背景介绍

国家相关政策

▪  《信息安全等级保护管理办法》一 中华人民共和国公安部

▪  《涉及国家秘密的信息系统分级保护管理办法》一 国家保密局

▪  《中华人民共和国网络安全法》 一 全国人民代表大会常务委员会

等保2.0中关于审计的相关要求

行业需求分析

合规性需求

▪  满足等级保护三级以上对数据库日志审计的测评需求

数据库运维操作的管控需求

▪  对所有运维操作进行管控，实现命令级或会话级控制，高危命令禁止未经审批执行

数据库运维用户权限管理的需求

▪  解决多人共用同一账号导致最终无法确认责任人问题

▪  解决运维账号权限宽泛问题

数据库操作的全程审计需求

▪  弥补堡垒机在数据库审计方面的短板，对数据库进行语句级和会话级的细粒度审计

数据库风险语句的识别及告警需求

▪  需要准确的判断SQL语句中的攻击行为，及时发出风险告警，将安全损失降到最低

数据库自身审计日志的分类（以MYSQL数据库为例）

错误日志

▪  记录数据库启动、停止、运行出错等信息。默认开启。

查询日志

▪  记录用户的所有操作，包含执行时间、数据库增删查改等信息，但不包含网络层信息，如客户端IP、MAC等。因为开启后对数据库性能消耗严重，默认关闭

慢查询日志

▪  记录执行时间超过设定阈值的查询语句。通过慢查询日志，可以查找出哪些查询语句的执行效率很低，帮助数据库管理员进行性能优化。默认关闭

二进制日志

▪  以二进制形式记录，主要用于记录修改数据或有可能引起数据改变的sql语句（增删改操作），并且记录了语句发生时间、执行时长、操作的数据等等。二进制日志中不记录查询操作。默认关闭

传统数据库审计的困境

系统性能下降

▪  数据库自带审计与现有的数据库防火墙解决方案，会占用大量的系统资源，进而严重影响数据库访问的性能，严重时甚至会影响用户对业务系统的正常访问，大大降低系统的效率

审计信息不完整

▪  数据库自带的审计工具提供的日志审计信息缺乏网络层的信息，也没有具体的数据库操作命令，因此无法分析安全事件发生的真正原因，无法追溯到真正的操作发起源，在安全事件事后的取证分析过程中发挥的作用很有限

数据挖掘不力

▪  现有数据库审计系统查询和分析将困难，很难从海量数据中有效快速定位问题，因此很难建立有效的大数据分析模型，从而提供有效的数据安全风险管理

产品设计思路

风险分析及安全模型

对高风险类用户进行重点审计

产品设计思路

以“事前”、“事中”、“事后”三个维度对数据库进行安全防护

▪  事前：对数据库进行风险扫描，发现安全风险及时提示管理员进行修复

▪  事中：对数据进行实时采集、分析和过滤，对高危操作进行命令阻断或会话中断，并向管理员发送告警

▪  事后：对所有数据库访问操作进行审计，便于对安全事件的原因进行精确定位

工作效果展示

产品功能介绍

产品简介

天慎数据库审计系统是一款集数据库安全审计、数据库运维管控、数据库风险扫描于一体的数据库安全防护产品，产品贯彻事前风险扫描、事中操作管控、事后安全审计的设计理念，为企业核心数据资产的安全保驾护航。

支持的数据库类型

支持的数据库版本

直观、简洁、易用的操作界面

事前风险扫描

▪  数据库自动发现

▪  数据库漏洞扫描

▪  数据库配置扫描

▪  数据库口令检测

数据库自动发现

资产自动发现

▪  数据流量接入后系统自动识别数据库

▪  简化审计人员配置流程，实现“一键审计”

