一、產(chǎn)品介紹

“數(shù)據(jù)庫風(fēng)險監(jiān)測系統(tǒng)”是一款落實數(shù)據(jù)分類分級后實時監(jiān)控并記錄數(shù)據(jù)庫系統(tǒng)各類操作和涉及相關(guān)的資產(chǎn)和數(shù)據(jù)的流量分析系統(tǒng)。通過對SQL語句和語法的分析，實時地、智能地解析對數(shù)據(jù)庫的各種操作，并記入數(shù)據(jù)庫審計設(shè)備中以便日后進行查詢、分析、過濾，實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。

二、設(shè)計理念

為了部署一款既能獨立審計針對數(shù)據(jù)庫的各種訪問行為，又不影響數(shù)據(jù)庫的高效穩(wěn)定運行的系統(tǒng)，主要以以下原則為設(shè)計準繩。

實用性:于業(yè)務(wù)系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫中進行集中存儲，故對于數(shù)據(jù)庫的操作審計需要細化到數(shù)據(jù)庫指令、表名、視圖、字段等，同時具有回收站技術(shù)，在數(shù)據(jù)庫出現(xiàn)關(guān)鍵錯誤時及時響應(yīng)，避免由于數(shù)據(jù)庫故障帶來的數(shù)據(jù)損失；

靈活性:審計系統(tǒng)可提供缺省的審計策略及自定義策略，可結(jié)合用戶業(yè)務(wù)特點，對關(guān)鍵業(yè)務(wù)用戶、操作途徑、重要操作、重要表、重要字段進行過濾審計，并可指定操作事件發(fā)生時，系統(tǒng)的響應(yīng)方式。

獨立性：審計系統(tǒng)應(yīng)獨立于數(shù)據(jù)庫系統(tǒng)存在，即使數(shù)據(jù)庫或者操作系統(tǒng)遭到破壞，仍然要保證審計日志的準確性和完整性。同時，審計系統(tǒng)的運行，對數(shù)據(jù)庫系統(tǒng)和業(yè)務(wù)操作不應(yīng)造成性能影響。

擴展性:當(dāng)業(yè)務(wù)系統(tǒng)進行擴容時，審計系統(tǒng)可以平滑擴容。系統(tǒng)支持向第三方平臺提供記錄的審計信息。

可靠性：審計系統(tǒng)能連續(xù)穩(wěn)定運行，且提供足夠的存儲空間來存儲審計日志，滿足在線存儲至少36個月的要求；審計系統(tǒng)能夠保證審計記錄的時間的一致性，避免錯誤時間記錄給追蹤溯源帶來的影響。

易用性:審計系統(tǒng)應(yīng)能夠基于操作進行分析，能夠提供主體標識（即用戶）、操作（行為）、客體標識（設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)）的分析和靈活可編輯的審計報表。

三、產(chǎn)品功能

     1、資產(chǎn)管理

資產(chǎn)自動發(fā)現(xiàn)：支持網(wǎng)卡流量抓包以及PCAP文件上傳，自動發(fā)現(xiàn)網(wǎng)絡(luò)流量內(nèi)的數(shù)據(jù)庫，記錄數(shù)據(jù)庫的IP地址、端口號、數(shù)據(jù)庫類型等信息，設(shè)備無需添加、即插即用實現(xiàn)數(shù)據(jù)庫審計

業(yè)務(wù)系統(tǒng)管理：以業(yè)務(wù)系統(tǒng)的角度查看，存在哪些網(wǎng)絡(luò)資產(chǎn)（主機、數(shù)據(jù)庫資產(chǎn)）

主機資產(chǎn)管理：將終端資產(chǎn)，進行業(yè)務(wù)系統(tǒng)歸屬，部門歸類，屬主確認等運營工作，最終形成完備的終端資產(chǎn)

