数据库审计系统课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Copyright,2015,Neusoft Corporation,东软,NetEye,数据库审计,系统,PPT,东软公司,数据库面临的风险及产品需求,信息泄露 篡改,数据库故障 业务中断,遭受攻击 存在安全漏洞,完整的数据库审计,对违规事件提示告警,数据库优化,对故障原因定位分析,面临的风险,产品需求,数据库行为审计,会话,操作,告警,安全策略设置,邮件告警,网页告警,统计报表,数据库,用户,专家系统,故障诊断专家,数据安全专家,性能分析专家,功能概述,数据库访问审计,Who,When,Where,What,MS SQL,Oracle,DB2,Sybase,MySQL,ftp,telnet,审计记录,统计报表,异常告警,Informax,DBA,实时监控,审计策略设置,审计数据,协议分析,数据库,策略设置,策略匹配,数据库管理员,网页告警,邮件告警,完整审计,专家系统,故障诊断专家,数据库健康体检,故障点场景还原,失败,SQL,分析,数据安全专家,攻击行为分析,越权操作分析,安全状态分析,系统优化专家,时间优化,内容优化,故障诊断专家,数 据 库 健 康 体 检,故障诊断,专家,故障点场景还原,发现时间,故障原因,数据库状态,会话记录,失败,SQL,分析,时间,错误消息,耗时,操作记录,FTP/Telnet,业务,失败,SQL,数据安全,专家,攻击行为分析,暴力登录,SQL,注入分析,越权操作分析,越权访问扫描,安全状态分析,可疑端口,可疑进程,危险操作,系统优化,专家,时间,优化,业务操作趋势,数据库压力趋势,内容,优化,资源,-SQL,分析,SQL,耗时分析,统计报表,数据库统计,用户统计,时间走势,告警统计,流量统计,操作统计,IP,数据头,源地址,目的地址,IP,数据内容,TDS,、,TNSDRDAMYSQL,L2-L4,检测：网络层感知,L7,检测：应用层感知,DPI,模式：,应用分析准确率高到,95%,精,准的协议与应用分析,零,风险部署,操作界面,展示,我的导航,IE,窗口式设计,配置审计策略,3.1,进入审计与防火墙,=,策略中心进行策略配置，点击添加策略。,3.3,设置,delete,（删除操作）为高风险。,3.2,在添加的策略下面添加规则。,3,、策略 配置,默认规则,4.1,、在规则中若如右图设置一条默认规则，代表对于数据库的所有访问都是记录的。若无审计信息就要看一下这里是否配置了规则。,4.2,、若无最新流量请查看数据库引擎是否启动，缓存策略是否改为了,1,条，所添加的策略是否应用到了数据库引擎。,*缓存策略设置在通用配置,=,采集器配置模块下。,4,、数据库审计,其他说明,规则的优先级,4.3,对于策略，规则的解释,在策略下添加规则有四种类型，若同一条策略下有多条规则；那么匹配的优先级为：,黑名单,=,白名单,=,优先级,无优先级,若有多条无优先级的默认规则那匹配的顺序为从上往下，切默认规则可以上下调整顺序。,黑名单（阻断，记录，具有优先级）白名单（通过，不记录，具有优先级）优先级（优先匹配，具有优先级）,默认规则,(,无优先级,),默认规则：可以调换，可以设置很多条；若有多条默认规则，在上者优先匹配。,黑白名单优先级规则都是具有优先级的当一条策略中有多条具有优先级的规则的时候匹配顺序从上往下，命中则停止匹配。,全局,参数配置,对应策略配置下的,目标表、表组,两个概念；表组是多个表的集合,用于匹配,SQL,语句同时关联多张表的情况。,数据库,Schema,集：对于,Oracle,可理解为多张表的集合，对于,Mysql,数据库就是数据库名，对于,Sqlserver,数据库,Schema,就是架构。,存储过程是在数据库端用于完成特定操作的,SQL,语句集，在调用存储过程的时候是使用的存储过程名，这里要填写使用的就是存储过程名。,数据库列就是数据库表的列名,4.4,全局参数配置,规则,配置说明,4.5,规则配置说明,通过对数据库访问的各种特征如,SQL,来源,IP,、,SQL,访问的目标数据库表等，来组合设置访问匹配规则；达到对数据库细粒度的访问审计记录告警或进行访问控制。,增、删、改、查、特权操作、登录、登出。,一条对数据库的,SQL,操作，同时（操作）影响数据库的行数。,对数据库进行的除增删改查之外的其他一些操作的匹配，如授权操作,grant.,规则配置说明续,关键字（词）,执行失败的,SQL,语句的匹配审计。,在防火墙模式下对某些语句进行替换，格式为：原词,/,替换词,多个替换词之间使用回车进行分割,与系统设备和敏感数据扫描模块下的敏感数据发现结合使用。,用于匹配用户登录、退出成功与失败。,数据库防火墙模块,1,、数据库防火墙模块,提供屏蔽、访问控制、阻断功能。,DB,服务器,2.1,防火墙模式将设备串接在网络中在数据库服务器之前，设备默认第一个、第二个网口为防火墙接口。,2,、设备连接方式,2.2,在防火墙模式下，,WEB,页面管理,IP,使用,fire1,的,IP,地址。,3,、给,fire1,配置,IP,地址。,登录系统管理员进入系统配置,=,系统配置,=,接口配置,=,访问控制防火墙多路设置。