数据安全---数据监控和审计系统

杭州帕拉迪 –数据库审计系统不足：
没有内部的用户审计和控制； 没有对用户权限的分析和监控；
21
6.中创软件的审计产品
InforGuard审计系统：
以网络审计方式为主，同时兼顾数据库本地审计 对数据库的查询、新增、删除、修改、授权等各种操作行为进行
解析和智能关联，并提供多种灵活方便的查询方法、统计报表， 供数据库管理者查询、分析和决策。 目前对ORACLE、MS SQLServer、Sybase等各种主流数据库进行 审计 。
的各种命令操作，比如SQL语句、实用程序及Network 访问等。 弱点是：增加RDBMS本身的负载，主要是降低系统 性能和占用数据库系统的存储空间
第三方 审计产品：
一般都提供基于旁路设备的审计技术 不影响(很少影响)RDBMS系统的性能(零负载) 但是：不能对数据库内部人员的直接操作的审计，比
主要是针对不同软件存在的缺陷进行检查； 目前出现许多不同环境的漏洞扫描软件，如一个基于
Web的网络漏洞扫描系统、；
24
0.数据库安全术语
取证分析(forensics )：
证据分析Forensics analyze
流氓软件(rogue application )：
主要是指那些用于破坏对方软件系统，导致系统瘫痪
审计与分析：
数据库权限审计 数据库配置审计 数据库操作审计(select/DML/DDL...) 远程访问安全审计(telnet/ftp/sqlplus)
20
5.杭州帕拉迪审计产品
杭州帕拉迪 –数据库审计系统：
针对外来用户的控制； 对网络和OS操作的监控； 审计-记录的操作人员的基本信息； 部分数据传输的加密.
28
安全知识
法规遵循问题：
Sarbanes； 满足需求的IT 控制：COSO/COBIT
防范内部威胁：
大部分的威胁未被发现 外包的趋势 客户想监控内部人员或DBA
29
数据库审计面临的挑战
数据审计面临的问题：
管理审计数据(审计数据的安全性、大规模审计数据的
管理、审计数据的归档) 分析、报告审计数据 与 监控审计数据
如，防火墙、网关过滤设备等） ； 尽管这些工具在保护设备和基础架构方面很有效，在保 护数据本身方面却几乎无能为力。结果是：敏感数据还 是存在风险 ；
5
人为因素导致数据被窃
高权限用户的错误操作，删除或损坏了关键的业 务数据 系统维护人员或高权限的超级用户，私自在后台 查看、窃取、甚至恶意破坏业务数据
Imperva不足：
没有内部的用户审计和控制； 没有对用户权限的分析和监控；
16
3. DB Audit Expert产品
DB Audit export产品：
DB Audit Expert是专业的集所有功能于一身
Oracle,Sybase,DB2,MS SQL和MySQL数据库安全和审 计解决方案
安恒审计系统-多层监控审计：
应用系统发起的数据库操作请求、来自数据库客户端
工具 的操作请求以及通过远程登录服务器后的操作请 求等
19
4.杭州安恒-DBAuditor审计功能
风险评估：
软件风险 配置风险 操作风险
监控与保护：
用户行为监控、权限监控、元数据监控 对象监控、事务监控、远程访问监控 实时告警或阻断
数据安全
数据监控和审计系统
内容提要
当前数据安全状况分析；
数据库审计产品情况.
数据保护与审计相关知识
2
数据安全认识误区
误区1：有了防火墙系统就是安全的：
事实：40％的Internet被入侵案例，系统都配备了防火
墙。
误区2：黑客导致大部分的安全隐患：
事实：80％的数据丢失都是由内部造成的，尤其是拥
主要是对数据库操作用户的监控，包括用户活动的捕
获、跟踪及阻断等； 数据库监控与预防攻击是一种主动式安全方法；
26
0.数据库安全知识
主动式入侵预防技术：
入侵预防技术-Intrusion Prevention System (IPS)； 典型产品有TippingPoint IPS产品
入侵检测：
10
0.Oracle系统安全与审计
Oracle Audit Vault 产品：
与11g版本一起推出，是Oracle database Vault的一部分； Audit Vault 可在9i/10g/11g 版本上运行； 。
11
0.Oracle系统安全与审计
Oracle Audit Vault 启用与CPU占用率(CPU Overhead)：
一般审计：DML审计、使用资源审计、系统权限审计； FGA：对表、视图列或行的控制审计； 触发方法审计； 不足：不能防止DBA查询其他用户的表。
Oracle 11g ：
一般审计：DML审计、使用资源审计、系统权限审计； FGA：对表、视图列或行的控制审计； 触发方法审计； 可防止DBA查询其他用户的表。
系列活动； 数据保护=遵循法规+权限分离+审计监控技术。
法规遵循与管理的落实：
信任但要验证； 权限的独立性；
技术的实现：
外部监控与审计 内部的活动的审计 审计数据的管理
8
内容提要
当前数据安全状况分析；
数据库审计产品情况.
9
0.Oracle系统安全与审计
Oracle 10g：
22
内容提要
当前数据安全状况分析；
数据库审计产品情况.
数据保护与审计相关知识
23
0.数据库安全术语
漏洞(vulnerabilities )：
软件设计本身存在的弱点(漏洞)； 操作系统和数据库都可能存在漏洞； 漏洞可能被不法分子攻击
漏洞扫描(vulnerability scanning )：
Guardium特点：
IBM InfoSphere Guardium 解决方案通过安装在数据库
服务器上的轻量软件探测器连续地监视数据库事务 ； 探测器在操作系统内核级上监视所有数据库事务，包 括特权用户的事务，而不依赖于数据库审计日志 ；
15
2.Imperva产品
Imperva：
属于：Security Information & Event Management； End-to-End Web Application Protection； Monitoring Auditing Reporting Assessment(数据库配置评估) Access Control Protection(包含策略).
