理人員遠程登錄數據庫服務器產生的操作請求等。

完整的雙向審計：除可實時監控數據庫的請求操作以外，還可以實時監控所有請求操作后數據庫的回應信息，如命令執行情況，錯誤信息等。

潛在危險活動重要審計：提供對DDL類操作、DML類操作的重要審計功能，重要審計規則的審計要素可以包括：用戶、源IP地址、操作時間(任意天、一天中的時間、星期中的天數、月中的天數)、使用的SQL操作類型(Select/Delete/Drop/Insert/Update)。當某個數據庫活動匹配了事先定義的重要審計規則時，一條報警將被記錄以進行審計。

重要審計規則設置：

重要審計結果展示：

敏感信息細粒度審計：對業務系統的重要信息，提供完全自定義的、精確到字段及記錄內容的細粒度審計功能。自定義的審計要素包括登錄用戶、源IP地址、數據庫對象(分為數據庫用戶、表、字段)、操作時間段(本日、本周、本月、最近三小時、最近十二小時、最近二十四小時、最近七天、最近三十天、任意時間段)、使用的SQL操作類型(select/delete/drop/insert/update/create/turncate)、記錄內容。

根據操作類型及記錄內容進行細粒度審計：

細粒度審計結果展示：

遠程ftp操作審計與回放：對發生在數據庫服務器上的ftp命令進行實時監控、審計及回放。審計的要素包括：ftp用戶、ftp客戶端IP地址、命令執行時間段(本日、本周、本月、最近三小時、最近十二小時、最近二十四小時、最近七天、最近三十天、任意時間段)、執行的ftp命令(get/put/ls等等)。

#p#

自定義ftp操作審計：

ftp審計結果展示：

ftp回放：

遠程telnet操作審計與回放：對發生在數據庫服務器上的Telnet命令進行實時監控、審計及回放。審計的要素包括：telnet用戶、telnet客戶端IP地址、命令執行時間段(本日、本周、本月、最近三小時、最近十二小時、最近二十四小時、最近七天、最近三十天、任意時間段)、telnet登錄后執行的系統命令(login/pwd/root等等)。

自定義telnet操作審計：

telnet操作審計結果展示：

會話分析與查看：單個離散的操作(Sql操作、ftp命令、telnet命令)還不足于了解用戶的真實意圖，一連串的操作所組成的一個完整會話展現，可以更加清晰地判斷用戶的意圖(違規的\粗心的\惡意的)。

Telent操作審計會話查看：

2.1.4 審計報表

數據庫審計與風險控制系統內嵌了功能強大的報表模塊，除了按安全經驗、行業需求分類的預定義固定格式報表外，管理員還可以利用報表自定義功能生成定制化的報告。報告模塊同時支持Word、Excel、PowerPoint、Pdf格式的數據導出。系統缺省提供以下報表：

數據庫攻擊源統計示意圖：

數據庫操作審計示意：

同時提供靈活的格式報表功能，可以方便的根據業務邏輯來動態格式化報表元素，提供強大的樣式定義，對于熟悉CSS的設計人員來說，可以設計出相當出色的報表樣式。

#p#

2.1.5 安全事件回放

允許安全管理員提取歷史數據，對過去某一時段的事件進行回放，真實展現當時的完整操作過程，便于分析和追溯系統安全問題。

很多安全事件或者與之關聯的事件在發生一段時間后才引發相應的人工處理, 這個時候, 作為獨立審計的數據庫審計與風險控制系統就發揮特別的作用. 因為所有的FTP、telnet、客戶端連接等事件都保存后臺(包括相關的告警), 對相關的事件做定位查詢，縮小范圍，使得追溯變得容易;同時由于這是獨立監控審計模式, 使得相關的證據更具有公證性。

Sql操作回放示意圖：

telnet命令回放示意圖：

2.1.6 綜合管理

數據庫審計與風險控制系統提供WEB-base的管理頁面，數據庫安全管理員在不需要安裝任何客戶端軟件的情況下，基于標準的瀏覽器即可完成對數據庫審計與風險控制系統的相關配置管理，主要包括“審計對象管理、系統管理、用戶管理、功能配置、風險查詢”等。

下圖為審計對象配置示意圖：

下圖為系統配置示意圖：

下圖為風險查詢示意圖：　

#p#

2.2 審計流程

明御數據庫審計與風險控制系統數據庫審計流程如下圖所示：

2.2.1 審計數據采集

明御數據庫審計與風險控制系統審計數據采集的方式包括：網絡抓包、本地操作審計，采集的內容主要包括：

賬號登錄行為數據：采集對賬號登錄動作的審計。具體包括：

賬號名稱、登錄成功或登錄失敗、用戶終端IP/ID、登錄時間等;

