1 概述

互聯(lián)網(wǎng)的急速發(fā)展使得運營商的數(shù)據(jù)庫信息價值及可訪問性得到了提升，同時，也致使數(shù)據(jù)庫信息資產(chǎn)面臨以下三個層面的挑戰(zhàn)：

■ 管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時，無法追溯并定位真實的操作者。

■ 技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任何安全工具來阻止內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機(jī)密信息。

■ 審計層面：現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計方法，存在諸多的弊端,難于體現(xiàn)審計信息的真實性。

數(shù)據(jù)庫防御與審計的目的就是規(guī)避上述三個層面的安全風(fēng)險，確保數(shù)據(jù)庫信息的完整性、審計記錄的真實性及攻擊防范的及時有效性。為了達(dá)到數(shù)據(jù)完整性的目標(biāo)，要求數(shù)據(jù)庫防御與審計系統(tǒng)能夠100%的捕捉數(shù)據(jù)訪問、自動追蹤數(shù)據(jù)庫配置變化;同樣，為了保持審計記錄的真實性，需要對審計記錄的存儲與管理獨立于被審計的數(shù)據(jù)庫本身，而實時有效的防范，則需要依靠靈活的安全策略去實現(xiàn)。

依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)(IPS)，在網(wǎng)絡(luò)中檢查并實施數(shù)據(jù)庫訪問控制策略的安全解決方案因無法實現(xiàn)對特定用戶數(shù)據(jù)庫操作的識別，無法實現(xiàn)細(xì)粒度的操作審計，致使其在面對運營商切實的數(shù)據(jù)庫權(quán)限濫用等安全問題時束手無策。而開啟數(shù)據(jù)庫軟件自身的審計功能，一方面會大大影響數(shù)據(jù)庫系統(tǒng)的性能，另一方面也無法保證審計信息的真實性。

為了解決運營商數(shù)據(jù)庫安全領(lǐng)域的深層次、應(yīng)用及業(yè)務(wù)邏輯層面的安全問題及審計需求，亞龍(安恒)與浙江鴻程共同研制并成功推出了全球領(lǐng)先的、面向運營商核心數(shù)據(jù)庫的、集“全方位的風(fēng)險評估、多視角的訪問控制、深層次的審計報告”于一體的數(shù)據(jù)庫防御與審計設(shè)備，即明御數(shù)據(jù)庫防御與審計系統(tǒng)(簡稱：DAS-DBAuditor)，為運營商核心數(shù)據(jù)庫提供全方位安全防護(hù)。

在運營商業(yè)務(wù)支撐網(wǎng)絡(luò)中部署了DAS-DBAuditor，可以實現(xiàn)運營商核心數(shù)據(jù)庫的“系統(tǒng)運行可視化、日常操作可跟蹤、安全事件可鑒定”目標(biāo)，解決運營商數(shù)據(jù)庫所面臨的管理層面、技術(shù)層面、審計層面的三大風(fēng)險,以滿足運營商的不斷增長的業(yè)務(wù)需要。

2 方案概述

2.1 功能介紹

如下圖所示，DAS-DBAuditor主要的功能模塊包括“自動化風(fēng)險評估、動態(tài)建模、實時監(jiān)控與防御、全方位審計分析、配置管理及綜合查詢、SOX審計”幾個部分。

■ 自動化風(fēng)險評估：

DAS-DBAuditor依托其權(quán)威性的數(shù)據(jù)庫風(fēng)險規(guī)則庫，自動完成對幾百種不當(dāng)?shù)臄?shù)據(jù)庫不安全配置、潛在弱點、數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補丁、數(shù)據(jù)庫潛藏木馬等等全方位的掃描，最終形成嚴(yán)謹(jǐn)?shù)脑u估報告及加固建議。通過自動化的風(fēng)險評估，可以為后續(xù)的安全策略設(shè)置提供有力的依據(jù)。

■ 動態(tài)平衡建模：

DAS-DBAuditor通過智能自學(xué)習(xí)引擎，完成對數(shù)據(jù)庫正向安全模型的自動創(chuàng)建，動態(tài)建模彌補了手工創(chuàng)建及維護(hù)安全規(guī)則的最大不足。

■ 實時監(jiān)控與防御：

DAS-DBAuditor依賴智能自學(xué)習(xí)創(chuàng)建的正向安全模型，可防止數(shù)據(jù)庫受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等的侵害。當(dāng)用戶與數(shù)據(jù)庫進(jìn)行交互時，DAS-DBAuditor會自動根據(jù)預(yù)設(shè)置的訪問控制策略進(jìn)行第一道防護(hù)、繼而通過對數(shù)據(jù)庫活動的實時監(jiān)控，進(jìn)行特征檢測及異常檢測。任何嘗試的攻擊都會被檢測到并實時阻斷或告警。