数据库安全审计Guardium介绍.ppt

* * Guardium是IBM于2009年下半年收购的一家以数据库安全审计监控为主的软硬件一体化产品。 针对目前市场上所有主流的数据库、应用系统、操作系统以及认证方式，Guardium都提供了全方位的支持。 并且在第三方的评估中，Guardium获得的评价最高。 关于Guardium的客户。 Guardium在全球的客户包括了全球排名前五的银行，排名前三的零售商中的两家，两大饮料生产商Cocacola，pepsi，PC厂商DELL，政府机构以及15家电信公司。 目前在国内的客户包括有深证平安保险，平安证券，广东省农信等等。 平安银行股份有限公司 中国平安财产保险股份有限公司 中国平安人寿保险股份有限公司 平安证券有限责任公司 大庆市住房公积金管理中心 * * * * FBI, Federal Reserve Board * * * Guardium强调的是一个全方位的审计监控周期。 首先我们可以对要监控的用户或者敏感信息做发现和分类； 然后可以对已有的数据库系统做各种评估，包括说易损性评估、配置评估、行为评估等等，还可以对合规化的操作做一个基准的设置，从而区分出合规和违规的操作； 再是对用户或者敏感信息进行监控，这里的监控可以设置各种策略，比如是要监控全部操作，还是部分操作，记录全部信息，还是不记录全部信息等等。针对各种异常情况可以及时发现，实时阻止起到主动防御的功能，例如有非法用户多次登录数据库失败就可以被记录下来，有用户在查询信用卡信息就可以被切断操作。Guardium对数据库的监控可以达到较细的粒度，例如可以指定到监控某个用户的某个select操作过程，并且可以对用户执行的select SQL语句做语义的解析分类，同时可以显示或者不显示SQL语句中所带的数值value。与其他应用的整合包括有：Guardium可以和第三方的用户管理软件例如LDAP做一个整合，可以和TSM存储管理做整合。 最后，关于监控后的审计数据，因为是保存在数据库当中，所以可以灵活地进行修改，包括下钻查看更为详细的信息；Guardium当中已经包含了许多用于审计的报告，比如专门用于塞班斯法案的报告，PCI规定的报告等等，所以，用户如果刚开始不熟悉怎么设定策略来进行数据库的监控审计的话可以先参考已有的报告，再来配置自己的策略。 总而言之，Guardium对于数据库的监控审计提倡的是完整的生命周期管理，更为明确的帮助客户定位数据库安全问题发生的地点然后告警，以及更加高级的提供主动防御的功能。 * Guardium的监控方式有两种：一是旁路的方式来抓取网络流量包，主要监控通过TCPIP协议来访问数据库的远程客户端； 另一种是在数据库服务器上安装探针驱动S-TAP来监控直接登录到服务器上通过Shared Memory等本地方式访问数据库的操作，尤其是像对数据库管理员这种权限很高的用户起到监控的作用。 并且，如果安装了本地探针，那么对数据库服务器的性能影响控制在5%以内；并且可以主动防御，切断用户对数据库的恶意操作，这也是Guardium的一大优势所在。 * 另外，当面对更大量的数据库需要监控，或者面对不同地理位置的数据库需要监控时，Guardium能提供易于扩展的多层次架构。这也是我们说Guardium是企业级数据库安全审计解决方案的原因之一。 如图所示，该公司的数据中心跨地域分布，分支机构或远程站点的用户通过网络访问其他数据中心的数据库。针对数据库我们在操作系统级安装不同的驱动以监控访问数据库的行为，例如，针对大型机上的数据库我们有驱动Z-TAP，针对分布式数据库我们有驱动S-GATE和S-TAP，Guardium软硬件一体机（也叫Guardium盒子）作为采集器收集来自驱动的信息，通过解析可以捕获用户访问数据库的SQL语句，从而监控和审计用户行为。 另外，Guardium还提供中心管理和审计资料库来集中管理各个Guardium盒子的配置。 这些异常操作查找和确定过程，涉及到大量信息的过滤、排序等操作，对GUARDIUM来说，这些功能都是基本功能，能实时完成。对于其它审计产品这些过程就需要将原始审计数据导入到数据库中，然后通过相应工具进行分析。 首先要查看过去一段时间（一天或N小时）数据库异常排序分布。以了解过去一段时间哪些数据库异常发生，哪些异常最多。（Exception by type) 按用户IP查看异常统计报告，以确定是哪些设备访问数据库产生异常，哪台客户端访问数据库产生最多异常； (Exception by client IP) 根据异常分布，可以查看某类异常按IP分布的分析报告，以快速了解到底哪些服务器出现这些异常，哪台服务器出现异常最多； (Exception by server IP) 定位哪台客户端产生最多异常后，