告別數(shù)據(jù)裸奔 擁抱數(shù)據(jù)安全 

                       --------深信服數(shù)據(jù)庫(kù)安全審計(jì)

產(chǎn)品概述

深信服數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)DAS（ Database security Audit System ）是深信服對(duì)用戶數(shù)據(jù)安全新方向的不斷探索，創(chuàng)新地將數(shù)據(jù)安全防護(hù)與大數(shù)據(jù)分析相結(jié)合，它能為用戶提供完整的數(shù)據(jù)庫(kù)審計(jì)分析、軌跡分析、數(shù)據(jù)庫(kù)訪問(wèn)關(guān)系可視、數(shù)據(jù)庫(kù)攻擊威脅分析。

Part1數(shù)據(jù)資產(chǎn)目前面臨著什么樣的挑戰(zhàn)？

?內(nèi)部人員缺乏關(guān)注

  1、針對(duì)內(nèi)部危險(xiǎn)行為無(wú)法做到面面俱到的跟蹤分析

  2、數(shù)據(jù)安全的意識(shí)薄弱存在缺少對(duì)數(shù)據(jù)中心的加固

  3、各種途徑缺少?gòu)脑搭^上做到有效的管制

?數(shù)據(jù)的流動(dòng)不可視

  1、內(nèi)部業(yè)務(wù)間的交互可能將數(shù)據(jù)庫(kù)暴露在互聯(lián)網(wǎng)出口

  2、內(nèi)部數(shù)據(jù)流動(dòng)不可視讓內(nèi)部員工變得有機(jī)可乘

  3、內(nèi)部數(shù)據(jù)流動(dòng)不可視讓的潛伏變得更具隱秘性

?數(shù)據(jù)難以發(fā)現(xiàn)

  1、獨(dú)立工作的安全組件容易忽略整個(gè)網(wǎng)絡(luò)的通路

  2、缺乏深度分析的工具無(wú)法迅速定位風(fēng)險(xiǎn)和軌跡

  3、人工難以對(duì)數(shù)據(jù)竊取操作進(jìn)行精準(zhǔn)定位和實(shí)時(shí)預(yù)警

?賬戶權(quán)限管控缺失

  1、內(nèi)部人員擁有高權(quán)限數(shù)據(jù)庫(kù)賬戶有潛在的風(fēng)險(xiǎn)

  2、通過(guò)違規(guī)提權(quán)有潛在的嫌疑訪問(wèn)和刪除重要的資料

Part2威脅不僅僅只潛伏在數(shù)據(jù)中心

通過(guò)國(guó)家數(shù)據(jù)統(tǒng)計(jì)，大部分的數(shù)據(jù)竊取威脅都來(lái)自于互聯(lián)網(wǎng)的攻擊，鞏固防火墻及互聯(lián)網(wǎng)出口并不能阻止的入侵，由此可見(jiàn)數(shù)據(jù)庫(kù)威脅是遍布于整個(gè)網(wǎng)絡(luò)的。

目前大部分網(wǎng)絡(luò)安全設(shè)施都是以單個(gè)安全組件的形式部署在整個(gè)網(wǎng)絡(luò)中，它們都是獨(dú)立的工作，但是獨(dú)立工作的安全組件無(wú)法兼顧于整個(gè)網(wǎng)絡(luò)的威脅。

Part3深信服如何克服這些挑戰(zhàn)和威脅？

整體方案：

訪問(wèn)可視

傳統(tǒng)的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)不能有效直觀的看到整個(gè)網(wǎng)絡(luò)中除了正常的數(shù)據(jù)庫(kù)訪問(wèn)之外還潛伏著的異常數(shù)據(jù)庫(kù)訪問(wèn)，深信服數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)通過(guò)與深信服行為感知平臺(tái)BA（Behavior Awareness System）聯(lián)動(dòng)可以幫助用戶直觀的展示內(nèi)網(wǎng)數(shù)據(jù)的流動(dòng)、風(fēng)險(xiǎn)以及數(shù)據(jù)庫(kù)訪問(wèn)關(guān)系。 

外發(fā)

