资源描述
目录1概述32项目背景43数据安全解决方案53.1风险分析53.1.1操作系统安全53.1.2数据库本身的安全风险53.1.3数据库的全面防护63.1.4数据库及其应用系统风险63.1.5数据库前端应用风险63.2项目需求73.3总体设计方案123.4建设目标与原则133.5建设方案143.5.1数据库审计目标服务器153.5.2数据库登录情况173.5.3策略应用情况183.5.4各类前端应用系统对数据库的访问183.5.5各类主机对数据库的访问193.5.6修改数据库操作情况203.5.7数据库异常与访问告警213.6数据安全系统介绍223.7运维安全系统介绍253.8产品和功能详解263.8.1数据库产品和功能详解263.8.2运维安全产品和功能详解344应用效果分析415司简介及案例461 概述随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要,关系到企业兴衰、成败。因此,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,已经成为业界人士探索研究的重要课题之一。由于计算机和网络的普及和广泛应用,越来越多的关键业务系统运行在数据库平台上。数据库中的数据作为企业的财富发挥着越来越重要的作用,同时也成为不安定因素的主要目标。如何保证数据库自身的安全,已成为现代数据库系统的主要评测指标之一。数据库是信息技术的核心和基础,广泛应用在电信、金融、政府、商业、企业等诸多领域,当我们说现代经济依赖于计算机时, 我们真正的意思是说现代经济依赖于数据库系统。数据库中储存着诸如银行账户、医疗保险、电话记录、生产或交易明细、 产品资料等极其重要和敏感的信息。尽管这些系统的数据完整性和安全性是相当重要的,但对数据库采取的安全检查措施的级别 还比不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完整性并导致非法访问,这些因素包括复杂程度、 密码安全性较差、误配置、未被察觉的系统后门以及数据库安全策略的缺失等。 2 项目背景数据库作为金融行业信息系统的核心和基础,承载着越来越多的关键业务系统,整个业务流程过程中的操作、数据的变更、新增、删除都存储在数据库中,保存着客户的个人以及资金等各类信息。信息一旦被篡改或者泄露,不仅损害到公民自身利益,机构的品牌形象,甚至影响到公共秩序和国家利益。所以对数据库的保护是一项必须的,关键的,重要的工作任务。为了保证XX业务系统的更加稳定安全地运行,XX对业务系统的数据库建设进行了完善,不仅考虑数据库系统的集群、异常容错能力,更从业务系统的数据库操作安全方面进行考虑,更加深入,细粒度地保证业务系统数据库操作的安全。从网络层上说,银行正从应用层方面来保证业务系统数据库的安全。那么如何对业务系统的数据库操作安全进行检查呢?我们采用数据库安全审计系统对业务系统的数据库操作进行审计。采用运维安全系统对各种服务器本身进行审计。银行数据各类数据库系统。它们的特殊地位要求安全性极高,重点要考虑二方面的安全风险:一是来自外部安全风险:利用弱口令设置、数据库系统漏洞、 SQL注入等攻击数据库系统,非法进入数据库系统访问、拷贝和修改数据内容;另一个是内部安全风险:以合法授权身份进入业务系统对数据的访问和操作的违规性行为。以上安全风险会引发数据库系统瘫痪、各种内部数据信息被泄露和篡改、涉密数据信息被窃取和失泄等信息安全事件发生。所以重点要对这两部分的数据库及服务器进行防护。3 数据安全解决方案3.1 风险分析任何公司的主要电子数字资产都存贮在现代的关系数据产品中。商业机构和政府组织都是利用这些数据库服务器得到人事信息,如员工的工资表,医疗记录等。因此他们有责任保护别人的隐私,并为他们保密。数据库服务器还存有以前的和将来的敏感的金融数据,包括贸易记录、商业合同及帐务数据等。象技术的所有权、工程数据,甚至市场企划等决策性的机密信息,必须对竟争者保密,并阻止非法访问,数据库服务器还包括详细的顾客信息,如财务帐目,信用卡号及商业伙伴的信用信息等。目前世界上七种主流的关系型数据库,诸如Oracle、Sybase、Microsoft SQL Server、IBM DB2/Informix、MySQL、PostgreSQL服务器都具有以下特征:用户帐号及密码、校验系统、优先级模型和控制数据库的特别许可、内置命令(存储过程、触发器等)、唯一的脚本和编程语言(例如PL/SQL、Transaction-SQL)、中间件、网络协议、补丁和服务包、强有力的数据库管理实用程序和开发工具。 3.1.1 操作系统安全数据库安装于操作系统之上,对操作系统的安全防护也是至关重要的,运维人员可以通过远程访问操作系统,达到本地操作数据库的目的。系统口令及访问控制权限管理技术手段薄弱;数据中心存在“交叉运维”现象;针对运维人员无详细操作记录;无法满足审计检查对日志记录的要求;运维安全分析报告缺乏。因此,我院迫切需要采用必要的技术手段来防范和减少运维操作风险,确保信息系统安全、稳定运行。3.1.2 数据库本身的安全风险数据库服务器的应用相当复杂,掌握起来非常困难。许多数据库管理员都忙于管理复杂的系统, 所以很可能没有检查出严重的安全隐患和不当的配置,甚至根本没有进行检测。 所以,正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题,使数据库专业人员也通常没有把安全问题当作他们的首要任务。 