數(shù)據(jù)安全任重道遠,如何在互聯(lián)網(wǎng)發(fā)展的大潮下同時確保信息安全,已經(jīng)成為全世界各行業(yè)普遍關(guān)注的焦點問題。現(xiàn)如今,數(shù)據(jù)泄露已經(jīng)不僅僅關(guān)系到企業(yè)及個人的隱私安全,而是已經(jīng)危及到全球。企業(yè)重要的數(shù)據(jù)信息和隱私信息存放在企業(yè)數(shù)據(jù)庫中,是企業(yè)發(fā)展和生存重要的戰(zhàn)略性資產(chǎn),加強數(shù)據(jù)庫信息隱私保護,防止競爭者和其他非法者竊取成為企業(yè)優(yōu)先解決的問題。互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫信息的價值及可訪問性得到了提升,同時,攻擊者為了獲取敏感數(shù)據(jù),產(chǎn)生了許多新型的攻擊手段,比如SQL注入攻擊,APT(高級持續(xù)攻擊)等,也致使數(shù)據(jù)庫信息泄露,資產(chǎn)面臨嚴峻的挑戰(zhàn)。 東華軟件股份公司結(jié)合多年行業(yè)軟件開發(fā)方面的經(jīng)驗,形成了一套有效的數(shù)據(jù)庫監(jiān)測及審計解決方案。通過對訪問數(shù)據(jù)庫流量與業(yè)務(wù)系統(tǒng)流量的分析與處理,在發(fā)生異常行為后,系統(tǒng)能夠定位出何人(who)、何時(when)、何地(where)、以何種方式(what)進行違規(guī)訪問,并回溯數(shù)據(jù)操作的整個過程。東華數(shù)據(jù)庫信息審計系統(tǒng)能夠?qū)崿F(xiàn)國家在審計方面的要求,能夠?qū)`規(guī)操作進行安全監(jiān)控,有效保護企業(yè)數(shù)據(jù)庫免受非法人員攻擊。
1、深度檢測技術(shù)
通過DPI和DFI技術(shù)對數(shù)據(jù)進行應(yīng)用分流處理,得到相應(yīng)的操作數(shù)據(jù)和行為數(shù)據(jù),判斷用戶的行為數(shù)據(jù)是否違規(guī)。
2、服務(wù)器分析
對所配置的服務(wù)器進行活躍度分析、服務(wù)器總帶寬、帶寬、流量分析。
3、數(shù)據(jù)庫審計
支持Oracle、SQL-Server、DB2、MySQL、Sybase、Cache等多種數(shù)據(jù)庫審計,支持白名單,可視化敏感數(shù)據(jù)的分布情況。
4、統(tǒng)方審計
能與醫(yī)療核心系統(tǒng)緊密結(jié)合,精確的審計出統(tǒng)方信息,并產(chǎn)生告警行為。
5、登錄行為審計
對登錄數(shù)據(jù)庫的行為進行詳細審計,記錄登錄信息,并對非法登錄行為記錄并告警。
6、訪問事件審計
對訪問數(shù)據(jù)庫等的行為進行審計分析,還原訪問數(shù)據(jù)庫等的行為。
7、敏感詞審計
支持自定義敏感名詞庫,能夠幫助企業(yè)了解數(shù)據(jù)庫服務(wù)器、敏感數(shù)據(jù)的分布情況。
8、數(shù)據(jù)庫風險評估
評估數(shù)據(jù)庫系統(tǒng)的風險,包括:弱口令檢測、數(shù)據(jù)庫系統(tǒng)漏洞、配置風險等。
9、高危行為審計
內(nèi)置有規(guī)則庫,也可進行通用規(guī)則配置,對高危行為事件進行審計。
10、網(wǎng)絡(luò)活動審計
采集網(wǎng)絡(luò)數(shù)據(jù)包,通過協(xié)議解析還原網(wǎng)絡(luò)活動并記錄。
