2023年8月1日发(作者:)
昂楷数据库审计AAS解决方案
数据库安全现状
随着企业信息化建设的加快,对信息安全的需求日益凸显。特别是对于存有大量用户私密信息的企业,数据库安全的重要性越来越突出。通常情况下,信息安全侧重于防备外来未授权用户的非法访问,而对于内部合法用户的访问行为,则防范较弱。防火墙、入侵检测系统可以抵御各种外网活动所带来的威胁,但是不能有效防范内部威胁。而这些都是现有系统访问控制机制不能防止的,诸如此类的内部信息安全问题一旦出现,所造成的经济损失和社会影响将是无法估量的。面对可能的安全威胁,建立一套有效的信息安全审计体系,加强对数据库信息的监管力度,有效管理并尽量降低信息安全风险,是非常重要而且必要的。
数据泄密途径及原因分析
数据库系统是企业里最具有战略性的资产,随着业务系统的不断增加伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计,数据库安全存在如下风险:
1)核心数据维护人员越来越多,既有本公司的信息维护人员,也有系统开发商、第三方运维外包公司的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。
2)授权人员的权限滥用;如:已授权的人员通过自己拥有可查询、修改的权限进行滥用。他们通过信息化系统如财务系统、OA系统、BI系统查询核心数据库敏感信息。
3)现有的安全工具(比如:防火墙、IDS、IPS等)无法阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。
昂楷数据库审计系统简介
昂楷数据库审计系统是基于DPI+DFI技术的数据库审计系统,对来自应用系统客户端和DBA对数据库的访问行为进行全面审计,不仅针对SQL语句,还可以对FTP、TELETN等远程访问进行审计。审计系统能详细记录查询、删除、增加、修改等行为及操作结果,对危险操作还可以实时预警、及时阻止,从而达到保护数据库的良好效果。 昂楷数据库审计部署方式
数据库审计系统旁路部署方式,拓扑如下图:
图2:网络部署方式
昂楷数据库审计产品功能
功能模块 功能介绍
(1)全独立审计模昂楷AAS审计数据通过网络完全独立地采集,这使得数据库维护或开发小组,安全审计小组的工作进行适当的分离。而且,审式
计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于昂楷AAS自带的存储空间中,避免了数据库特权用户或恶意入侵数据库服务器用户,干扰审计信息的公正性。
(2)全跟踪细腻度全面性:针对业务层、应用层、数据库等各个层面的操作进行跟踪定位,包括数据库SQL执行情况、数据库返回值等
审计
细粒度:精确到表、对象、记录内容的细粒度审计策略,实现对敏感信息的精细监控;
独立性:基于独立监控审计的工作模式,实现了数据库管理与审计的分离,保证了审计结果的真实性、完整性、公正性。
(3)数据别名
(4)隐秘数据
(5)权限分离
对表和字段进行别名设置,可以直观显示审计结果内容,方便非专业技术人员的查看
对审计结果中敏感数据隐秘,非授权的用户不能正常查看隐秘数据;防止重要数据在数据库审计设备中导致的二次泄密问题。
昂楷AAS设置了权限角色分离,如系统管理员负责设备的运行设置;审计员负责查看相关审计记录及规则违反情况;日志员负责查看整体设备的操作日志及规则的修改情况等。
(6)事件准确定位
传统的数据库审计定位往往局限于IP地址和MAC地址,很多时候不具备可信性。昂楷AAS可以对IP、MAC、用户名、服务端等一系列进行关联分析,从而追踪到具体人。
(7)独特报表功能
合规性报表
昂楷AAS报表和根据合规性要求,输出不同类型的报表。例如,可根据等级保护三级要求,输出符合等保相关项目满足的度的报表。
策略定制化报表
根据审计人员关系的主要稳定,定制符合需求的策略规则输出报告,使审计人员能够迅速的得到自己需要去审计信息。
(8)完备的自身安昂楷AAS全方位确保设备本身的高可用性,主要包括:硬件级安全冗余、系统级防攻击策略、告警措施等。
全
产品优势
1.全面的等级保护合规性支持
昂楷AAS深度分析等级保护的相关需求,从审计内容、监控信息、审计报表、系统管理等方面,全面帮助金融、政府、企业通过等级保护审计相关审查。
2.电信级数据库审计方案
昂楷AAS高端审计设备采用刀片式设计,多模块底层融合,是国内首个解决电信级高端数据库审计方案,在国内达到领先水平。
3.零风险部署
系统可在不改变现有的网络体系结构(包括:路由器、防火墙、应用层负载均衡设备、应用服务器等)的情况下快速部署。
4.唯一支持Cache数据库的产品
支持CACHE数据库的SQL语句审计与M语言的对数据库的操作。