DB Audit Expert使数据库和系统管理员，安全管理员，审计员和
操作人员追踪和分析数据库安全包括数据库安全，访问和使用率， 数据创建，更改或删除。
DB Audit export特点：
安全性预防管理 侦测和安全配置分析 审计与监控 弱点及渗入测试 校正
17
3. DB Audit Expert产品
入侵检测(IDS)产品只能检测到攻击，而不能采取任何
主动的防御形式；
27
安全知识
法规(Governance)：
1. Basel II 2. Sarbanes Oxley 3. OFAC 4. Turnbull Report
隐私(Privacy)：
1. EU DPD 2. AU/NZ NPP 3. SB 1386/AB 1950 4. GLBA 5. HIPAA 6. PCI 7. FCRA -- ―Red Flag‖
内部人员违规修改业务数据
业务人员越权访问数据和应用 维护人员把整个数据库中的数据备份带走 典型事件：
2007年10月18日英国皇家海关及税务总署保存的两张
电脑光盘丢失，其存有大约2500万份个人资料。
6
国内数据安全常被忽视
数据中心管理不规范：
多数人员具有DBA权限； 外包或开发商长期拥有数据库系统的高权限(如DROP) 内部数据库管理人员或DBA权限混乱(出现事故后难以
有高权限的系统管理和维护人员；
误区3：数据安全是一个技术问题：
事实：安全不仅仅是一个技术问题，也是一个管理问
题，先进的安全技术需要配合严格的管理制度，才能 更加安全。
3
2009年数据库泄漏数据情况
Data Breach统计：从数据库泄漏的数据达75%
数据违规增加 http://www.verizonbusiness.com/resources/security/re
InforGuard审计特点：
审计引擎(硬件)—通过旁路监听的方式接入网络，在网络层对数
据库操作数据进行协议还原和分析，发送到审计中心。 审计中心—接收并存储引擎采集的数据，具有完善的数据分析和 事件关联功能，形成报警和决策。 管理控制台—提供人机交互界面功能，支持管理人员对系统实施 配置、查询等功能。
下面是Oracle 原厂给出的Audit Vault 运行时CPU占用率
12
0. Oracle系统安全与审计
Oracle 审计与性能影响情况：
触发器方法对性能的影响为 FGA对性能的影响为
13
0. RDBMS与第三方审计比较
RDBMS 审计：
一般的RDBMS 都提供功能相当强大的审计技术 RDBMS 可审计内部的任何数据库表的操作和对系统
DB Audit export优点：
可捕获常规的和从“后门”进入的被审计的数据库系统. 功能集中的安全和审计，提供从单一位置控制方便管理多个数据
库系统。 提供分析报告，减少审计大量数据从而轻松地识别各种数据库 的安全行为的全面数据汇总。 提供分析报告，帮助确定哪些进程和用户占用系统资源。 提供不可用于本地数据库审计用途的审计线索细节。 当敏感数据发生变化时，为关键人员提供实时电子邮件警报。 支持灵活的审计配置，使安全人员选择必须监测和审计跟踪的特 定的数据库操作和数据变化。 提供完全透明的系统级的数据更改审计，而无需对当前应用做任 何改动。 完全兼容所有主机系统上可以运行支持的数据库，不局限于 Windows NT, UNIX, Linux, VMS, OS/390, z/OS上。
如从Oracle服务器上直接用sqlplus(无连接字串)登录或 EXP操作等
14
1.IBM Guardium
Guardium 系统：
以色列Log-On软件的子公司。主要产品是向客户提供
可扩展的企业安全平台，可实时保护企业应用的数据 库 IBM 于2009.11.30 收购，并改名为IBM InfoSphere Guardium 重点是：Database activity monitoring(数据库活动监控)
或性能受到影响等的不法软件
25
0.数据库安全知识
Database Activity Monitoring(DAM)：
数据库活动监控 对内/外所有用户的操作进行记录； 对DB的审计产生的数据可记录在OS路径下，也可记
录在数据库内； ห้องสมุดไป่ตู้审计可分为普通审计和高级审计(精细的审计).
Security Information & Event Management(SIEM) ：
ports/2009_databreach_rp.pdf
4
对数据资产安全认识
缺乏对数据资源价值的认识：
数据=信息=价值； 数据的泄漏或泄密导致资产的损失 数据的泄漏不像银行金库那样立即看到损失(病毒或攻
击看得到；数据被拷贝几百次没有少!)
对信息安全的投资扭曲：
大量的安全开销只注重投入到两个领域：网络外围（例
18
4.杭州安恒-DBAuditor审计
安恒审计系统：
明御TM数据库审计与风险控制系统(简称：DAS-
DBAuditor) 支持Oracle、MS-SQL Server、 DB2及Sybase等业界主 流数据库 DAS-DBAuditor可支持直连、旁路两种模式灵活地部 署到网络中，在无需更改现有网络体系结构
追查)；
防范内部威胁重视不够：
大部分的数据泄漏或威胁长时间未被发现 备份到磁带的数据没有加密-容易被带走和恢复 没有对内部人员或DBA进行必要的监控；
7
数据库活动审计与监控的迫切性
信息安全的全方位：
信息安全(数据保护)不仅仅是备份恢复； 信息安全是整个数据生命期的预防、监控、审计、及事件追踪等