数据库审计软件解决方案

《数据库审计软件解决方案》由会员分享，可在线阅读，更多相关《数据库审计软件解决方案（10页珍藏版）》请在装配图网上搜索。

1、SnapAudit 数据库审计解决方案迪思杰(北京)数码技术有限公司前言数据库是企业最具战略价值的资产。数据库中记录了企业最有价值的客户信 息、经营活动信息和资产信息。这些信息既属于企业的核心机密，不能容忍被破 坏和盗窃；又被依法保护，企业必须保证其所收集的客户信息不被泄漏或非法利 用，否则要承担法律责任。但是面临越来越庞大的数据库系统，越来越四通八达的网络访问和越来越沉 重的管理负担，企业正在被信息安全漏洞严重困扰。2005 年美国爆发了严重的 信用卡泄密事件，损失数十亿美元；2008 年以来，国内陆续发生了移动充值卡 信息泄露事件、某电信数据库清除事件、3.15信息泄漏事件等，这些都造成了

2、当 事单位的重大损失，也引发了严重的负面社会影响。信息安全的时代正在来临， 企业必须为数据库加一把锁！这把锁就是审计。DSG 公司依托强大的数据库底层研发实力，在 DMP 产品体系构架的基础上， 广泛调研客户需求，推出具有高科技水平的数据库审计软件SnapAudit专业解 决企业大型数据库的信息安全问题。1 数据库审计的核心问题及需求1.1 数据库安全漏洞的主要原因分析数据库安全漏洞的主要原因有三:1) 无监控手段数据库管理员往往作为数据库操作员存在，了解如何在数据库内进行操作、 解决问题，但无法对用户的访问、操作进行监控，更无法预防或者处理秘密访问、 数据窃取以及恶意删除。2) 无管理机制数

3、据库的超级用户密码多人共享，很多人可以使用一个用户进行操作，而事 后无法确定是哪个人制造了问题。一旦登录到数据库，无论核心数据还是非核心 数据都可以随意访问而不被察觉；非公司人员、测试用户都可以对所有数据进行 访问和操作，从而使数据库完全变成“OPEN ”数据库。3) 无回溯办法 如果发现问题，无法回溯到问题发生时的状态，无从追踪问题发生的根源， 最后不了了之；更无法制定针对性地解决方案，使企业处于非常被动的状态。因 为无法回溯，所以也无法进行数据修复，导致错误延续和蔓延。1.2 数据库审计要解决的核心问题针对存在的问题，数据库审计就要解决如下三个核心问题:1) 全方位的数据库操作监控。 无论

4、从网络登录，还是从终端登录；无论是查询数据，还是改变数据；无论是普通用户还是超级用户；无论是应用程序，还是手动登录都能被有效监控，不 留死角。2) 审计策略定制和管理 能够允许客户自定义各种审计策略，对其所关心的用户、表以及表中的特定数据设置不同粒度的监控策略，当用户访问违反上述策略时，其操作行为就会被 记录下来，并且能够马上报警提示。3) 事件回放和故障修复 对于出现的问题，能够通过界面快速查询出客户的历史操作过程，分析事故发生原因，并能够生成修复操作建议，便于尽快恢复系统的正常运行状态。1.3数据库审计软件的基本要求作为完善的数据库审计软件，必须具备如下条件:1) 具有全面丰富的数据库审计

5、类型，能够全面、高效地获取数据库的各种 操作信息；2) 具有细粒度的数据库操作内容审计；3) 能够准确及时的对违规操作告警响应；4) 具有全面详细的审计信息，丰富可定制的报表分析系统；5) 能够为数据丢失、篡改等提供修复解决方案；6) 对业务系统的干扰和影响小；7) 管理维护简单方便；8) 其自身的安全性高，不易遭受攻击。2 SnapAudit 数据库审计解决方案在对数据库审计的需求分析基础上,DSG提出针对性的SnapAudit数据库审计解决方案。2.1 SnapAudit体 系结构SnapAud it软件的系统结构如下图所示:如上图所示，SnapAudit软件分为五功能层：采集层：由数据分

6、析引擎(OLFX)组成。数据分析引擎OLFX主要用来对Oracle数据库的在线日志进行分析，获取 数据库的操作系统。OLFX的主要特点是能过全方面获取数据库的操作信息，同 时分析过程快速、高效，对业务系统的影响小。OLFX分析在线数据日志后，自 动将数据库操作信息传递到过滤层进行处理。过滤层：由SnapAudit Data Fil模块组成。SARF负责将OLFX采集到的信息根据Audit Polic审:计策略）进行过滤，过 滤后的信息传递到存储层进行存储。存储层：由XDTFS/SADB 审计信息存储管理模块组成。所有过滤后的审计信息转换成XDT格式后，存储于独立的XDTFS文件系 统OXDT格

