数据库审计与风险控制技术介绍与产品说明.docVIP

本文由小徐技术库贡献 ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 WEB应用安全和数据库安全的领航者！ 安恒信息技术有限公司 数据库审计与风险控制技术介绍与产品说明 业界首创细粒度审计、细粒度行为检索、细粒度风险控制 本资料由-校园大学生创业网-提供/ 在线代理/提供部分资料 目录 ? ? ? ? ? ? ? ? ? 背景分析 产品概述 功能介绍 产品特点 产品部署及规格型号 产品实施效果 技术优越性说明 产品优势总结 产品整体先进性体现 应用案例说明 本资料由-校园大学生创业网-提供/ 2011-2-17 在线代理/提供部分资料 2 目录 ? ? ? ? ? ? ? ? ? 背景分析 产品概述 功能介绍 产品特点 产品部署及规格型号 产品实施效果 技术优越性说明 产品优势总结 产品整体先进性体现 应用案例说明 本资料由-校园大学生创业网-提供/ 2011-2-17 在线代理/提供部分资料 3 目录 ? ? ? ? ? ? ? ? ? 背景分析 产品概述 功能介绍 产品特点 产品部署及规格型号 产品实施效果 技术优越性说明 产品优势总结 产品整体先进性体现 应用案例说明 2011-2-17 4 典型的IT信息系统组成 数据库的安全是信息系统安全的核心 客户/ 客户/合作伙伴 是企业数据信息的最终载体 是企业业务系统的核心 专线路由器 不同于网络传输，数据如果在数据库中 被篡改或丢失，是难于恢复的 防火墙 骨干路由器 防火墙 局域网交换机 局域网交换机 数据库服务器 共享存储 应用服务器 业务系统A 业务系统A 内部办公系统 应用服务器 数据库服务器 业务系统B 业务系统B 2011-2-17 5 日益增加的数据库安全问题 十个最普遍的数据库安全威胁 – 1. 越权使用 – 2. 合法权限滥用 – 3. 权限盗用 – 4. 数据库平台漏洞 – 5. SQL 注入 – 6. 缺乏详尽审计 – 7. 拒绝服务攻击 – 8. 数据库通信协议漏洞 – 9. 弱鉴权机制 – 10. 备份数据的缺乏保护 2011-2-17 6 数据库面临的风险 管理风险 技术风险 审计风险 ? ? ? 内部人员误操作、 内部人员误操作、 违规操作、越权操 违规操作、 作 第三方维护人员安 全隐患 最高权限用户操作 多人共用一个帐号 员工离职后泄漏公 司信息 ? ? ? ? ? ? 网络层攻击 操作系统漏洞 应用程序攻击 数据库攻击 应用提供商的 后门 离职员工的后 门 …… ? 日志缺失或不完整 安全事件难于追溯 或定位 复杂的业务应用 + 异构的网络环境 + 高度集中的信息共享 使企业核心数据库面临更大的安全挑战 2011-2-17 7 数据库审计的客观需求 审计目的 – 确保数据的完整性 – 让管理者全面了解数据库实际发生的情况 – 在可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生 关键点 – 如何采取一种可信赖的综合途径，确保数据库活动记录的100%捕获是极为重要的，任何一种 遗漏关键活动的行为，都会导致数据库安全上的错误判断，并且干扰数据库在运行时的性能 客观需求 – 捕捉数据访问：不论在什么时间、以什么方式、只要数据被修改或查看了就需要自动对其进 行追踪 – 捕捉数据库配置变化：当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生 变化时，需要进行自动追踪 – 自动防御：当探测到值得注意的情况时，需要自动启动事先设置的告警策略，以便数据库安 全管理员及时采取有效应对措施，对于严重影响业务运行的高风险行为甚至可以立即阻断 – 审计策略的灵活配置和管理：提供一种直截了当的方法来配置所有目标服务器的审计形式、 具体说明关注的活动以及风险来临时采取的动作 – 审计记录的管理：将从多个层面追踪到的信息自动整合到一个便于管理的，长期通用的数据 存储中，且这些数据需要独立于被审计数据库本身 – 灵活的报告生成：临时和周期性地以各种格式输出审计分析结果，用于显示、打印和传输 2011-2-17 8 应用平台与数据库的安全风险 非授权访问数据库 – 内部或外部用户绕过表现层、应用层，对数据服务层进行非授权的直接访问，如直 接修改数据库数据。