【文章內(nèi)容簡介】 動發(fā)布到多個網(wǎng)關(guān)中，立刻生效，方便快捷。11 / 45 總體設計方案根據(jù) XX 數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡架構(gòu)和數(shù)據(jù)庫服務器以及中間件服務器的部署特點，我們提出了一套完整的解決方案：在數(shù)據(jù)庫交換機上做旁路鏡像。將旁路信號入數(shù)據(jù)庫審計設備，完成對數(shù)據(jù)庫服務器的訪問、操作行為的實時監(jiān)測審計，完整地記錄所有的訪問與操作行為和內(nèi)容，該系統(tǒng)還提供了數(shù)據(jù)庫服務器負載狀況監(jiān)測、客戶端訪問操作的詳細分類統(tǒng)計和排名等功能。在交換機做旁路，部署運維安全設備 HAC。針對數(shù)據(jù)庫服務器本身的遠程訪問進行控制與審計。采用 Imperva 數(shù)據(jù)庫安全審計網(wǎng)關(guān)作為數(shù)據(jù)庫系統(tǒng)審計，其基本原理是：通過旁路監(jiān)聽的方式，對網(wǎng)絡數(shù)據(jù)進行實時采集過濾，對各種上層的數(shù)據(jù)庫應用協(xié)議數(shù)據(jù)進行分析和還原，然后再進行 SQL 語法解析，最后對審計記錄進行存儲、對違規(guī)的審計記錄進行實時報警，同時生成審計報表和統(tǒng)計報表信息?；谂月繁O(jiān)聽的數(shù)據(jù)庫審計的解決方案具有下面的一些優(yōu)勢：? 不需要對生產(chǎn)數(shù)據(jù)庫進行任何設置，也不需要改變現(xiàn)有的網(wǎng)絡架構(gòu)和配置。? 采用旁路監(jiān)聽方式，不影響生產(chǎn)數(shù)據(jù)庫的性能，不占用生產(chǎn)數(shù)據(jù)庫服務器的網(wǎng)絡帶寬，同時在對審計數(shù)據(jù)進行壓縮備份時不影響業(yè)務系統(tǒng)的正常運行。? 與數(shù)據(jù)庫管理系統(tǒng)本身的審計功能相比具有更快的響應速度，可以進行實時審計和處理。? 審計數(shù)據(jù)更加安全。與原有的業(yè)務網(wǎng)絡隔離，因此可以更有效地保護審計數(shù)據(jù)的安全。同時審計數(shù)據(jù)傳輸過程中采用了加密隧道和身份認證機制，有效防止了審計信息的被竊、被篡改與身份假冒。? 具有專門的審計日志格式和審計報表，易于查詢。? 由于采用了動態(tài)建模技術(shù)，通過自動檢測分析實時數(shù)據(jù)庫通信，然后應用復雜的學習算法來創(chuàng)建包含訪問數(shù)據(jù)庫的每個用戶和應用程序的所有合法活動的”業(yè)務模型” ，包括數(shù)據(jù)庫客戶端的計算機名，程序名，數(shù)據(jù)庫用戶名，數(shù)據(jù)庫名，表名以及詳細的數(shù)據(jù)庫操作內(nèi)容等信息。 “業(yè)務模型”不僅用作以后審計評估用戶或應用程序行為更改的依據(jù)，而且還是針對數(shù)據(jù)庫使用自動生成的安全策略，信息安全團隊使用”業(yè)務模型 ”不僅能夠監(jiān)視和審計數(shù)據(jù)庫使用狀況，而且還可以防止數(shù)據(jù)庫受到攻擊。采用 HAC 運維安全產(chǎn)品對數(shù)據(jù)庫服務器本身的運維進行安全審計，其基本原理是：運12 / 45維人員遠程接入時，通過統(tǒng)一的登錄入口，利用權(quán)限控制，訪問不同的目標服務器資源。并對運維全過程進行實時，事后的監(jiān)控與追溯。采用單臂模式部署時，其主要的優(yōu)勢是：不改變網(wǎng)絡拓撲，安裝調(diào)試過程簡單，可按照企業(yè)網(wǎng)絡架構(gòu)的實際情況靈活接入。具有以下特點：? 系統(tǒng)采用協(xié)議分析、基于數(shù)據(jù)包還原虛擬化技術(shù)，實現(xiàn)操作界面模擬，將所有的操作轉(zhuǎn)換為圖形化界面予以展現(xiàn)，實現(xiàn) 100%審計信息不丟失。? 針對運維操作圖形化審計功能的展現(xiàn)外，同時還能對字符進行分析，包括命令行操作的命令以及回顯信息和非字符型操作時鍵盤、鼠標的敲擊信息。? 系統(tǒng)支持的審計協(xié)議以及工具包括：? 