数据库审计系统基本原理与部署方式.pdf

数据库审计系统基本原理与部署⽅式 数据库审计系统简介 什么是数据库审计？ 数据库审计是记录数据库被访问⾏为的⽇志系统。 访问数据库的⼀般有两种⾏为，⼀种是应⽤服务区的访问，⼀种是数据库运维⼈员的访问。 数据库审计（简称DBAudit）能够实时记录⽹络上的数据库活动，对数据库操作进⾏细粒度审计的合规性管理，对数据库遭受到的风险⾏为 进⾏告警，对进⾏阻断。它通过对⽤户访问数据库⾏为的记录、分析和汇报，⽤来帮助⽤户事后⽣成合规报告、事故追根溯源，同时加强内 外部数据库⽹络⾏为记录，提⾼数据资产安全。 数据库审计是技术之⼀，技术主要包括：数据库漏扫、、、、。 ⿊客的⾏为，可以通过数据库审计发现。 数据库审计系统能⼲什么？ 性能监控 SQL吞吐、会话监控、性能瓶颈 攻击预警 对漏洞攻击、SQL注⼊、敏感语句、风险操作等进⾏预警。 事后追溯 具有基本⾏为审计、应⽤关联分析、记录全、准、可读性⾼。 告警通知 ⼀般可通过短信、邮件、SNMP、Syslog进⾏告警通知。 数据库审计主要功能 数据审计经历的技术: 第⼀阶段：流量⾏为审计 实现了对OSI七层模型中的⽹络层到会话层的覆盖，主要对数据库访问⾏为进⾏分析和统计 第⼆阶段：内容审计阶段 实现了OSI七层模型中的表⽰层到应⽤层的覆盖，利⽤关键字进⾏模糊匹配，对数据库访问⾏为实现内容记录，如登陆账户、SQL语句 等 第三阶段：语法解析阶段 主要集中在应⽤层，实现对SQL语句的语义分析，尽可能的将操作数据库的SQL语句进⾏细颗粒解析，⽐如账户名、数据名等等 第四阶段：⼤数据审计阶段 解决⾯向对象的M语⾔安全设计问题，全⾯⽀持⼤数据审计，Hive、HBASE、MogoDB等 数据审计系统可审计的风险项： 功能项 功能项 策 略 元 素 策 略 元 素 登录风险 对IP、MAC、客户端、⽤户名、登录密码、时间等进⾏风险告警 影响⾏风险 对超过指定⾏数的更新、删除、查询和导出⾏为进⾏告警 权限风险 对⽤户、操作（DML、DDL、DCL）和对象进⾏访问控制风险定义。 增加Update Nowhere和Delete Nowhere等⾼危操作的风险告警 漏洞攻击 对符合CVE上公开的数据库漏洞攻击特征的访问进⾏告警 SQL注⼊ 对符合SQL注⼊特征的访问⾏为进⾏告警 SQL⿊名单 精确地描述，出现了哪些语句就要进⾏告警（⽐如是⼀个要求授权很⾼的语句） 登录许可 通过IP、MAC、客户端、⽤户名、时间等因素描述信任的，不需要告警的登录 SQL⽩名单 ⼤量的应⽤SQL语句属于来⾃于应⽤的正常访问，可以不需要告警 ⽩名单规则 通过⽤户、操作、对象、时间等因素描述许可以信任不需要告警的访问 双向审计： 通过对双向数据包的解析、识别及还原，不仅对数据库操作请求进⾏实时审计，⽽且还可对数据库系统返回结果进⾏完整的还原和审计，包 括数据库命令执⾏时长、执⾏的结果集等内容； 操作⾏为 操作⾏为 内容和描述 内容和描述 ⽤户⾏为 数据库⽤户的登录、注销 数据定义语⾔（DDL）操作 Create、Alter、Drop等创建、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域等等）的SQL指令 数据操作语⾔（DML）操作 Select、Delete、Updata、Insert等⽤户检索或者修改数据的SQL指令 数据控制语⾔（DCL）操作 Grant、Revoke定义数据库⽤户的权限的SQL指令 其他操作 包括Execute、Commit、Rollback等事务操作指令 