数据库审计系统PPT

5、查看报表，并且可以将报 表导出
数据库状态监控模块
用线图、表格、图表等形式直观的展现数据库的配置信息和运行状 态 1、在通用配置数据库加固点中添加数 据库状态监控
2、查看数据库状态监控信息，监控信息 可以导出报表
数据库透明加密模块
防止数据存储介质丢失、DBA权限泄漏、直接复制文件等情况造 成的数据泄密。 1、登录安全管理员=》通用配置=》添加 数据库加固点 2、以系统管理员登录系统，添加需要进行 加密的数据源；添加完成之后在需要加密 的数据库上安装加密程序 3、导入需要加密的表。
配置扫描引擎续一
2、凭证：即数据扫描的范围，可 以根据服务扫描结果进行设定，也 可以自定义进行设置。 3、高级：设置要扫描的敏感数 据，在系统中有内置的12种敏感 数据，也可以根据需要进行自定 义添加。
4、启动扫描
配置扫描引擎续二
5、在数据发现下查看数据发现结 果
6、查看数据扫描概要信息
风险扫描模块
东软NetEye数据库 审计系统PPT
东软公司
Copyright © 2015 Neusoft Corporation
数据库面临的风险及产品需求
面临的风险 产品需求
完整的数据库审计 遭受攻击
存在安全漏 洞
信息泄露 篡改
对违规事件提示告警
对故障原因定位分析 数据库故障 业务
中断
数据库优化
功能概述
• 会话 • 操作 • 告警 • 邮件告警 • 网页告警
可以使用fire1的IP进行WEB管理。
数据发现模块
设备数据发现分为服务扫描和数据扫描两大功能，可分别用于扫描网络中存在 的服务以及核心敏感数据。 服务扫描引擎 1、服务引擎配置 将扫描到的设备自动添加到 加固点。 设置扫描的网段。本网段：只 扫描与设备同网段的服务；选 择IP地址组：选择在高级中添 加的IP地址组。设定网段：手 动指定扫描的网段。 指定扫描的端口范围，内置 有两个端口组；也可以在高 级中手动设置。 选择要扫描的服务类型。
通过制定和执行安全策略，可以扫描出从口令过于简单，权限控制到系 统配置等一系列问题，生成易于用户理解的报告，并且对于违背和不遵 循安全性策略的做法提供可行性建议。 1、添加策略组，可以从内置的策略中选择所关心的安全策略。
2、弱口令检测：检测数据库是 否存在过于简单的密码问题
风险扫描模块续一
3、启动风险扫描，对数据库进行风险扫 描 4、风险扫描完成后自动生成报表，存 放在历史报表中。
对数据库进行的除增删改查之外的其 他一些操作的匹配，如授权操作grant.
规则配置说明续
用于匹配用户登录、退出 成功与失败。
与系统设备和敏感数据扫 描模块下的敏感数据发现 结合使用。 执行失败的SQL语句的匹 配审计。 关键字（词） 在防火墙模式下对某些语 句进行替换，格式为：原 词/替换词 多个替换词之间使用回车
*缓存策略设置在通用配置=》采集 器配置模块下。
规则的优先级
4.3对于策略，规则的解释 在策略下添加规则有四种类型，若同一条策略下有多条规则；那么匹 配的优先级为：黑名单=白名单=优先级>无优先级 若有多条无优先级的默认规则那匹配的顺序为从上往下，切默认规则 可以上下调整顺序。
黑名单（阻断，记录，具有优先级） 白名单（通过，不记录，具有优 先级） 优先级（优先匹配，具有优先级） 默认规则(无优先级)默认规则：可以调换，可以设置很多条；若有多条 默认规则，在上者优先匹配。 黑白名单优先级规则都是具有优先级的当一条策略中有多条具有优先级 的规则的时候匹配顺序从上往下，命中则停止匹配。
数据库防火墙模块续一
4、添加数据库加固点，通用配置 ==》数据库加固点。添加加固点 后添加审计与防火墙功能。
5、添加规则防火墙策略 规则（同审计策略规则） 添加一条策略对查询行为 进行阻断。
数据库防火墙模块续二
6、执行一条select语句查看审计日志 信息
可以看到此条对数据库发起的select语句被成阻断了。还有更多阻 断策略组合请参照数据库审计策略规则进行设置。
零风险部署
操作界面展示
我的导航
IE窗口式设计
配置审计策略
3、策略 配置 3.1进入审计与防火墙=》策 略中心进行策略配置，点击 添加策略。 3.2在添加的策略下面添加规则。
3.3设置delete（删除操作） 为高风险。
默认规则
4、数据库审计 – 其他说明 4.1、在规则中若如右图 设置一条默认规则，代表 对于数据库的所有访问都 是记录的。若无审计信息 就要看一下这里是否配置 了规则。 4.2、若无最新流量请查看数 据库引擎是否启动，缓存策 略是否改为了1条，所添加的 策略是否应用到了数据库引 擎。
数据库防火墙模块
1、数据库防火墙模块 提供屏蔽、访问控制、阻断功能。 2、设备连接方式
应用服务器 NetEye数据安全平台 DB服务器