11、重點對象監(jiān)控
針對重要業(yè)務(wù)進行自定義,進行細粒度的行為記錄與分析。
12、異常行為精確追溯
記錄所有用戶業(yè)務(wù)訪問、系統(tǒng)維護、策略配置等操作行為,針對可疑對象、異常行為提供多種方式實時告警,精確定位異常對象的物理位置。
13、行為審計報告
根據(jù)日常行為生成審計報告。
東華數(shù)據(jù)庫信息審計系統(tǒng)通過旁路部署的方式部署在網(wǎng)絡(luò)之中。旁路部署方式采用核心交換機上設(shè)置端口鏡像方法,使系統(tǒng)能夠監(jiān)聽到所有用戶通過交換機與服務(wù)器區(qū)和數(shù)據(jù)庫系統(tǒng)進行通信的全部操作,這種方式接入基本不會影響鏈路狀態(tài),部署實施過程非常安全。
東華數(shù)據(jù)庫信息審計系統(tǒng)能深入分析TCP或UDP通信流量的內(nèi)容。當IP數(shù)據(jù)包、TCP數(shù)據(jù)流或UDP包經(jīng)過設(shè)備時,將會按照預定義的策略對應(yīng)用內(nèi)容進行操作。用戶可以使用一定的規(guī)則或策略來定義這些變量,這些策略符合給予應(yīng)用的類型或者數(shù)據(jù)業(yè)務(wù)的最終目標。
東華數(shù)據(jù)庫信息審計系統(tǒng)可以對所配置的服務(wù)器進行活躍度分析、服務(wù)器總帶寬、帶寬、流量分析。并可以將分析結(jié)果按帶寬數(shù)值大小排名。顯示總連接數(shù)、最大連接數(shù)、最小連接數(shù)等詳細信息,方便管理人員對服務(wù)器使用情況有一個清晰的認識,方便進行服務(wù)器維護。
東華數(shù)據(jù)庫信息審計系統(tǒng)可同時支持多種數(shù)據(jù)庫審計,包括Oracle、SQL-Server、DB2、MySQL、Sybase、Cache等多種數(shù)據(jù)庫審計,并且系統(tǒng)可以根據(jù)不同的數(shù)據(jù)庫對象定義不同的審計策略。系統(tǒng)支持對源IP、時間、客戶端程序、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫用戶、操作類型等精細日志查詢。
系統(tǒng)在進行數(shù)據(jù)審計時為雙向?qū)徲嫛2粌H對請求報文進行審計,還會對響應(yīng)報文進行審計。在雙向?qū)徲嫴呗耘渲脮r,可以對操作的影響行數(shù)、執(zhí)行時長、執(zhí)行狀態(tài)、返回內(nèi)容的行數(shù)統(tǒng)計、黑白名單策略、是否開啟風險引擎進行設(shè)置。
系統(tǒng)在對Cache數(shù)據(jù)庫的M語言審計時同樣進行雙向?qū)徲嫛M瑫r對M語言的訪問和M語言的返回結(jié)果進行審計,并結(jié)合我公司在醫(yī)療行業(yè)的經(jīng)驗并與HIS系統(tǒng)對接,對審計結(jié)果進行相應(yīng)的還原。
系統(tǒng)可以實時監(jiān)控數(shù)據(jù)庫的運行狀態(tài),從服務(wù)器SQL、數(shù)據(jù)庫SQL、客戶端SQL等維度進行分析,記錄SELECT、DELETE、Create等操作條目數(shù)。在狀態(tài)異常時進行預警,提前防止業(yè)務(wù)癱瘓,保障業(yè)務(wù)系統(tǒng)的連續(xù)可用性。數(shù)據(jù)庫性能審計內(nèi)容包括:用戶活動狀況、數(shù)據(jù)庫內(nèi)存狀態(tài)、文件系統(tǒng)狀態(tài)、查詢響應(yīng)性能等。性能審計結(jié)果可以直接導出為報表文件,并可以設(shè)置告警條件,記錄告警事件。
