数达安全数据库审计系统(简称DS-AD),该系统通过监控数据库的多重状态和通信内容,不仅能及时掌握数据库所面临的数据风险访问,而且可以通过完整的访问日志对发生的安全事件进行事后追查。数据库审计产品可提供10Gbps流量级别的超大数据库集群的完整解决方案,由分流器、解析器、存储器和管控中心四大模块组成,用户可以根据实际的数据库流量进行横向扩展,灵活且高效。
产品功能
基础功能:为系统运行时必备的功能模块,包括:时间、网络、配置管理等基础功能。
业务流程:为安全审计业务的运行流程。
业务配置:为用户进行安全审计的主要功能模块。
价值展示:为安全审计产品最终的价值体现。
多群组和用户
DS-AD对安全是审计业务进行了重新的分层设计,在三权分立的基础上,增加了群组的概念,同时增加了群组管理员和群组用户两个角色,由安全管理员进行统一的配置和管理。
群组和群组管理员由安全管理员进行创建和管理,群组用户可以由安全管理员进行批量创建,也可以由群组管理员直接创建。
群组管理员和群组用户可以独立使用完整的安全审计的主要功能。
分布式集群
为了应对大规模数据库集群的全流量审计场景,DS-AD能够以分布式集群的方式进行部署和使用。DS-AD将审计的主要服务进行了模块化的设计和实现,各个服务能够以单节点的方式运行,每个节点都能够独占所有的硬件资源,为审计服务提供全部算力。
全场景的审计/监控能力
DS-AD具备多种获取数据库通信数据的技术手段,包括:交换机镜像和软件探针等多种方式。面对IDC下的数据库集群、虚拟化上的数据库资源池、云上数据库(包括自建库和RDS)等各式各样的使用环境,真正的实现了数据库全场景的审计和监控能力,为数据库的全面审计提供了完整的解决方案。
自动发现
DS-AD的智能协议解析引擎在接入用户网络后,可以根据业务流量中的指纹特征自动发现网络中处于活动状态的数据库。
单/双向审计
DS-AD采用智能协议解析引擎,通过交换机镜像或者软件探针的方式捕获数据库通信内容,然后对上行请求和下行应答进行会话重组,会话重组后,逐层识别和解析协议内容。智能协议解析引擎能够精准的提取会话和来源信息,识别访问者身份、访问对象和操作行为等全部的上行请求特征,以及响应状态、执行时长、影响行数、返回行数、返回的结果内容等下行应答特征。
运维协议审计
DS-AD具备的智能协议解析引擎不仅能够精准的识别数据库通信协议,还能够对数据库运维环节常用的远程管理工具进行识别和解析,包括TELNET、SSH、VNC等协议类型。同时也能够对一些日常的办公场景中经常用到的应用环境进行审计,包括:FTP、POP3、IMAP、SMTP等。
异常行为和攻击检测
DS-AD的审计策略模块内置了各个数据库类型的异常访问、SQL攻击、缓冲区溢出、CVE漏洞等行为特征库,通过高效的策略匹配引擎能够及时发现针对数据库的各类越权访问、脱库、撞库等内部人员的违规操作,以及外部人员利用数据库漏洞发起的各类攻击和渗透行为,并通过日志外发和日志上报接口,立即向各类安全分析和检测平台发送告警日志。
日志检索与风险分析
DS-AD采用具有专利技术的并行存储引擎能够快速的将海量SQL日志写入存储区域,同时利用特殊优化的索引技术,快速生成各类协议特征关键字供用户对审计日志进行查询和检索。DS-AD能够做到在亿级日志中使用关键字进行精确查询时,秒级返回。
DS-AD提供了包括访问来源、访问目标、访问行为、执行结果和影响范围等多个维度的查询条件。同时支持快速查询和全量查询两种方式,可以根据实际需要自行选择。
对于查询到的审计日志可以通过导出接口将日志详情导出,DS-AD提供PDF、WORD、EXCEL三种格式可选。
当发生越权访问或者攻击事件时,可以通过DS-AD提供的回放接口,对人员的违规行为进行回放,方便溯源和取证。
DS-AD基于高效的索引机制,能够在业务低峰期进行预先统计,主动对数据库的各类访问行为特征进行检索和计数,为用户提供快速的预制报表。
DS-AD的预制报表能够从多个维度展示数据库的访问模型。报表提供数据钻取,能够对数据对象的访问详情进行更为深入的分析和展示。
