【14、数据库审计】SecFox安全审计系统技术白皮书.docx

网神SecFox技术白皮书 网神SecFox安全审计系统 技术白皮书 目录 TOC \o 1-3 \h \z \u 1 前言 5 2 为什么需要数据库审计 5 2.1 数据库面临的威胁 5 2.2信息安全等级保护要求 7 2.3 传统防护手段捉襟见肘 9 3 数据库审计产品概述 10 3.1 系统架构 10 3.2 部署方案 12 4 产品技术特点 13 4.1 独立的审计模式 13 4.2 审计细腻度更深 14 4.3 审计语句分析和翻译 14 4.4 防二次泄密 15 4.5 分权管理 15 4.6 事件准确定位 16 4.7 返回结果 16 4.8 事件关联性分析 16 4.9 字符型协议审计 17 4.10 风险处理电子化 17 4.11 访问工具监控 18 4.12 事件场景还原 18 4.13 黑白名单审计 19 4.14 丰富的策略库 20 4.15 数据库备份审计 20 4.16 变量审计 20 4.17 关注字段值提取 21 4.18 查询细腻度 21 4.19 独特报表功能 21 4.20 自身安全 22 4.21 集中管理平台的技术特点 22 5 SECFOX技术创新点 25 5.1 数据库状态监控 25 5.2 数据库态势感知 25 5.3 云架构下的审计 25 5.4 身份加密报文的破译 26 5.5 首创后关系型数据库的审计 27 5.4 大数据安全监控行业领先 28 5.5 首创工业控制实时数据库的安全监控 30  1 前言 随着信息化的深入和普及，各行各业对信息系统的依赖性越来越强，信息系统中的数据也逐渐成为了企业的生命。数据的不准确、不真实、不一致、重复杂乱等就会影响企业的健康。 网神SecFox安全审计系统（“以后简称SECFOX”）从合规性、降低风险的角度，针对数据库的所有操作进行一些列的检查、分析，确保数据安全性。 2 为什么需要数据库审计 数据库安全事故的层出不穷，诸如银行内部数据泄漏造成资金失密、信用卡信息被盗用导致的系用卡伪造、企业内部机密数据泄漏引起的竞争力下降、医疗患者信息泄漏导致患者被“监控”……，这些情况无不说明了应用系统审计的重要性。 2.1 数据库面临的威胁 数据库做为企业的核心资产，承载企业重要信息，时时刻刻都面临着各类风险，如下所示的风险一直威胁着数据库安全： 威胁 1 - 滥用过高权限 当用户（或应用程序）被授予超出了其工作职能所需的数据库访问权限时，这些权限可能会被恶意滥用。例如，一个大学管理员在工作中只需要能够更改学生的联系信息，不过他可能会利用过高的数据库更新权限来更改分数。 威胁 2 - 滥用合法权 用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务人员拥有可以通过自定义 Web 应用程序查看单个患者病历的权限。通常情况下，该 Web应用程序的结构限制用户只能查看单个患者的病史，即无法同时查看多个患者的病历并且不允许复制电子副本。但是，恶意的医务人员可以通过使用其他客户端（如MS-Excel）连接到数据库，来规避这些限制。通过使用 MS-Excel 以及合法的登录凭据，该医务人员就可以检索和保存所有患者的病历。 威胁 3 - 权限提升 攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限。漏洞可以在存储过程、内置函数、协议实现甚至是 SQL语句中找到。例如，一个金融机构的软件开发人员可以利用有漏洞的函数来获得数据库管理权限。使用管理权限，恶意的开发人员可以禁用审计机制、开设伪造的帐户以及转帐等。 威胁 4 - SQL 注入 在SQL注入攻击中，入侵者通常将未经授权的数据库语句插入（或“注入”）到有漏洞的SQL数据信道中。通常情况下，攻击所针对的数据信道包括存储过程和Web应用程序输入参数。然后，这些注入的语句被传递到数据库中并在数据库中执行。使用SQL注入，攻击者可以不受限制地访问整个数据库。 威胁 5 – 日志记录不完善 自动记录所有敏感的和/或异常的数据库事务应该是所有数据库部署基础的一部分。如果数据库审计策略不足，则组织将在很多级别上面临严重风险。 威胁 6 - 身份验证不足 薄弱的身份验证方案可以使攻击者窃取或以其他方法获得登录凭据，从而获取合法的数据库用户的身份。攻击者可以采取很多策略来获取凭据。 威胁 7 - 备份数据暴露 经常情况下，备份数据库存储介质对于攻击者是毫无防护措施的。因此，在若干起著名的安全破坏活动中，都是数据库备份磁带和硬盘被盗。防止备份数据暴露