收藏
下载资源 加入VIP免费专享

帕拉迪数据库风险分析、安全监控审计及合规解决方案.ppt

上传人:本田雅阁 文档编号:2819216 上传时间:2019-05-22 格式:PPT 页数:33 大小:8.93MB
返回 下载 相关 举报
帕拉迪数据库风险分析、安全监控审计及合规解决方案.ppt_第1页
第1页 / 共33页
帕拉迪数据库风险分析、安全监控审计及合规解决方案.ppt_第2页
第2页 / 共33页
帕拉迪数据库风险分析、安全监控审计及合规解决方案.ppt_第3页
第3页 / 共33页
帕拉迪数据库风险分析、安全监控审计及合规解决方案.ppt_第4页
第4页 / 共33页
帕拉迪数据库风险分析、安全监控审计及合规解决方案.ppt_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《帕拉迪数据库风险分析、安全监控审计及合规解决方案.ppt》由会员分享,可在线阅读,更多相关《帕拉迪数据库风险分析、安全监控审计及合规解决方案.ppt(33页珍藏版)》请在三一文库上搜索。

1、http:/ 帕拉迪数据库风险分析、安全监控 审计及合规解决方案 杭州帕拉迪网络科技有限公司 Copyright (c) 2005-2010 2 数据库面临的安全威胁!数据库面临的安全威胁!数据库面临的安全威胁!数据库面临的安全威胁! Copyright (c) 2005-2010 3 v 根据最新研究显示,恶意内部人员和人为错误 是对数据库安全的最大 威胁,而不是外部入侵者。 v 在对国际sybase用户组织 216名成员的调查 中发现 ,超过一半的受访 者认为 人为错误 是对企业数据安全的最大威胁。 v 在这次调查 中,约有56%的非金融机构认为 人为错误 是最大的挑战, 而24%受访者

2、则认为滥 用特权的恶意内部人员才是更大的威胁.而对 于金融机构,这些数据则更加突出,77%受访者主要担心人为错误 , 约 有48%的受访者担心内部人员滥 用特权.近四分之一到受访者来自金 融服务企业。 v 电信员工等23人出售手机用户信息被起诉, 23人被控出卖公民个人信 息。 v 2008年深圳市4万余孕产妇 信息泄露事件。 v 个人身份信息泄漏,网站等信息数据库容易遭受攻击。 数据库安全威胁来自内部的威胁 Copyright (c) 2005-2010 4 v 2011上半年发生的黑客攻击事件,受害者从各国政府机构到具有很高知名度 的银行和商业公司,如美国军方承包商、国际货币 基金组织、

3、花旗银行和 索尼,还有专业安全机构,如RSA。事实表明无人能幸免于黑客攻击,毕竟 媒体报道出来的黑客事件只是“冰山一角”,还有大量未被报道,甚至都还不 曾被发现的网络攻击存在。 v 2011年黑客攻击纪事 美军方承包商机密数据遭泄漏 华盛顿邮报 招聘网站遭黑 Anonymous黑客组织瞄上苹果 报业巨头Gannett数据库遭袭 北大西洋公约网络书店遭袭 艺电旗下网站遭袭 EA证实遭遇黑客攻击 巴西政府网站成最新受害者 花旗集团:黑客攻击影响客户超过36万 Sega用户数据库被黑 v 黑客侵入国家级教育网站 篡改官方数据造“真证书” v 黑客篡改双色球中奖数据 3305万巨奖险些落入黑手 数据

4、库安全威胁来自外部的威胁 Copyright (c) 2005-2010 5 索尼PlayStation数据泄漏事件 索尼在其博客表示,“超过7000万用户的个人资料于4月 17日4月19日被黑客非法获取,包括用户姓名,地址 ,电子邮件地址,生日,PlayStation网络密码,用户名等 信息”。 CNET网站的读者Konfuzed接受调查时表示,对没有第一 时间受到警告表示失望。为什么索尼要等待16天才告诉我 ,应该对这次事件提高警惕,这样的服务和相应暴露了太 多不足。不给出合理解释,我将放弃PS3。 XXX医院“统方”事件 医院的处方信息被统计后提供给医药代表,而后医药代表 按照处方开具