在安全领域中,类似网页被修改、电脑中病毒、木马、流氓软件、弹出窗口等所造成的经济损失微乎其微, 而一旦数据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的。 3.1.3 数据库的全面防护安全是多个环节层层防范、共同配合的结果。也就是说在安全领域不能够仅靠某一个环节完成所有的安全防范措施。一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。数据库领域的安全措施通常包括:身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综合有关安全的各个环节,才能确保高度安全的系统。3.1.4 数据库及其应用系统风险拙劣的数据库安全保障设施不仅会危及数据库的安全,还会影响到服务器的操作系统和其它信用系统。还有一个不很明显的原因说明了保证数据库安全的重要性数据库系统自身可能会提供危及整个网络体系的机制。例如,某个公司可能会用数据库服务器保存所有的技术手册、文档和白皮书的库存清单。数据库里的这些信息并不是特别重要的,所以它的安全优先级别不高。即使运行在安全状况良好的操作系统中,入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征,利用对数据库的访问,获取对本地操作系统的访问权限。这些程序可以发出管理员级的命令,访问基本的操作系统及其全部的资源。如果这个特定的数据库系统与其它服务器有信用关系,那么入侵者就会危及整个网络域的安全。 3.1.5 数据库前端应用风险在电子商务、电子贸易的着眼点集中于WEB服务器、Java和其它新技术的同时,应该记住这些以用户为导向和企业对企业的系统都是以Web服务器后的关系数据库为基础的。它们的安全直接关系到系统的有效性、数据和交易的完整性、保密性。系统拖延效率欠佳,不仅影响商业活动,还会影响公司的信誉。不可避免地,这些系统受到入侵的可能性更大,但是并未对商业伙伴和客户敏感信息的保密性加以更有效的防范。此外,ERP和管理系统,如ASPR/3和PeopleSoft等,都是建立在相同标准的数据库系统中。无人管理的安全漏洞与时间拖延、系统完整性问题和客户信任等有直接的关系。 由此可见,数据库安全实际上是信息安全的核心,在这种情况下,有必要采用专业的新型数据库安全产品,专门对数据库及其操作系统进行保护。3.2 项目需求做为解决上述风险问题的数据系统,应包含一下主要特性:服务器运维安全 针对直接登录操作系统的行为进行控制与审计。数据库使用情况评估检查真实的数据库网络流量以构建一个使用的基准模型,并自动创建数据库安全政策。管理员可以通过审查分析文件轻松掌握适当的数据库使用,非常灵活方便的制定数据库使用着的行为策略。数据库审计SecureSphere采集许多审计数据,并且提供内置的报告功能,可以灵活地满足内部或外部规定要求。SecureSphere的数据库审计包括数据库活动审计、实时告警审计、用户基本信息审计。数据库保护这是SecureSphere对数据库实时保护核心功能,包括: 数据库应用保护 客户化策略的实施 数据库平台的保护 识别复杂的攻击(通过多种手段的联动) 具体到设备的功能,应该具有以下特点:支持各种主流运维协议字符型协议(Telnet、SSH、FTP、SFTP)图形化协议(RDP、Xwindows、VNC、http、https、AS400及其他)支持各种主流数据库 包括对各种版本和各种平台的Oracle、DB2、Informix、Sybase、MS SQL Server的支持。审计厂家必须和四大数据库厂家(Oracle,IBM, Sybase,MicroSoft)是官方认可的深层商业合作伙伴,从而能够保证审计结果的精确性和权威性设备的引入不应对正常业务和正常的数据库运行造成任何影响,同时应满足权限分离的要求,不容许被审计人员对审计功能元进行修改和操作。对数据库没有影响的功能非常有利于部署实施,设备的部署不需要对数据库进行变动,或者对数据中心结构的其它方面进行变动。审计产品应是一个基于网络的应用解决方案,不需要数据库服务器管理权限或者安装主机软件。 其部署及运营可能由网络安全人员进行,而不会对数据库管理资源造成影响。这种方式通过保持安全功能的独立,从而遵守安全实践。审计设备可以审计所有针对数据库的访问,包括对数据库直接连接的访问,以及前台应用程序对数据库的访问;如果应用通过加密方式访问数据库,同样应该可以审计到。审计功能要求审计到尽可能详细的信息针对每一条数据库的访问,审计记录要细致到每一次事务/查询的原始信息记录,应该可以记录所有的关键信息,至少包括以下各个方面:数据库服务器、源IP、目的IP、原始的查询指令、去除具体参数的查询指令、源应用软件、数据库用户名、访问源操作系统用户名、访问源操作主机名、高级权限操作、存储过程、目标数据库和Schema、Stream ID、操作回应内容、操作返回的错误代码操作回应的时间操作回应的条目大小。如果是前台用户通过Web利用应用服务器访问数据库(BS架构下),还应可以审计记录以下信息:前台应用程序的用户名、前台程序的URL、Web Session ID 、Web 客户端IP 对于通过Oracle EBS或SAP等应用服务器访问数据库(CS架构下),应该可以记录最终前台用户的用户名为了有效地记录数据库访问操作,审计人员需要尽可能详细的审计记录信息,详细到准确的查询和响应属性这一级别。数据库审计记录必须将所审计数据库事务归于特定用户。例如,SOX 合规审计机制要求必须记录对财务报告数据的每个更改及执行此更改的用户姓名。