從已發(fā)的用戶事件來(lái)分析，內(nèi)部員工通過(guò)互聯(lián)網(wǎng)工具也是目前的主流原因之一，傳統(tǒng)的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)大部分都是通過(guò)部署在數(shù)據(jù)中心的審計(jì)設(shè)備單方面做事后追溯分析及策略管控，深信服數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)通過(guò)與上網(wǎng)行為管理(AC)和行為感知平臺(tái)(BA)聯(lián)動(dòng)實(shí)現(xiàn)攔截以及還原真實(shí)的軌跡，幫助用戶進(jìn)行精準(zhǔn)定位和實(shí)時(shí)攔截。

數(shù)據(jù)竊取

大部分攻擊都是通過(guò)弱特征方式繞過(guò)互聯(lián)網(wǎng)出口邊界設(shè)備并且在網(wǎng)絡(luò)中搭建一個(gè)數(shù)據(jù)通路的紐帶來(lái)入侵并潛伏于內(nèi)網(wǎng)服務(wù)器實(shí)現(xiàn)數(shù)據(jù)竊取，深信服數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)通過(guò)與深信服下一代防火墻聯(lián)動(dòng)，可以分別從防火墻（NGAF）和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)（DAS）同時(shí)捕獲到同樣弱特征的Webshell竊取行為，通過(guò)捕獲單邊的弱特征分析轉(zhuǎn)為強(qiáng)特征方式從源頭上聯(lián)動(dòng)Webshell攻擊。 

方案價(jià)值：

一、審計(jì)、合規(guī)需求

  簡(jiǎn)易化部署

單機(jī)部署

深信服DAS設(shè)備在網(wǎng)絡(luò)中以旁路方式部署，一體化提供策略配置、日志采集、查詢報(bào)表等功能；適用于僅需要在一個(gè)采集點(diǎn)上進(jìn)行數(shù)據(jù)采集的場(chǎng)景。

多機(jī)部署

深信服采集器和管理器均以旁路部署，適用于將多個(gè)采集點(diǎn)數(shù)據(jù)匯聚到一個(gè)管理器的場(chǎng)景

采集器：以旁路的方式部署在各個(gè)業(yè)務(wù)主機(jī)（或業(yè)務(wù)系統(tǒng)）的核心交換機(jī)上，主要負(fù)責(zé)日志采集并上報(bào)到管理器。

  管理器：與多臺(tái)采集器并行通訊，提供策略統(tǒng)一管理并下發(fā)的采集器；同時(shí)匯總采集器上

  報(bào)的日志并提供查詢、報(bào)表統(tǒng)計(jì)功能。

  不漏審保障

DPDK技術(shù)框架

1）應(yīng)用層接管內(nèi)核技術(shù)保障宕機(jī)

2）專用CPU機(jī)制保障收發(fā)數(shù)據(jù)不丟包

SQL模式串抽取

1）SQL串模式抽取保障磁盤IO性能

2）分離式存儲(chǔ)保障數(shù)據(jù)審計(jì)速度快

可靠性及災(zāi)備：

1）支持各種IT基礎(chǔ)設(shè)備，如：大型集群

2）支持同步數(shù)據(jù)到外部，如：外部備份

3）支持?jǐn)?shù)據(jù)外部存儲(chǔ)  ， 如： 磁盤柜

4）支持原始數(shù)據(jù)災(zāi)備保障， 如： 事物重做

完整、精細(xì)化審計(jì)

5W1H審計(jì)標(biāo)準(zhǔn)

支持業(yè)務(wù)系統(tǒng)和web服務(wù)器以及DB的要素全面審計(jì)， 如：

Who——應(yīng)用用戶、數(shù)據(jù)庫(kù)用戶、主機(jī)名稱、操作系統(tǒng)帳號(hào)等；

What——訪問(wèn)了什么對(duì)象數(shù)據(jù)，執(zhí)行了什么操作；

When——每個(gè)事件發(fā)生的具體時(shí)間；

Where——事件的來(lái)源和目的，包括IP地址、MAC地址等；

How——通過(guò)哪些應(yīng)用程序或第三方工具進(jìn)行的操作；

Range——該操作執(zhí)行的影響范圍，如查詢、修改或刪除的記錄行數(shù)；

ResultSet——返回結(jié)果集，如查詢操作的返回內(nèi)容，這將是審計(jì)人員進(jìn)行線索追蹤分析的有力取證材料。

語(yǔ)義語(yǔ)法全面解析：

  1）支持長(zhǎng)度大于5M的SQL語(yǔ)句審計(jì)