5、药品数量为响应的医师提供回扣。 事件一经爆出,就引起强烈围观。对于一个军属医院来说 ,损失可能不止于金钱上 数据库泄密典型事件 Copyright (c) 2005-2010 6 十大数据库安全威胁 1. 滥用过高权限 2. 滥用合法权限 3. 权限提升 4. 数据库平台漏洞 5. SQL 注入 6. 审计记录 不足 7. 拒绝服务 8. 数据库通信协议漏洞 9. 身份验证不足 10. 备份数据暴露 Copyright (c) 2005-2010 7 内部用户 外部用户 资源设备 权限滥用 恶意访问误操作 权力限用 系统管理员 网管员 安全管理员 软件系统开发人员 黑客 代维厂商 合作伙伴

6、 临时用户 不了解数据库“被”怎么了! 数据资产使用“有规无据”! 缺少数据库行之有效的“分析审计依据“! 数据库访问“暗箱操作”,数据库访问不透明! 企业数据库现状 Copyright (c) 2005-2010 8 无法有效分析数据来源,做到快速定位。 没有数据库的完整审计记录,无法满足相关审计方面的要求。 对关键数据的访问无记录,出现事故无法追踪。 一旦数据库日志被清除,无法发现事故,无法做到事故定位。 对于黑客攻击,无法做到有效防范和攻击留痕。 非授权进入业务系统或误操作、越权操作,导致数据泄漏或被修改。 不能实时监控对数据库的非法访问,没有预警。 目前数据库管理存在问题 数据库操作

7、过程“雾化”,无有效快速分析依据。 Copyright (c) 2005-2010 9 4.6安全审计 数据库管理系统的安全审计应: a) 建立独立的安全审计系统; b) 定义与数据库安全相关的审计事件; c) 设置专门的安全审计员; d) 设置专门用于存储数据库系统审计数据的安全审计库; e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具。 计算机信息系统安全等级保护数据库管理技术要求 法规遵从 第十五条 企业应当加强内部审计工作,保证内部审计机构设置、人员配备和 工作的独立性。 第四十四条 企业应当根据本规范及其配套办法,制定内部控制监督制度,明 确内部审计机构(或经授权的其他监

8、督机构)和其他内部机构在内部监督中的职 责权限,规范内部监督的程序、方法和要求。 企业内部控制基本规范 国际标准 v 萨萨班斯法案 v ISO27001 Copyright (c) 2005-2010 10 行业标准 行业业法规标规标 准 互联网服务商互联网安全保护技术措施规定(82号令) 电信行业中国移动集团内控手册 中国移动业务 支撑网安全域划分和边界整合技术规范 中国电信股份有限公司内部控制手册 中国网通集团信息质量问责管理若干规定 中国网通集团内部控制体系建设指导意见 金融保险行业银行业金融机构信息系统风险 管理指引 商业银行合规风险 管理指引 中国银行业监督委员会办公厅文件银监办

9、通313号 保险公司内部审计指引(试行) 保险公司风险管理指引(试行) 电子银行安全评估指引(2007) 电子银行业务管理办法(2008) 期货公司信息技术管理指引 商业银行内部控制指引计算机信息系统的内部控制 支付卡行业数据安全标准要求和安全评估程序(2008) 国内上市企业深圳证券交易所上市公司内部控制指引 上海证券交易所上市公司内部控制指引 电力行业电力二次系统安全防护总体方案(2005) 国家电网公司信息化“SG186”工程安全防护总体方案(实行)(2008) 医疗行业互联网医疗保健信息服务管理办法(卫生部令第66号) Copyright (c) 2005-2010 11 加强行政制

10、度的规范 从数据库运维及业务系统使用行为角度,制定相应的规范 和制度。通过强力的流程管理避免权限的越权及违规使 用。 监控数据库访问过程 通过技术手段,实时了解数据库的使用情况。 筛选、记录核心数据的访问和使用过程。 及时对违规时间进行告警。 解决问题之路 两者有效的配合,才是解决问题的根本方法 ! Copyright (c) 2005-2010 12 数据库风险分析、安全监控解决方案 来源识别,自动发现主机, IP,程序等信息 识别敏感数据,自定义分类 提供黑白名单模式,进行有 效区分 对数据流分析,解析完整会 话过程 全面解析会话,提取出完整 的SQL语句。 优化数据库架构,加固数据 库

11、安全体系 提供各个层面的安全保护 安全事件的详细分析 细粒度全会话审计 会话记录多条件查询,精确 定位 记录原始数据库,强化审计 力度 提供可模板化的报表展现, 灵活可定制 唯一、真实的展现数据库 流量及会话的监控视窗 完善和灵活的告警策略定 制 多种警告机制 实时的告警 核心数据库 Copyright (c) 2005-2010 13 全面支持不同平 台的数据库审计 产品部署模式 Copyright (c) 2005-2010 14 帕拉迪Dbxpert优势 v 第三方独立式数据库审计库审计 系统统,非堡垒垒模式,不易遭受攻击击。 v 网络络旁路部署,无需安装客户户端引擎,不影响业务系统