組件資產(chǎn)管理：數(shù)據(jù)組件作為網(wǎng)絡(luò)空間數(shù)據(jù)承載的基礎(chǔ)設(shè)施，存儲著網(wǎng)絡(luò)空間活動過程中的各類數(shù)據(jù)，系統(tǒng)幫忙客戶進行數(shù)據(jù)組件資產(chǎn)盤點，并明確歸歸宿任人與部門。

數(shù)據(jù)資產(chǎn)管理：通過技術(shù)手段與人工服務(wù)，協(xié)助用戶理順數(shù)據(jù)資產(chǎn)，形成具有隸屬和并列關(guān)系的分類分級目錄。形成基于分類分級結(jié)果的數(shù)據(jù)治理基礎(chǔ)。

2、審計策略

數(shù)據(jù)庫安全審計主要是通過制定審計策略，發(fā)現(xiàn)流量中存在符合策略的命令從而完成審計操作的。系統(tǒng)除了自身內(nèi)置的策略之外，客戶可根據(jù)自身業(yè)務(wù)需求制定自定義的策略。當(dāng)前系統(tǒng)支持SQL白名單、SQL注入、數(shù)據(jù)庫漏洞及高級策略等規(guī)則的制定。規(guī)則的制定和開啟，當(dāng)審計流量時命中該規(guī)則即會觸發(fā)規(guī)則告警，根據(jù)不同的風(fēng)險等級和預(yù)置規(guī)則，系統(tǒng)會做出相應(yīng)的響應(yīng)。主要有：

基于場景化的SQL流量類型劃分：基于客戶端IP、數(shù)據(jù)庫賬號、數(shù)據(jù)庫客戶端類型等維度制定邏輯表達式，用于區(qū)分不同場景的數(shù)據(jù)庫流量。

場景化分析：智能學(xué)習(xí)業(yè)務(wù)的SQL行為基線，并基于行為基線進行告警。

自定義規(guī)則：可以根據(jù)客戶端IP、敏感資產(chǎn)所屬表、默認DB、會話連接ID、敏感標簽、實例名、結(jié)果行數(shù)、規(guī)則類型、SQL命令、風(fēng)險級別、服務(wù)區(qū)IP、流量類型、訪問時間、數(shù)據(jù)庫類型、應(yīng)用程序名等多因子聯(lián)合查詢。

3、審計方式

通過數(shù)據(jù)庫網(wǎng)絡(luò)審計、數(shù)據(jù)庫本地審計兩種審計方式，對數(shù)據(jù)庫來自運維終端訪問、來自網(wǎng)絡(luò)訪問、來自DBL .ink的訪問、來自加殼偽裝的訪問、來自普通數(shù)據(jù)客戶端訪問、來自數(shù)據(jù)庫本地訪問、來自數(shù)據(jù)庫內(nèi)部的訪問等全方位的數(shù)據(jù)庫訪問行為進行審計。

4、審計內(nèi)容

 4.1 用戶審計

 所有審計的目標最終都是為了確定操作數(shù)據(jù)庫的人，對用戶的賬號、用戶的類型進行統(tǒng)計分析，審計到特權(quán)用戶、新增用戶及刪除用戶。根據(jù)運維、業(yè)務(wù)和BI的三個維度對用戶進行類型劃分，并統(tǒng)計用戶的數(shù)量，查看流量中各類型用戶的占比情況。并還可審計出流量中用戶的活躍時間段、登錄時長、登錄地址，綜合以上對用戶類型、活躍時間段、登錄時長和地址，得到用戶畫像，更加清楚的了解用戶的使用情況。

 4.2 資產(chǎn)審計

 審計資產(chǎn)是數(shù)據(jù)庫對象，包括數(shù)據(jù)庫的類型、地址、端口等信息。審計到的新增數(shù)據(jù)庫和刪除的數(shù)據(jù)庫，依照數(shù)據(jù)庫類型等維度做數(shù)據(jù)資產(chǎn)的分析。審計到數(shù)據(jù)庫后，匯總分析出表、列、敏感標簽的新增、刪除、清空的數(shù)量。因為數(shù)據(jù)庫為經(jīng)常訪問的對象，因此審計維度中對于數(shù)據(jù)庫的請求SQL、返回結(jié)果集SQL做出趨勢圖，可以更加直觀的看出哪些數(shù)據(jù)庫、哪些表、哪些列會被經(jīng)常訪問。