DS-AD的所有预制报表均可以采用固定周期的方式自动运行,报表生成后可以自动发送至第三方平台。
业务和敏感数据监控
DS-AD的状态监控模块在的基础功能之外,还提供了针对数据库运行环节的监控和风险评估功能,能够以图形化的方式展示数据库的各项资源使用情况,一目了然。
DS-AD的漏洞扫描模块通过扫描数据库的配置信息,及时评估数据库的安全状况,并根据实际的配置给出改进和优化方案。
DS-AD还具备敏感数据识别功能,通过内置的敏感数据特征库,能够自动发现敏感数据的存放位置,包括库、表、字段以及敏感类型等信息。通过手工梳理后,可以一键生成专门针对敏感数据的审计策略,方便快捷。
智能翻译与业务数据遮蔽
DS-AD的智能协议解析引擎能够结合业务指纹特征库,对还原出来的SQL语句进行翻译显示,形成和人员操作相关联的业务行为日志。
DS-AD能够针对SQL语句中的不同位置出现的敏感数据内容进行遮蔽,以特殊符号的方式替换关键性的数据内容,在全量审计的场景下保护隐私数据,防止隐私数据被审计日志泄露。
丰富而全面的统计报表
DS-AD依托于全面的协议解析和审计能力,提供了30多种统计报表模板,能够从各个维度对数据库的访问行为进行统计和分析,全方位的展示数据库的访问数量、访问来源、访问途径、操作对象、操作行为、操作结果、影响范围以及风险行为的分布情况。同时提供访问行为周报、月报等详细而全面的报告模板,并结合定时任务的方式自动将月报和周报发送至管理人员邮箱,方便快捷。
产品优势
全新的分布式集群架构
DS-AD对主要模块进行重新设计,开发并实现了适合集群方式部署的模块化、分布式的底层架构。
DS-AD基于新的分布式底层架构,具备了横向扩展的集群化部署能力,可以根据业务规模的持续增长情况进行动态扩容。
DS-AD的主要功能模块均采用了并行处理技术,能够极大的提高单个节点的处理性能,同时通过多个高性能的节点的相互组合、叠加,能够再次提高整个集群的SQL处理能力。
虚拟审计和业务隔离
DS-AD定义的群组可以是一个企业的部门,也可以是一个云上的租户。多个群组的安全审计业务可以由安全管理员进行统一的添加和分配,也可以由各个群组的管理员或者群组下的用户自行配置。
DS-AD的群组之间的安全审计业务相互隔离,不同群组的用户无法看到其他群组的配置和数据。
DS-AD群组内的用户可以看到彼此的配置和数据,但是不可以修改其他用户的安全审计配置;
DS-AD的群组管理员可以查看和修改当前群组内所有用户的配置和数据。
多重能力支撑的弹性扩展
DS-AD分布式审计集群的管理节点通过多重监控手段,实时获取各个解析节点、存储节点的运行状态和资源消耗情况。当节点出现负载过高时,管理节点能够即时感知,并以实时告警信息的形式通知管理人员,由管理人员对各个节点的业务负载情况进行排查。
DS-AD分布式审计集群的解析节点采用自适应的管理方式,新的节点部署后,只需要将流量牵引过来即可,无需额外配置。数据库的业务流量增加时,可以通过增加解析节点的方式提升审计集群的SQL解析能力。
需要存储更多的日志量或者需要日志存储的时间更长时,DS-AD分布式审计集群可以通过增加硬盘的方式扩充存储节点的存储空间。
需要更高的SQL实时入库能力时,DS-AD分布式审计集群能可以通过增加新的存储节点的方式提升审计集群的日志实时存储能力。
Agent集中管理
DS-AD具备软件探针集中管理能力,能够自动部署/卸载软件探针。DS-AD的集中管理模块采用周期性的方式对探针的运行状态进行监测,获取探针自身和宿主机的资源使用情况。当出现探针使用的资源超过阈值时,能够自动停止探针的运行,释放资源给宿主机。当宿主机的资源使用率超过阈值时,探针能够自动关闭,待宿主机的系统资源恢复到正常水平后再次启动。
DS-AD的探针集管采用多通道机制,使控制和数据回传互不影响。同时整个通道均采用SSL加密的方式,防止恶意拦截和篡改探针的管控数据。
DS-AD的探针在回传数据时,采用了高效的数据压缩机制,能够把探针使用宿主机的网络IO资源降到最低水平。
数据库运行状态监控