编辑给,fire1,填写一个,IP,地址，此,IP,地址与,eth3,管理口,IP,不可在同一个网段。,应用服务器,NetEye,数据安全平台,数据库防火墙模块续一,4,、添加数据库加固点，通用配置,=,数据库加固点。添加加固点后添加审计与防火墙功能。,5,、添加规则防火墙策略规则（同审计策略规则）,添加一条策略对查询行为进行阻断。,数据库防火墙模块续二,6,、执行一条,select,语句查看审计日志信息,可以看到此条对数据库发起的,select,语句被成阻断了。还有更多阻断策略组合请参照数据库审计策略规则进行设置。,数据库防火墙模块续三,7,、其它注意事项,先用两台,PC,分别接设备的,eth0,、,eth1,进行模拟测试，若网络能通并可以正常审计阻断则把设备接入实际网络中。,接入实际网络环境，进行测试；观察网络是否通畅，在检索中查看最新流量是否有数据。,硬件具有,Bypas,s,功能,，若设备发生故障，如断电等情况，会自动进入全通状态。,fire1,的,IP,与,eth3,也就是默认,WEB,管理,IP,不能在同一个网段。,可以使用,fire1,的,IP,进行,WEB,管理。,数据发现模块,设备数据发现分为服务扫描和数据扫描两大功能，可分别用于扫描网络中存在的服务以及核心敏感数据。,服务扫描引擎,将扫描到的设备自动添加到加固点。,设置扫描的网段。本网段：只扫描与设备同网段的服务；选择,IP,地址组：选择在高级中添加的,IP,地址组。设定网段：手动指定扫描的网段。,指定扫描的端口范围，内置有两个端口组；也可以在高级中手动设置。,选择要扫描的服务类型。,1,、服务引擎配置,数据发现模块续,自定义添加,IP,地址组,自定义添加端口组,2,、高级配置,3,、开启服务扫描功能,4,、在服务下查看服务扫描结果,配置扫描引擎,将扫描的敏感数据自动应用到规则中,敏感数据类型，也可以在高级中自定义敏感数据类型,设置要扫描的数据库,设置要扫描的数据库表,数据扫描引擎,1,、数据扫描引擎配置,配置扫描引擎续一,2,、凭证：即数据扫描的范围，可以根据服务扫描结果进行设定，也可以自定义进行设置。,3,、高级：设置要扫描的敏感数据，在系统中有内置的,12,种敏感数据，也可以根据需要进行自定义添加。,4,、启动扫描,配置扫描引擎续二,5,、在数据发现下查看数据发现结果,6,、查看数据扫描概要信息,风险扫描模块,通过制定和执行安全策略，可以扫描出从口令过于简单，权限控制到系统配置等一系列问题，生成易于用户理解的报告，并且对于违背和不遵循安全性策略的做法提供可行性建议。,1,、添加策略组，可以从内置的策略中选择所关心的安全策略。,2,、弱口令检测：检测数据库是否存在过于简单的密码问题,风险扫描模块续一,3,、启动风险扫描，对数据库进行风险扫描,4,、风险扫描完成后自动生成报表，存放在历史报表中。,5,、查看报表，并且可以将报表导出,数据库状态监控模块,用线图、表格、图表等形式直观的展现数据库的配置信息和运行状态,1,、在通用配置,数据库加固点中添加数据库状态监控,2,、查看数据库状态监控信息，监控信息可以导出报表,数据库透明加密模块,防止数据存储介质丢失、,DBA,权限泄漏、直接复制文件等情况造成的数据泄密。,1,、登录安全管理员,=,通用配置,=,添加数据库加固点,2,、以系统管理员登录系统，添加需要进行加密的数据源；添加完成之后在需要加密的数据库上安装加密程序,3,、导入需要加密的表。,数据库透明加密,模块续一,4,、以安全管理员登录，进入数据库加密模块配置写入保护。,5,、选择需要加密的数据表的行或列进行写入保护操作。,6,、加密完成后查看数据库加密表信息。,明文,对第四列，二、三行进行加密,密文,数据库透明加密,模块续二,7,、对加密后的表对,system,用户授予,select,权限，授权后执行,select*from asptt.table1,，将会得到明文信息,;,8,、使用,asptt,用户登录，执行,select*from table1,。作为未经授权的账号，系统将反馈加密后的乱码；,9,、表授权：对表的访问权限按照程序名，,IP,地址，时间范围等信息进行授权管理。,高效性,人性化,高稳定性,完备性,NetEye,DBA,数据库审计系统,零风险,精确性,产品,特点,Copyright 2015 Neusoft Corporation,Thanks,内容总结,Copyright 2015 Neusoft Corporation。*缓存策略设置在通用配置=采集器配置模块下。在防火墙模式下对某些语句进行替换，格式为：原词/替换词。与系统设备和敏感数据扫描模块下的敏感数据发现结合使用。编辑给fire1填写一个IP地址，此IP地址与eth3管理口IP不可在同一个网段。添加加固点后添加审计与防火墙功能。还有更多阻断策略组合请参照数据库审计策略规则进行设置。先用两台PC分别接设备的eth0、eth1进行模拟测试，若网络能通并可以正常审计阻断则把设备接入实际网络中。观察网络是否通畅，在检索中查看最新流量是否有数据。fire1的IP与eth3也就是默认WEB管理IP不能在同一个网段。将扫描到的设备自动添加到加固点。本网段：只扫描与设备同网段的服务。选择IP地址组：选择在高级中添加的IP地址组。设定网段：手动指定扫描的网段。指定扫描的端口范围，内置有两个端口组。Thanks,