 4.3 行為審計

 操作行為會被歸為DDL、DML等操作行為。可統(tǒng)計出組件、用戶、用戶IP等維度的活躍時長。登錄和請求等失敗的操作，根據(jù)用戶、用戶IP等維度進行統(tǒng)計。

 4.4 風(fēng)險審計

         針對數(shù)據(jù)庫遇到的軟件環(huán)境風(fēng)險、數(shù)據(jù)泄漏風(fēng)險、業(yè)務(wù)風(fēng)險和可疑操作四個大項，20+子項進行審計，全方位發(fā)現(xiàn)風(fēng)險。

   5、風(fēng)險告警

 數(shù)據(jù)安全審計系統(tǒng)通過實時告警引擎和短信、郵件等多種告警手段來保證告警的實時性；通過精細化的事件審計、靈活的告警規(guī)則、重復(fù)事件合并和過濾功能、以及強大的搜索引擎保障來保證告警信息不會泛濫造成管理者麻木；通過精細化告警規(guī)則、未知威脅的智能化告警、SQL注入檢測、錯誤操作檢測來方便管理者訂制需要的事件告警，管理者也可以依據(jù)自身的安全需求訂閱相關(guān)的告警。

   6、事件查詢和溯源

 數(shù)據(jù)庫安全審計系統(tǒng)提供安全事件查詢功能，基礎(chǔ)搜索查詢方式靈活方便，可直接查詢到包含關(guān)鍵詞的相關(guān)事件；高級搜索通過更加精準的因子表達式，寫出多因子的搜索條件，可以更精準的查詢到目標事件。能夠針對某個登錄主題進行從數(shù)據(jù)庫登錄到當(dāng)前操作的時間序列安全事件回溯，是真正基于數(shù)據(jù)庫會話的一致性回溯。也可以對某條安全事件進行同類事件回顧，回溯相同的安全審計事件在歷史上的發(fā)生情況。

   7、外部產(chǎn)品聯(lián)動

            外部的聯(lián)動主要是針對分類分級的聯(lián)動和對上安全管理中心的聯(lián)動。

  外部分類分級對接：通過對接外部分類分級系統(tǒng)，將分類分級后的數(shù)據(jù)同步至本系統(tǒng)。并將同步過來的敏感標簽同步至審計日志中。

  安全管理中心聯(lián)動：可通過ServerLess機制快速定義API，無需定制開發(fā)就可以快速與其他產(chǎn)品以API的形式打通，可以接收其他產(chǎn)品的數(shù)據(jù)，也可將數(shù)據(jù)傳輸給其他產(chǎn)品。ServerLess機制支持JAVA、Python等語言。

   8、消息訂閱

 數(shù)據(jù)庫安全審計系統(tǒng)具有消息訂閱功能，支持短信、郵件、syslog形式的消息發(fā)送。消息訂閱可用于策略告警通知、報表定期發(fā)送。

   9、合規(guī)報表

 審計統(tǒng)計報表是數(shù)據(jù)庫安全審計常規(guī)化的關(guān)鍵功能支持，數(shù)據(jù)安全審計系統(tǒng)提供極為豐富的手段以支持用戶日常性的報表導(dǎo)出任務(wù)，內(nèi)置了多種報表模板，基本涵蓋數(shù)據(jù)安全涉及的所有方面。例如：用戶畫像分析報表、數(shù)據(jù)庫審計風(fēng)險分析報告，元數(shù)據(jù)溯源分析、薩班斯合規(guī)報表等。這些報表皆可進行任務(wù)調(diào)度，以日報、周報和月報的形式導(dǎo)出，并支持通過消息訂閱進行定期發(fā)送。