但是,当用户通过 Web 应用程序或SAP、Oracle E-Business Suite等应用服务器访问数据库时,数据库审计系统必须可以记录最终的责任用户。支持Bind Variable很多基于数据库的查询是通过Bind Variable完成的。这就要求审计系统不光要记录查询中Bind Variable的变量的名字,还要记录Bind Variable的数值。举例来说:一个包含Bind Variable的SQL是:select * from aaa where name=:who, 审计系统不光把这个SQL记录下来,同时要记录:who=jimmy, 这样才是完整的包含Bind Variable的审计结果。审计策略可以非常灵活的定义由于对于实际的生产系统,需要审计的数据库访问量非常大,这就要求有灵活的审计策略可以定义想要审计的数据库操作的内容。可以定义审计策略的条件应该包括以下各个关键字的条件组合:源IP、目的IP、原始的查询指令、去除具体参数的查询指令、源应用软件、数据库用户名、访问源操作系统用户名、访问源操作主机名、高级权限操作、存储过程、目标数据库和SchemaStream ID 操作回应内容、操作返回的错误代码、操作回应的时间、操作回应的条目大小同样如果是前台用户通过Web利用应用服务器访问数据库(BS架构下),或对于通过Oracle EBS或SAP等应用服务器访问数据库(CS架构下),还应可以根据前台应用程序的用户名来定义审计记录的策略 可以定义敏感数据表,保护核心机密数据可将机密数据定义敏感表,任何用户对敏感表的非法和违规访问可以产生特别的报警审计结果的归档灵活方便为了提高整个数据库审计系统的扩展性,审计信息可以通过FTP,SCP等传输协议灵活的归档到外部的存储设备上,归档出来的数据格式应该是通用格式(CSV),归档可以选择手动及定时定期的自动方式。审计告警日志对外的接口审计结果告警日志可以通过Syslog或SNMP协议和外部的统一审计平台送出数据,进行互通。审计结果可以自动生成符合专业合规审计(SOX)要求的审计报告符合 SOX 合规性的 审计解决方案为生成关键业务(如财务)报告时使用的数据库提供全面的数据审计和安全性,给审计人员带来了极大的便利性。 数据库安全审计网关可以使用自动生成的专用的报告来证明对关键数据库实施控制,这些都是 404 条款的主要要求。通过专用的符合SOX的用户评估报告,合规性检查人员可以验证只有具有合法需求的用户才可以访问关键数据库。智能而自动的建立用户对数据库访问的行为模型审计设备设备应具有自动建立用户数据库访问行为模型的能力。自动智能建模功能可以自动学习、并且自动适应用户数据库及应用系统的各方面特点,自动建立“充分必要”的安全策略。同时,结合全面的、精细的手工定制和调优功能,在最大程度的降低管理工作量的同时,提供最佳的安全配置。为每个用户自动建立对数据库和Schema访问的基线,内容是可正常访问的数据库和Schema。用户访问模型自动建立功能分析实际数据库流量并使用复杂的学习算法创建每个访问数据库的用户或应用的所有合法活动分析模型。此模型不仅仅作为后来审计评估使用变化或应用行为的基准,并且是自动生成的数据库使用安全政策,允许信息安全小组不仅仅可以监视并审计使用,而且保护数据库免受非法行为。学习算法不断应用到实际流量中以便当用户活动随着时间发展时,有效变化将自动重新组织并集成到行为模型中。如果用户访问数据库的时候,行为模型的偏差将自动触发一个报警并可以根据严重性进行阻断。发现非法行为的实时告警功能这是在系统运行时,对正在进行的业务和管理层面的数据库交互活动进行检测。对其中违反既定的安全策略的行为可以即时发现,同时可以产生报警、阻断以及供事后分析和审计的依据。实时的监控和防护可以第一时间消除违规操作对系统的影响。设备具有实时告警的功能,针对非法访问行为和用户定义的访问行为可以实时告警。告警信息可以发送到Syslog Server, 或通过Email发出。数据库保护这是数据库安全审计产品的重要功能,可以实时保护核心核心数据库免遭各种非法行为和破坏。在数据库操作所经过的网络、操作系统、应用软件方面,相应的安全规则就是:防火墙、IPS规则、应用协议保护;这部分规则可以是静态的,已经根据数据库和应用系统的要求做了精细的预设,同时还可以进一步的根据实际需要进行微调。此功能应包括:数据库应用保护审计设备连续比较数据库访问模型的真实用户操作的差异。来自分析的重要偏差生成警报,并且恶意的行为可以根据策略有选择性的阻止。客户化策略实施除了基于特征文件的安全政策外,管理可以定义任意粒度的客户政策。例如:管理员可以设置访问系统对象的查询策略,甚至对包含特定文本模式的查询。政策偏离可以生成一个警报或者迅速阻止活动。行为特征代码分析完成数据库平台保护应该具有 (IPS)保护数据库基础设施免受针对数据库平台及操作系统软件中已知漏洞蠕虫及其它攻击。IPS功能主要通过检查数据库访问是否和特征代码库匹配来判断是否会触发数据库的漏洞。特征代码库要求和国际安全研究组织同步,并且可以包含自定义的SQL特征。 特征代码要保证可以在线升级,可以使得系统在第一时间内抵御最新出现的针对数据库的非法危害行为以及在数据库没有打补丁的情况下,防止数据库厂家的安全漏洞造成的危害防火墙层面和SQL协议层面保护防火墙层面是在网络层面保护数据库免受各种网络层面的非法操作威胁。同时对于上层协议(SQL的通信)的合法性及滥用的检测,对于数据库服务器软件也非常重要。对此,审计设备应该专门提供SQL应用协议检测的功能,来检测SQL协议是否合法或符合标准的规定。在数据库保护层面,对于非法操作,可以进行非常丰富的响应动作,分为三类:告警响应,即时行动,后续行动。