12、、数据库,不改变网 络拓扑结构。 v 支持分级部署、集群模式。 v 基于流和会话话技术术,全状态态、全协议协议 解码码,能够实现够实现 超长长SQL语语句解析, 能够实现变够实现变 量绑绑定解析,进进而可以实现实现 流原始网络络包,以供网络调试络调试 、是 数据库调试库调试 、原始证证据保留,以便进进一步分析和取证证。 v 以会话话方式展现现,完全解析登录录参数。 v 基于流识别识别 技术术,实现实现 返回值值、返回状态态全面分析,实现实现 对对Select语语句结结 果进进行分析,实现实现 对对数据库库活动进动进 行实时监实时监 控。 v 采用实时全文检索技术,可以对会话进行细粒度全文检索和

13、扩展服务。 Copyright (c) 2005-2010 15 帕拉迪Dbxpert优势 v 基于流和会话话技术术,能实现实现 数据库库源程序、登录录用户户、源程序()用户户名 称等的SQL语语句“实时报实时报 警”。数据库库会话话登录录参数在会话话活动动()在开始 登录录数据包内,需要将登录录参数记录记录 在流标签标签 内并实现实现 策略应应用。 v 基于流和会话技术,实现原始会话包保留功能,为审计提供最原始依据。 v 详详尽和灵活的策略定制模式和告警设设置。 v 可实现实现 ORACLE重定向关联审计联审计 分析与策略应应用。 v 完整的可供事后鉴鉴定分析的审计审计 依据。 v 通过过

14、完整的会话记录话记录 ,对对数据库库、中间间件的状态态分析,优优化数据结结构及存 储过储过 程,是数据库库DBA手中的一把利器。 v 通过实时监过实时监 控界面,对对网络络流量及会话话完整了解,处处理突发发情况。 Copyright (c) 2005-2010 16 技术对 比 传统数据库审计的不足?传统数据库审计的不足? Copyright (c) 2005-2010 17 传统审计 模式盲点 数据库日志及业务日志审计 影响数据库性能; 记录可读性差; 日志不具备第三方独立性; 记录无法与业务,与人挂钩无法记录脱离业务系统的操作; 记录粒度不够,甚至无法记录SQL语句和绑定变量; 日志容

15、易被清除或改写; 追溯事故原因及事故来源困难; Copyright (c) 2005-2010 18 目前国内数据库审计 系统盲点 国内数据库审计产品多数是基于IDS产品改造而成,存在以下的盲点: 基于单个网络包,只能以SQL语句方式展现,只报告数据库的行为和访问的表 ,并不知 道访问了真正的核心数据,不知道取了多少条记录; 只能实现单包返回状态分析,不全面,很片面,永不能实现对查询结果进行分析。 长SQL语句无法支持,提供逃避审计通道; 协议解码不完全(无会话技术就不可能完全解码); 变量绑定不支持或不完整(审计素材有用性缺失,不支持意味着无用); 无法全部存储分析审计数据,记录之后,不能

16、查询; 无法记录下原始数据包,缺乏最原始的审计依据; 事后报警,做不到事前防范,事中报警; 基于IDS技术,长会话记录分散记录,审计困难; 部分产品需要改变网络拓扑,甚至需要在数据库服务器上安装采集器,易造成安全漏 洞。 Copyright (c) 2005-2010 19 逃避传统 数据库审计 的方法 1、利用SQL语句注释功能,利用目前国内数据库审计产品协议解码不完全 和超长SQL语句审计能力缺失特点,撰写超过1460长度的特殊SQL语句, 逃避审计。此法既可逃避审计,同时,也可以达成非法操作目的,简单实 用。 2、重放包含某SQL语句的网络数据包,首先瘫痪数据库协议审计产品。传 统数据

