产品概述
帕拉迪数据库风险分析与安全监控审计系统(简称:DbXpert)作为国内外“流技术”数据库审计产品品牌,结合各类法案法规(如等级保护、企业内控管理、SOX法案、PCI等)对数据库审计的要求,运用当今流会话技术加以全协议解码,完成海量数据的完整审计与精准分析。
DbXpert以独立硬件审计、旁路监听的工作模式,完整的协议解析,灵活的审计策略配置,智能的建模白名单自学习机制,完整的数据库审计与操作回溯,实时的性能监控和快速精确的全文检索,解决各行业核心数据库所面临的“完整数据审计、越权使用、权限滥用、异常接入”等安全威胁,满足合规性要求。广泛适用于“金融、运营商、能源、医疗、教育、政府、税务、工商、社保、交通、企业及上市公司”等所有使用数据库的各个行业。
相关安全规范
在《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中对数据库安全审计做出了明确的要求:
- 审计范围应覆盖到服务器的每个数据库用户;
- 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全相关事件;
- 审计记录应包括事件的日期、时间、类型、主体标识(账号)、客体标识(数据库表级、数据库字段级)和结果等;
- 应能根据记录数据进行分析,并生成审计报表;
- 应保护审计进程,避免受到未预期的中断;
- 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
由财政部、证监会、审计署、银监会、保监会联合制定并发布的《企业内部控制基本规范》对安全审计做出了以下要求:
- 企业应当对必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。
- 企业应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
在SOX法案中,依据COBIT建立企业信息技术内部控制,其中对数据库安全审计做出了明确的要求:
- 对企业内部敏感数据的存取行为审计
- 对数据的DML操作行为审计
- 对数据表的DDL操作行为审计
- 出现的账号登录失败、SQL访问关键错误等异常情况审计
- 对账号和角色的操作行为,例如Grant、Revoke等命令的审计
解决的问题
满足法案法规要求,顺利通过IT审计。
随着信息化的建设,安全性和标准化越来越被重视。特别来自监管部门,通过颁布各种法案法规以及相关指引,来加强企业内控。比如:政府行政事业单位或者是国有企业需要满足《信息系统安全等级保护基本要求》,国内上市公司需要执行《企业内部控制基本规范》,各行业合规性满足《银行业信息科技风险管理指引》、《证券公司内部控制指引》、《电力二次系统安全防护规定》等。
完整审计业务信息,重溯业务准确定责。
审计数据是否完整直接决定审计的成败,0.01%数据的丢失也不能完整重溯业务流。特别是关键信息、敏感数据的丢失,将会影响到最终事件的追溯和相关责任人事故的认定。
实时进行异常监控,及时发现安全事件。
通过对登录参数的完整获取,能够及时的发现恶意人员的非法访问;对敏感数据的追踪,能有效的发现数据泄密;对协议解析的完善,能准确的发现SQL注入等安全事件。
掌控业务运行情况,直观评估运行性能。
业务系统的正常运行需要一个安全、稳定的运行环境,而数据库作为业务系统核心源泉其实时性能的掌握对管理部门来说事关重大。审计系统通过多窗口多参数,实时展示数据库运行情况,直观反映业务系统的稳定性和安全性,提高管理效率和降低运维成本。
三权分立独立审计,高效运维提高内控。
审计系统作为第三方独立审计设备,实现了使用权、管理权与监督权的三权分立;同时也帮助监督人员获得有效的技术手段,完善企业IT内控机制。
功能介绍
“细粒度”数据库审计
完整记录用户数据库会话细节,包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程、函数、SQL DML操作影响行数、SQL语句执行时间、原始数据库记录包等。
全协议解析
DbXpert在流技术基础上,实现了全协议解析。支持各主流商用数据库,包括:Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本,能够实现变量绑定、超长SQL命令和字段级的审计;
三层应用审计
DbXpert在流技术、深度全解码的基础上,通过SQL语句和变量绑定的完整审计,可以重溯整个业务流程,追踪信息的来龙去脉。
业务帐号审计:业务系统账号、网银帐号、流水帐号、银行卡号、手机号、邮箱帐号等。
业务操作审计:业务操作:登录(login)、查询(select)、添加(insert)、删除(delete/drop)、修改(update)、登出(logout)等。
高精细度告警策略
提供完善的违规实时告警,包括异常告警、策略告警等;告警信息可根据数据库地址、数据库名称、访问源IP地址、高危SQL命令、客户端网络地址、客户端应用程序、数据库用户名称、客户端主机名称、客户端系统名称、SELECT返回值以及数据库表组(关键表名、组名)等信息进行组合配置;
多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过WEB告警、邮件告警等方式通知数据库管理员。
实用创新的IO存储
DbXpert首创的输入输出模型,不仅解决了海量数据的有效存取,同时也满足审计数据的合规性和有用性要求。提供策略告警的完整数据查询,白名单无危险记录的过滤,危险事件的无漏存储,使小概率安全事件无缝可逃;同时对于无法用逻辑语言判定的攻击意图,DbXpert能准确还原场景,辨识攻击企图的目的性。
灵活生成审计报表
数据库访问可根据数据库地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等排序、统计和报表,可生成年报、季报、月报、周报和日报,可对特定数据库、用户名称等进行报表统计;
能够形成符合等级保护、SOX法案等法规符合性的综合报表。统计报表以饼状图、柱状图、表格形式输出,统计结果支持HTML、PDF、EXCEL格式导出。
系统监控
完善的性能监控,实时呈现运行指标:
- 对DbXpert自身性能的监控(CPU使用率、内存使用率和接口速率);
- 对数据库性能的监控(网络流量、数据包数量、突发链接数、并发连接数、SQL语句数)。
全文检索功能
通过多级优化索引结构化存储技术,解决海量存储问题。通过细粒度的过滤条件,在海量数据中快速定位审计日志。
权职分离
《计算机信息系统安全等级保护数据库管理技术要求》、《企业内部控制规范》、SOX法案或PCI等法案法规中明确要求职责分离,DbXpert提供超级管理员、资产管理员和审计管理员三权分立;支持角色按模块灵活授权。
产品优势
- 流技术
使用当今先进的网络数据审计技术——流技术,对TCP会话从建立到结束整个周期进行完整审计,成为业界领先的流会话数据库审计系统。
- PCAP会话包
PCAP原始网络数据包记录,实现超级嗅探器功能,为调优、排错提供审计依据,成为DBA实用的工具伴侣;同时,也为全协议解码提供有效证据。
- 全协议解析
解决协议解码问题,支持全协议解析,满足各类复杂环境应用。
- 超长SQL语句
能完整解析与审计字符长度超过1460个字节的超长SQL语句,避免“逃避审计通道”的产生,完整记录审计数据。
- 白名单自学习机制
快速为用户建立安全模型,优化策略体系,提高数据存储效率。
- 变量绑定
完美识别与匹配变量绑定值,精确跟踪个人信息、银行账户、业务账户、手机号码等关键信息的操作与变更,为业务审计提供精准信息来源。
- Select返回值解析
实现双向审计。通过记录访问的回应信息可对敏感数据进行追踪,防止数据丢失和泄密。
- 异常接入监控
对登录参数准确捕获与解析,及时发现数据泄密、非法接入、SQL注入等多种安全事件。
- 分流器和分布式
通过分流器和分布式处理架构设计,提高DbXpert的数据处理能力和可扩展性。