数据库监控审计和安全合规.ppt

* 数据库监控审计和安全合规 桌面 防火墙 IDS/IPS 应用程序 SQL 注入 跨站点脚本编写 基于模式 的攻击 Web 服务器的已知漏洞 参数篡改 Cookie 病毒感染 现实: 大多数系统前端层面的安全保护措施并无法覆盖所有的安全攻击和窃取 —— 必须引入数据层面的保护作为最后一道安全防线 黑客 防止电子欺骗 DoS 端口扫描 特权用户 数据库 用户 以数据库安全手段来弥补现有安全手段的漏洞 分布式、异构系统 多种数据库访问方式 防火墙与网络监控技术并不能防范那些看起来合法的数据访问 正式的大多数企业都建立较为正式的安全性策略，但是—— 缺乏切实可行的实施技术与实践经验 风险发生时、往往无法获知正在发生什么、发生过什么？ -- 尤其缺乏授权用户的监控 DBMS自身的Native Logging不切实际 性能开销 vs. 粒度：Which table, from which IP, using which command, which program, … 缺乏权责分离 – DBA可以轻松的禁用掉 DBMS平台之间的相互矛盾的审计策略（增加复杂性） 不提供主动实时安全性（3个月review一次？） 对于使用连接池的环境，不能提供应用用户识别（PeopleSoft/SAP/Oracle Financials等）-- 潜在的欺诈 大量的存储需求 仍需要写脚本来过滤日志数据和查找异常 仍需要写脚本来产生合规报表 企业级审计和安全方案—应对复杂性与可视性的挑战 DMZ Networks Criminals Hackers Privileged Users Web and Application Servers * 持续监控数据库上的全部操作(包括超级用户的直连操作等) 异构的，跨数据库平台的结局方案 不依据任何数据库的原生日志能力 最小的性能影响(2-3%) 无需任何数据库变更 实现审计要求的权责分离 审计信息安全免疫，无法篡改 自动的合规报告签发流程(SOX, PCI, NIST, etc.) 细粒度实施的监控策略和审计报告 Who, what, when, where, how Guardium 实时数据库监控技术——无死角的网络旁路式监控 主机探针(驱动)方式: Guardium S-TAP (本地、网络所有访问可见) 端口映射方式: SPAN PORT Guardium主机(流量收集器) 市場上唯一实时数据活动监测，用它同样保护数据仓库、大数据环境和文件共享中的敏感数据的审计和安全方案 新 大数据环境 DATA InfoSphere BigInsights added some graphics to highlight Hadoop. Should we mention BigInsights? 案例场景 某城市銀行 背景和驱动： 1）需要建立起跨地区，两个数据中心，数据安全监控和合规方案的建立；满足我国监管部门和行业指导法规，对于金融服务行业数据安全以及客户个人隐私信息的保护要求； 2）从内部的角度来看，需要加快内审效果和流程；同时，减轻DBA对于系统维护，数据库相关操作和吞吐量统计等人工工作，实现权责分离机制； 数据库监控和保护策略制定 1）五分钟内同一数据库客户机IP连续发生3次以上登陆失败时，实时告警，并记录违例事件； 2）对于授权的应用服务器IP组，发生的1分钟内，重复执行5次以上的DML操作，记录详细信息； 3）钓鱼侦测：对于返回结果集里包含数据模式”~012345678”的select 操作，实时告警，并记录违例事件； 实时数据保护场景一：钓鱼侦测 （1）策略定义：钓鱼字段的值为“~012345678”，任意操作，如果影响的结果集中包含上述字符，则触发告警； （2）监控到的违例事件 实时数据保护场景二：侦测模拟应用操作进行的数据盗窃 （2）监控到的违例事件 （1）策略定义：对于从合法的应用服务器IP，连接方式为JDBC thin client等合规连接时，发生的在1分钟内，语句结构一致的且查询结果集都为1的，连续5次以上的select 操作；实时告警 为防止特权用户或外部黑客，使用工具或程序模拟应用连接和数据使用逻辑进行的数据盗窃， 数据库漏洞扫描报告----评估和加固 1）检查数据库的配置、环境变量和操作系统的配置、环境变量等是否存在配置薄弱环节。同时可超越传统的静态评估，实现“基于行为的漏洞评估”； 2）基于漏洞评估的结果生成加固建议，进行数据库安全的加固，避免客户由于未及时打补丁及配置缺陷带来的潜在的风险； 数据库安全审计日报示例一： 1）漏洞评估的结果可以作为审计任务，加入日报中； 管理员可以针对失败的项目，分发给相应的人员，进行数据库加固