2023年8月1日发(作者:)
昂楷数据库审计AAS解决方案
数据库安全现状
随着企业信息化建设的加快,对信息安全的需求日益凸显。特别是对于存有大量用户私密信息的企业,数据库安全的重要性越来越突出。通常情况下,信息安全侧重于防备外来未授权用户的非法访问,而对于内部合法用户的访问行为,则防范较弱。防火墙、入侵检测系统可以抵御各种外网活动所带来的威胁,但是不能有效防范内部威胁。而这些都是现有系统访问控制机制不能防止的,诸如此类的内部信息安全问题一旦出现,所造成的经济损失和社会影响将是无法估量的。面对可能的安全威胁,建立一套有效的信息安全审计体系,加强对数据库信息的监管力度,有效管理并尽量降低信息安全风险,是非常重要而且必要的。
数据泄密途径及原因分析
数据库系统是企业里最具有战略性的资产,随着业务系统的不断增加伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计,数据库安全存在如下风险:
1)核心数据维护人员越来越多,既有本公司的信息维护人员,也有系统开发商、第三方运维外包公司的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。
2)授权人员的权限滥用;如:已授权的人员通过自己拥有可查询、修改的权限进行滥用。他们通过信息化系统如财务系统、OA系统、BI系统查询核心数据库敏感信息。
3)现有的安全工具(比如:防火墙、IDS、IPS等)无法阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。
昂楷数据库审计系统简介
昂楷数据库审计系统是基于DPI+DFI技术的数据库审计系统,对来自应用系统客户端和DBA对数据库的访问行为进行全面审计,不仅针对SQL语句,还可以对FTP、TELETN等远程访问进行审计。审计系统能详细记录查询、删除、增加、修改等行为及操作结果,对危险操作还可以实时预警、及时阻止,从而达到保护数据库的良好效果。 昂楷数据库审计部署方式
数据库审计系统旁路部署方式,拓扑如下图:
图2:网络部署方式
昂楷数据库审计产品功能
功能模块 功能介绍
(1)全独立审计模昂楷AAS审计数据通过网络完全独立地采集,这使得数据库维护或开发小组,安全审计小组的工作进行适当的分离。而且,审式
计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于昂楷AAS自带的存储空间中,避免了数据库特权用户或恶意入侵数据库服务器用户,干扰审计信息的公正性。
(2)全跟踪细腻度全面性:针对业务层、应用层、数据库等各个层面的操作进行跟踪定位,包括数据库SQL执行情况、数据库返回值等
审计
细粒度:精确到表、对象、记录内容的细粒度审计策略,实现对敏感信息的精细监控;
独立性:基于独立监控审计的工作模式,实现了数据库管理与审计的分离,保证了审计结果的真实性、完整性、公正性。
(3)数据别名
(4)隐秘数据
(5)权限分离
对表和字段进行别名设置,可以直观显示审计结果内容,方便非专业技术人员的查看
对审计结果中敏感数据隐秘,非授权的用户不能正常查看隐秘数据;防止重要数据在数据库审计设备中导致的二次泄密问题。
昂楷AAS设置了权限角色分离,如系统管理员负责设备的运行设置;审计员负责查看相关审计记录及规则违反情况;日志员负责查看整体设备的操作日志及规则的修改情况等。
(6)事件准确定位
传统的数据库审计定位往往局限于IP地址和MAC地址,很多时候不具备可信性。昂楷AAS可以对IP、MAC、用户名、服务端等一系列进行关联分析,从而追踪到具体人。
(7)独特报表功能
合规性报表
昂楷AAS报表和根据合规性要求,输出不同类型的报表。例如,可根据等级保护三级要求,输出符合等保相关项目满足的度的报表。
策略定制化报表
根据审计人员关系的主要稳定,定制符合需求的策略规则输出报告,使审计人员能够迅速的得到自己需要去审计信息。
(8)完备的自身安昂楷AAS全方位确保设备本身的高可用性,主要包括:硬件级安全冗余、系统级防攻击策略、告警措施等。
全
产品优势
1.全面的等级保护合规性支持
昂楷AAS深度分析等级保护的相关需求,从审计内容、监控信息、审计报表、系统管理等方面,全面帮助金融、政府、企业通过等级保护审计相关审查。
2.电信级数据库审计方案
昂楷AAS高端审计设备采用刀片式设计,多模块底层融合,是国内首个解决电信级高端数据库审计方案,在国内达到领先水平。
3.零风险部署
系统可在不改变现有的网络体系结构(包括:路由器、防火墙、应用层负载均衡设备、应用服务器等)的情况下快速部署。
4.唯一支持Cache数据库的产品
支持CACHE数据库的SQL语句审计与M语言的对数据库的操作。
发布评论