现在，掌控安全  LOGBASE 数据库审计系统介绍 SAFETY INFORMATION TECHNOLOGY CO., LTD Topic 背景分析 产品介绍 产品特性 典型案例 SAFETY INFORMATION TECHNOLOGY CO., LTD 背景分析 安全管理要求 • 数据库安全保障管理 • 业务数据库是最核心的信息资产 • 高价值带来高风险 合规要求 • 国际标准： ISO17799 、 COBIT… • 国家标准：等保、密保、企业内控规范… • 行业标准：运营商内控手册、金融风险管理指引、电力二次系统防护 原有审计技术缺陷 • 开启自身审计影响性能 • 常规审计产品缺乏业务数据审计能力 SAFETY INFORMATION TECHNOLOGY CO., LTD 数据库风险分析 泄露 本地访问 远程维护 篡改 通过应用 破坏 SAFETY INFORMATION TECHNOLOGY CO., LTD 数据库审计综合解决方案 * 多途径、全方位的综合审计解决方案 SAFETY INFORMATION TECHNOLOGY CO., LTD 业务数据库结构特点 中间件 B/S 终端用户 DBA ， C/S 用 户 相对后台管理操作，业务访问量大 大部分业务操作语句相似度较高 高性能要求 身份定位难 大量基于三层架构设计的业务 业务差异化导致数据结构和关注点不一 SAFETY INFORMATION TECHNOLOGY CO., LTD 无法统一规则 系统功能概述 行为 记录 异常 检测 违规 阻断 事后 审计 SAFETY INFORMATION TECHNOLOGY CO., LTD Topic 背景分析 产品介绍 产品特性 典型案例 SAFETY INFORMATION TECHNOLOGY CO., LTD C/S 架构用户行为记录 DBA ， C/S 用 户 发生时间 IP 地址 端口 MAC 地 址 工号 数据库名 表名 SQL 语句 SAFETY INFORMATION TECHNOLOGY CO., LTD 客户端名称 操作结果 B/S 架构应用行为记录 中间件 WEB 应用用户 发生时间 WEB 用户 SAFETY INFORMATION TECHNOLOGY CO., LTD IP 地址 数据库名 端口 MAC 地 址 表名 SQL 操作 语句 操作结果 异常行为检测 第一步：建立重点关注对象，缩小关注范围 服务器 A 服务器 B 服务器 C 数据库 1 数据库 2 数据库 3 表1 select 记录 / 丢 弃 表2 update 表3 delete 重点关注 SAFETY INFORMATION TECHNOLOGY CO., LTD 存储过程 表4 其他 异常行为检测 第二步：建立关注语句分析规则库 select name,pw from user_tab where name=‘laowang' 语句分析 丢弃 频率分析 记录 告警 条件分析 阻断 行为特征库 结果： a. 所有业务语句分类：黑名单、白名单、少量未分类语句 b. 业务语句相似性特点，少量规则即可过滤大量语句 SAFETY INFORMATION TECHNOLOGY CO., LTD 违规访问阻断 sqlplus plsql 业务客户端  超过频率操作阻断 (CSCS 模式下 )  Oracle 按客户端工具名称阻断  与 Logbase 运维审计系统相结合 SAFETY INFORMATION TECHNOLOGY CO., LTD 事后审计功能 检索功能 • 多条件组合检索 • LogBase 海量数据快速检索引擎 合规审计报表 • 报表模板 • 自定义报表 • 周期性自动报表 SAFETY INFORMATION TECHNOLOGY CO., LTD 语句回溯执行 • 可疑语句重新执行，方便审计员分析判断 • 只允许执行查询语句，确保不会破坏数据内容 SELECT S.OWNER, S.SYNONYM_NAME, S.TABLE_OWNER, S.TABLE_NAME, S.DB_LINK, O.CREATED, O.STATUS FROM ALL_SYNONYMS S, ALL_OBJECTS O WHERE S.OWNER = O.OWNER and S.SYNONYM_NAME = O.OBJECT_NAME AND S.OWNER = 'SYSTEM' 查询 审计员 SAFETY INFORMATION TECHNOLOGY CO., LTD 语句关联回放 • • 同一会话中的操作语句实现关联回放； 审计人员可以清晰查看到用户的整个操作过程； SAFETY INFORMATION TECHNOLOGY CO., LTD 产品部署 C/S 应用 数据库 镜像 业务数据库审计系统 SAFETY INFORMATION TECHNOLOGY CO., LTD 产品部署 数据库 中间件 B/S 应用 镜像 镜像 业务数据库审计系统 SAFETY INFORMATION TECHNOLOGY CO., LTD Topic 背景分析 产品介绍 产品特性 典型案例 SAFETY INFORMATION TECHNOLOGY CO., LTD 产品特性 特色功能项 行为记录 1 、全面支持审计 Oracle 、 MSSQL 、 Sybase 、 DB2 、 Informix 、 Mysql ； 2 、记录字段：工号、表名、客户端； 3 、分类显示：查询、增改、删除、过程； 4 、 B/S 访问架构的关联分析，定位操作者； 5 、兼容记录服务器主机、网络设备日志； 异常检测 1 、全局策略：基于服务器、表名、操作； 2 、模型分析：基于原始语句建模，按照表名、字段、取值、频率等 条件进行检测； 违规阻断 1 、全局策略阻断：基于客户端工具名称 2 、基于语句、频率、条件的建模精确阻断 事后审计 1 、查询语句回溯执行 2 、关联回放整个会话过程 3 、与运维审计系统联动，数据关联查询 SAFETY INFORMATION TECHNOLOGY CO., LTD