對異常動作的審計記錄，應記錄越權企圖、用戶終端IP/ID、登錄時間等;

賬號登錄后各種操作記錄，記錄各種操作的操作人員、操作時間、操作內容，具體包括：

對數據庫的一般操作記錄;

對關鍵數據的操作記錄;

數據庫特殊命令的操作記錄

明御數據庫審計與風險控制系統對審計數據的采集大多數情況下是通過網絡獲取，由于其采用了專用硬件加速接口卡，可以在千兆環境下線速捕獲，因此保證了明御數據庫審計與風險控制系統具備交換機一樣的高吞吐量和低延時、并且確保了審計信息的不會丟失。

2.2.2 審計數據標準化

審計數據來源自多種方式采集的數據，而這些數據定義的格式不盡相同。所以，審計數據的標準化就必須把這些不同格式的事件轉化成標準格式，然后寫入審計數據庫。在標準化的過程中，也需要對多種方式采集的數據進行排重處理。

2.2.3 審計數據歸并

對于標準化處理后的審計數據必須對某些數據進行歸并(會聚)。歸并規則，就是在什么情況下，滿足什么條件，對哪些字段進行歸并。事件歸并功能可以對海量的審計數據依據歸并條件進行歸并，達到簡化審計數據，提高審計數據準確率。

審計數據歸并規則包含以下屬性：

歸并字段：歸并處理的審計數據字段，所列字段內容相同的審計數據才進行歸并;

歸并時間：歸并審計數據的時間窗口，指多長時間進行一次歸并;

歸并數目：需要歸并事件的數量，指多少事件進行一次歸并;

對被歸并審計數據的處理方式：被歸并的審計數據以何種方式進行處理;

被歸并審計數據的處理方式：

丟棄：直接將被歸并審計數據全部丟棄，不寫入數據庫;

寫入數據庫：將被歸并審計數據全部寫入數據庫;

通過預設歸并規則的模板，方便對海量審計數據的歸并，明御數據庫審計與風險控制系統提供以下預設模板：

根據審計數據名稱進行歸并分析;

根據審計數據的類型進行歸并分析;

根據審計數據的原始時間進行歸并分析;

根據受審計的設備類型進行歸并分析;

#p#

2.2.4 安全事件關聯

通過安全事件關聯功能，來深度挖掘安全隱患、判斷審計數據的嚴重程度，包括關聯分析的類型和關聯分析規則的內容。

基于時序關聯規則：將賬號的登錄行為和賬號各種業務操作行為根據時序進行關聯。通過時序關聯，形成某一個賬號連續的登錄行為和操作行為，根據制定審計策略判斷其是否業務操作習慣;根據時序關聯判斷執行每個業務操作的賬號是否具有正常的登錄記錄等;

基于賬號與重要操作行為的關聯：將對數據庫系統的重要業務操作時所使用的賬號信息進行關聯，用來判斷該賬號是否正常使用;判斷該賬號是否具有該項權限所對應的權限范圍，是否為合法用戶等等。

基于賬號與權限關聯：將賬號應該對應的權限與實際系統中賦予的權限進行關聯，用來審計賬號的訪問權限是否合理;查詢資源的授權訪問者，權限的分配時間、分配者等是否和審批的一致。

2.2.5 審計結果呈現

審計數據的呈現與安全風險管理是密切相關的。明御數據庫審計與風險控制系統提供對審計數據進行實時監控和實時展現。在審計數據的展現或響應中，可以支持郵件、彈出窗口、syslog、SNMP Trap、手機信息、聲音報警等多種方式。

2.2.6 靈活的報告展現

明御數據庫審計與風險控制系統內嵌了功能強大的報表模塊，除了按安全經驗、行業需求分類的預定義固定格式報表外，管理員還可以利用報表自定義功能生成定制化的報告。報告模塊同時支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式的數據導出。支持兩種報表生成模式，即預置固定格式的報表、用戶自定義報表：

通過預置固定格式的報表：可快速查看安全告警、SOX審計、設備性能以及應用系統受攻擊情況。

靈活的條件格式定義，可以方便的根據業務邏輯來動態格式化報表元素，同時提供強大的樣式定義，對于熟悉CSS的設計人員來說，可以設計出相當出色的報表樣式。