背景介紹

國家相關政策

?  《信息安全等級保護管理辦法》一 中華人民共和國公安部

?  《涉及國家秘密的信息系統分級保護管理辦法》一 國家保密局

?  《中華人民共和國網絡安全法》 一 全國人民代表大會常務委員會

等保2.0中關于審計的相關要求

行業需求分析

合規性需求

?  滿足等級保護三級以上對數據庫日志審計的測評需求

數據庫運維操作的管控需求

?  對所有運維操作進行管控，實現命令級或會話級控制，高危命令禁止未經審批執行

數據庫運維用戶權限管理的需求

?  解決多人共用同一賬號導致最終無法確認責任人問題

?  解決運維賬號權限寬泛問題

數據庫操作的全程審計需求

?  彌補堡壘機在數據庫審計方面的短板，對數據庫進行語句級和會話級的細粒度審計

數據庫風險語句的識別及告警需求

?  需要準確的判斷SQL語句中的攻擊行為，及時發出風險告警，將安全損失降到最低

數據庫自身審計日志的分類（以MYSQL數據庫為例）

錯誤日志

?  記錄數據庫啟動、停止、運行出錯等信息。默認開啟。

查詢日志

?  記錄用戶的所有操作，包含執行時間、數據庫增刪查改等信息，但不包含網絡層信息，如客戶端IP、MAC等。因為開啟后對數據庫性能消耗嚴重，默認關閉

慢查詢日志

?  記錄執行時間超過設定閾值的查詢語句。通過慢查詢日志，可以查找出哪些查詢語句的執行效率很低，幫助數據庫管理員進行性能優化。默認關閉

二進制日志

?  以二進制形式記錄，主要用于記錄修改數據或有可能引起數據改變的sql語句（增刪改操作），并且記錄了語句發生時間、執行時長、操作的數據等等。二進制日志中不記錄查詢操作。默認關閉

傳統數據庫審計的困境

系統性能下降

?  數據庫自帶審計與現有的數據庫防火墻解決方案，會占用大量的系統資源，進而嚴重影響數據庫訪問的性能，嚴重時甚至會影響用戶對業務系統的正常訪問，大大降低系統的效率

審計信息不完整

?  數據庫自帶的審計工具提供的日志審計信息缺乏網絡層的信息，也沒有具體的數據庫操作命令，因此無法分析安全事件發生的真正原因，無法追溯到真正的操作發起源，在安全事件事后的取證分析過程中發揮的作用很有限

數據挖掘不力

?  現有數據庫審計系統查詢和分析將困難，很難從海量數據中有效快速定位問題，因此很難建立有效的大數據分析模型，從而提供有效的數據安全風險管理

產品設計思路

風險分析及安全模型

對高風險類用戶進行重點審計

產品設計思路

以“事前”、“事中”、“事后”三個維度對數據庫進行安全防護

?  事前：對數據庫進行風險掃描，發現安全風險及時提示管理員進行修復

?  事中：對數據進行實時采集、分析和過濾，對高危操作進行命令阻斷或會話中斷，并向管理員發送告警

?  事后：對所有數據庫訪問操作進行審計，便于對安全事件的原因進行精確定位

工作效果展示

產品功能介紹

產品簡介

天慎數據庫審計系統是一款集數據庫安全審計、數據庫運維管控、數據庫風險掃描于一體的數據庫安全防護產品，產品貫徹事前風險掃描、事中操作管控、事后安全審計的設計理念，為企業核心數據資產的安全保駕護航。

支持的數據庫類型

支持的數據庫版本

直觀、簡潔、易用的操作界面

事前風險掃描

?  數據庫自動發現

?  數據庫漏洞掃描

?  數據庫配置掃描

?  數據庫口令檢測

數據庫自動發現

資產自動發現

?  數據流量接入后系統自動識別數據庫

?  簡化審計人員配置流程，實現“一鍵審計”

