数据库审计系统技术方案

数据库审计系统技术方案

随着信息和网络技术的普及，政府和企事业单位的核心业务信息系统不断的网络化，随之而来的就是面临的信息安全风险日益增加。而这些安全风险中，来自内部的违规操作和信息泄漏最为突出。

由于政府和企事业单位的核心业务系统（例如数据库系统、核心业务主机系统）都实现了网络化访问，内部用户可以方便地利用内部网络通过各种通讯协议进行刺探，获取、删除或者篡改重要的数据和信息。同时，一些内部授权用户由于对系统不熟悉而导致的误操作也时常给业务系统造成难以恢复的损失。此外，对于使用IT外包和代维的大型机构而言，如何限制外部人员对核心业务系统的访问权限也是一个难题，外包方的技术工程师可能在开发业务系统的时候留下后门或者幽灵帐号，为将来侵入核心业务系统埋下隐患。

另一方面，为了加强内控，国家强制机关和行业的主管部门相继颁布了各种合规和内控方面的法律法规和指引，例如《企业内部控制基本规范》、《银行业信息科技风险管理指引》、《证券公司内部控制指引》、《保险公司风险管理指引（试行）》等。而在国际上，美国政府针对上市公司的萨班斯（SOX）法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案，支付卡行业数据安全标准（PCI DSS）都对内控提出了严格的要求。这些内控条例和指引都要求对网络中的重要业务系统进行专门的安全审计。

可以说，随着安全需求的不断提升，网络安全已经从以防范外部入侵和攻击为主逐渐转变为以防止内部违规和信息泄漏为主了。

在这种情况下，政府和企事业单位迫切需要一款专门针对网络中业务信息系统进行全方位审计的系统。网御神州借助多年在安全管理领域的积累，推出了SecFox-NBA网络行为审计系统（业务审计型）产品，很好地满足了客户的安全审计需求。

网御神州SecFox-NBA（Network Behavior Analysis for Business Audit）网络行为审计系统（业务审计型）采用旁路侦听的方式对通过网络连接到重要业务系统（服务器、数据库、业务中间件、数据文件等）的数据流进行采集、分析和识别，实时监视用户访问业务系统的状态，记录各种访问行为，发现并及时制止用户的误操作、违规访问或者可疑行为。产品部署简便，不需要修改任何网络结构和应用配置，不会影响用户的业务运行。

SecFox-NBA（业务审计型）独有面向业务的安全审计技术，通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性，审计人员可以根据业务网络的变化快速

查看业务网络中各个设备和整个业务网络的事件和告警信息。

SecFox-NBA网络行为审计系统（业务审计型）能够对业务环境下的网络操作行为进行细粒度审计。系统通过制定符合业务网的审计策略，对符合策略的网络操作行为进行解析、分析、记录、汇报，以帮助用户事前规划预防，事中实时监控、违规行为响应，事后合规报告、事故追踪回放，帮助用户加强内外部网络行为监管、避免核心资产（数据库、网络服务器等）损失、保障业务系统的正常运营。

SecFox-NBA（业务审计型）能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应，并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动，并能够实时阻断可疑的网络通讯，实现安全审计的管理闭环。

SecFox-NBA（业务审计型）为客户提供了丰富的报表，使得管理人员能够从各个角度对业务系统的安全状况进行审计，并自动、定期地产生报表。

1产品特点

SecFox-NBA 网络行为审计系统（业务审计型）的主要特点包括：

1)旁路侦听的工作模式和简洁的部署方式

2)全方位的数据库审计

3)面向业务的安全审计

4)业务操作实时监控、过程回放

5)快速响应和跨设备协同防御

6)事后分析、调查取证

7)安全审计报表报告

8)内置防攻击策略

1.1 旁路侦听的工作模式和简洁的部署方式

SecFox-NBA（业务审计型）采用旁路侦听的方式进行工作，对业务网络中的数据包进行应用层协议和流量分析与审计，就像真实世界的摄像机。利用网御神州先进的业务协议检测技术（Business Protocol Inspection Technology），SecFox-NBA（业务审计型）能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议，以及其它20多种应用层协议，经过审计系统的智能分析，发现网络入侵和操作违规行为。同时，借助网御神州先进的业务流量监测技术（Business Flow Inspection Technology），SecFox-NBA（业务审计型）识别网络中各种应用层协议的流量，及时发现流量违规和异常。

SecFox-NBA（业务审计型）部署十分方便，即插即用，不必对业务网络结构做任何更改，对业务网络没有任何影响。SecFox-NBA（业务审计型）可以同时审计多个不同的网段；多个系统可以级联，实现分布式部署，实现对大规模业务网络的审计。

系统部署后立竿见影，当即可自动发现所侦听网络中的数据库访问行为。

1.2 全方位的数据库审计

SecFox-NBA（业务审计型）产品能够对多种操作系统平台（Windows、Linux、HP-UX、Solaris、AIX）下各个版本的SQL Server、Oracle、DB2、Sybase、MySQL 等数据库进行审计。审计的行为包括DDL、DML、DCL，以及其它操作等行为；审计的内容可以细化到库、表、记录、用户、存

储过程、函数、调用参数，等等。

操作行为内容和描述

用户认证数据库用户的登录、注销

库表操作CREATE，ALTER，DROP等创建、修改或者删除数据库对象（表、

索引、视图、存储过程、触发器、域，等等）的SQL指令记录操作SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数

据的SQL指令

权限管理GRANT，REVOKE等定义数据库用户的权限的SQL指令

其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令

SecFox-NBA（业务审计型）能够对各种访问数据库的途径进行监控和审计。

如上图Oracle数据库审计所示，无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问，还是通过第三方的Quest TOAD（Tool for Oracle Application Developers）工具访问，抑或通过中间件、浏览器、客户端程序/代理方式访问，等等，SecFox-NBA（业务审计型）都能够进行审计。

特别地，如果被审计的数据库网络数据被加密处理了，SecFox-NBA（业务审计型）为用户提供了一个通用日志采集器模块，借助该模块，系统能够自动的采集被审计数据库的日志信息，并在审计中心对其进行归一化和关联分析。

此外，SecFox-NBA（业务审计型）还能够监测数据库系统所在主机的网络通讯，对该主机的FTP、文件共享等协议进行审计，确保数据库系统上的数据安全。

1.3 面向业务的安全审计

对于用户而言，要保护核心数据，仅仅依靠对数据库的审计是不够的。内部人员违规操作的