数据库安全审计-Hack.PPT

成功案例 公安二代证常住人口数据保护和审计系统 工商企业信息系统数据库审计系统 电信企业IT行为管理审计系统 某金融 常住人口数据保护和审计系统 我国目前已启动二代身份证项目，目标是将现有普通卡片式身份证更换为IC卡身份证。IC卡身份证将唯一的、终身不变的公民身份号码等户口登记信息存入证件芯片，可实现整个身份证系统的数字化、网络化。 某市公安局针对二代证常住人口管理系统的实际操作特点，部署了数据库审计与风险控制系统（DAS－A1000型）。对每次查询及变更二代证的人口数据请求和返回报文进行分析，系统将每次安全操作行为记录，对违规、越权、误操作进行及时地告警反馈，有效地提高了公安数据的安全性。 系统部署图如下： 工商企业信息系统数据库审计 工商企业信息系统主要担负着各市企业登记、注册、变更及日常监督管理信息为主要任务。 根据工商局的实际需求，部署了数据库审计与风险控制系统DAS－A500型，通过与数据库服务器前端交换机进行端口镜像，将所有通过业务系统新增、更新、删除数据的操作行为进行审计，通过对系统进行协议分析、重组，对每个操作进行详细地审计，包括业务系统提交的报文、客户端、服务器端、返回的状态、策略等信息，对输入的字段及字段的关键字进行查询，精确定位关键字所关联的前后操作过程，为管理人员判断事件发生的整个过程提供强有力地支持。 整个系统的网络部署图如下： 辅助功能 -性能调优 迅速定位性能低下的SQL语句 www.dbAppSWWW.dbAppS 演示 QQ: 595663478 Skype: hifanfan88 * BEA Confidential * BEA Confidential * BEA Confidential * BEA Confidential * * * * * * * * * * * * * * * * * * * * 某市工商局人员经常在操作的过程中遇到这样的问题，如：需要查询某企业变更前后的相应信息时，往往应用系统中无法准确地反映企业信息变更前后的日志，企业A变更为企业B后，应用系统只能查询企业B的相应信息，而实际使用中会需要查询相应企业A的信息。 * * Defense Tips Web Application Firewall Challenge Code and Configuration hardening Challenge * Web Application Firewall (WAF) 历史 Web应用防火墙第一代： 流方式 Web应用防火墙第二代： 第二代Web应用防火墙 支持全透明直连部署 HTTPS全透明支持 Web加速功能 抗各类Web攻击 第二部分：数据库审计概念 审计 信息安全审计 数据库审计 审计 检查、验证目标的准确性和完整性，用以防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则 萨班斯法案——美国史上最严厉的审计法则 企业内部控制规范——国内审计规范，主要目的在于加强和规 范企业内部控制，提高企业经营管理水平和风险行为防范能力 财务审计、IT审计——信息安全审计 信息安全审计 收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源 《萨班斯法案》强调加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制是紧密围绕信息安全审计这一核心的。 巴赛尔新资本协定(Basel II)，要求全球银行必须做好风险控管(risk management)，而这项“金融作业风险”的防范正需要业务信息安全审计为依托。 《企业内部控制具体规范》明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。 ISO17799、CC、PCI…… 数据库安全审计 确保数据的完整性数据库安全审计，通过对数据库安全性相关的操作进行审计，监测指定用户的行为，掌握数据库使用状况。 数据库审计是信息安全审计的重要组成部分。 数据库审计的目的在于 确保数据的完整性 全面了解数据库实际发生的情况 可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生 第三部分：数据库审计系统需求分析 安全需求分析 数据库安全攻击事件正在升级 数据库安全分析 现有安全解决方案无法有效应对数据库攻击行为 相关法律法规 数据库审计系统应满足的要求 数据库安全攻击事件 某系统开发工程师通过互联网入侵移动中心数据库，盗取冲值卡 某医院数据库系统遭到非法入侵，导致上万名患者私隐信息被盗取 某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡 黑客利用SQL注入攻击，入侵某防病毒软件数据库中心，窃取大量机密信息，导致该防病毒软件公