DAS_V2.2数据库审计安全技术白皮书

数据库审计安全技术白皮书

深信服科技股份有限公司

2017年7月

第一章产品概述

建立统一的数据库安全审计平台，对所有外部或是内部用户访问数据库的各种操作行为、内容，进行实时监控；对高危操作实时告警；对入侵和违规行为进行预警和告警，并能够指导管理员进行应急响应处理；对于所有行为能够进行事后查询、取证、调查分析，出具各种审计报表报告，产品技术方案必须符合对数据库服务器性能影响低、审计全面、实时告警、输出报表丰富、自定义程度高。

第二章平台架构

2.1平台整体架构

深信服DAS平台分为审计架构和存储架构架构。深信服的数据库审计架构支持web审计和数据库服务器的sql语句审计，其中web三层关联的实现是通过匹配web服务器与服务器建立连接时获取时间片的架构方式将web服务器和web服务器访问的数据库服务器关联起来，通过stbmr_pre_date接口嵌入到我们的底层框架再写入到深信服日志系统，另外sql语句的审计是通过自己研发编写的底层专利框架通过抽取数据中的sql语句串来解析sql语句长度、业务系统、网络元素、特征码等数据字段。

深信服日志存储系统是通过行式存储(row-store)和列式存储（column-store）策略来实现对数据的控制，首先数据在mem里面使用行存，但刷到硬盘之后，则使用列存，行列混存可以有效缓解不同的存储方式在不同的应用场景下对数据读取的速度降低，I/O开销过大问题，并且加载不需要的字段也会浪费了宝贵的缓存空间，降低缓存命中率，使得后续数据处理延迟导致系统的性能受到影响。

◆行列混存

2.2平台底层架构

深信服数据库审计一直极度关注用户价值和用户可视，在数据可视化呈现中深信服技术团队自主研创了多版本控制MVCC机制和MapReduce计算框架来支撑数据仓库视图和统计查询视图秒级返回。

◆MapReduce计算框架

◆MVCC多版本控制

◆工作流

第三章平台特点

3.1稳定性

深信服数据库审计平台支持硬件盒子和虚拟化部署，深信服的审计方式支持镜像交换机镜像和Agent方式监听SQL语句两种方式，数据库审计追踪产品有怎样的性能?相信对于这一问题，可能很多人都不了解吧。那么你有兴趣了解吗?接下来信服君就为大家介绍一下数

据库审计追踪产品的性能。

1、全面的数据库审计

能够针对目前主流的数据库的各种操作进行详细的、实时的记录，并以报表和数据库列表的形式呈现给客户!能够审计的内容包括：

(1)审计用户对数据库的登陆、注销;

(2)审计用户到数据库表的查询、插入、修改、删除、创建等操作;

(3)能够监控各类数据库的连接客户的操作;

(4)审计数据库返回值。

2、远程服务器操作审计

支持主流的远程服务器访问操作，包括对Telnet、FTP等操作的审计，能够全程记录远程访问用户的各种操作。

3、丰富的告警设置

系统拥有丰富的告警设置功能，用户可以自定义的设置各种告警事件，以及事件的类别。但数据库遭到攻击或破坏时，系统就会自动的告警出来。告警的级别分为：须知、次要、重要、严重四个级别。

3、灵活的审计策略

使用审计引擎对数据库服务器远程操作进行实时的、动态的审计，并根据审计到客户端、服务端信息，自定义策略，实现审计可视化、可管理行。

4、全面的数据安全专家

数据安全专家为数据库的安全性提供保障，它主要探针式的发现数据库存在的安全问题，并通过图表、报告的形式将其展现给数据管理员看，是管理员能够快速的遭到安全隐患，已达到还原现场的目的。

5、全面的报表功能

可以针对多个模块进行报表统计，根据网络流量、数据库操作的次数、报警时间进行统计报表。

3.2易用性

一款优秀的数据库审计产品于，必须从两个维度出发，因为直接针对数据库进行安全审计，数据库通讯协议和SQL语句精准解析是关键条件，这个先决条件直接决定了数据库审计产品审的准不准的问题，这也是为什么很多网络安全厂商虽然也在做，但声量大，用户测试与使用过程中反馈效果一般的原因。深信服数据库审计产品最终是为满足用户基于数据库层面的业务需求，因此，数据库审计产品概念高度聚焦于数据库业务界面化清晰、审计操作过程易用、数据库可视化与数据库关系分析能力、审计报表精细化、一站式部署，并且这些条件决定了数据库审计产品易用性的问题。

3.3开放性

深信服数据库产品使用自主开发的存储系统，保障审计数据的安全灾备，支持对数据库、Web服务器的7要素全面审计Who,What,

When,Where,How,Range,Result，适配支持物理环境、虚拟化、云环境的部署，支持Agent插件方式审计，支持各类SQL语句元素的精细配置，旁路方式部署，DPDK递进阻断方式提升旁路阻断效果。

3.4组件化

模块与模块之间通过组件方式存在，处理逻辑不存在依存关系，可避免数据之间的误处理导致数据的丢失或者漏审计，深信服将后台程序以组件化的方式组合，形成了数据库审计引擎、控制台等模块，并且保证了数据之间的可靠性以及程序设计的合理性。

3.5联动性

深信服数据库审计产品支持多元化的联动策略，与AF组合支持数据库威胁分析，特有的数据库泄密可通过webshell攻击途径分析受攻击的业务系统、风险次数、数据库泄密统计等。与AC和BA(即：数据安全系统)组合则可实现数据库多元化的可视，包括数据库访问关系可视、高危操作、敏感信息、登录失败/访问次数等视图分析。

第四章技术参数

4.1Agent审计兼容性参数

4.2Vdas数据库审计参数

第五章特色功能

5.1数据库访问关系可视化

深信服数据库可视化是针对数据库系统、业务系统、运维人员、互联网接入四大维度进行自动建立访问关系，针对高危操作类型、访