終端命令操作： Tel、SSH? Windows 圖形： RDP、VNC? Unix/Linux 圖形：Xwindows? AS400 主機圖形：AS400? 文件上傳和下載： FTP、SFTP? 基于 BS 的管理操作：Http、Https? 數(shù)據(jù)庫管理工具：pcAnywhere、DameWare、PL/SQL、TOAD 等工具 建設目標與原則在為 XX 配置實施數(shù)據(jù)安全整體解決方案時的時候，遵循以下的配置基本原則：? 功能性滿足本項目的實際需要? 可以支持現(xiàn)有應用系統(tǒng)，如數(shù)據(jù)庫類型、本版等? 處理性能滿足系統(tǒng)的需要? 對現(xiàn)有系統(tǒng)的無影響，包括；IP 地址空間、路由規(guī)劃、無需調(diào)整應用系統(tǒng)（如設置 Proxy，安裝軟件等） 建設方案為了不影響數(shù)據(jù)庫的正常使用和安全，數(shù)據(jù)庫審計設備和運維安全設備以旁路方式部13 / 45署。通過在數(shù)據(jù)庫交換機上做端口鏡像的方式，把數(shù)據(jù)庫數(shù)據(jù)流鏡像到數(shù)據(jù)庫審計網(wǎng)關(guān)，同時在數(shù)據(jù)庫審計網(wǎng)關(guān)上配置管理 IP，方便遠程管理。HAC 設備旁路部署在數(shù)據(jù)庫交換機上的任意端口，保證訪問端，被訪問端與 HAC 的 IP 路由可達，拓撲圖如下圖：為了全面及時地掌握 XX 數(shù)據(jù)庫系統(tǒng)的運行、訪問和操作情況，并即時進行必要的處置，使數(shù)據(jù)安全管理問題得到了有效的解決。除了默認的全部審計策略，還需要制定適合的策略來快速定位關(guān)鍵的、需要關(guān)注的各種操作。為了解決各種需求，我們建立了以下審計策略：1. 關(guān)鍵數(shù)據(jù)庫表審計這個策略的作用條件為：根據(jù)我們的業(yè)務類型，部分數(shù)據(jù)庫表中存在大量的敏感信息，對這類表我們要著重關(guān)注。 2. 非已知應用程序?qū)徲嬀W(wǎng)絡中可能存在多條路徑，多種終端，多種客戶端軟件，對我們的數(shù)據(jù)庫進行訪問，對此通過 imperva，我們可以關(guān)注到整個網(wǎng)絡中各種終端，軟件對數(shù)據(jù)庫的訪問14 / 453. 重要操作審計這個策略的作用條件為兩個：記錄對數(shù)據(jù)庫的插入、刪除、更新、特權(quán)操作，排除對已知應用程序的審計。這個策略是審計對數(shù)據(jù)庫的重要操作，記錄未知應用程序和客戶端軟件對數(shù)據(jù)庫寫操作，防止數(shù)據(jù)庫被無意或惡意的篡改。 數(shù)據(jù)庫審計目標服務器針對目標服務器，其審計概況如下15 / 45周期訪問量：16 / 45 數(shù)據(jù)庫登錄情況17 / 45 策略應用情況 各類前端應用系統(tǒng)對數(shù)據(jù)庫的訪問18 / 45 各類主機對數(shù)據(jù)庫的訪問19 / 45 修改數(shù)據(jù)庫操作情況20 / 45 數(shù)據(jù)庫異常與訪問告警21 / 45 數(shù)據(jù)安全系統(tǒng)介紹SecureSphere 提供全分布式的三級網(wǎng)管架構(gòu)，包括： 第一層——業(yè)務探測和實施引擎，第二層—MX 網(wǎng)管服務器，第三層—操作控制臺。這種結(jié)構(gòu)對于在 XX 數(shù)據(jù)庫保護這樣的大型網(wǎng)絡系統(tǒng)中部署統(tǒng)一的安全策略具有至關(guān)重要的意義。圖 SecureSphere 的完整部署的示例 SecureSphere 的管理服務器的主要特點包括：?圖形報告 完整的 Crystal Reports? 包和與 ODBC 兼容的數(shù)據(jù)庫訪問支持預配置報告和自定義報告。預配置報告使性能、合規(guī)性、安全警報及使用情況的異常情況一目了然。22 / 45SecureSphere 在整個企業(yè)內(nèi)提供統(tǒng)一的報告。統(tǒng)一的實時警報監(jiān)視 – 來自多個 SecureSphere 安全層（動態(tài)”業(yè)務模型” 、IPS 等）的實時警報將被收集、按優(yōu)先級排序并在一個統(tǒng)一的視圖中顯示給管理員。