▪  为企业用户对数据库资产进行梳理提供便利

数据库风险扫描

多种数据库风险扫描

▪  支持对被审计数据库进行漏洞扫描、配置扫描和口令检测

▪  通过漏洞扫描检测数据库中是否存在系统漏洞

▪  通过配置扫描检查数据库中是否存在不安全配置

▪  通过口令检测扫描系统中是否存在弱口令账号

事中数据采集、控制、告警

▪  数据的采集与解析

▪  安全策略配置

▪  威胁风险态势分析

▪  运维管控与审计

▪  风险告警

灵活的审计策略

SQL类别

▪  基于SQL语句的类型建立审计策略，如SELECT、INSERT、UPDATE等

时间

▪  基于时间建立审计策略，条件范围至月、周、日、小时

源IP地址

▪  基于源IP访问地址建立审计策略，支持配置黑、白名单

目标表名

▪  基于目标表名建立审计策略，对企业数据库中涉及核心信息的表进行重点保护

目标列名

▪  基于目标列名建立审计策略，对核心表中的敏感列进行重点审计或告警

存储过程名

▪  基于存储过程建立审计策略，对调用高危的存储过程的SQL语句进行审计或告警

SQL注入

▪  系统内置SQL注入风险规则库，系统自动对审计到的SQL语句进行筛查，发现SQL注入行为进行实时告警

XSS攻击

▪  系统内置XSS攻击风险规则库，系统自动对审计到的SQL语句进行筛查，发现XSS攻击行为进行实时告警

脱敏

▪  通过用户自定义的敏感信息，如表名、字段名、用户名等建立审计策略，系统将自动在审计日志中进行脱敏处理。

NOwhere

▪  系统内置高风险规则库，防范运维人员执行delete no where 删除、truncate table等合法授权的高危操作

应用程序

▪  通过设置合法的访问工具建立审计策略，当出现非法访问工具连接数据库时进行实时告警

SQL模式

▪  基于SQL语句的模式建立审计策略，系统根据定义的SQL语句模式匹配相似类型语句，并进行告警等操作

威胁风险态势分析

多图组合威胁风险一目了然

▪  通过客户端威胁TOP10精确定位威胁源

▪  通过数据库威胁TOP10了解数据库的风险状态

▪  通过风险威胁分析可以准确判断当前数据库的威胁等级

▪  根据威胁事件风险等级趋势图，使管理员直观了解数据库的安全态势

运维会话审计

运维会话全程回放

▪  以一条运维会话为单位全面展示会话中的语句操作

▪  从 login 至 logout 全面审计会话中的所有操作

告警方式

系统提供多种风险告警方式包括：邮件、短信、Syslog、界面、声音等。对于外部发起的XSS跨站脚本攻击、恶意的SQL注入行为、非法的业务登录、高危的SQL操作，系统可以基于灵活的策略配置，设置风险规则，实时进行风险告警并及时通知管理员进行处理。

事后分析日志，定位追责

▪  全面的操作审计

▪  应用关联审计

▪  风险操作审计

▪  执行效率分析

▪  报告分析展示

全面的操作审计

审计内容详细丰富

▪  通过组合条件查询，精确定位风险日志

▪  详细展示日志内容，帮助管理员追溯问题根源

▪  支持双向审计，对返回结果集进行全程审计

应用关联审计

应用关联审计效果

风险日志查询

风险日志详细信息

▪  系统支持对触发安全策略的风险日志进行条件查询

▪  可查询风险日志的详细信息

▪  风险日志可设置告警方式，向管理员发送实时告警

SQL执行效率分析

▪  通过首页中“执行性能分析”仪表盘了解所有SQL的执行效率概况

▪  通过SQL的执行时长，找出执行效率低下的SQL语句

▪  方便数据库DBA对数据库进行性能优化

报告分析展示

合规分析类报告

▪  PCI报告

▪  SOX 塞班斯报告

综合分析类报告

▪  综合风险分析报告

▪  数据库概要分析报告

▪  审计量统计报告

▪  审计量综合分析报告

风险统计分析类报告

▪  风险分布统计报告

▪  客户端风险分析报告

▪  客户端风险概率分析报告

▪  失败登录统计报告

▪  失败语句统计报告

专项统计分析类报告

▪  访问源分析报告

▪  会话语句分析报告

▪  语句访问类型分布报告

▪  客户端访问统计分析报告

▪  客户端工具应用分析报告

▪  客户端会话统计报告

丰富的报告模板

▪  利用内置报告模板生成各类合规报告

▪  支持用户自定义报告模板

▪  可根据需求制定计划任务，按计划生成各类审计报告

▪  计划报告支持自动邮件发送，定时发送至管理员邮箱

硬件部署模式

云部署模式

分布式集群部署模式

产品型号划分

支持所有虚拟化及云环境下部署

产品优势

即插即用部署简单

▪  系统对安装配置流程进行优化，实现了开箱即插即用的设计理念，方便用户的配置使用

分级管理部署灵活

▪  系统引入组织架构分级管理模式，支持分布式部署适用于大型复杂的网络环境。同时系统支持镜像、代理、agent部署方式，无需改变原网络拓扑

运维管控业内领先  

▪  系统对运维高危操加强了管控，通过运维单点登录，实现对命令级和会话级的控制

全面审计风险识别

▪  系统对数据库业务操作、运维操作以及应用关联操作进行全面审计，同时可自动识别操作中的SQL注入和XSS攻击行为，并实时发出告警

性能卓越稳定可靠

▪  审计系统入库和查询性能优异，亿级别日志数据，组合条件查询速度到达秒级。并且IT存储空间日志存储量达到60亿条

产品案例