2.1防火墙模式将设备串接在网络中在数据库服务器之前，设 备默认第一个、第二个网口为防火墙接口。
2.2在防火墙模式下，WEB页面管理IP使用fire1的IP地址。 3、给fire1配置IP地址。 登录系统管理员进入系统配置=>系统配置=>接口配置=>访 问控制防火墙多路设置。编辑给fire1填写一个IP地址，此IP 地址与eth3管理口IP不可在同一个网段。
数据发现模块续
2、高级配置 自定义添加IP地 址组 自定义添加 端口组
3、开启服务扫描功能 4、在服务下查看服务 扫描结果
配置扫描引擎
数据扫描引擎 1、数据扫描引擎配置
将扫描的敏感 数据自动应用 到规则中 敏感数据类型， 也可以在高级 中自定义敏感 数据类型 设置要扫描的 数据库 设置要扫描的数据库 表
审计数据 数据库 完整审计
策略设置 数据库管理员
协议分析
策略匹配
网页告警 邮件告警
专家系统
• 数据库健康体检 • 故障点场景还原 • 失败SQL分析
数据安全专家
• 攻击行为分析 • 越权操作分析 • 安全状态分析
• 时间优化
• 内容优化
故障诊断专家
系统优化专家
故障诊断专家
数 据 库 健 康 体 检
数据库防火墙模块续三
7、其它注意事项 先用两台PC分别接设备的eth0、eth1进行模拟测试，若网络能通并可 以正常审计阻断则把设备接入实际网络中。 接入实际网络环境，进行测试；观察网络是否通畅，在检索中查看最新 流量是否有数据。
硬件具有Bypass功能，若设备发生故障，如断电等情况，会自动进入全 通状态。fire1的IP与eth3也就是默认WEB管理IP不能在同一个网段。
数据库透明加密模块续一
4、以安全管理员登录，进入数 据库加密模块配置写入保护。
5、选择需要加密的数据表的行或列进行 写入保护操作。
6、加密完成后查看数据库加密表信 息。 对第四列，二、三行 进行加密 明 文 密 文
数据库透明加密模块续二
7、对加密后的表对system用户授予select权限，授权后执行select * from asptt.table1，将会得到明文信息;
全局参数配置
4.4全局参数配置
对应策略配置下的目标表、 表组两个概念；表组是多 个表的集合,用于匹配SQL 语句同时关联多张表的情 况。 存储过程是在数据库端用 于完成特定操作的SQL语 句集，在调用存储过程的 时候是使用的存储过程名， 这里要填写使用的就是存 储过程名。 数据库列就是数据库表的 列名
8、使用asptt用户登录，执行select * from table1。作为未经授权的账号，系统将反馈 加密后的乱码；
9、表授权：对表的访问权限按照程序名， IP地址，时间范围等信息进行授权管理。
产品特点
高稳定性 高效性
人性化
NetEye DBA 数据库审计系统
完备性
零风险
精确性
Thanks
Copyright © 2015 Neusoft Corporation
数据库Schema集：对于 Oracle可理解为多张表的 集合，对于Mysql数据库 就是数据库名，对于 Sqlserver数据库 Schema就是架构。
规则配置说明
4.5规则配置说明 通过对数据库访问的各种特征如SQL 来源IP、SQL访问的目标数据库表等， 来组合设置访问匹配规则；达到对数 据库细粒度的访问审计记录告警或进 行访问控制。 增、删、改、查、特权操作、登录、 登出。 一条对数据库的SQL操作，同时（操 作）影响数据库的行数。
数据库行
为审计
安全策略
设置
专家系统
• 故障诊断专家 • 数据安全专家 • 性能分析专家
统计报表
• 数据库 • 用户
数据库访问审计
审计记录
统计报表
异常告警
DBA实时监控
MS SQL
Oracle
DB2
Sybase
MySQL Informax
ftp
telnet
Who
When
Where
What
审计策略设置
系统优化专家
时间
Fra Baidu bibliotek
优化
业务操作趋势 数据库压力趋势
内容 优化
资源-SQL分析 SQL耗时分析
统计报表
数据库统计 时间走势 流量统计 用户统计 告警统计 操作统计
精准的协议与应用分析
IP数据头
源地址 目的地址
IP数据内容
TDS、TNS\DRDA\MYSQL\
L2-L4检测：网络层感知
L7检测：应用层感知
故障诊断专家
故障点场景还原
• 发现时间
• 故障原因 • 数据库状态 • 会话记录 •操作记录 •FTP/Telnet •业务 •失败SQL
失败SQL分析
• 时间
• 错误消息
• 耗时
数据安全专家
• 暴力登录 • SQL注入分析
攻击行为分析
越权操作分析
• 越权访问扫描
• 可疑端口
安全状态分析
• 可疑进程 • 危险操作