警報通知可通過電子郵件、電話、呼機和 SNMP 消息發(fā)送。不需要連接到分布在數(shù)據(jù)中心的各個設備。來自多個網(wǎng)關(guān)的日志數(shù)據(jù)也將顯示在單個視圖中，并存儲在單個 MX 管理服務器數(shù)據(jù)庫中。警報審計 – 來自多網(wǎng)關(guān)的警報將被收集并存儲于單個 MX 管理服務器數(shù)據(jù)庫中。若要支持審計功能，只需點擊幾下鼠標就可以根據(jù)多種參數(shù)來排序和搜索警報條目。即使是來自不同 SecureSphere 安全服務（IPS、動態(tài)”業(yè)務模型”等）的特定用戶違規(guī)行為（由會話 ID 或 IP 地址標識） ，也可以被立即跟蹤。智能攻擊摘要 – 智能攻擊摘要通過智能地將多個攻擊導致的一系列事件聚合為一個需采取措施的警報，從而提高管理員的工作效率。例如，相關(guān)掃描警報可聚合為一個攻擊警報，23 / 45而不是成千上萬個攻擊警報。如今，快速有效的響應變得極為重要，而這種高度集中的信息能夠使管理員快速準確地了解威脅聚合警報保留了形成警報的基本事件，以便進行詳細分析。?集 中 式 策 略 分 布 – 多 網(wǎng) 關(guān) 的 動 態(tài) ”業(yè) 務 模 型 ”、 IPS 策 略 和 系 統(tǒng) 參 數(shù) 集 中 存 儲 于 MX 管理服務器。更改在服務器上進行，通過單擊可將這些更改自動發(fā)布到多個網(wǎng)關(guān)。4. 登錄錯誤審計這個策略的作用條件為兩個：記錄登錄操作，登錄的結(jié)果為失敗的操作。這個策略的主要作用是記錄登錄失敗的信息，防止有人嘗試破解密碼，損害數(shù)據(jù)庫安全。24 / 45 運維安全系統(tǒng)介紹“運維安全審計系統(tǒng)（HAC） ” 目標是為組織 IT 系統(tǒng)核心服務器的運維操作提供強有力的監(jiān)控、審計手段，使其切實滿足內(nèi)控管理中的合規(guī)性要求。HAC 可對主機、服務器、網(wǎng)絡設備、安全設備等的管理維護進行安全、有效、直觀的操作審計，對策略配置、系統(tǒng)維護、內(nèi)部訪問等進行詳細的記錄，提供細粒度的審計，并支持操作過程的全程回放。HAC 彌補了傳統(tǒng)審計系統(tǒng)的不足，將運維審計由事件審計提升為內(nèi)容審計，并將身份認證、授權(quán)、管理、審計有機地結(jié)合，保證只有合法用戶才能使用其擁有運維權(quán)限的關(guān)鍵資源。HAC 為組織在 IT 操作風險控制、內(nèi)控安全和合規(guī)性等方面提供一套完善、有效的審計手段。HAC 系統(tǒng)提供了靈活的部署方式，既可以采取串連模式，也可以采用單臂模式接入到企業(yè)內(nèi)部網(wǎng)絡中。采用串連模式部署時，HAC 具備一定程度上的網(wǎng)絡控制的功能，可提高核心服務器訪問的安全性；采用單臂模式部署時，不改變網(wǎng)絡拓撲，安裝調(diào)試過程簡單，可按照企業(yè)網(wǎng)絡架構(gòu)的實際情況靈活接入。分 支 機 構(gòu)核 心 服 務 器 區(qū) 網(wǎng) 絡 區(qū) （ 組 網(wǎng) ）操 作 及 網(wǎng) 管 區(qū)H A CI n t e r n e tI n t r a n e t廠 商 技 術(shù) 支 持 或外 包 人 員遠 程 運 維無論串連模式還是在單臂模式，通過 HAC 訪問 IT 基礎(chǔ)服務資源的操作都將被詳細的記錄和存儲下來，作為審計的基礎(chǔ)數(shù)據(jù)。HAC 的部署不會對業(yè)務系統(tǒng)、網(wǎng)絡中的數(shù)據(jù)流向、帶寬等重要指標產(chǎn)生負面影響，無需在核心服務器或操作客戶端上安裝任何軟硬件系統(tǒng)。25 / 45 產(chǎn)品和功能詳解 數(shù)據(jù)庫產(chǎn)品和功能詳解SecureSphere G8/G16 設備是 SecureSphere 系列業(yè)務監(jiān)控和防護引擎的成員，它具備四個業(yè)務接口，即可以提供兩個在線監(jiān)控橋接組（橋接模式） ，或監(jiān)控四個不同的業(yè)務網(wǎng)段（旁路偵聽模式） 。