数据库审计系统白皮书.pdfVIP

官 网: 传 真: +86 10 5682 2000 北京市 朝阳区酒仙桥路 6 号院 2 号楼 100015 360 数据库审计系统 产品白皮书 March 2, 2017 目录 1.产品概述 3 2.产品特点 3 2.1 专业的数据库审计3 2.2 业务操作实时回放3 2.3 事件精准定位4 2.4 事件关联分析4 2.5 访问工具监控4 2.6 黑白名单审计5 2.7 变量审计5 2.8 关注字段值提取5 2.9 丰富完善的报表报告5 3.产品价值 5 3.1 未知数据库资产发现5 3.2 敏感数据信息管理6 3.3 数据库安全事件预警6 3.4 数据库安全事件追溯6 3.5 辅助用户数据库访问策略制定6 3.6 满足用户合规需求6 4.主要功能 6 1.产品概述 360数据库审计系统是针对网络访问数据库的操作行为进行细粒度分析的安 全设备，它可提供实时监控、违规响应、历史行为回溯等操作分析功能，是满 足数据库风险管理和内控要求、提升内部安全监管，保障数据库安全的有效手 段。 2.产品特点 2.1 专业的数据库审计 360 数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审 计，具体包括： 1)数据访问审计：记录所有对保护数据的访问信息，包括文件操作、数据库 执行SQL 语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外 部黑客入侵访问和内部人员非法获取敏感信息 2)数据变更审计：统计和查询所有被保护数据的变更记录，包括核心业务数 据库表结构、关键数据文件的修改操作等等，防止外部和内部人员非法篡改重要 的业务数据 3)用户操作审计：统计和查询所有用户的登录成功和失败尝试记录，记录所 有用户的访问操作和用户配置信息及其权限变更情况，可用于事故和故障的追踪 和诊断 4)违规访问行为审计：记录和发现用户违规访问。支持设定用户黑白名单， 以及定义复杂的合规规则，支持告警 2.2 业务操作实时回放 360 数据库审计系统产品能对访问数据库操作进行实时、详细的监控和审计， 包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过程 回放，真实地展现用户的操作。 借助360独有的基于会话的行为分析（Session-based Behavior Analysis） 技术，审计员可以对当前网络中所有访问者进行基于时间的审查，了解每个访问 者任意一段时间内先后进行了什么操作，并支持访问过程回放。真正实现了对“谁、 什么时间段内、对什么（数据）、进行了哪些操作、结果如何”的全程审计。 2.3 事件精准定位 在信息安全及虚拟化背景时代下，单靠某一个信息去定位违规操作者已经成 为不可能，如内网用户大多采用DHCP 分配IP 地址，没有做IP-MAC 绑定及相应 的准入规则，用户可通过更改操作系统名、IP 地址、MAC 地址等方式逃避追踪， 传统的数据库审计定位往往局限于IP地址和MAC 地址，很多时候不具备可信性。 因此只有通过关联尽可能多的身份定位信息进行定位以及做一定的准入权限设 置，其审计结果才具有可靠性，才能作为电子证据。360 数据库审计系统产品可 以对IP、MAC、操作系统用户名、使用的工具、应用系统账号等一系列进行关联 分析，从而追踪到具体人。 2.4 事件关联分析 360 数据库审计系统产品可对响应事件进行关联，如根据 IP 关联出某段时 间内该IP 所触发的告警数量等；根据一段时间内的数据库或应用系统登录失败 次数判断出暴力破解密码的可能性；根据账号的多次登录判断账号信息泄密或共 享账号的可能性；相似SQL 语句执行时间过长从而判断该语句设计的合理性等。 根据事件关联性分析，自动涌现一批对客户具有实用价值的信息，帮助客户管理 和维护好现有应用。 2.5 访问工具监控 360 数据库审计系统产品自动扫描连接数据库的访问工具。从访问数据库的 源头进行分析，应用系统和客户端工具