即时行动可以将数据包丢弃,后续行动就是通过对外通信来通知管理人员有非法行为发生。数据库安全评估功能:对数据库的基础系统以及运行时的配置进行评估。数据库的基础系统包括,操作系统和数据库应用程序,它们通常会存在软件的缺陷或漏洞,容易被攻击者利用。可以主动评估数据库的安全状况,包括是否打了Patch,包括用户权限在内的各种安全设置是否合理。高性能要求审计设备的可以提供双向最低500Mbps,最高2Gbps的性能,毫微秒级延迟,支持的SQL交易数量从5万每秒到20万每秒。高可用性审计设备应支持高可用性确保最大的正常运行时间及应用可用性。审计设备应具有在设备故障下应该不影响实际业务能力,同时审计设备支持主备配置方式,在合理配置下,可以达到小于1秒甚至更低的主备切换时延。集中管理,分部部署提供全分布式的三级网管架构,包括: 第一层业务探测和实施引擎,第二层网管服务器,第三层操作控制台。这种结构对于在数据库保护这样的大型网络系统中部署统一的安全策略具有至关重要的意义。来自多个网关的日志数据也将显示在单个视图中,并存储在单个管理服务器数据库中。这样可以增强管理的便利性,多网关的动态业务模型、IPS 策略和系统参数集中存储于管理服务器,策略更改在服务器上进行,通过简单操作可将这些更改自动发布到多个网关中,立刻生效,方便快捷。3.3 总体设计方案根据XX数据库系统的网络架构和数据库服务器以及中间件服务器的部署特点,我们提出了一套完整的解决方案:在数据库交换机上做旁路镜像。将旁路信号入数据库审计设备,完成对数据库服务器的访问、操作行为的实时监测审计,完整地记录所有的访问与操作行为和内容,该系统还提供了数据库服务器负载状况监测、客户端访问操作的详细分类统计和排名等功能。在交换机做旁路,部署运维安全设备HAC。针对数据库服务器本身的远程访问进行控制与审计。采用Imperva数据库安全审计网关作为数据库系统审计,其基本原理是:通过旁路监听的方式,对网络数据进行实时采集过滤,对各种上层的数据库应用协议数据进行分析和还原,然后再进行SQL语法解析,最后对审计记录进行存储、对违规的审计记录进行实时报警,同时生成审计报表和统计报表信息。基于旁路监听的数据库审计的解决方案具有下面的一些优势: 不需要对生产数据库进行任何设置,也不需要改变现有的网络架构和配置。 采用旁路监听方式,不影响生产数据库的性能,不占用生产数据库服务器的网络带宽,同时在对审计数据进行压缩备份时不影响业务系统的正常运行。 与数据库管理系统本身的审计功能相比具有更快的响应速度,可以进行实时审计和处理。 审计数据更加安全。与原有的业务网络隔离,因此可以更有效地保护审计数据的安全。同时审计数据传输过程中采用了加密隧道和身份认证机制,有效防止了审计信息的被窃、被篡改与身份假冒。 具有专门的审计日志格式和审计报表,易于查询。 由于采用了动态建模技术,通过自动检测分析实时数据库通信,然后应用复杂的学习算法来创建包含访问数据库的每个用户和应用程序的所有合法活动的”业务模型”,包括数据库客户端的计算机名,程序名,数据库用户名,数据库名,表名以及详细的数据库操作内容等信息。“业务模型”不仅用作以后审计评估用户或应用程序行为更改的依据,而且还是针对数据库使用自动生成的安全策略,信息安全团队使用”业务模型”不仅能够监视和审计数据库使用状况,而且还可以防止数据库受到攻击。采用HAC运维安全产品对数据库服务器本身的运维进行安全审计,其基本原理是:运维人员远程接入时,通过统一的登录入口,利用权限控制,访问不同的目标服务器资源。并对运维全过程进行实时,事后的监控与追溯。采用单臂模式部署时,其主要的优势是:不改变网络拓扑,安装调试过程简单,可按照企业网络架构的实际情况灵活接入。具有以下特点: 系统采用协议分析、基于数据包还原虚拟化技术,实现操作界面模拟,将所有的操作转换为图形化界面予以展现,实现100%审计信息不丢失。 针对运维操作图形化审计功能的展现外,同时还能对字符进行分析,包括命令行操作的命令以及回显信息和非字符型操作时键盘、鼠标的敲击信息。 系统支持的审计协议以及工具包括: 终端命令操作: Telnet、SSH Windows图形: RDP、VNC Unix/Linux图形:Xwindows AS400主机图形:AS400 文件上传和下载: FTP、SFTP 基于BS的管理操作:Http、Https 数据库管理工具:pcAnywhere、DameWare、PL/SQL、TOAD等工具3.4 建设目标与原则在为XX配置实施数据安全整体解决方案时的时候,遵循以下的配置基本原则: 功能性满足本项目的实际需要 可以支持现有应用系统,如数据库类型、本版等 处理性能满足系统的需要 对现有系统的无影响,包括;IP地址空间、路由规划、无需调整应用系统(如设置Proxy,安装软件等)3.5 建设方案为了不影响数据库的正常使用和安全,数据库审计设备和运维安全设备以旁路方式部署。通过在数据库交换机上做端口镜像的方式,把数据库数据流镜像到数据库审计网关,同时在数据库审计网关上配置管理IP,方便远程管理。HAC设备旁路部署在数据库交换机上的任意端口,保证访问端,被访问端与HAC的IP路由可达,拓扑图如下图:为了全面及时地掌握XX数据库系统的运行、访问和操作情况,并即时进行必要的处置,使数据安全管理问题得到了有效的解决。除了默认的全部审计策略,还需要制定适合的策略来快速定位关键的、需要关注的各种操作。为了解决各种需求,我们建立了以下审计策略:1. 关键数据库表审计这个策略的作用条件为:根据我们的业务类型,部分数据库表中存在大量的敏感信息,对这类表我们要着重关注。 2. 