数据库审计解决方案-
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《计算机信息系统安全等级保护数据库管理技术要求》
4.6安全审计 数据库管理系统的安全审计应: a) 建立独立的安全审计系统; b) 定义与数据库安全相关的审计事件; c) 设置专门的安全审计员; d) 设置专门用于存储数据库系统审计数据的安全审计库; e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具。
*
国内/传统数据库审计解决方案
目前国内数据库审计系统盲点
国内数据库审计产品多数是基于IDS产品改造而成,存在以下的盲点:
➢ 基于单个网络包,只能以SQL语句方式展现; ➢ 只能实现单包返回状态分析,不能实现对查询结果进行分析。 ➢ 超长SQL语句无法支持,提供逃避审计通道; ➢ 协议解码不完全(无会话技术就不可能完全解码); ➢ 变量绑定不支持或不完整(审计素材有用性缺失); ➢ 无法全部存储分析审计数据,记录之后,不能查询; ➢ 无法记录下原始数据包,缺乏最原始的审计依据; ➢ 事后报警,做不到事前防范,事中报警; ➢ 长会话记录分散记录,审计困难; ➢ 部分产品需要改变网络拓扑,甚至需要在数据库服务器上安装采集器,易造成安全漏洞。
*
国内/传统数据库审计解决方案
数据库监控审计乱象总结
《数据库审计乱象》——新编 用不熟,查不到; 难解码,容易逃。 抗压差,记不好; 搜不动,审个毛! 巧包装,被骗到。 拖后腿,不用了! 好产品,哪里找?
在选择安全产品时,我们都会习 惯性的首先关注国际上的明星产品。
这些产品技术成熟、功能稳定, 的确存有优势。但其逻辑复杂晦涩, 使用门槛很高。进行一些简单的配置 都让人望而生畏。购买了国外产品的 用户,往往因为操作习惯的迥异,并 没有真正的发挥产品的功能价值。
*
数据库现状及安全威胁
行业标准
行业百度文库
互联网服务商 电信行业
金融保险行业
国内上市企业 电力行业 医疗行业
法规标准
《互联网安全保护技术措施规定(82号令)》 《中国移动集团内控手册》 《中国移动业务支撑网安全域划分和边界整合技术规范》 《中国电信股份有限公司内部控制手册》 《中国网通集团信息质量问责管理若干规定 》 《中国网通集团内部控制体系建设指导意见 》 《银行业金融机构信息系统风险管理指引》 《商业银行合规风险管理指引》 《中国银行业监督委员会办公厅文件银监办通313号》 《保险公司内部审计指引(试行)》 《保险公司风险管理指引(试行)》 《电子银行安全评估指引(2007)》 《电子银行业务管理办法(2008)》 《期货公司信息技术管理指引》 《商业银行内部控制指引》——计算机信息系统的内部控制 《支付卡行业数据安全标准——要求和安全评估程序(2008)》 《深圳证券交易所上市公司内部控制指引 》 《上海证券交易所上市公司内部控制指引 》 《电力二次系统安全防护总体方案(2005)》 《国家电网公司信息化“SG186”工程安全防护总体方案(实行)(2008)》 《互联网医疗保健信息服务管理办法》(卫生部令第66号)
权限滥用
数据库
越权使用
外部用户
DBA 数据库开发人员 ……
误操作
恶意访问 黑客
互联网应用
……
*
数据库现状及安全威胁
目前数据库管理存在问题
• 无法有效分析数据来源,做到快速定位。 • 对关键数据的访问无记录,出现事故无法追踪。 • 对于黑客攻击,无法做到有效防范和攻击留痕。 • 不能实时监控对数据库的非法访问,没有预警。 • 非授权进入业务系统或误操作、越权操作,导致数据泄漏或被修改。 • 一旦数据库日志被清除,无法发现事故,无法做到事故定位。 • 没有数据库的完整审计记录,无法满足相关审计方面的要求。
*
数据库现状及安全威胁
法规遵从
国际标准
❖ 萨班斯法案 ❖ ISO27001