?  為企業用戶對數據庫資產進行梳理提供便利

數據庫風險掃描

多種數據庫風險掃描

?  支持對被審計數據庫進行漏洞掃描、配置掃描和口令檢測

?  通過漏洞掃描檢測數據庫中是否存在系統漏洞

?  通過配置掃描檢查數據庫中是否存在不安全配置

?  通過口令檢測掃描系統中是否存在弱口令賬號

事中數據采集、控制、告警

?  數據的采集與解析

?  安全策略配置

?  威脅風險態勢分析

?  運維管控與審計

?  風險告警

靈活的審計策略

SQL類別

?  基于SQL語句的類型建立審計策略，如SELECT、INSERT、UPDATE等

時間

?  基于時間建立審計策略，條件范圍至月、周、日、小時

源IP地址

?  基于源IP訪問地址建立審計策略，支持配置黑、白名單

目標表名

?  基于目標表名建立審計策略，對企業數據庫中涉及核心信息的表進行重點保護

目標列名

?  基于目標列名建立審計策略，對核心表中的敏感列進行重點審計或告警

存儲過程名

?  基于存儲過程建立審計策略，對調用高危的存儲過程的SQL語句進行審計或告警

SQL注入

?  系統內置SQL注入風險規則庫，系統自動對審計到的SQL語句進行篩查，發現SQL注入行為進行實時告警

XSS攻擊

?  系統內置XSS攻擊風險規則庫，系統自動對審計到的SQL語句進行篩查，發現XSS攻擊行為進行實時告警

脫敏

?  通過用戶自定義的敏感信息，如表名、字段名、用戶名等建立審計策略，系統將自動在審計日志中進行脫敏處理。

NOwhere

?  系統內置高風險規則庫，防范運維人員執行delete no where 刪除、truncate table等合法授權的高危操作

應用程序

?  通過設置合法的訪問工具建立審計策略，當出現非法訪問工具連接數據庫時進行實時告警

SQL模式

?  基于SQL語句的模式建立審計策略，系統根據定義的SQL語句模式匹配相似類型語句，并進行告警等操作

威脅風險態勢分析

多圖組合威脅風險一目了然

?  通過客戶端威脅TOP10精確定位威脅源

?  通過數據庫威脅TOP10了解數據庫的風險狀態

?  通過風險威脅分析可以準確判斷當前數據庫的威脅等級

?  根據威脅事件風險等級趨勢圖，使管理員直觀了解數據庫的安全態勢

運維會話審計

運維會話全程回放

?  以一條運維會話為單位全面展示會話中的語句操作

?  從 login 至 logout 全面審計會話中的所有操作

告警方式

系統提供多種風險告警方式包括：郵件、短信、Syslog、界面、聲音等。對于外部發起的XSS跨站腳本攻擊、惡意的SQL注入行為、非法的業務登錄、高危的SQL操作，系統可以基于靈活的策略配置，設置風險規則，實時進行風險告警并及時通知管理員進行處理。

事后分析日志，定位追責

?  全面的操作審計

?  應用關聯審計

?  風險操作審計

?  執行效率分析

?  報告分析展示

全面的操作審計

審計內容詳細豐富

?  通過組合條件查詢，精確定位風險日志

?  詳細展示日志內容，幫助管理員追溯問題根源

?  支持雙向審計，對返回結果集進行全程審計

應用關聯審計

應用關聯審計效果

風險日志查詢

風險日志詳細信息

?  系統支持對觸發安全策略的風險日志進行條件查詢

?  可查詢風險日志的詳細信息

?  風險日志可設置告警方式，向管理員發送實時告警

SQL執行效率分析

?  通過首頁中“執行性能分析”儀表盤了解所有SQL的執行效率概況

?  通過SQL的執行時長，找出執行效率低下的SQL語句

?  方便數據庫DBA對數據庫進行性能優化

報告分析展示

合規分析類報告

?  PCI報告

?  SOX 塞班斯報告

綜合分析類報告

?  綜合風險分析報告

?  數據庫概要分析報告

?  審計量統計報告

?  審計量綜合分析報告

風險統計分析類報告

?  風險分布統計報告

?  客戶端風險分析報告

?  客戶端風險概率分析報告

?  失敗登錄統計報告

?  失敗語句統計報告

專項統計分析類報告

?  訪問源分析報告

?  會話語句分析報告

?  語句訪問類型分布報告

?  客戶端訪問統計分析報告

?  客戶端工具應用分析報告

?  客戶端會話統計報告

豐富的報告模板

?  利用內置報告模板生成各類合規報告

?  支持用戶自定義報告模板

?  可根據需求制定計劃任務，按計劃生成各類審計報告

?  計劃報告支持自動郵件發送，定時發送至管理員郵箱

硬件部署模式

云部署模式

分布式集群部署模式

產品型號劃分

支持所有虛擬化及云環境下部署

產品優勢

即插即用部署簡單

?  系統對安裝配置流程進行優化，實現了開箱即插即用的設計理念，方便用戶的配置使用

分級管理部署靈活

?  系統引入組織架構分級管理模式，支持分布式部署適用于大型復雜的網絡環境。同時系統支持鏡像、代理、agent部署方式，無需改變原網絡拓撲

運維管控業內領先  

?  系統對運維高危操加強了管控，通過運維單點登錄，實現對命令級和會話級的控制

全面審計風險識別

?  系統對數據庫業務操作、運維操作以及應用關聯操作進行全面審計，同時可自動識別操作中的SQL注入和XSS攻擊行為，并實時發出告警

性能卓越穩定可靠

?  審計系統入庫和查詢性能優異，億級別日志數據，組合條件查詢速度到達秒級。并且IT存儲空間日志存儲量達到60億條

產品案例