数据库审计系统的主要功能架构： 图：数据库审计系统的主要功能架构 5W1H的⾏为审计： 数据安全需求 数据安全需求 描述 描述 Who(谁⼲的） 数据库⽤户名、操作系统⽤户名、应⽤⽤户名 Where(在什么地⽅） 数据库客户端IP+MAC、应⽤客户端IP When(什么时间） 发⽣时间、耗时时长 What（⼲了些什么） 操作对象是谁、操作是什么 How（怎么⼲的） SQL语句、参数 结果怎么样 是否成功、影响⾏数、性能情况 数据安全需求 数据安全需求 描述 描述 数据库审计系统部署⽅式 流镜像部署： 数据库审计系统主要原理是，将所有访问数据库的流量镜像给审计系统，然后进⾏分析数据包，从⽽进⾏记录。 审计系统采⽤旁路部署，不需要再数据库服务器上安装插件，不影响⽹络和业务系统的结构。 ⽆需与业务系统对接，与数据库服务器没有数据交互，不需要数据库服务器提供⽤户名密码。 ⽤户预留增加额外⽹络设备，也⽆需对现有的⽹络结构进⾏改造。 Agent代理客户端部署： Agent部署⽅式⼀般是因为：当Web应⽤和数据库在同⼀台物理服务器上的话，那么Web应⽤访问数据库的流量都是在本地产⽣的，没法 通过交换机来镜像到数据库审计，此时需要在这种主机上安装agent代理，主动监听 数据库审计系统是保护数据安全的重要工具，其基本原理在于记录并分析数据库的访问行为，确保合规性和防范潜在风险。数据库审计系统（DBAudit）能够实时监控网络上的数据库活动，对SQL语句进行细粒度审计，对异常行为发出警告，并在必要时进行阻断。系统通过对用户访问行为的记录、分析和报告，帮助用户追踪事故源头，生成合规报告，并强化内外部数据库网络行为的监控。 数据库审计技术包括但不限于数据库漏洞扫描、SQL注入防护、访问控制和行为分析等。这些技术可以帮助发现黑客行为，通过记录和分析数据库活动，及时发现异常登录、高风险操作以及恶意攻击。 系统的主要功能包括性能监控，如SQL吞吐量、会话监控和性能瓶颈分析；攻击预警，针对漏洞攻击、SQL注入、敏感语句和风险操作发出预警；事后追溯，提供完整的行为审计、应用关联分析和清晰的记录；告警通知，通常通过短信、邮件、SNMP或Syslog等方式发送。 数据库审计经历了四个技术阶段：流量行为审计、内容审计、语法解析审计和大数据审计，逐步提升对SQL语句的解析能力和支持不同数据库类型的能力。 数据库审计系统可以审计多种风险项，例如登录风险、影响行风险、权限风险，以及针对特定操作如Update Nowhere和Delete Nowhere的高危操作告警。此外，系统还能对符合已知漏洞特征的访问进行警告，防止SQL注入，并通过黑白名单机制定义允许和禁止的SQL语句。 系统采用5W1H的行为审计原则，即谁（Who）、在何处（Where）、何时（When）、做了什么（What）、如何做的（How）以及结果如何（How）。这为理解数据库活动提供了全面的信息。 部署方式主要有两种：流镜像部署和Agent代理客户端部署。流镜像部署通过网络设备将数据库流量镜像到审计系统，不改变原有网络结构，无需数据库服务器的用户凭证。而Agent部署适用于Web应用和数据库在同一服务器的情况，Agent监听本地流量，主动推送审计信息，适应云环境的数据库安全审计。 数据库审计系统是保护数据安全的关键组成部分，它通过实时监控、深度分析和智能告警，有效地管理和防范数据库的风险，确保数据资产的安全。随着技术的发展，数据库审计系统正变得越来越智能，能够应对复杂多变的网络威胁，为企业数据安全提供坚实保障。