企业内部控制基本规范
第十五条 企业应当加强内部审计工作,保证内部审计机构设置、人员配备和 工作的独立性。
第四十四条 企业应当根据本规范及其配套办法,制定内部控制监督制度,明 确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职 责权限,规范内部监督的程序、方法和要求。
*
目录
数据库现状及安全威胁 传统/国内数据库审计解决方案 帕拉迪数据库安全监控审计解决方案 方案优势
案例分析
*
国内/传统数据库审计解决方案
数据库审计市场现状
✓ 数据库审计工作的基本需求,多数的产品不能完全满足。
实际满足
基本需求
*
国内/传统数据库审计解决方案
传统审计模式盲点
影响数据库性能; 记录可读性差; 日志不具备第三方独立性; 记录粒度不够,甚至无法记录SQL语句和绑定变量; 日志容易被清除或改写; 追溯事故原因及事故来源困难;
数据库审计解决方案
目录
数据库现状及安全威胁 传统/国内数据库审计解决方案 帕拉迪数据库安全监控审计解决方案 方案优势
案例分析
*
数据库现状及安全威胁
数据库安全威胁
内部威胁
根据最新研究显示,恶意内部人员和人为错误是对数据库安全的最大威 胁,而不是外部入侵者。
电信员工等23人出售手机用户信息被起诉, 23人被控出卖公民个人信 息。 ……
*
数据库现状及安全威胁
解决问题之路
加强行政制度的规范
从数据库运维及业务系统使用行为角度,制定相应的规范 和制度。通过强力的流程管理避免权限的越权及违规使用。
监控数据库访问过程
通过技术手段,实时了解数据库的使用情况。 筛选、记录核心数据的访问和使用过程。 及时对违规事件进行告警。
两者有效的配合,才是解决问题的根本方法!
外部威胁
花旗集团:黑客攻击影响客户超过36万 美军方承包商机密数据遭泄漏
……
*
数据库现状及安全威胁
十大数据库安全威胁
*
数据库现状及安全威胁
企业数据库现状
不了解数据库“被”怎么了!
缺少数据库行之有效的“分析审计依据“!
数据资产使用“有规无据”!
数据库访问“暗箱操作”,数据库访问不透明!
内部用户
另一方面,海外产品的设计初衷 是为了满足海外法规的要求,并没有 考虑到国内市场的实际需求。迫于处 理及存储的压力大量丢弃了其认为 “无用”的审计信息。在进行追溯时, 这些所谓“无用”细节信息就已经无 法查到。违背了审计的基本要求。
*
国内/传统数据库审计解决方案
数据库监控审计乱象总结
4.6安全审计 数据库管理系统的安全审计应: a) 建立独立的安全审计系统; b) 定义与数据库安全相关的审计事件; c) 设置专门的安全审计员; d) 设置专门用于存储数据库系统审计数据的安全审计库; e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具。
*
国内/传统数据库审计解决方案
目前国内数据库审计系统盲点
国内数据库审计产品多数是基于IDS产品改造而成,存在以下的盲点:
➢ 基于单个网络包,只能以SQL语句方式展现; ➢ 只能实现单包返回状态分析,不能实现对查询结果进行分析。 ➢ 超长SQL语句无法支持,提供逃避审计通道; ➢ 协议解码不完全(无会话技术就不可能完全解码); ➢ 变量绑定不支持或不完整(审计素材有用性缺失); ➢ 无法全部存储分析审计数据,记录之后,不能查询; ➢ 无法记录下原始数据包,缺乏最原始的审计依据; ➢ 事后报警,做不到事前防范,事中报警; ➢ 长会话记录分散记录,审计困难; ➢ 部分产品需要改变网络拓扑,甚至需要在数据库服务器上安装采集器,易造成安全漏洞。
*
国内/传统数据库审计解决方案
数据库监控审计乱象总结
《数据库审计乱象》——新编 用不熟,查不到; 难解码,容易逃。 抗压差,记不好; 搜不动,审个毛! 巧包装,被骗到。 拖后腿,不用了! 好产品,哪里找?
