(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准(PCI DSS)都对信息保护和内控提出了严格的要求。这些条例和指引都要求对网络中的重要数据库系统进行专门的安全审计。
可以说,随着安全需求的不断提升,网络安全已经从以防范外部入侵和攻击为主逐渐转变为以防止内部违规和信息泄露为主了。
在这种情况下,政府和企事业单位迫切需要一款专门针对网络中数据库及其业务信息系统进行全方位审计的系统。网神借助多年在安全管理领域的积累,推出了SecFox-NBA(业务审计型),很好地满足了客户的安全审计需求。
网神SecFox-NBA(Network Behavior Analysis for Business Audit)网络行为审计系统(业务审计型)通过对连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户对业务系统的访问,记录、发现并及时制止用户的误操作、违规访问或者可疑行为。
SecFox-NBA(业务审计型)能够对复杂网络环境下的各种数据库操作行为进行细粒度审计。产品能够对运行在各种操作系统上的各种品牌数据库的操作进行记录并回放,审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等;不仅能够审计请求信息,也能够审计返回结果,还支持操作内容回放。
SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。
SecFox-NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。
SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。
方案
产品特点
SecFox-NBA 网络行为审计系统(业务审计型)的主要特点包括:
1) 全方位的数据库审计 2) 数据库操作实时回放 3) 多角度的业务审计 4) 应用服务实时监控 5) 资源转换与审计控制 6) 内置数据库防攻击策略 7) 快速响应和协同防御 8) 海量存储便于事后分析 9) 部署灵活简单易用 10) 详尽有效审计报表
多数据库系统及运行平台支持
SecFox-NBA(业务审计型)产品能够对多种操作系统平台下各个品牌、各个版本的数据库进行审计。产品能够审计的数据库系统包括: Oracle 8i / 9i / 10g / 11g
SQL Server 2000 / 2005 / 2008 IBM DB2 7.x / 8.x / 9.x
IBM Informix Dynamic Server 9.x /10.x /11.x Sybase ASE12.x / 15.x MySQL 4.x / 5.x /6.x
国产数据库,例如达梦、人大金仓等
产品能够审计的数据库运行平台包括:Windows、Linux、HP-UX、Solaris、AIX。 细粒度数据库操作审计
SecFox-NBA(业务审计型)能够深入细致地对数据库的各种操作及其内容进行审计,并且能够用户通过各种方式访问数据库的行为。
系统审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。如下表所示: 操作行为 用户行为 数据定义语言(DDL)操作 数据操作语言(DML)操作 数据控制语言(DCL)操作 其它操作 方案
内容和描述 数据库用户的登录、注销 CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令 SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL指令 GRANT,REVOKE等定义数据库用户的权限的SQL指令 包括EXECUTE、COMMIT、ROLLBACK等事务操作指令
系统不仅能够审计数据库操作请求,还能审计操作的返回结果,包括成功或者失败。如果失败,能够审计到返回的错误码。
系统能够对各种访问数据库的途径进行监控和审计,参见下图:
如上图Oracle数据库审计所示,无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问,还是通过第三方的Quest TOAD(Tool for Oracle Application Developers)工具访问,抑或通过中间件、浏览器、客户端程序/代理方式访问,等等,SecFox-NBA(业务审计型)都能够进行审计。
特别地,如果被审计的数据库网络数据被加密处理了,SecFox-NBA(业务审计型)为用户提供了一个通用日志采集器模块,借助该模块,系统能够自动的采集被审计数据库的日志信息,并在审计中心对其进行归一化和关联分析。
此外,SecFox-NBA(业务审计型)还能够监测数据库系统所在主机的网络通讯,对该主机的FTP、文件共享等协议进行审计,确保数据库系统上的数据安全。 可视化的数据库审计
SecFox-NBA(业务审计型)系统为用户提供了简介易用的操作界面,使得普通管理员就能够对复杂的数据库系统进行审计。系统提供了多种可视化的审计手段,包括: 智能监控频道
智能监控频道为用户提供了一个从总体上把握企业和组织中所有数据库及其相关系统安全情况的界面。每个频道包括多个监控窗口,可以显示多方面的安全信息,窗口可以缩放、可以移动换位、可以更换布局、可以调台,显示管理员想看的内容。SecFox-NBA(业务审计型)提供丰富的频道切换器,用户可以在不同的频道间切换。同时,用户也可以自定义频道,包括自定义布局和展示内容。
方案
行为分析图
用户可以对一段时间内的数据库操作指令进行行为分析,并生成行为分析图。行为分析图将一段时间内的数据库操作按照不同的属性进行排列和连接,形象地展示在坐标轴上,让管理员一目了然的看到操作所代表的用户(IP)行为。
业务拓扑图
通过网神独有的业务拓扑功能,可将业务系统中相关的数据库、主机、服务等对象以拓扑图的方式展现出来。通过业务拓扑,用户能够直观地看到该业务系统的组成,并方便地查看业务系统的告警信息和流量信息。
方案
数据库操作实时回放
SecFox-NBA(业务审计型)对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。
传统的数据库或者网络审计系统都采用基于指令的操作分析(Command-based Record Analysis)技术,可以显示出所有与数据库主机相关的操作,但是这些操作都是一条条孤立的指令,无法体现这些操作之间的关联,例如是否是同一用户的操作、以及操作的时间先后,审计员被迫从大量的操作记录中自行寻找蛛丝马迹,效率低下。借助网神独有基于会话的行为分析(Session-based Behavior Analysis)技术,审计员可以对当前网络中所有访问者进行基于时间的审查,了解每个访问者任意一段时间内先后进行了什么操作,并支持访问过程回放。SecFox-NBA(业务审计型)真正实现了对“谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何”的全程审计。
多角度的业务审计
对于用户而言,要保护核心数据,仅仅依靠对数据库的审计是不够的。内部人员违规操作的途径有很多,有的是直接违规访问数据库,有的是登录到数据库所在的主机服务器上,有的是透过FTP去下载数据库所在主机的重要数据文件,还有的是透过其他程序或者中间件系统访问数据库。所以,必须对数据库、主机、HTTP协议、TELNET、FTP协议,网络流量、中间件系统都进行审计,才能更加全面的发现违规、防止信息泄漏。这就是面向业务的安全审计。
方案
机房整改解决方案.doc