非已知应用程序审计网络中可能存在多条路径,多种终端,多种客户端软件,对我们的数据库进行访问,对此通过imperva,我们可以关注到整个网络中各种终端,软件对数据库的访问3. 重要操作审计这个策略的作用条件为两个:记录对数据库的插入、删除、更新、特权操作,排除对已知应用程序的审计。这个策略是审计对数据库的重要操作,记录未知应用程序和客户端软件对数据库写操作,防止数据库被无意或恶意的篡改。3.5.1 数据库审计目标服务器针对目标服务器,其审计概况如下周期访问量:3.5.2 数据库登录情况3.5.3 策略应用情况3.5.4 各类前端应用系统对数据库的访问3.5.5 各类主机对数据库的访问3.5.6 修改数据库操作情况3.5.7 数据库异常与访问告警3.6 数据安全系统介绍SecureSphere提供全分布式的三级网管架构,包括: 第一层业务探测和实施引擎,第二层MX网管服务器,第三层操作控制台。这种结构对于在XX数据库保护这样的大型网络系统中部署统一的安全策略具有至关重要的意义。图SecureSphere的完整部署的示例 SecureSphere的管理服务器的主要特点包括:图形报告 - 完整的 Crystal Reports 包和与 ODBC 兼容的数据库访问支持预配置报告和自定义报告。预配置报告使性能、合规性、安全警报及使用情况的异常情况一目了然。SecureSphere 在整个企业内提供统一的报告。统一的实时警报监视 来自多个 SecureSphere 安全层(动态”业务模型”、IPS 等)的实时警报将被收集、按优先级排序并在一个统一的视图中显示给管理员。警报通知可通过电子邮件、电话、呼机和 SNMP 消息发送。不需要连接到分布在数据中心的各个设备。来自多个网关的日志数据也将显示在单个视图中,并存储在单个 MX 管理服务器数据库中。警报审计 来自多网关的警报将被收集并存储于单个 MX 管理服务器数据库中。若要支持审计功能,只需点击几下鼠标就可以根据多种参数来排序和搜索警报条目。即使是来自不同 SecureSphere 安全服务(IPS、动态”业务模型”等)的特定用户违规行为(由会话 ID 或 IP 地址标识),也可以被立即跟踪。智能攻击摘要 智能攻击摘要通过智能地将多个攻击导致的一系列事件聚合为一个需采取措施的警报,从而提高管理员的工作效率。例如,相关扫描警报可聚合为一个攻击警报,而不是成千上万个攻击警报。如今,快速有效的响应变得极为重要,而这种高度集中的信息能够使管理员快速准确地了解威胁聚合警报保留了形成警报的基本事件,以便进行详细分析。集中式策略分布 多网关的动态”业务模型”、IPS 策略和系统参数集中存储于 MX 管理服务器。更改在服务器上进行,通过单击可将这些更改自动发布到多个网关。4. 登录错误审计这个策略的作用条件为两个:记录登录操作,登录的结果为失败的操作。这个策略的主要作用是记录登录失败的信息,防止有人尝试破解密码,损害数据库安全。3.7 运维安全系统介绍“运维安全审计系统(HAC)” 目标是为组织IT系统核心服务器的运维操作提供强有力的监控、审计手段,使其切实满足内控管理中的合规性要求。HAC可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的审计,并支持操作过程的全程回放。HAC弥补了传统审计系统的不足,将运维审计由事件审计提升为内容审计,并将身份认证、授权、管理、审计有机地结合,保证只有合法用户才能使用其拥有运维权限的关键资源。HAC为组织在IT操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段。HAC系统提供了灵活的部署方式,既可以采取串连模式,也可以采用单臂模式接入到企业内部网络中。采用串连模式部署时,HAC具备一定程度上的网络控制的功能,可提高核心服务器访问的安全性;采用单臂模式部署时,不改变网络拓扑,安装调试过程简单,可按照企业网络架构的实际情况灵活接入。无论串连模式还是在单臂模式,通过HAC访问IT基础服务资源的操作都将被详细的记录和存储下来,作为审计的基础数据。HAC的部署不会对业务系统、网络中的数据流向、带宽等重要指标产生负面影响,无需在核心服务器或操作客户端上安装任何软硬件系统。3.8 产品和功能详解3.8.1 数据库产品和功能详解SecureSphere G8/G16 设备是SecureSphere系列业务监控和防护引擎的成员,它具备四个业务接口,即可以提供两个在线监控桥接组(桥接模式),或监控四个不同的业务网段(旁路侦听模式)。它的处理能力也非常强大,可以提供100,000到200,000交易/秒的处理能力。它同时可以提供所有SecureSphere系列产品的所有业务功能,包括前台Web应用的保护,后台数据库的监控和防护。并且可以在一个平台上同时提供这些功能。SecureSphere系列(G8和G16)主要技术参数:技术参数G8G16吞吐量1Gbps2000 Mbps每秒交易(transaction)100000200000延迟低于百万分之一秒低于百万分之一秒尺寸1U4U接口类型电口/光纤SX/光纤LX电口/光纤SX/光纤LX在线故障短接能力(只用于桥接)是是硬盘250GB SATA;FT模式:热切换250GB SATA热切换300GB SCSI外部驱动CD-ROMCD-ROM标准机架19英寸机架19英寸机架重量40lbs(18公斤)90lbs(41公斤)电源500W;FT模式:双工,热切换520W双工,热切换1470WAC电压要求100-240V,50-60HZ220-240V,50-60HZ物理尺寸宽:16.93”(430mm)深;26.46”(672mm)高:1.7”(43mm)宽:17.6”(447mm)深;27.8”(706mm)高:6.8”(173mm)操作环境5C (41F)到35C (95F)5C (41F)到35C (95F)非操作环境-40C (-40F) 到 70C (158F)相对湿度 95%,非凝结 35C (95F)-40C (-40F) 到 70C (158F)相对湿度 95%,非凝结 35C (95F)电磁兼容性FCC Part 15, ICES-003, CE, VCCIFCC Part 15, ICES-003, CE, VCCI数据库的安全防护是一个系统工程。