原标题:数据库审计系统AAS

产品概要:

mysql 审计员 数据库 审计_安全审计

数据库审计介绍

数据库审计是指对审计日志和事务日志进行审查从而跟踪各种对数据库操作的行为,一般审计主要记录对数据库的操作、对数据库的改变执行该项目操作的人以及其他的属性。这些数据库一般被记录到独立的平台中并且具备较高的准确性和完整性,针对数据库活动或状态进行取证检查时,审计可以准确的反馈数据库的各种变化对我们分析数据库的各类正常异常违规操作提供证据。

数据库审计法规要求

法规控制在一些领域起了关键性的作用,例如在业务变更、业务流程验证、系统故障、人为违规操作等方面。因为数据库作为各项资产或者业务的核心,所以数据库审计在各类标准法规中非常重要。

《萨班斯法案》强调加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制是紧密围绕信息安全审计这一核心的。

巴赛尔新资本协定(Basel II)要求全球银行必须做好风险控管(risk management),而这项“金融作业风险”的防范正需要业务信息安全审计为依托。

《企业内部控制具体规范》明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。

《等级保护数据库管理技术要求》第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应:建立独立的安全审计系统;定义与数据库安全相关的审计事件;设置专门的安全审计员;设置专门用于存储数据库系统审计数据的安全审计库;提供适用于数据库系统的安全审计设置、分析和查阅的工具。

《ISO15408-2 安全功能要求》明确要求数据库安全审计应包括:识别、记录、存储和分析那些与安全相关活动(即由TSP 控制的活动)有关的信息;检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。

功能特性:

全面的数据库审计

昂楷AAS能够针对目前主流的数据库(ORACLE、MSSQL、MYSQL、POSTGRESQL、Cache、….)的各种操作进行详细的、实时的记录,并以报表和数据库列表的形式呈现给客户!能够审计的内容包括:

审计用户对数据库的登陆、注销

审计用户到数据库表的查询、插入、修改、删除、创建……

能够监控各类数据库的连接客户的操作

支持的数据库类型包括:

ORACEL、

DB2、

INFORMIX、

SYBASE、

MSSQL Server、

MYSQL、

POSTGRESQL、

CACHE

远程服务器操作审计

昂楷AAS支持主流的远程服务器访问操作,包括对Telnet、FTP、Rlogin、X11等操作的审计,能够全程记录远程访问用户的各种操作。

丰富的报警设置

用户可以自定义各种报警事件,并设置报警事件的类别。当数据库遭遇到攻击、定制报警策略促发时,系统会自动的告警出来!目前报警为高级、较高、中级、低级四个级别。

mysql 审计员 数据库 审计_安全审计_02

灵活的审计策略

ANKKI-AAS使用审计引擎对所有的数据库活动、数据库服务器远程操作进行实时的、动态的审计,并根据审计到客户端(ip、mac、用户名……)、中间件(操作语句)、服务端(返回值、响应时间……)信息,自定义策略,实现审计可视化、可管理行。

系统管理

昂楷AAS的管理控制台集中管理应用审计系统,审计人员可以通过管控平台是实时监控应用审计设备的各种状态,包括:

系统运行状态,CPU、内存、硬盘的消耗等。

系统自身运行的各种日志信息。

用户管理,管理各种用户的权限,以及用户对审计设备的操作状况。

产品优势:

ANKKI-AAS审计数据通过网络完全独立地采集,这使得数据库维护或开发小组,安全审计小组的工作进行适当的分离。而且,审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于ANKKI-AAS自带的存储空间中,避免了数据库特权用户或恶意入侵数据库服务器用户,干扰审计信息的公正性。

全跟踪细腻度审计

全面性:针对业务层、应用层、数据库等各个层面的操作进行跟踪定位,包括数据库SQL执行情况、数据库返回值等。

细粒度:精确到表、对象、记录内容的细粒度审计策略,实现对敏感信息的精细监控;

独立性:基于独立监控审计的工作模式,实现了数据库管理与审计的分离,保证了审计结果的真实性、完整性、公正性。

权限分离

ANKKI-AAS设置了权限角色分离,如系统管理员负责设备的运行设置;审计员负责查看相关审计记录及规则违反情况;日志员负责查看整体设备的操作日志及规则的修改情况等。

事件准确定位

传统的数据库审计定位往往局限于IP地址和MAC地址,很多时候不具备可信性。昂楷AAS可以对IP、MAC、用户名、服务端等一系列进行关联分析,从而追踪到具体人。

独特报表功能

合规性报表

ANKKI-AAS报表和根据合规性要求,输出不同类型的报表。例如,可根据等级保护三级要求,输出符合等保相关项目满足的度的报表。

策略定制化报表

根据审计人员关系的主要稳定,定制符合需求的策略规则输出报告,使审计人员能够迅速的得到自己需要去审计信息。

完备的自身安全

ANKKI-AAS全方位确保设备本身的高可用性,主要包括:硬件级安全冗余、系统级防攻击策略、告警措施等。

部署效果:

为了完全不影响数据库系统自身运行与性能,数据库安全审计系统应支持采用旁路监听或模式,具体可分为核心交换机网络监听模式、网桥模式和数据库系统主机上实施监听模式。

交换机网络监听模式

通过在核心交换机上设置端口镜像模式或采用TAP分流监听模式,使安全审计引擎能够监听到所有用户通过交换机与数据库进行通讯的全部操作。具体部署结构如图所示:

mysql 审计员 数据库 审计_数据库_03

交换机网络监听模式审计系统部署示意图

数据库系统主机网络监听模式

通过在数据库系统主机上部署网络监听的审计接入模块,审计接入模块能够监听所有用户与数据库系统进行的全部通信,获得对数据库系统的所有访问操作,审计接入模块发送给审计系统,并记录在审计系统中。

网络监听模式最大的优点就是与现有数据库系统无关,部署过程不会给数据库系统带来性能上的负担,即使数据库安全审计系统出现故障也不会影响数据库系统的正常运行,具备易部署、无风险的特点;但是,其部署的实现原理决定了网络监听技术在针对加密协议时,只能实现到会话级别审计(即可以审计到时间、源IP、源端口、目的IP、目的端口等信息),而没法对内容进行审计。