2）支持針對(duì)SQL語(yǔ)句的變量綁定

3）支持參數(shù)化并自動(dòng)生成SQL模板

多種DB的同時(shí)審計(jì)：

1）支持mysql oracle、SQL server、DB2、Informix、postgresql 、sysbase、達(dá)夢(mèng)、人大金

倉(cāng)同時(shí)審計(jì)

  2）支持自適配數(shù)據(jù)庫(kù)格式編碼保障DB的兼容性

IT基礎(chǔ)設(shè)施全適配：

1）全面支持：物理網(wǎng)絡(luò) 、虛擬化、公有云、私有云、混合云、agent部署。

數(shù)據(jù)庫(kù)雙向?qū)徲?jì)：

1）支持業(yè)務(wù)系統(tǒng)以及web服務(wù)器、DB系統(tǒng)的雙向?qū)徲?jì)，如：數(shù)據(jù)庫(kù)與業(yè)務(wù)系統(tǒng)的會(huì)話交互response、request。

  審計(jì)全面、易使用

日志秒級(jí)查詢

自主研發(fā)的查詢引擎、存儲(chǔ)數(shù)據(jù)庫(kù)Iterate DB基于業(yè)務(wù)的列式存儲(chǔ)，查詢性能大幅度提升。達(dá)到秒級(jí)出結(jié)果，保證用戶查詢的核心述求。

審計(jì)條件面

支持細(xì)粒度的條件查詢，例如：源IP客戶端程序、操作類型、數(shù)據(jù)庫(kù)名稱、表名、響應(yīng)時(shí)間、返回行數(shù)、影響行數(shù)、響應(yīng)內(nèi)容、觸發(fā)時(shí)間。

多維度分析統(tǒng)計(jì)

支持審計(jì)結(jié)果多維度分析，包括SQL吞吐量

操作類型吞吐、數(shù)據(jù)庫(kù)業(yè)務(wù)、業(yè)務(wù)主機(jī)、SQL響應(yīng)性能等并提供針對(duì)SQL模板的下鉆分析

web三層關(guān)聯(lián)

通過(guò)同時(shí)開(kāi)啟DB審計(jì)和web審計(jì)、同時(shí)鏡像DB流量和web端流量實(shí)現(xiàn)還原SQL操作真實(shí)的訪問(wèn)者。

自定義拖拽報(bào)表

支持可拖拽式的報(bào)表訂閱功能，用戶可以靈活選擇組裝需要的報(bào)表進(jìn)行訂閱，靈活的條件、自由的拖拽，讓用戶擁有個(gè)性化的訂閱報(bào)表。

多種告警方式

支持Syslog、SNMP trap、郵件，短信多種方式告警。且提供靈活的配置告警對(duì)象，可根據(jù)不同的告警需求選擇合適的告警對(duì)象。

二、數(shù)據(jù)庫(kù)威脅分析

  風(fēng)險(xiǎn)監(jiān)測(cè)

動(dòng)態(tài)呈現(xiàn)內(nèi)部數(shù)據(jù)庫(kù)存在的風(fēng)險(xiǎn)情況，幫助用戶及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)安全隱患。

  安全組件聯(lián)動(dòng)分析

通過(guò)定時(shí)全面的關(guān)聯(lián)分析受攻擊業(yè)務(wù)系統(tǒng)防止木馬以及webshell入侵，支持與下一代防火墻、上網(wǎng)行為管理強(qiáng)強(qiáng)聯(lián)合，及時(shí)發(fā)現(xiàn)外部或內(nèi)部用戶竊取數(shù)據(jù)。

  靈活的管控策略

可以提供針對(duì)SQL語(yǔ)句、操作數(shù)據(jù)量、數(shù)據(jù)表等的靈活策略，滿足各類安全需求。

三、數(shù)據(jù)庫(kù)訪問(wèn)可視

  全面的可視化機(jī)制

完整呈現(xiàn)各類角色對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)和使用，高亮顯示業(yè)務(wù)系統(tǒng)、運(yùn)維人員、客戶端高危和惡意操作。