在选择安全产品时,我们都会习 惯性的首先关注国际上的明星产品。
这些产品技术成熟、功能稳定, 的确存有优势。但其逻辑复杂晦涩, 使用门槛很高。进行一些简单的配置 都让人望而生畏。购买了国外产品的 用户,往往因为操作习惯的迥异,并 没有真正的发挥产品的功能价值。
*
数据库现状及安全威胁
行业标准
行业百度文库
互联网服务商 电信行业
金融保险行业
国内上市企业 电力行业 医疗行业
法规标准
《互联网安全保护技术措施规定(82号令)》 《中国移动集团内控手册》 《中国移动业务支撑网安全域划分和边界整合技术规范》 《中国电信股份有限公司内部控制手册》 《中国网通集团信息质量问责管理若干规定 》 《中国网通集团内部控制体系建设指导意见 》 《银行业金融机构信息系统风险管理指引》 《商业银行合规风险管理指引》 《中国银行业监督委员会办公厅文件银监办通313号》 《保险公司内部审计指引(试行)》 《保险公司风险管理指引(试行)》 《电子银行安全评估指引(2007)》 《电子银行业务管理办法(2008)》 《期货公司信息技术管理指引》 《商业银行内部控制指引》——计算机信息系统的内部控制 《支付卡行业数据安全标准——要求和安全评估程序(2008)》 《深圳证券交易所上市公司内部控制指引 》 《上海证券交易所上市公司内部控制指引 》 《电力二次系统安全防护总体方案(2005)》 《国家电网公司信息化“SG186”工程安全防护总体方案(实行)(2008)》 《互联网医疗保健信息服务管理办法》(卫生部令第66号)
权限滥用
数据库
越权使用
外部用户
DBA 数据库开发人员 ……
误操作
恶意访问 黑客
互联网应用
……
*
数据库现状及安全威胁
目前数据库管理存在问题
• 无法有效分析数据来源,做到快速定位。 • 对关键数据的访问无记录,出现事故无法追踪。 • 对于黑客攻击,无法做到有效防范和攻击留痕。 • 不能实时监控对数据库的非法访问,没有预警。 • 非授权进入业务系统或误操作、越权操作,导致数据泄漏或被修改。 • 一旦数据库日志被清除,无法发现事故,无法做到事故定位。 • 没有数据库的完整审计记录,无法满足相关审计方面的要求。
*
数据库现状及安全威胁
法规遵从
国际标准
❖ 萨班斯法案 ❖ ISO27001
企业内部控制基本规范
第十五条 企业应当加强内部审计工作,保证内部审计机构设置、人员配备和 工作的独立性。
第四十四条 企业应当根据本规范及其配套办法,制定内部控制监督制度,明 确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职 责权限,规范内部监督的程序、方法和要求。
*
目录
数据库现状及安全威胁 传统/国内数据库审计解决方案 帕拉迪数据库安全监控审计解决方案 方案优势
案例分析
*
国内/传统数据库审计解决方案
数据库审计市场现状
✓ 数据库审计工作的基本需求,多数的产品不能完全满足。
实际满足
基本需求
*
国内/传统数据库审计解决方案
传统审计模式盲点
影响数据库性能; 记录可读性差; 日志不具备第三方独立性; 记录粒度不够,甚至无法记录SQL语句和绑定变量; 日志容易被清除或改写; 追溯事故原因及事故来源困难;
数据库审计解决方案
目录
数据库现状及安全威胁 传统/国内数据库审计解决方案 帕拉迪数据库安全监控审计解决方案 方案优势
案例分析
*
数据库现状及安全威胁
数据库安全威胁
内部威胁
根据最新研究显示,恶意内部人员和人为错误是对数据库安全的最大威 胁,而不是外部入侵者。
电信员工等23人出售手机用户信息被起诉, 23人被控出卖公民个人信 息。 ……
*
数据库现状及安全威胁
解决问题之路
加强行政制度的规范
从数据库运维及业务系统使用行为角度,制定相应的规范 和制度。通过强力的流程管理避免权限的越权及违规使用。
监控数据库访问过程
通过技术手段,实时了解数据库的使用情况。 筛选、记录核心数据的访问和使用过程。 及时对违规事件进行告警。
两者有效的配合,才是解决问题的根本方法!
外部威胁
花旗集团:黑客攻击影响客户超过36万 美军方承包商机密数据遭泄漏
……
*
数据库现状及安全威胁
十大数据库安全威胁
*
数据库现状及安全威胁
企业数据库现状
不了解数据库“被”怎么了!
缺少数据库行之有效的“分析审计依据“!
数据资产使用“有规无据”!
数据库访问“暗箱操作”,数据库访问不透明!
内部用户
另一方面,海外产品的设计初衷 是为了满足海外法规的要求,并没有 考虑到国内市场的实际需求。迫于处 理及存储的压力大量丢弃了其认为 “无用”的审计信息。在进行追溯时, 这些所谓“无用”细节信息就已经无 法查到。违背了审计的基本要求。
*
国内/传统数据库审计解决方案
数据库监控审计乱象总结