1 概述

互聯(lián)網(wǎng)的急速發(fā)展使得運(yùn)營(yíng)商的數(shù)據(jù)庫(kù)信息價(jià)值及可訪問性得到了提升，同時(shí)，也致使數(shù)據(jù)庫(kù)信息資產(chǎn)面臨以下三個(gè)層面的挑戰(zhàn)：

■ 管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無法追溯并定位真實(shí)的操作者。

■ 技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫(kù)內(nèi)部操作不明，無法通過外部的任何安全工具來阻止內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機(jī)密信息。

■ 審計(jì)層面：現(xiàn)有的依賴于數(shù)據(jù)庫(kù)日志文件的審計(jì)方法，存在諸多的弊端,難于體現(xiàn)審計(jì)信息的真實(shí)性。

數(shù)據(jù)庫(kù)防御與審計(jì)的目的就是規(guī)避上述三個(gè)層面的安全風(fēng)險(xiǎn)，確保數(shù)據(jù)庫(kù)信息的完整性、審計(jì)記錄的真實(shí)性及攻擊防范的及時(shí)有效性。為了達(dá)到數(shù)據(jù)完整性的目標(biāo)，要求數(shù)據(jù)庫(kù)防御與審計(jì)系統(tǒng)能夠100%的捕捉數(shù)據(jù)訪問、自動(dòng)追蹤數(shù)據(jù)庫(kù)配置變化;同樣，為了保持審計(jì)記錄的真實(shí)性，需要對(duì)審計(jì)記錄的存儲(chǔ)與管理獨(dú)立于被審計(jì)的數(shù)據(jù)庫(kù)本身，而實(shí)時(shí)有效的防范，則需要依靠靈活的安全策略去實(shí)現(xiàn)。

依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)(IPS)，在網(wǎng)絡(luò)中檢查并實(shí)施數(shù)據(jù)庫(kù)訪問控制策略的安全解決方案因無法實(shí)現(xiàn)對(duì)特定用戶數(shù)據(jù)庫(kù)操作的識(shí)別，無法實(shí)現(xiàn)細(xì)粒度的操作審計(jì)，致使其在面對(duì)運(yùn)營(yíng)商切實(shí)的數(shù)據(jù)庫(kù)權(quán)限濫用等安全問題時(shí)束手無策。而開啟數(shù)據(jù)庫(kù)軟件自身的審計(jì)功能，一方面會(huì)大大影響數(shù)據(jù)庫(kù)系統(tǒng)的性能，另一方面也無法保證審計(jì)信息的真實(shí)性。

為了解決運(yùn)營(yíng)商數(shù)據(jù)庫(kù)安全領(lǐng)域的深層次、應(yīng)用及業(yè)務(wù)邏輯層面的安全問題及審計(jì)需求，亞龍(安恒)與浙江鴻程共同研制并成功推出了全球領(lǐng)先的、面向運(yùn)營(yíng)商核心數(shù)據(jù)庫(kù)的、集“全方位的風(fēng)險(xiǎn)評(píng)估、多視角的訪問控制、深層次的審計(jì)報(bào)告”于一體的數(shù)據(jù)庫(kù)防御與審計(jì)設(shè)備，即明御數(shù)據(jù)庫(kù)防御與審計(jì)系統(tǒng)(簡(jiǎn)稱：DAS-DBAuditor)，為運(yùn)營(yíng)商核心數(shù)據(jù)庫(kù)提供全方位安全防護(hù)。

在運(yùn)營(yíng)商業(yè)務(wù)支撐網(wǎng)絡(luò)中部署了DAS-DBAuditor，可以實(shí)現(xiàn)運(yùn)營(yíng)商核心數(shù)據(jù)庫(kù)的“系統(tǒng)運(yùn)行可視化、日常操作可跟蹤、安全事件可鑒定”目標(biāo)，解決運(yùn)營(yíng)商數(shù)據(jù)庫(kù)所面臨的管理層面、技術(shù)層面、審計(jì)層面的三大風(fēng)險(xiǎn),以滿足運(yùn)營(yíng)商的不斷增長(zhǎng)的業(yè)務(wù)需要。

2 方案概述

2.1 功能介紹

如下圖所示，DAS-DBAuditor主要的功能模塊包括“自動(dòng)化風(fēng)險(xiǎn)評(píng)估、動(dòng)態(tài)建模、實(shí)時(shí)監(jiān)控與防御、全方位審計(jì)分析、配置管理及綜合查詢、SOX審計(jì)”幾個(gè)部分。

■ 自動(dòng)化風(fēng)險(xiǎn)評(píng)估：

DAS-DBAuditor依托其權(quán)威性的數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)規(guī)則庫(kù)，自動(dòng)完成對(duì)幾百種不當(dāng)?shù)臄?shù)據(jù)庫(kù)不安全配置、潛在弱點(diǎn)、數(shù)據(jù)庫(kù)用戶弱口令、數(shù)據(jù)庫(kù)軟件補(bǔ)丁、數(shù)據(jù)庫(kù)潛藏木馬等等全方位的掃描，最終形成嚴(yán)謹(jǐn)?shù)脑u(píng)估報(bào)告及加固建議。通過自動(dòng)化的風(fēng)險(xiǎn)評(píng)估，可以為后續(xù)的安全策略設(shè)置提供有力的依據(jù)。

■ 動(dòng)態(tài)平衡建模：

DAS-DBAuditor通過智能自學(xué)習(xí)引擎，完成對(duì)數(shù)據(jù)庫(kù)正向安全模型的自動(dòng)創(chuàng)建，動(dòng)態(tài)建模彌補(bǔ)了手工創(chuàng)建及維護(hù)安全規(guī)則的最大不足。

■ 實(shí)時(shí)監(jiān)控與防御：

DAS-DBAuditor依賴智能自學(xué)習(xí)創(chuàng)建的正向安全模型，可防止數(shù)據(jù)庫(kù)受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等的侵害。當(dāng)用戶與數(shù)據(jù)庫(kù)進(jìn)行交互時(shí)，DAS-DBAuditor會(huì)自動(dòng)根據(jù)預(yù)設(shè)置的訪問控制策略進(jìn)行第一道防護(hù)、繼而通過對(duì)數(shù)據(jù)庫(kù)活動(dòng)的實(shí)時(shí)監(jiān)控，進(jìn)行特征檢測(cè)及異常檢測(cè)。任何嘗試的攻擊都會(huì)被檢測(cè)到并實(shí)時(shí)阻斷或告警。