東華數(shù)據(jù)庫信息審計系統(tǒng)可以使實現(xiàn)醫(yī)療統(tǒng)方審計,支持業(yè)內(nèi)主流的數(shù)據(jù)庫系統(tǒng)(Oracle、SQL-Server、DB2、MySQL、Sybase、Cache等)與醫(yī)院HIS系統(tǒng)(東華、衛(wèi)寧、天健、中聯(lián)等),能與醫(yī)療行業(yè)核心系統(tǒng)緊密結(jié)合,很精確的審計可疑的統(tǒng)方信息,產(chǎn)生告警行為。實現(xiàn)對告警數(shù)據(jù)的概覽,顯示告警匹配的規(guī)則名稱、告警的級別。在詳細告警信息中可顯示詳細的告警數(shù)據(jù),比如:服務(wù)器IP、客戶端IP、告警級別、告警名稱、處理狀態(tài)、處理結(jié)果等信息。
東華數(shù)據(jù)庫信息審計系統(tǒng)可以對登錄數(shù)據(jù)庫的行為進行詳細審計,對數(shù)據(jù)流量進行詳細分析,審計并記錄被訪問對象相關(guān)信息,包括保護對象名、數(shù)據(jù)庫類型、數(shù)據(jù)庫實例、數(shù)據(jù)庫主機名等信息。記錄訪問信息,包括數(shù)據(jù)庫采購人、登錄時間、退出時間、應(yīng)用采購人、主機名、客戶端IP、MAC地址、應(yīng)用程序名、使用的操作系統(tǒng)采購人等信息。記錄對應(yīng)的觸發(fā)規(guī)則名稱及審計級別。記錄登錄是否成功的信息等。
系統(tǒng)還會對暴力破解、撞庫等非法登錄行為進行識別、審計,對非法登錄行為記錄并告警。
東華數(shù)據(jù)庫信息審計系統(tǒng)對訪問數(shù)據(jù)庫等的行為進行審計,可以記錄被訪問對象信息,包括數(shù)據(jù)庫類型、服務(wù)端IP、資產(chǎn)等信息,記錄訪問者的信息,包括客戶端IP、訪問時間、終端IP、終端應(yīng)用、終端采購人名等信息,記錄觸發(fā)的規(guī)則名稱、審計級別、原始操作語句等信息。系統(tǒng)具有操作語句翻譯功能。可將機器語言翻譯成自然語言。
東華數(shù)據(jù)庫信息審計系統(tǒng)內(nèi)置敏感名詞庫,同時支持管理員自動增加敏感詞,能夠幫助企業(yè)了解數(shù)據(jù)庫服務(wù)器、敏感數(shù)據(jù)的分布情況。針對數(shù)據(jù)庫系統(tǒng)建立對應(yīng)的CSP、M語言、SQL等名詞解釋庫,系統(tǒng)可以根據(jù)名詞解釋庫識別相應(yīng)的操作行為,并翻譯成直觀的操作過程,對于某個操作做到正確解釋,完整操作回放等。將所發(fā)現(xiàn)的重要服務(wù)器、服務(wù)、數(shù)據(jù)自動分類,并生成敏感詞統(tǒng)計報表。
通過掃描的方式靜態(tài)的評估數(shù)據(jù)庫系統(tǒng)的風險,掃描內(nèi)容包括:弱口令檢測、數(shù)據(jù)庫系統(tǒng)漏洞、配置風險等。
弱口令檢測的目的是測試數(shù)據(jù)庫賬號的口令的強度,確保不存在缺省口令和弱口令。選取不同的字典文件對缺省口令、生日數(shù)字口令、字母組合口令、姓名口令等進行檢測。