它的实施,或说是生命周期包括一下四个环节:图 数据库及应用安全维护的生命周期数据库的评估是一个事前、或周期性的工作,它的工作内容是,对数据库的基础系统以及运行时的配置进行评估。数据库的基础系统包括,操作系统和数据库应用程序,它们通常会存在软件的缺陷或漏洞,容易被攻击者利用。而运行配置的内容则包括数据库系统在运行时不同的用户对数据库的系统和业务对象的管理操作能力和权限合理的、好的配置策略可以极大的限制违规操作和非法操作发生的可能性。安全策略的制定是安全防护的核心之一。它的内容是从安全角度定义数据库访问的权限的各个方面。主要内容是,对于用户操作权限数据库对象三个属性(还可以辅助以地址、时间等)的数据库与用户、管理员和应用系统间交互的各种限定性规范的制定。它可以包括正向规则和反向规则两方面的内容;同时以自动建模的方式为主,辅以人工微调和优化,得到充分必要的安全规则。基于安全规则的监控和防护这是在系统运行时,对正在进行的业务和管理层面的数据库交互活动进行检测。对其中违反既定的安全策略的行为可以即时发现,同时可以产生报警、阻断以及供事后分析和审计的依据。实时的监控和防护可以第一时间消除共计和违规操作对系统的影响。报告和审计是周期性的业务运行状况的总结。其中即包括对一段时间内的总体运行状况的描述,也包括详细的分项说明,以及细致到每一次事务/查询的原始信息记录。不仅包括正常业务运行状况,对安全威胁和事件也进行特别重点和详细的报告。报告和审计对于企业提供符合专业规范(如:塞班斯)要求的审计依据具有重大的意义,更重要的是对数据库安全的整个维护和实施生命周期提供了不断自我检查,自我完善的依据。以下对上述数据库安全实施环节的具体内容进行详细阐述。数据库的安全评估数据库的评估主要采用两种技术手段:主动的漏洞扫描评估和被动的使用情况评估。数据库使用情况的评估要确保数据库的安全,首先要了解其使用情况。SecureSphere 的“自动建模”通过检测实时数据库网络通信来生成使用情况的基准模型,然后自动创建数据库安全策略。管理员通过检查“业务模型”,可轻松掌握相应数据库的使用情况。这对于不太了解数据库技术的安全和检查团队来说特别有用。Imperva的基于角色的管理支持“只读”访问权限,以便需要评估使用情况的用户(非 SecureSphere 管理员)可访问此类重要信息。必要时,具有管理特权的管理员可修改“业务模型”制定的策略,以使其符合企业安全策略或规章制度。例如,查询组就是“业务模型”中一个功能强大、表达简练的概念,它用于建立合法业务活动模型。查询组在“自动建模”中表示为对数据库表和表的操作(如 Table1, Select 和 Table2, Update)。这些查询组是基于 SecureSphere“自动建模”算法,从特定数据库用户的查询中派生的。查询组通过将所有访问相同表集(如 book_of_the_week)和使用相同操作(如 select)的查询分成组,来标识正常的业务活动。数据库漏洞“业务模型”SecureSphere 除了提供数据库使用情况的微观细节外,还提供数据库使用潜在漏洞的详细情况。许多漏洞都与特定的数据库部署或使用情况相关,只有在数据库投入使用后,通过观察实时数据库用户活动,这些漏洞才会显现出来。SecureSphere 的“数据库漏洞业务模型”提供一种连续、一致、全面的方法,来确定由于与最佳做法相左而产生的安全漏洞和风险。它还可以找出由于生产环境的配置复杂性而产生的安全漏洞。例如,SecureSphere 可确定对默认存储过程、默认用户账户和系统对象的非管理性访问,所有这些操作都与数据库安全的最佳做法相冲突。SecureSphere 的“漏洞”业务模型很容易确定其他漏洞工具无法检测到的数据库漏洞,这使其成为传统渗透测试和漏洞扫描工具的有益补充。SecureSphere 的“漏洞模型”报告的几个示例如下所示:数据库默认数据包和存储过程评估重点评估非管理用户使用默认存储过程的情况。最佳做法通常建议非管理用户不要使用默认存储过程。数据库用户评估列出最佳做法通常建议非管理用户不要使用的活动默认数据库账户。数据库系统对象访问评估此报告列出访问数据库系统对象的非管理用户。默认情况下,这些对象对于任何用户都是可访问的。不过,大多数系统对象包含有非管理用户不应使用的信息。数据库的安全策略制定、部署、监控和防护Imperva的数据库安全策略包括许多层次。数据库基础设施的安全策略针对数据库的基础设施网络、操作系统、应用软件方面,相应的安全规则就是:防火墙、IPS规则、应用协议保护;这部分规则可以是静态的,已经根据数据库和应用系统的要求做了精细的预设,同时还可以进一步的根据实际需要进行微调。此外,对上层协议(SQL的通信)的合法性及滥用的检测,对于数据库服务器软件也非常重要。对此,专门提供了应用协议检测的功能。数据库查询组 - 合法业务活动建模“动态建模”自动创建每位用户的合法查询组和特定查询基准。