启明星辰天玥数据库安全审计产品评测.docx.docx

启明星辰天玥数据库安全审计产品评测2011年08月01日00:00 it168网站原创 作者：方建国 编辑：董建伟 评论：3条 　　【IT168 评测】随着企业业务的发展及IT技术的进步，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰成败甚至社会的稳定。　　近年来，数据库被攻击和数据窃取事件层出不穷：CNN财经网报导的4000 万信用卡信息被黑客窃取，导致严重的经济问题和社会问题;国内也出现几次电信运营商数据库服务器被攻击，给企业带来了经济和声誉上的损失等等。越来越多的大型企业意识到了数据库行为审计的重要性，现在采用独立的数据库审计产品已经成为业界的趋势。　　大部分企业在数据中心的数据库服务器中存储公司的核心数据信息，数据库的安全和审计就显得尤为重要。通常数据库管理主要面临以下挑战：　　管理风险：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等。离职员工的后门，致使安全事件发生时，无法追溯并定位真实的操作者。　　技术风险：数据库是一个庞大而复杂的系统，安全漏洞如溢出、注入层出不穷，每一次的 CPU(Critical Patch Update)都疲于奔命，而出于稳定性考虑，往往对补丁的跟进非常延后，更何况通过应用层的注入攻击使得数据库处于一个无辜受害的状态。目前的现实状况是很难通过外部的任何网络层安全设备(比如：防火墙、IDS、 IPS 等)来阻止应用层攻击的威胁。　　审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端，比如: 数据库审计功能的开启会影响数据库本身的性能、这一点在大型的数据库用户最能表现;数据库日志文件本身存在被篡改的风险、自己的日志审计也难以体现审计信息的有效性和权威性。　　通过上述的分析，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，对数据库的内容进行有效地审计，已经成为企业数据库安全管理与审计的当务之急。　　针对以上这些问题，我们选择了在安全产品及解决方案方面有着较高声誉的厂商启明星辰出品的，符合数据库安全及审计需求特点的、性价比较高的安全审计产品—天玥网络安全审计系统(硬件+软件)，并配合天镜脆弱性扫描与管理系统(软件)，通过实际环境的测试，来展示在数据库(Oracle数据库)安全、审计等方面为企业带来的益处。　　本方将通过以下几个步骤来进行：　　一、天玥产品解决方案架构设计及评测环境介绍　　二、产品基本配置及管理方式　　三、数据库安全及审计测试目标　　四、主要功能测试示例及介绍　　　　1、产品自身安全及分角色管理　　　　2、数据库操作全面、实时审计(命令级别)　　　　3、高风险操作行为警报　　　　4、数据库安全漏洞评估　　　　5、事后调查取证　　　　6、多种组合查询、回放及报表输出　　　　7、三层关联功能　　　　8、等重要功能介绍　　五、测试总结　　一、天玥解决方案架构设计及评测环境　　1、 产品特性　　天玥网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，从而，加强内外部网络行为监管，保障核心资产(数据库、服务器、网络设备等)的正常运营。　　天玥系统能够审计各类业务网络中的协议，包括：数据库类协议(Oracle、Informix、DB2、DB2-DAS、Microsoft SQL Server、Sybase、MySQL、PostgreSQL、Teradata、Cache，Sybase)，运营维护类协议(SSH、Telnet、Rlogin、X11)，文件操作类协议(SCP、SFTP、FTP、NFS、SunRPC/PCNFSD、Windows网上邻居)，互联网类协议(HTTP 、SMTP、POP3)，以及其他一些协议类型(Windows远程桌面、Radius、自定义协议)。　　而天镜脆弱性扫描与管理系统是启明星辰自主研发的基于网络的脆弱性分析、评估和综合管理系统，根据“发现-扫描-定性-修复-审核” 弱点全面评估法则，能够快速发现网络资产，准确识别资产属性、全面扫描安全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而在弱点全面评估的基础上实现安全自主掌控。　　在本次测试中，将以天玥安全审计产品为主，天镜产品为辅进行对Oracle数据库安全审计及漏洞扫描评估等。　　2、解决方案架构　　天玥网络安全审计系统采用审计数据中心、