綠盟數據庫審計系統(NSFOCUS
DAS)是一款具備完全自主知識產權的專業����、實時數據庫審計產品����。能夠多角度分析數據庫活動���,并對異常的行為進行告警通知��、審計記錄和事后追蹤分析�。NSFOCUS DAS獨立于數據庫進行配置和部署��,這種方式能夠在不影響數據庫的前提下達到安全管理的目的���。
二. 客戶價值
NSFOCUS DAS能夠幫助用戶:
n 滿足合規要求:幫助用戶滿足等保�、分保等合規要求��;
n 提高監管能力:全面���、準確地展示��、匯報數據庫訪問情況�����、安全風險和執行效率����,方便管理員全方位掌控數據庫運行情況�,提高對數據庫安全監管的能力���;
n 加快響應速度:實時記錄����、分析和統計數據庫訪問行為和安全風險的告警信息��,方便管理員在數據庫安全事件發生后第一時間采取管控措施��,加快對數據庫安全事件的響應速度�;
n 解決追責難題:準確的應用用戶關聯優勢���,切實����、有效地解決了三層數據庫部署環境中�,安全事件發生后精準定位����、追責到人的難題�。
NSFOCUS DAS的優勢集中體現在以下四個方面:
3.1 全面記錄數據庫訪問行為
NSFOCUS DAS基于精細的數據庫協議解析和專業的SQL語法��、詞法分析�,具備全面的數據庫訪問審計能力�,具體表現在以下幾個方面:
ü 記錄的日志信息全
NSFOCUS DAS突破了傳統審計產品5要素的審計能力瓶頸���,將可審計要素提升至7要素:
? Who——應用用戶�、數據庫用戶���、主機名稱���、操作系統帳號等���;
? What——訪問了什么對象數據����,執行了什么操作�����;
? When——每個事件發生的具體時間�;
? Where——事件的來源和目的�����,包括IP地址�����、MAC地址等�;
? How——通過哪些應用程序或第三方工具進行的操作���;
? Range——該操作執行的影響范圍�,如查詢���、修改或刪除的記錄行數�;
? ResultSet——返回結果集��,如查詢操作的返回內容����,這將是審計人員進行線索追蹤分析的有力取證材料�����。
ü 審計的SQL語句類型全
NSFOCUS DAS支持對所有標準的SQL語句進行審計�,包括數據查詢語言DQL��、數據操縱語言DML�����、數據定義語言DDL�、數據庫控制語言DCL�����。
ü 支持的數據庫類型全
NSFOCUS DAS能夠保護所有常見的數據庫類型���,支持國外數據庫Oracle�����、IMB DB2���、Microsoft SQL Server����、MySQL和PostgreSQL�,以及國產數據庫達夢數據庫�、人大金倉Kingbase和南大通用GBase��。
3.2 準確關聯應用用戶
NSFOCUS DAS是國內首個做到100%準確關聯應用用戶的數據庫審計產品��。
DAS通過對前端應用訪問和后端數據庫操作請求進行多層業務關聯審計����,實現訪問者信息的完全追溯����,包括發起操作的應用用戶����、URL��、客戶端的IP����、請求報文等信息�,精確地定位事件發生前后所有層面的訪問及操作請求�,使得追責��、問責到人成為現實����,真正做到數據庫操作行為可監控���、違規操作可追溯����。
DAS提供的關聯方法���,避免了傳統數據庫審計產品關聯中基于時間匹配所造成的大量錯審現象����,使應用用戶與SQL語句實現實時����、準確關聯����;也使針對應用用戶危險行為描述�����、審計和實時告警成為可能���。
同時����,DAS能夠準確關聯SQL語句中的參數�、準確識別SQL語句的操作對象��,方便管理員各個維度的精準定位����。
3.3 快速處理日志信息