这使安全管理人员可以制定针对单个用户的查询级别安全策略。查询组所提供的查询级别策略比手动创建的策略更有效,更精确,更便于维护,而且比某些产品提供的基于角色的“通用”查询策略更精细。毕竟,并不是每个人都完全符合角色的定义。相同角色的不同用户,其查询行为可能有很大的不同,而这些不同对于建立强大的安全策略至关重要。现有数据库活动监视产品的主要缺点是不能对其生成的大量数据进行深入分析。大多数解决方案无法区分用户活动的正常变化和重要的攻击信号。那些声称能够提供精确攻击警报的产品需要不断地进行调整,因此很难提供可靠的警报。为此大多数解决方案只记录下数据库活动,以进行审计。SecureSphere“动态建模”的“查询组”组件通过自动标识每位用户的一致行为模式,来解决这一问题。通过将所有新查询与此前为每位用户建立的模式进行比较,SecureSphere 能够区分出攻击行为和无害的用户行为变化。查询组在“动态建模”中表示为数据库表和表操作对(如 Table1, Select 和 Table2, Update)。这些信息是基于 SecureSphere“动态建模”算法,从特定数据库用户的查询中派生的。与查询组 (Accounts, Select) (Sales, Select) 匹配的每个新查询都被添加到“业务模型”中,以进行审计。在动态查询组情况下,新的查询不属于异常事件,不会生成重复的警报。但是,当财务分析员突然试图通过 UPDATE 操作修改销售表时,SecureSphere 将此查询识别为不属于他的查询组,并相应地发出警报。自定义策略定义除了“动态建模”所提供的自动策略定义外,SecureSphere 还允许安全管理员定义特定的策略,以便基于 SQL 查询的特定属性来生成警报和阻止通信。自定义策略规则以手动方式来配置,用于执行通过“业务模型”和协议冲突规则不能或不便实现的操作。当 SQL 查询与某个自定义策略规则匹配时,将记录一条用于进行审计的警报,并且可根据该自定义策略规则的策略阻止该查询。自定义策略规则可以是以下属性的组合:源 IP 地址:发出查询的源 IP 地址。表:出现在查询中的数据库表的名称。操作:出现在查询中的数据库操作(如 Select 或 Update)。应用程序:用于生成查询的源应用程序。用户:生成查询的数据库用户。SecureSphere 冲突:此 SQL 查询触发的与”业务模型”、协议、防火墙和签名的冲突。检测这些方面的冲突,为强制执行安全策略提供了一种功能强大的灵活机制。基于数据库安全策略的监控和防护数据库安全策略制定之后,必须有相应的部署和保障机制来落实。在SecureSphere中,它的实现又SecureSphere的引擎完成在规则制定完成之后就可立即进行实施。在运行的过程中,对于安全威胁,SecureSphere可以进行非常丰富的响应动作,分为三类:告警响应(Alert),即时行动(Immediate Action)/后续行动(Followed Action),对外通信。告警响应告警响应可以对直接触发网管界面中的告警,并且在告警终端界面里对告警的性质、原因、原始数据,知识库进行详细展示:所有被监控系统的告警都可以被呈现在一个窗口中。 在统一的规则下,告警可以被自动汇聚,可以被搜索、排序、过滤。这样极大的方便了管理员对多个系统的安全事件进行对比和关联分析。即时行动和后续行动即时行动是对于明确定位、且具有严重前在危害的数据包进行即时阻断的动作。而后续行动是在安全威胁确认后对在一段时间之内对攻击源进行的阻断。即时动作的功能在于可以对攻击进行立即的响应,而后续行动保证在一定时间内完全对某个攻击源的屏蔽节省系统资源,同时也防止来自它的其它攻击和破坏。即时行动和后续行动的定义非常丰富。包括对IP的阻断、对Session的阻断、TCP Reset、阻断时间的定义等等:外部通信SecureSphere不但可以在自身的管理界面上呈现告警,而且,还提供了丰富的对外通信接口:SNMP、Syslog、Email、系统程序的调用。这些对有效的整合整个IT系统的事件和告警管理体系,以及快速灵活的通知相关人员都至关重要。数据库运行的报告和审计SecureSphere 收集一系列极其丰富的审计数据并提供非常灵活的内置报告功能,可以满足所有内部或外部的合规性要求。数据库活动审计SecureSphere 支持全方位的数据库活动日志记录。管理员可以指定多个审计日志,并且每个日志都可以单独配置为进行选择性日志记录或进行全面的日志记录。全面的日志记录包括全部用户的所有数据库活动,其中用户也包括从服务器控制台访问数据库的数据库管理员。选择性日志记录可以配置为记录任何属性组合,其中包括用户、源 IP 地址、所访问的表、使用的 SQL 操作、源应用程序、天(按周)和时间(按天)、存储过程和授权 SQL 操作。作为网络设备,SecureSphere 审计数据可完全独立于所有数据库用户(包括数据库管理员和开发人员)进行收集。这就可以清晰区分数据库团队与审计或安全团队之间的职责。而且,审计日志记录可以在不影响数据库性能、稳定性和管理的情况下完成。实时警报审计其他数据库活动监视产品的主要缺点是不能对其生成的大量数据进行深入分析。大多数解决方案无法区分用户活动的正常变化和真正的恶意或攻击活动。SecureSphere 提供的不只是杂乱无章的的活动日志记录。SecureSphere 实时确定“真正有问题”的活动,并在视图中按照优先级显示所有潜在的危险用户活动(包括对数据库应用程序和数据库平台的攻击)。报告可以包括当前警报或任何时间段的历史警报,并且能够基于任何警报参数进行分类、过滤或聚合。