7、式是按照Oracle数据库内部操作的格式存储获取的数据库审计信息, XDTFS 为每个存入其内的 XDT 数据创建快捷的访问索引，便于随机查询。 XDTFS可存在于任意的UNIX/Linux文件系统之上，利用操作系统识别的存储空 间存放数据。也可以将过滤后的审计信息存储于SnapAuditDB数据存储系统。在SADB 存储系统中，数据更易于二次处理，查询，统计等。业务层：SnapAudit的主要功能通过其服务器组件SAServer来实现。审计策 略制定、修复建议生成、查询及检索命令形成、自动报表和性能监控刷新等都由 SAServer来实现。定制的审计策略，用户权限以及登录SnapAudit的信

8、息都记录 在SAServer 上o SAServer支持网络化的环境，可以实现对多个数据库审计的集 中管理。展示层：SAClient是SnapAudit的图形人机交互界面，用于展示审计报表、 客户选择并制定审计策略，并能提供性能监控界面、权限管理界面、审计信息查 询界面以及数据修复操作界面等。一个SAServer支持多个SAClient的连接。2.2 SnapAudit工 作原理SnapAudi t和其他数据库审计软件工作原理不同。其他数据库审计软件主要通过对网络的监控、过滤和对网络数据中的 SQL 语句解析来实现对数据库的审计。SnapAudit通过对Oracle数据库的日志分析来 实现数据

9、审计。众所周知，数据库的任意操作都会记录在日志中，便于今后的系统恢复。无 论是否通过网络访问数据库，其操作痕迹都留存在数据库日志中。因此从数据库 日志着手能过获得最完整的数据库审计信息。SnapAudit的OLFX 高速数据分析引擎其功能集成于一个SnapAudit Agen t分析代理）之内。分析代理安装在需要审计的数据库服务器主机，时刻监 控数据库的日志变化。当有用户登录到数据库或者进行了相关的操作，SnapAudit 分析代理将会获取日志中关于该操作的信息，并结合连接数据库的TNS信息和 Session!言息，获取到该操作用户的完整信息，包括登录主机、主机IP、用户名、 应用程序，以及其

10、访问的表、表的属主、表的字段，对表的操作，以及登录时间， 退出时间等。OLFX分析得到的信息需经过SADF过滤。SADF首先会从SnapAudit服务 器取得用户定制的审计策略，然后将这些策略用于过滤OLFX分析得到的信息。 过滤的信息通过网络传递到PA Agent存储代理）并存储在XDTFS /SADB中。如果客户在定制审计策略时指定了报警级别，过滤信息在存储到XDTFS / SADB的同时会向PA Server发出报警信息。在分析故障时，客户通过界面进行条件查询，SA Client将查询命令传递到 SA Server SA Server将命令解析，并从XDTFS/SADB 中获取相关检索信

11、息，返 回给SA Server SA Server将信息传回SA Client展现出来。如果客户需要提供修 复信息，则SA Server自动生成修复参考意见，供客户选择执行。2.3 SnapAudit部 署模式作为软件产品，SnapAudit的部署模式如下:业务数据库A配置一台PC Server安装Linux操作系统，作为SnapAudit的管理服务器。 为了长期保存审计数据，管理服务器应配置一定的存储空间，存储空间的大小估 算办法如下:审计存储空间=每天数据库日志量/3 *审计信息留存天数。在需要审计的数据库的服务器上安装SA Agent分析代理/过滤代理）；在SnapAudit管理服务器上

12、安装SA Server组件、SA Agent存储代理）；在用户管理电脑上配置SnapAudit的SA Client模块。2.4 SnapAudit主要功能与性能指标SnapAudi t主要功能和性能指标如下表所示:名称/指标描述产品名称SnapAudi t软件当前版本号V3.0主要工作原理通过分析Oracle数据库的日志对数据库操作进行监控主要功能1）根据审计策略记录数据库操作；2）对违规操作进行报警和留痕；3）展示审计报表和数据库操作全貌；4）跟踪并回溯数据库操作历史；5）提供用户操作分析功能和对象操作分析功能；6）提供对错误数据的在线修复建议；7）提供按各种条件和粒度查询数据库操作的功能；

