安恒明御数据库审计与风险控制系统

明御®数据库审计与风险控制系统（简称：DAS-DBAuditor）是安恒信息在多年数据库安全理论研究与实践的基础上，结合各类法令法规（如等级保护、分级保护、企业内控、SOX、PCI等）对数据库安全的要求，自主研发的细粒度审计、双向审计、多方位风险控制的数据库安全审计产品。

1.产品介绍

1.2. 内部数据威胁

相比位于机构外网的统一出口，机构内部访问数据库的途径和入口更多，访问账号和访问人员的数量也更为庞大，各种访问工具种类更多，因此更难以对行为进行定位和确认。在国内，由于传统安全意识的影响，信息安全的设计中往往更注重对外网边界的重点防范，而相对于外网的重点部署，内部的防护措施则较为薄弱，人员更疏于管理。

内部数据泄密多种途径

内部数据威胁典型原因：

•安全域划分不合理。相比外网，内网中的数据库访问入口更多，包括业务系统/中间件，运维区域的多个IP地址，甚至在部分机构中由于没有对数据库区域进行边界保护和访问控制，从内网中的任何一个IP地址都可以直接访问到数据库；

•人员/账号身份众多。在机构内部，系统/数据库管理员，外包/运维人员，业务人员都有访问数据库的需要，由此可能在数据库中存储了日益增多的各种账号，相应的授权很难以管理；

•滥用数据库访问工具。由于访问地点分散，访问人员身份众多，私用、滥用各种数据库访问工具的现象众多，在工具中还有可能隐藏了木马和后门，关键数据很容易通过这些工具导致泄露；

•缺乏管理规程。同一账号多地登录，同一地点多账号登录，非业务时间访问，各种不规范行为的发生都有可能形成数据库数据泄露的安全漏洞。机构中很难制定细化的操作规程或制定之后很难执行。

2. 核心功能

明御®数据库审计与风险控制系统（DAS-DBAuditor）是专业级的数据库协议解析设备，能够对进出核心数据库的访问流量进行数据报文字段级的解析操作，完全还原出操作的细节，并给出详尽的操作返回结果，以可视化的方式将所有的访问都呈现在管理者的面前，数据库不再处于不可知、不可控的情况，数据威胁将被迅速发现和响应。

2.1. 事前安全风险评估

DBAuditor依托权威性的数据库安全规则库，自动完成对不当的数据库配置、潜在弱点、数据库用户弱口令、数据库软件补丁等等的漏洞检测，包括：

• 风险趋势管理：通过基线创建生成数据库结构的指纹文件，通过基线扫描发现数据库结构的变化，从而实现基于基线的风险趋势分析；

• 弱点检测与弱点分析：根据内置自动更新的弱点规则完成对数据库配置信息的安全检测及数据库对象的安全检测；

• 弱口令检测：依据内嵌的弱口令字典完成对口令强弱的检测；

• 补丁检测：根据补丁信息库及被扫描数据库的当前配置，完成补丁安装检测；

• 存储过程检测：根据内嵌的安全规则，对存储过程进行安全检测，如：是否存在SQL注入漏洞。

2.2. 实时行为监控

DBAuditor可保护业界主流的数据库系统，防止受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时，DBAuditor会自动根据预设置的风险控制策略，结合对数据库活动的实时监控信息，进行特征检测及审计规则检测，任何尝试的攻击或违反审计规则的操作都会被检测到并实时阻断或告警。

风险控制逻辑图

实时监测dashboard

2.3. 细粒度协议解析与双向审计

系统通过对双向数据包的解析、识别及还原，不仅对数据库操作请求进行实时审计，而且还可对数据库系统返回结果进行完整的还原和审计，包括数据库命令执行时长、执行的结果集等内容；

审计记录列表

双向审计记录

在详细信息中能够看到格式化的操作结果，更有利于事后的取证和追溯。

2.4. web业务审计

用户只需要将web服务器的流量镜像到DBAuditor，就能够对所有基于web的应用的访问行为进行解析还原，形成数据库审计和web审计的双重审计模式。

DBAuditor能够提取出URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数、返回码等字段，并形成详尽的web审计记录。

Web业务审计记录

2.5. 应用三层关联审计

DBAuditor能够将web审计记录与数据库审计记录进行关联，直接追溯到应用层的原始访问者及请求信息（如：操作发生的URL、客户端的IP等信息），从而实现将威胁来源定位到前端的终端用户的三层审计的效果。通过三层审计能更精确地定位事件发生前后所有层面的访问及操作请求。

三层审计部署示意图

关联审计详情

2.6. 灵活的审计规则

DBAuditor提供细粒度的审计规则，如精细到表、字段、具体报文内容的细粒度审计规则，实现对敏感信息的精细监控；基于IP地址、MAC地址和端口号审计；提供可定义作用数量动作门限、可设定关联表数目动作门限、根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则。

丰富的内置规则种类

详尽的规则配置参数

2.7. 丰富的告警方式

在访问或会话触发了威胁规则的情况下，DBAuditor会立即进行多种形式的告警，包括手机短信、邮件、屏幕，还能够以SYSLOG、SNMP等发送到明御综合日志审计平台（DAS-Logger）或其它相应的网管中心平台进行集中监测和网络整体关联监测。

告警发送统计

2.8. 高效的行为检索

DBAuditor在已审计的海量记录中设计了通过各种要素多重组合的方式进行查询，能够快速精确地定位到威胁记录的位置，帮助管理者做出响应。检索效率可以达到500万条/秒。