  通路完整回溯

通過(guò)采集數(shù)據(jù)的流動(dòng)，回溯事件的整體過(guò)程，圖形化呈現(xiàn)通路幫助事后快速追溯。

數(shù)據(jù)破壞及時(shí)感知

及時(shí)發(fā)現(xiàn)潛在的木馬或人工蓄意破壞內(nèi)部數(shù)據(jù)機(jī)密造成數(shù)據(jù)丟失或帶來(lái)直接利益的損失。

四、數(shù)據(jù)庫(kù)特權(quán)管控

  命令級(jí)SQL語(yǔ)句管控

深部署工作模式，數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品可以旁路鏡像模式部署，不影響數(shù)據(jù)庫(kù)性能和網(wǎng)絡(luò)架構(gòu)；同時(shí)支持集中管理，可集中管理多臺(tái)審計(jì)設(shè)備審計(jì)事件的存儲(chǔ)、分析，實(shí)現(xiàn)統(tǒng)一配置、統(tǒng)一報(bào)表、統(tǒng)一查詢。

功能級(jí)權(quán)限管控策略

1）監(jiān)控用戶的數(shù)據(jù)庫(kù)權(quán)限違規(guī)記錄并報(bào)警高危操作(用戶提權(quán)、惡意刪除)

2）支持自學(xué)習(xí)防爆庫(kù)規(guī)則幫助鞏固內(nèi)網(wǎng)數(shù)據(jù)庫(kù)賬號(hào)安全，防止通過(guò)爆庫(kù)、撞庫(kù)破解賬戶

應(yīng)用場(chǎng)景：

精細(xì)化報(bào)表滿足行業(yè)合規(guī)性 (行業(yè)化審計(jì))

深信服數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)內(nèi)置大量的分析報(bào)表，支持國(guó)內(nèi)外主流的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，可以幫助用戶滿足等保合規(guī)建設(shè)。

清晰呈現(xiàn)數(shù)據(jù)庫(kù)訪問(wèn)關(guān)系（數(shù)據(jù)中心內(nèi)網(wǎng)分析）

深信服數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)通過(guò)交互式分析視圖可以直觀的展示網(wǎng)絡(luò)中正常和異常的訪問(wèn)，幫助用戶及時(shí)察覺(jué)數(shù)據(jù)庫(kù)暴露在互聯(lián)網(wǎng)的風(fēng)險(xiǎn)和威脅。

監(jiān)測(cè)數(shù)據(jù)庫(kù)威脅分析（數(shù)據(jù)中心攻擊分析）

深信服數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)可以捕獲和收集特征的方式實(shí)現(xiàn)數(shù)據(jù)庫(kù)威脅監(jiān)測(cè)，通過(guò)深度分析實(shí)時(shí)定位網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)，聯(lián)動(dòng)互聯(lián)網(wǎng)出口邊界設(shè)備從源頭上阻斷威脅。

細(xì)粒度數(shù)據(jù)庫(kù)權(quán)限管控策略 (旁路部署支持阻斷)

深信服數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)具備有效規(guī)劃、分配、管理用戶對(duì)數(shù)據(jù)庫(kù)賬戶的使用，通過(guò)內(nèi)置靈活的數(shù)據(jù)庫(kù)規(guī)則輕松實(shí)現(xiàn)旁路發(fā)rest包方式阻斷越權(quán)、篡改和高危操作、數(shù)據(jù)庫(kù)訪問(wèn)控制。

Part4豎立在數(shù)據(jù)庫(kù)審計(jì)行業(yè)的深信服

?教育行業(yè)客戶

●福建省醫(yī)科大學(xué)

●青海省交通學(xué)校

●桂林電子科技大學(xué)

?政府行業(yè)客戶

●合肥市人民政府政務(wù)服務(wù)中心

●河北省交通管理局

●珠海

?醫(yī)療行業(yè)客戶

●四川省成都市青白江區(qū)衛(wèi)生和計(jì)劃生育局

●濟(jì)南市第二人民醫(yī)院

●上海市徐匯區(qū)中心醫(yī)院

?大客戶客戶

?福建農(nóng)商行

?福建省聯(lián)通