13、8）提供用户权限管理功能。9）提供报表和统计数据的转储和打印功能审计效率不低于5万笔操作/秒但依环境而异）支持操作系统AIX、HP-UX、Solari、Linux、Tru64等支持数据库版本0racle8j 0racle9j OraclelOg Oraclellg等审计存储空间数据库日志量/3*保留天数业务系统影响CPU 3%，内存 400MB，对网络基本无影响。2.5 SnapAudit对业务系统的影响SnapAudi t对业务系统的影响较小：1）SnapAudit的部署无需调整客户的现有网络构架，无需在数据库服务器与 网络交换机之间增加硬件设备；2）SnapAudit在客户数据库服务器上仅

14、运行一套Agent软件，其在运行时占 用CPU资源 3%,占用内存资源少于400MB，对网络及I/O的影响可以忽略。2.6 SnapAudit管 理与维护SnapAudit向最终用户提供图形化的管理界面，用户可以在图形界面上进行 日常的审计监控和管理。图形界面提供中、英文两种版本选择。SnapAud it向用户提供报警服务，在发现违规操作的情况下可通过邮件、界 面显示、日志和声音进行报警。日常管理简单方便,系统生成的审计报表和统计报表可以随时打印。2.7 SnapAudit的后续功能扩展今后SnapAudit将进一步扩展功能，主要包括:1）增强数据库监控工具，使其可以实时监控数据库性能，提示客

15、户数据库 存在的潜在风险；2）增强数据库优化功能，使其可以及时发现数据库性能瓶颈，从而更早地 消除系统隐患，提升运行效率；3 SnapAudit 的特点与优势3.1 SnapAudit的主要特点SnapAudi t的主要特点如下：1）采用全新的数据库审计思路开发的软件产品。传统的审计软件主要从网 络层面演化而来，由网络监控审计，扩展到数据库审计，其网络监控功能强而数 据库审计功能弱。SnapAudit立足于数据库本身，通过对数据库的日志分析，来 直接解决数据库的审计问题。2）具有全方位的数据库审计功能。不仅支持对网络连接操作的审计，也支 持直接登录数据库操作的审计，可以将数据库所有操作一览无遗

16、，不留漏洞。3）审计可靠性高。SnapAudi t采用容灾底层核心技术对数据库日志进行分析， 避免了以往网络数据包解析有误或者数据传输速度快、网络不稳定造成的审计信 息不全的问题，保证高可靠性审计。4）审计策略粒度更细o SnapAudi t可以监控到数据库的任何一个细小的操作， 不仅包括用户的操作，数据库后台发起的定时任务、数据库结构的改变、数据库 语句执行的批量操作等，无论巨细，都可以被精确审计。5）修复功能强。传统的审计软件主要是通过审计发现问题，而SnapAudit 不仅发现问题，还提供解决问题的方案。6）对业务系统影响小。传统审计软件会大幅降低客户与数据库之间的网络 传输效率，而Sn

17、apAudit并不需要在数据库服务器与交换机之间加设分析设备， 所以也不会显著降低数据库的处理能力。3.2 SnapAudit与同类产品的比较优势比较内容SnapAudi t审计软件其他审计软件工作原理通过分析数据库日志审计数据 库操作通过截取数据库的网络通信，解 析客户端到数据库的操作审计覆盖面各种连接方式全面覆盖仅能审计通过客户端连接数据 库的操作，对于通过终端进行的 数据库操作或者数据库定时计 划进行的操作无法实现审计审计准确性非常准确，几乎不会出错。容易出现因为网络流量大或者 网络不稳定造成数据解析有误 的情况出现。审计粒度非常小，可以审计到批量操作 的单一记录。如执仃一条命令 修改1

18、万条记录，能精确审计 到这个命令语句执行后被修改 的那1万具体的记录的信息能审计到一具体的操作，而不 能对操作进行更细的分解。如执 行一条命令修改1万条记录，只 能审计到这个命令语句，而无法 判断具体数据库中哪些数据被 篡改。修复功能可以直接提供对冲操作来修复 篡改数据。主要功能是审计并发现误操作 以及操作者信息。系统影响对数据库服务器的资源占用有 微弱影响，CPU占用 3%.对数据库处理能力的影响超过10%以上。3.3 SnapAudit的项目实施优势DSG 作为数据管理平台软件厂商，对数据库环境熟悉。在很多客户环境中已经 部署了 DSG的RealSync软件、SnapAssure软件等软件产品，在此基础上，部署 DSG SnapAudit软件不需要进行额外的实施准备，如，不需要重新创建用户、赋 权，不需要进行兼容性测试等。DSG公司长期维护客户的容灾备份系统，对环 境熟悉，可以提供具有针对性的建设性意见。此外，DSG SnapAudit软件的扩展 版本可以与已经安装的容灾备份软件配合使用，既减少购置成本和管理负担，又 能快速进行故障恢复，做到及时发现问题，快速准确解决问题。