DS-AD提供以图形化的方式监控数据库运行时的各种状态信息,支持以图表的形式将数据库的运行状态导出,方便制作周报/月报。DS-AD能够展示的主要信息包括:
属性信息
补丁信息
表空间使用率
数据库明细和状态
缓冲区击中率和SGA共享
锁明细
敏感数据专项审计
DS-AD内置了敏感数据分析引擎,能够自动对数据库内的数据进行扫描,发现各类敏感数据的存放位置,针对自动发现的结果可以由人工进行确认和梳理,确认无误后,可以一键生成敏感数据专项审计策略。
DS-AD能够识别中文语义下的多种敏感数据类型,主要有:中文姓名、中文地址、手机号、座机号、身份证号、统一社会信用代码等30余种,基本涵盖了大部分行业的敏感数据分类。
高性能的SQL处理能力
DS-AD采用并行处理技术,结合集群化的部署方式,为大规模数据库集群的全流量审计提供高性能的解决方案,主要技术指标如下:
单节点峰值SQL处理能力:30万条/秒;
单节点实时SQL处理能力:5万条/秒;
10亿级日志场景下,关键字检索,秒级返回;
采用专利技术的压缩存储,单TB磁盘的存储能力可达40-60亿条;
整个集群的数据库流量的峰值处理能力可达10Gbps;
月度级别的统计分析报表的完成时间可达分钟级
典型部署
适用于大规模数据中心的集群部署
适用于小型机房的单机部署
适用于云环境和虚拟化资源池的软件部署
产品价值
多用户/租户共享审计
DS-AD的分布式审计集群部署在云上时,可以通过群组+用户的方式为云上的租户提供专属的数据库安全审计服务。
DS-AD的群组用户依托于分布式审计集群的基础之上,能够在租户无法感知的前提下对集群节点的进行扩容和调整。
灵活多变的部署方式
DS-AD的采用的分布式审计集群架构,为用户提供了灵活多变的部署方案,能够完美适应单机、小型集群、大型化集群、虚拟化集群、云上RDS等数据库各式各样的使用场景。
高性能的数据库安全审计解决方案
DS-AD的解析和存储单节点均采用并行处理技术,能够充分发挥各个节点的计算资源,显著的提升协议解析、策略匹配、日志入库、日志索引等关键环节的SQL处理能力。同时每个节点均支持横向扩展,通过增加节点的方式提升整个审计系统的处理能力。
DS-AD的审计集群为大规模数据库集群提供了可扩展,没有性能瓶颈的安全审计解决方案,能够随着数据库集群的处理能力的提升而提升。
更加全面的审计能力
DS-AD提供的多种获取数据库访问行为的技术手段,真正实现了全场景的数据库访问行为的解决方案,同时针对每一种数据库类型均可以提供最为详细的审计日志内容,真正做到不遗漏的全面审计。
DS-AD能够让各种数据库的各类访问和操作行为做到有迹可循,有据可查。
DS-AD支持对加密流量的审计。
DS-AD支持通过SSH登录数据库服务器所在操作系统后,调用本地工具的操作审计。
满足合规性要求
DS-AD提供的全记录方式的审计策略,结合专利技术的压缩存储方案,能够有效降低审计日志和各类行为特征的存储开销,单T磁盘即可轻松存储6-12个月的审计日志,满足等保合规性检查要求。
1.5 数据库访问量分析
基于全面、全量的审计方案,DS-AD能够对数据库的访问情况进行全面的统计和分析,让数据库的运行和使用情况一目了然。
DS-AD的统计报表结合数据下钻技术,能够对突发的高访问量进行概要分析和深度钻取,找到触发数据库资源使用异常的关键事件,为后续优化提供数据支撑。
监控异常访问和攻击
DS-AD提供针对各个数据库类型的异常访问行为特征库,能够识别各类针对核心数据资产的破坏性的行为,包括暴力破解、脱库、撞库,批量篡改数据、批量删除数据等多种操作,及时发现来自于内部人员的越权和异常操作。
DS-AD提供针对各个数据库类型的SQL攻击和缓冲区溢出漏洞库,能够识别各类针对数据库的SQL注入和破坏行为,及时发现来自于外部的各种攻击和渗透。
即时预警和回溯
DS-AD提供多种告警日志外发接口,能够第一时间将告警日志推送至第三方的安全平台,实现发现即预警。
DS-AD提供丰富的检索条件,能够针对各类异常访问事件进行高效的关键字检索,在存储亿级日志的情况下,秒级返回查询结果。
DS-AD能够针对各类危害行为发生时进行快速溯源和取证,对相关人员进行追责。