细致的查询参数

2.9. 最具价值的报表系统

DBAuditor系统自带了按安全经验、行业需求分类的20种以上的报表类型，能够从数据库访问模型、源、行为、时间、风险告警等各种角度满足用户的报表需求。

报表系统

总体分析效果

DBAuditor能够首先给出用户数据库运行的总体模型分析报告，从访问源、账号、操作类型、对象、客户端工具等特征进行统计，帮助用户认识当前数据库的基本运行模型。

符合性报告

DBAuditor能够为企业直接提供可用于内部控制评估的整体遵从性报告，如等级保护、赛班斯SOX法案遵从性报表。

自定义报表

用户还能够根据自身的关注重点不同，定制符合业务需求的各种其他类型报表。

2.10. 基于会话的真实回放

DBAuditor允许安全管理员提取历史数据，对过去某一时段的事件进行回放，真实展现当时的操作过程，便于分析和追溯系统安全问题。

SQL操作回放

3. 特色与优势

3.1. 丰富的数据库协议支持

DBAuditor支持目前市场上绝大部分的数据库类型，如Oracle、MS SQL server、DB2、Sybase、MySQL、Informix等。

3.2. 国际先进的处理性能

DBAuditor采用领先的多核、多线程负载均衡技术，能够将需要应用层（SQL）处理的流量按照比例分配到不同的CPU上，最大程度的做到了多核间的并行处理，大幅提升了设备的应用层处理性能。另采用业界领先的数据库协议解析技术，在数据库访问亿次级别的大型系统中，能够提供99.7%的准确率，是运营商、金融、大型电商等高负荷数据库环境下对数据库进行监测审计的首选。

3.3. 真正合规的分析报告

DBAuditor设计了专业的合规性报表，可以直接在各种内部控制场合进行使用和匹配，如直接依据等级保护、赛班斯SOX设计的审计报告，包括：

• 计划与组织（Plan and Organize）。展现机构中现有数据库运行的基本情况，包括数据库列表、账号、访问客户端等。DBAuditor能够通过抓取数据库访问情况建立机构数据库运行情况的基础模型。

• 确保和控制（Certify and Control）。在数据库运行基础模型的基础上，用户能够生成基于账号的访问权限模型，并依据该模型配置数据威胁的预警规则，通过规则触发的告警对风险进行预防和控制，确保数据安全性。在确保和控制（Certify and Control）中，DBAuditor提供的主要是风险预警情况的分析和报告。

• 评估风险（Assess Risk）。DBAuditor能够进一步统计出数据访问过程中的具体操作，并进行归类分析，向用户展示出规则外的潜在运行的风险，如账号多地登录，同一地点不同账号登录，风险操作类型，较大权限的操作行为等。DBAuditor预判的风险行为有助于用户抓取出需要对已有规则进行的调整措施，以及进一步确认已有各种行为的授权状况，并提升数据库运行过程中的透明度。

• 定制化报告（Reporting by customization）。不同的机构的业务逻辑组成和数据库运行关注点都不尽相同，在此情况下，提供用户定制化的特殊报告是十分重要的。DBAuditor内置的可移植报表模块能够按照用户需求进行各种组合，并依据不同的维度生成报告。

3.4.数据库入侵检测能力

依托于安恒信息在数据库安全方面多年的经验，DBAuditor提供了审计类设备所不具有的专门针对入侵威胁特征的规则库，在无需配置的情况下，DBAuditor能够分辨出大部分的典型的数据库入侵行为，如SQL注入、跨站、缓冲区溢出等等。入侵特征库的引入使得DBAuditor具备了数据库入侵检测系统的功能，因此DBAuditor能够实现更高级别的数据库安全加固和防护保障效果。

数据库入侵检测

3.5. 审计日志的高可靠性

DBAuditor在自身存储审计日志和备份的基础上，还提供了向远端文件服务器进行冗余备份的功能，用户可以设定冗余备份的时间段和备份日志类型。在配置了数据冗余的情况下，即使DBAuditor自身的磁盘及冗余机制（RAID）均出现故障，依然能够依靠外部备份的冗余数据进行自动数据恢复，避免了设备故障造成的数据丢失损失，这就充分保障了用户审计数据的安全性和高可用性。

数据冗余外送基本配置

3.6. 一键式故障排查工具

DBAuditor设计了自带的一键式排错平台，用户无需使用额外的工具即可发现审计设备的端口状态监听、镜像数据流量监控、设备服务状态检查、授权许可查看、前台系统配置等各种实时状态，并智能的报告系统出现的各种故障或问题，同时给出相关解决方案。

配置核查

3.7. 六重可用性保护

DBAuditor多方位确保设备本身的高可用性，保护用户的基本投资，包括但不限于：

• 物理保护；关键部件采用冗余配置（如：冗余电源、内置硬盘RAID等）。

• 掉电保护：设备掉电（如电源被不慎碰掉）时，网络流量将会直接贯通。

• 系统故障保护：内置监测模块准实时地监测设备自身的健康状况。

• 不间断的管理保护：在进行策略配置情况下，能保持网络的连接和保护。

• 不丢包：基于硬件加速的接口卡，在高速环境下实现100%数据包捕获。

• 冗余部署：在具备冗余体系结构的环境中，支持Active-Active或Active-Standby部署配置。

3.8. 零风险的部署模式

用户往往担心部署了审计平台的情况下对现有业务和数据库造成的潜在影响。DBAuditor采用旁路镜像、分光、分流等方式进行部署，可在不改变现有的网络体系结构的情况下快速上线，即使在所有可用性保障均失效的情况下，设备出现宕机也不会影响业务系统和数据库的运行，避免了串联入网或客户端方式监测对数据库系统造成的干扰和性能损耗。

4. 部署模式

DBAuditor采用旁路模式部署，需要在交换机或网络设备上镜像被审计数据库的进出流量