漏洞掃描檢測軟件相關(guān)漏洞,包括SQL注入漏洞。這些漏洞需要廠家的后續(xù)補丁來進行修正。入侵者通過利用漏洞可以破壞系統(tǒng),或者提升自身的系統(tǒng)權(quán)限,訪問敏感數(shù)據(jù),威脅系統(tǒng)的安全。 配置風險掃描的目的是檢測系統(tǒng)中各種配置參數(shù)的安全性。對每一個系統(tǒng)配置進行掃描前,可由用戶為每一個系統(tǒng)配置設(shè)置參數(shù),之后執(zhí)行特定的檢測腳本,根據(jù)返回結(jié)果判斷風險是否存在。
東華數(shù)據(jù)庫信息審計系統(tǒng)內(nèi)置有規(guī)則庫,規(guī)則庫包含2000余條策略。可以對高危DDL操作事件、高危DML操作事件、登錄失敗事件、SQL注入攻擊事件等高危行為事件進行審計。并且內(nèi)置風險引擎策略。可以對觸發(fā)SQL注入特征庫、漏洞特征庫的流量進行精準識別并告警。同時也可自定義SQL注入特征庫和漏洞特征庫。進行SQL注入特征庫和漏洞特征庫的新增、刪除、修改、啟用、停用等操作。
東華數(shù)據(jù)庫信息審計系統(tǒng)支持多種條件查詢,系統(tǒng)能通過多種條件及時發(fā)現(xiàn)用戶越權(quán)操作行為,并對監(jiān)控操作做出風險評估,管理員能收到相關(guān)行為的詳細告警信息。系統(tǒng)提供全面的審計記錄,能詳細的記錄用戶的操作行為,并對違規(guī)的行為進行告警。
東華數(shù)據(jù)庫信息審計系統(tǒng)內(nèi)置有告警規(guī)則庫,包含SQL,Global, mdtrak, his web, telnet等告警規(guī)則,同時系統(tǒng)支持自定州告警規(guī)則配置,可根據(jù)請求和響應(yīng)數(shù)據(jù)的關(guān)鍵字告警,響應(yīng)數(shù)據(jù)的響應(yīng)時間,返回行數(shù)告警等關(guān)鍵信息配置告警規(guī)則。系統(tǒng)對于符合告警的行為進行審計并告警,告警行為審計記錄告警級別和處理狀態(tài),同時系統(tǒng)可以通過郵件告警和短信告警的方式通知相關(guān)人員。系統(tǒng)具有告警審核功能,可以對告警行為進行二次人工研判,并將研判結(jié)果進行記錄。
東華數(shù)據(jù)庫信息審計系統(tǒng)可以設(shè)置審計白名單、告警白名單和審計黑名單設(shè)置。在設(shè)置審計白名單后,系統(tǒng)不審計來自于審計白名單的流量;在審計告警白名單后,系統(tǒng)將不對來自告警白名單的流量進行告警。在設(shè)置審計黑名單后,系統(tǒng)只審計來自于黑名單的流量。
通過東華數(shù)據(jù)庫信息審計系統(tǒng)自帶的報表報告模塊,可為用戶自動生成報表報告。報表報告通過自定義,能夠?qū)崿F(xiàn)每天、每周,每月,每年的報表報告。在報表報告中可顯示告警的數(shù)量,告警的詳細內(nèi)容等信息。生成的報表報告可按pdf、excel、word等報表格式輸出,并按配置將生成的報表自動發(fā)送指定郵箱。
東華數(shù)據(jù)庫信息審計系統(tǒng)可實時顯示敏感數(shù)據(jù)的分布情況、訪問情況、風險狀況,及時發(fā)現(xiàn)數(shù)據(jù)的異常活動狀況和存在的風險。同時,可以實現(xiàn)數(shù)據(jù)庫安全合規(guī),通過控制數(shù)據(jù)的訪問活動,保證數(shù)據(jù)的安全,防止數(shù)據(jù)庫中的敏感信息部分或全部被泄露。在醫(yī)療、能源、政府等行業(yè)有廣泛應(yīng)用。
郵編:100190
地址:北京市海淀區(qū)知春路紫金數(shù)碼園東華合創(chuàng)大廈