17、库审计产品基于网络数据包进行分析,高速重放攻击数据包,会造 成数据库审计产品CPU负载过高,系统IO负载过高,分析查询数据过大, 进而使数据库协议审计产品发生崩溃,无法使用,产生“拒绝服务”。此法可 永久性崩溃数据库协议审计产品监控,直到厂商重新安装更新系统。此法 不会对用户数据产生实质性损坏。重放10240000个包含1KSQL语句长度的 网络数据包,可产生10G存储空间,花费时间最多70秒。 3、针对数据库日志和业务系统日志,通过清除日志等方式可以逃避审计。 Copyright (c) 2005-2010 20 可以自动发现到连入数据库的客户端主机、应用程序、帐号。 效果展示 Copyr

18、ight (c) 2005-2010 21 灵活的告警策略配置 帕拉迪DBXpert拥有灵活的告警策略配 置引擎。 可关联数据库访问事件的细粒度条 件。 标准SQL命令 客户端网络地址 客户端应用程序 客户端主机名称 客户端系统用户 数据库用户名称 目标表、列 效果展示 Copyright (c) 2005-2010 22 完整的会话审计与会话过滤功能,快速追踪事件信息,定位事件类型。 效果展示 Copyright (c) 2005-2010 23 详尽的会话操作记录,追溯数据库操作过程。 效果展示 Copyright (c) 2005-2010 24 提供原始数据包下载,为审计工作提

19、供最原始的依 据。 效果展示 Copyright (c) 2005-2010 25 效果展示 告警信息完整记录,分析详尽。 Copyright (c) 2005-2010 26 实时的数据库性能监测及风险统计 实时了解数据库系统的连接数、性能等指标。 可及时发现数据库的性能问题。 为在系统出现问题前解决问题,提供了时间保障。 效果展示 完善的可定制的报表系统 Copyright (c) 2005-2010 27 实时的数据库性能监测及风险统计 实时了解数据库系统的连接数、性能等指标。 可及时发现数据库的性能问题。 为在系统出现问题前解决问题,提供了时间保障。 效果展示 系统状态监控界面和

20、可视化动态实时监控效果 Copyright (c) 2005-2010 28 案例分析 XX XX单位业务系统运行一端时间后就会出现获取连接超 时、失败,或者报告这是一个无效的连接等问题,需要重 新启动服务器才能正常运行,该问题困扰工程师好久? 在接入帕拉迪dbxpert系统后,我们通过会话记录发现中间件到数据库的会 话长时间不释放,判断Connection Pool(连接池)设置问题,由于大量 sleeping connection未释放以致出现上面的错误。 找到问题后,通过采用以下方法最终解决了问题: (1)打开应用服务器连接池的“续连接支持开关”,就是说,在把池中的Connection

21、 对象返给Client端的时候(或从Client端回收的时候)做一次有效性验证,以确定这是 一个有效连接。 (2)打开连接池的无效连接定期回收机制,就是说,让连接池每经过一段时间,就 对连接池中的那些已经无效的连接进行回收。(回收操作尽量不要过于频繁) Copyright (c) 2005-2010 29 案例分析 XXX单位业务系统临近下班,工程师小张观察dbxpert的实 时监控界面,发现数据库网络流量异常,连接数量较往日 多好几倍,觉得有异常,于是 在系统会话中发现会话数量在短时间内增加几十倍,并且多数为空连接或 无效连接,并且会话数量还在一直增加。立刻通知公司安全部门,安全部 门判断

22、为黑客攻击前兆,立刻采取有效措施将影响降到最低。为此小张受 到公司领导的表彰。 Copyright (c) 2005-2010 30 案例分析 XXX局网站业务数据库经常被人篡改,甚至被大量删 除,经常需要将备份的数据还原,为此重新更换了防 火墙和IDS,但是依然不见好转 接入帕拉迪数据库风险分析与安全监控审计系统,经过一端时间后数据库又被 人篡改过,我们登录帕拉迪系统在会话中可以看到所有的会话记录(服务器和 数据库日志均被清除),在一个会话中我们发现了一些违规操作记录,通过这 些记录,我们重现了黑客入侵的整个过程,确认为SQL注入攻击。 通过攻击预演,发现了漏洞所在,修复漏洞后再未出现数据库被篡改和删除的 事件。 注:SQL注入攻击是黑客对数据库进行攻击的常用手段之一,是从正常的 WWW端口访问,而且表面看起来跟一般的Web页面访问 没什么区别,所以目前市面的 防火墙都不会对SQL注入发出警报。 Copyright (c) 2005-2010 31 价值总结 有效控制风险 快速查找故障原因 用户收益 满足IT审计合规性要求 提高数据库安全可用性 完善的责任认定体系 Copyright (c) 2005-2010 32 典型客户 帕拉迪科技

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1