NSFOCUS DAS具備卓越的日志與告警信息處理性能�。首先�����,DAS通過專有的數據庫索引技術��,大大提高了日志檢索速度����,在庫存上億條日志的基礎之上�����,隨意檢索數據庫中的日志信息�����,響應時間在10秒以內����。其次���,DAS采取批量入庫技術�,有效保障海量日志的快速入庫�,以大型的金融行業客戶為例���,在高達萬條級每秒的日志量環境中���,日志入庫的延遲不超過1分鐘����。
3.4 節省日志存儲空間
NSFOCUS DAS基于精細的SQL語法分析���,采取SQL歸一化處理技術����,只保留SQL語句本質特征的一份副本�,在此基礎之上對于每個具體的SQL語句��,僅需保存動態的條件值或參數即可�����,因此在同樣的存儲空間中�,相對其他同類產品�,DAS能夠存儲大量的日志數據��。以2TBG的硬盤為例�,在5000萬條/秒的日志量環境中����,DAS能夠輕松地存儲6個月以上的日志���,是同類產品的4~5倍��。
NSFOCUS DAS提供以下四個方面的核心功能:
4.1 數據庫訪問行為記錄
NSFOCUS DAS通過對數據庫通訊協議的精確解析�����,和對SQL語句基于Lex/yacc詞法���、語法的詳細分析���,能夠實時��、精準地記錄數據庫業務訪問行為和數據庫運維訪問行為����,協助用戶滿足合規要求���,在安全事件發生后提供有力��、全面��、精準的事件追蹤��、定位和溯源依據��。
4.2 數據庫安全風險告警
NSFOCUS DAS具備實時數據庫安全風險告警功能��,協助管理員有效提高數據庫安全管理能力�����、降低安全風險���。
ü
數據庫漏洞攻擊告警:提供針對數據庫漏洞進行攻擊的描述模型���,能夠迅速發現典型的數據庫攻擊行為���;
ü SQL注入告警:提供系統性的SQL注入庫�����,以及基于正則表達式或語法抽象的SQL注入描述擴展����,能夠及時發現SQL注入行為���;
ü
黑名單語句告警:通過準確而抽象的方式��,對系統中的特定SQL語句進行描述��,當這些SQL語句出現時能夠迅速告警����;
ü
危險客戶端登錄告警:通過IP��、用戶���、數據庫客戶端工具��、時間等多個維度����,定義可能具有入侵風險的登錄行為�;
ü
危險訪問行為告警:通過用戶����、敏感對象��、影響行數�����、操作是否有Where���、是否使用系統對象��、高危操作等多種方式��,定義危險訪問行為����,發現時能夠迅速告警����;
4.3 數據庫訪問日志線索分析
NSFOCUS DAS提供日志線索分析功能����,即在海量日志中����,從以下幾種不同的分析維度入手�����,檢索條件逐步精細化�,最終聚焦于管理員所需的極少量日志信息:
ü
訪問來源:從客戶端工具���、客戶端IP地址�����、數據庫用戶等維度展開線索分析�����;
ü
會話結果:基于成功會話�、失敗會話��、歷史會話��、當前在線會話展開線索分析�����;
ü SQL語句:基于新型SQL語句��、失敗SQL語句展開線索分析�;
ü
執行性能:基于SQL語句執行次數���、執行時響應時間的TOP N排名情況展開線索分析��。
4.4 數據庫性能監視
NSFOCUS DAS能夠實時監視數據庫性能��,以折線圖的形式展示數據庫的SQL吞吐量和響應時間����,對數據庫當前所有的會話進行實時顯示�,集中監視數據庫的訪問壓力和執行效率��,方便管理員全面掌握數據庫的運行狀況�。
NSFOCUS DAS主要應用于以下應用場景:
ü
應用場景一 違規的數據庫業務訪問責任認定�����;
ü
應用場景二 違規的數據庫運維訪問責任認定��;
ü
應用場景三 數據庫敏感數據泄露防護��;
采用旁路部署方式�,通過端口鏡像��、網絡嗅探器�����、集線器����、TAP等�,將訪問數據庫的流量復制一份到DAS�����,由DAS做全面���、細致的訪問行為分析�����。