四、產(chǎn)品優(yōu)勢

   1、落實分類分級后的數(shù)據(jù)流動監(jiān)測

  數(shù)據(jù)庫風(fēng)險監(jiān)測產(chǎn)品通過和數(shù)據(jù)分類分級對接，能夠得到數(shù)據(jù)分級分類清單及標簽，為后續(xù)針對數(shù)據(jù)級別緯度的監(jiān)測打好了基礎(chǔ)。后續(xù)，可以根據(jù)庫、表、列中的數(shù)據(jù)標簽，識別處數(shù)據(jù)的級別，并和人員權(quán)限做綁定。

  可以針對人員數(shù)據(jù)訪問情況（如A訪問了數(shù)據(jù)庫的四級數(shù)據(jù)）、敏感數(shù)據(jù)違規(guī)訪問、敏感數(shù)據(jù)異常下載、用戶異常下載進行等數(shù)據(jù)及敏感數(shù)據(jù)操作進行審計和告警。

   2、數(shù)據(jù)資產(chǎn)全生命周期管理

  可以針對數(shù)據(jù)資產(chǎn)的生命周期進行管理，主要包括：

? 敏感數(shù)據(jù)流向分析

? 敏感數(shù)據(jù)流入非敏節(jié)點

? 冷數(shù)據(jù)、熱數(shù)據(jù)TOP分析

? 敏感詞告警

? 元數(shù)據(jù)生命周期分析

? 數(shù)據(jù)通道違規(guī)

? 高敏數(shù)據(jù)違規(guī)使用

? 敏感數(shù)據(jù)分布與動態(tài)變更分析

? 數(shù)據(jù)過度拉取

? 數(shù)據(jù)的新增，使用，銷毀趨勢

   3、數(shù)據(jù)庫風(fēng)險全生命周期監(jiān)測

? 資產(chǎn)可視：通過對數(shù)據(jù)庫的分析，自動識別數(shù)據(jù)庫、表、字段數(shù)量，對數(shù)據(jù)庫訪問情況進行梳理。

? 用戶可管：數(shù)據(jù)用戶梳理與風(fēng)險分析

? 行為可控：根據(jù)給定事件，完整還原用戶事件，通過指定用戶，分析出該IP或用戶的訪問基線

? 風(fēng)險可知：審計所有操作，通過行為分析預(yù)知潛在風(fēng)險。

? 溯源可查：根據(jù)給定的敏感數(shù)據(jù)或者敏感表追溯訪問者、訪問事件，流出數(shù)量。

? 運營可感：通過對數(shù)據(jù)資產(chǎn)全生命周期展示和用戶行為分析，體現(xiàn)較好的運營效果。

   4、數(shù)據(jù)庫風(fēng)險全覆蓋

 整理出與數(shù)據(jù)庫有關(guān)的風(fēng)險，將風(fēng)險根據(jù)危害程度分成四個等級，根據(jù)等級統(tǒng)計風(fēng)險的數(shù)量，對數(shù)據(jù)庫的風(fēng)險進行全方位監(jiān)測。

   5、多個緯度進行精準審計

? 精準審計到操作人：通過應(yīng)用程序賬戶以及CA數(shù)字認證和U盾，可以精確識別到操作自然人。

? 精準審計到具體操作：用精確審計到操作庫對象、表對象；精確審計到具體的列對象；具體操作的SQL語句戶。

? 精確審計到三層終端：既可以精確審計到二層訪問的終端，也可以精確審計到來自于三層B/S架構(gòu)下的瀏覽器終端信息，包括IP、用戶、應(yīng)用模塊。

? 精確審計到操作工具：精確識別連接數(shù)據(jù)庫連接工具，防止被假冒應(yīng)用注入或者數(shù)據(jù)竊取。