它的處理能力也非常強大，可以提供 100,000 到 200,000 交易/秒的處理能力。它同時可以提供所有 SecureSphere 系列產(chǎn)品的所有業(yè)務功能，包括前臺Web 應用的保護，后臺數(shù)據(jù)庫的監(jiān)控和防護。并且可以在一個平臺上同時提供這些功能。SecureSphere 系列（G8 和 G16）主要技術(shù)參數(shù)：技術(shù)參數(shù) G8 G16吞吐量 1Gbps 2022 Mbps每秒交易（transaction）100000 202200延遲 低于百萬分之一秒 低于百萬分之一秒尺寸 1U 4U接口類型電口/光纖 SX/光纖LX電口/光纖 SX/光纖LX在線故障短接能力（只用于橋接）是 是硬盤 250GB SATA；FT 模式：熱切換250GB SATA熱切換 300GB SCSI外部驅(qū)動 CDROM CDROM標準機架 19 英寸機架 19 英寸機架26 / 45重量 40lbs（18 公斤） 90lbs（41 公斤）電源 500W；FT 模式：雙工，熱切換 520W雙工，熱切換 1470WAC 電壓要求 100240V，5060HZ 220240V，5060HZ物理尺寸 寬：”(430mm)深；”(672mm)高：”(43mm)寬：”(447mm)深；”(706mm)高：”(173mm)操作環(huán)境 5176。C (41176。F)到35176。C (95176。F)5176。C (41176。F)到35176。C (95176。F)非操作環(huán)境 40176。C (40176。F) 到 70176。C (158176。F)相對濕度 95%,非凝結(jié) 35176。C (95176。F)40176。C (40176。F) 到 70176。C (158176。F)相對濕度 95%,非凝結(jié) 35176。C (95176。F)電磁兼容性 FCC Part 15, ICES003, CE, VCCIFCC Part 15, ICES003, CE, VCCI數(shù)據(jù)庫的安全防護是一個系統(tǒng)工程。它的實施，或說是生命周期包括一下四個環(huán)節(jié)：27 / 454 Imperva Confidential 數(shù) 據(jù) 庫 應 用 安 全 維 護 的 生 命 周 期數(shù) 據(jù) 庫 應 用 安 全 維 護 的 生 命 周 期Imperva 實 現(xiàn) 真 正 的 整 個 安 全 流 程實 現(xiàn) 真 正 的 整 個 安 全 流 程評 估?測 試 、 發(fā) 現(xiàn) 數(shù) 據(jù) 庫 配置 狀 況?評 估 潛 在 的 威 脅?發(fā) 現(xiàn) 誰 在 使 用 數(shù) 據(jù) ，他 們 在 做 什 么定 義 策 略?自 動 定 義 安 全 策 略 ，?并 跟 隨 應 用 不 斷 調(diào) 整?配 置 策 略 以 及 控 制 行 為量 化 和 報 告?內(nèi) 置 的 合 規(guī) 性 報 告?數(shù) 據(jù) 的 回 溯 和 細 節(jié) 展 示?安 全 事 件 的 分 析?客 戶 化 報 告?多 種 報 告 格 式監(jiān) 視 和 控 制?保 證 人 員 分 工 的 隔 離?保 證 用 戶 的 可 明 確 追 溯?捕 捉 細 節(jié)?提 供 各 層 面 的 安 全?實 時 的 告 警 和 阻 斷圖 數(shù)據(jù)庫及應用安全維護的生命周期數(shù)據(jù)庫的評估是一個事前、或周期性的工作，它的工作內(nèi)容是，對數(shù)據(jù)庫的基礎(chǔ)系統(tǒng)以及運行時的配置進行評估。數(shù)據(jù)庫的基礎(chǔ)系統(tǒng)包括，操作系統(tǒng)和數(shù)據(jù)庫應用程序，它們通常會存在軟件的缺陷或漏洞，容易被攻擊者利用。而運行配置的內(nèi)容則包括數(shù)據(jù)庫系統(tǒng)在運行時不同的用戶對數(shù)據(jù)庫的系統(tǒng)和業(yè)務對象的管理操作能力和權(quán)限——合理的、好的配置策略可以極大的限制違規(guī)操作和非法操作發(fā)生的可能性。安全策略的制定是安全防護的核