其他数据库安全解决方案对于生成多个警报的危险活动处理得很不理想。它们单独处理每个警报,有可能会使真正的问题淹没在大量相关警报中。SecureSphere 提供智能攻击摘要功能,该功能可以将多个攻击导致的多个警报聚合为一个需采取措施的警报,与此同时形成警报的基本事件仍可用于进行详细分析。例如,将成千上万个相关扫描警报聚合为一个攻击警报。用户“业务模型”审计对于检查团队和审计团队,SecureSphere 提供了一种用于了解实际用户行为并将其与最佳做法或合规性要求进行对比的强有力的工具。“业务模型”信息的格式和内容对于不太了解数据库技术的人员来说尤为有用。审计报告可以图示出当前的用户“业务模型”,并能记录一段时间内对“业务模型”所做的更改,例如添加新用户或更改允许用户使用数据库的天和时间。此更改通知报告对于跟踪新数据库功能的部署以及是否遵守了更改控制过程非常有用。3.8.2 运维安全产品和功能详解HAC支持Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、AS400、HTTP、HTTPS等多种通信协议,支持IBM AIX、Digital UNIX、HP UNIX、SUN Solaris、SCO UNIX、LINUX、WINDOWS等多种操作系统。通过安全产品将人与目标设备进行分离,建立以“人-用户账号-授权-目标设备账号-目标设备”为管理模式,通过基于唯一身份标识的集中管理账号与权限、授权的控制策略,与各服务器、网络设备等无缝连接,实现集中精细化运维操作管控与审计。使IT安全运维从被动响应的模式转变为主动的运维安全管控模式,降低人为安全风险,满足合规和内部管理要求。主要属性HAC1000EHAC1000P支持协议Telnet、SSH、FTP、SFTP、Windows Terminal、Xwindows、VNC、AS400、http/https等Telnet、SSH、FTP、SFTP、Windows Terminal、Xwindows、VNC、AS400、http/https等可靠性支持HA支持HA并发数最大支持字符会话1000个,图形RDP会话300个最大支持字符会话500个,图形RDP会话150个部署模式支持单臂、串联模式部署支持单臂、串联模式部署易用性B/S管理、无客户端、Server端软件B/S管理、无客户端、Server端软件清晰性采用中文界面采用中文界面兼容性支持IBM Aix、HP Unix、Sun Solaris、SCO Unix、Linux、Windows等各种操作系统主机和各种网络、安全设备支持IBM Aix、HP Unix、Sun Solaris、SCO Unix、Linux、Windows等各种操作系统主机和各种网络、安全设备外形2U机架式服务器IU机架式服务器存储容量3TB,Raid 5+0支持500GB 网卡3个千兆以太网口3个千兆以太网口1. 统一身份及认证管理完整的身份管理和认证为了确保合法用户才能访问其拥有权限的后台资源,解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题,满足审计系统“谁做的”要求,系统提供一套完整的身份管理和认证功能。 支持运维用户静态口令、数字证书、动态口令、LDAP、AD域、Radius等认证方式; 支持密码强度、密码有效期、口令尝试死锁、用户激活、备注等安全管理功能; 支持用户分组管理; 支持用户信息导入导出,方便批量处理; 至少支持系统管理员、运维管理员、口令管理员和审计员等管理员角色,可定制管理员角色; 审计员分权管理,分为全局审计员和会话审计员,其中会话审计员只能审计指定用户的会话。后台账号口令集中管理系统支持对后台各类资源(主机、服务器、网络设备等)的账号口令进行统一管理,即后台资源的账号口令由系统托管,用户登录系统后,系统根据用户权限分配后台资源的使用权。SSO单点登录SSO单点登录功能是运维人员通过堡垒机认证和授权后,堡垒机根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源帐户的一种可控对应,同时实现了对后台资源帐户的口令统一保护。针对不同主机、网络和安全设备的特性,堡垒机提供托管和只托不管两种方式实现运维用户自动登录后台资源。1、托管方式实现自动登录后台资源 堡垒机自动获取后台linux系统资源帐户信息; 根据口令安全策略,堡垒机定期自动修改后台资源帐户口令; 根据管理员配置,实现运维用户与后台资源帐户对应,限制帐户的越权使用; 运维用户通过堡垒机认证和授权后,堡垒机根据分配的帐户实现自动登录后台资源。2、只托不管方式实现自动登录后台资源 管理员将后台资源帐户及口令配置到堡垒机中; 根据管理员配置,实现运维用户与后台资源帐户对应,限制帐户的越权使用; 运维用户通过堡垒机认证和授权后,堡垒机根据分配的帐户实现自动登录后台资源。对于托管的后台设备口令,支持以配置导出、邮件、密码信封、口令保管箱等的方式进行备份。实际应用时存在多台设备具备相同的帐号、密码的情况,可以通过“统一账号管理”实现只需要手工添加一次账号,无需多次添加;并且启用密码定期修改功能时,该账号密码自动修改为相同的密码。密码打印HAC对于被管理设备的口令能够加密保存,支持被修改口令的打印输出,配合密码信封可以打印形成密件,便于密码保管。为进一步保证账号口令的安全,配合专用的密函打印机,HAC可对被管理设备的账号口令实现密函打印功能,该功能必须经过二次授权复核,打印格式可由用户自定义。口令保管箱对于托管的后台设备口令,除支持以导出、邮件、密码信封的方式进行备份外,还支持把该托
展开阅读全文