锐捷网络RG-DBS系列数据库安全审计系统,是锐捷网络推出的以精确完整审计、定位到人为核心技术,并能够对数据库进行优化的数据库安全审计系统。通过对网络中的数据库操作的精准判断,结合政策规定的自定义过滤,输出准确、详细的审计日志,达到who、when、where、what的4W精准审计。中间件是数据库普遍应用的,RG-DBS系列在有中间件的环境下仍然做到精准定位到人。
数据库常遇到运行缓慢、死锁的问题,RG-DBS系列通过对SQL语句的延时分析,帮助优化数据库,从根本上解决问题。RG-DBS系列全面精准的审计,定位到人保证数据可读、有效,数据库优化帮助解决数据库根本问题,为用户构建了网络数据全透明的安全网络。
产品特性
灵活的网络接入模式
系统具有灵活的接入、多样的部署方式,具备各类网络环境的适应能力。
支持端口镜像方式和TAP方式的部署。
支持多点集中管理的方式部署。
支持多级集中管理的方式部署。
支持多路负载分担的方式部署。
适用于各类网络环境,不影响用户现有网络环境状态,实现灵活的接入。
完整的全审计
采用的正向模式解析技术充分利用对TCP/IP协议的逐层解码,快速确定SQL语句在网络数据包中的位置,避免从网络数据包的数据段中搜索SQL语句关键字的过程,极大地提高了效率。
正向模式解析采用的基于独特的TCP流重组的技术能够实现复杂会话内容(如超长SQL语句)的审计记录和维护状态链表的动态更新。
支持对MSSQL、DB2、Sybase、MySQL、Oracle等主流数据库协议和私有协议(如TNS)的解析。通过完整的协议解析系统能够全部还原数据库所有的操作内容。
数据库安全审计系统采用了数据库绑定变量技术,实现跨多个包或者跨语句的审计。
采用绑定变量交叉关联技术通过系统中数据库类型识别定位模块、SQL语句定位及变量提取模块、变量赋值提取模块的流程处理对数据库操作过程中使用绑定变量的SQL语句进行变量提取、赋值及深入审计。克服了数据库绑定变量的SQL语句审计的准确性问题。
精确定位到人,追踪溯源
通过与锐捷SMP系统的数据接口对接,实现精确定位联动。SMP由自身RADIUS认证服务进行用户认证管理,数据库安全审计系统从SMP中获取用户名、IP、MAC、用户上线和下线等信息。系统同时具有与AD、LDAP和RADIUS服务器等系统进行联动的接口配置。
追踪已建立连接的TCP会话链接,通过对会话标识符分析,区分不同的会话过程,对每个会话过程记录状态,从登录包中取得用户名和数据库名,同时记入会话信息中。后续会话过程会把已获取的用户名和数据库名填入审计记录中,通过对会话状态链接表的维护实现精确定位到具体操作用户。
采用中间件关联审计技术,在应用服务器中有对应于每个客户端的线程或标记来区别来自于不同浏览器或不同会话的请求,通过前端浏览器与WEB服务器之间的http通讯协议进行分析,根据对URL、时间片、以及一些关键信息进行分析,然后再与后端的数据库操作进行关联来实现,浏览器URL地址的访问操作能够根据时间、命令内容参数等要素进行信息筛选,同时提取到用户账号口令等信息,以确定谁做的访问及操作请求,发现最终用户的真实身份。
细粒度的审计层次
基于会话的审计,将一次数据库访问的全部数据包采集完整后,再提取分析相关的SQL语句。
基于操作的审计,实时检测每次执行的SQL语句,精确识别解析每一条SQL语句的提交与执行,实时性好,可以在第一时间审计到新的数据库操作。
完整记录超长、跨包等复杂的SQL语句 ,实时检测数据库操作。
数据库的优化和防护
系统采用边缘追踪技术,遍历数据库中执行的SQL语句,及时发现、预警占用过多系统资源和使用被死锁资源的SQL语句,并准确定位死锁事件。
系统通过最大延时、平均延时、性能影响等多维度监测技术,对可能引起数据库的异常行为进行预警和追踪。
审计数据库返回错误代码有助于管理者及时了解数据库运行情况,可以对重要的可能引起数据库崩溃的代码进行及时响应和处理。
通过对数据库每条语句跨表的数量和对表中影响行数的统计分析,对可能引发数据库性能问题的操作进行预警和追踪。
系统内置数百种安全规则库,自动根据预设置策略针对诸如SQL注入、已知数据库漏洞、口令猜解、缓冲区溢出等违规行为实时监测、预警。
系统提供权限预警机制,实时监控数据库的所有操作。针对最高权限滥用、误操作、恶意操作等行为进行告警和定位。
完备的自身安全性
三权分立:通过设定系统管理员、用户管理员、系统审计员并赋予相应权限以达到完整的三权分立。
安全密码:通过要求密码设定为字符、数字、符号的组合增强密码安全强度。
资源监控:通过实时采集系统探针的状态,系统CPU、内存、磁盘的资源使用状况进行监测统计,在系统管理界面直观展示,随时了解系统资源使用状况。
磁盘预警:系统采用磁盘预警机制,通过对磁盘预警功能进行配置,设定磁盘空间预警阀值,当达到阀值通过设定的邮件地址进行邮件报警,同时设定保护阀值,当磁盘空间达到保护阀值,可以选择采取删除或备份等方式处理历史审计数据,避免造成审计数据的丢失。
转储备份:通过连接设置数据备份服务器,配置转储备份策略,选择备份周期等要素,定期自动备份审计数据,保证审计数据的完整备份保存。
应用场景
RG-DBS数据库安全审计系统是锐捷网络自主研发的基于网络的数据库安全审计系统,主要面向大型网络中数据服务中心的数据库安全审计需求,保障信息系统中核心数据得到规范存储、规范管理的信息安全审计产品。它通过完整记录数据库操作的SQL语句实现数据库增、删、改、查甚至特权操作等规范性检查。系统部署于网络中数据库服务器群的关键位置,实时监控对数据库发起的各种数据报文及网络行为,其动态的安全响应体系与立体的规范性检查等静态的风险分析体系形成完善的信息系统核心数据保障体系。
小型网络集中审计应用
图1
应用特点:
通过基于端口镜像方式和TAP方式,实现对数据库系统集中安全的监控审计。在不改变现有用户网络环境的前提下,部署快捷安全,有效保护用户的投资,全面满足中小型网络集中审计需求。
大中型网络分体审计应用
图2
应用特点:
针对大中型网络拥有多个关键网段的情况,部署于多个关键网段,实现对数据库系统访问操作的全面监测审计,数据库安全审计探针设备通过审计管理中心集中管理,便于审计信息收集分析。
跨域网络分级审计应用
图3
应用特点:
针对跨域的多级广域网环境,通过在每一级网络中部署数据库安全审计系统,实现分级审计,同时通过一级审计管理中心,实现对二、三级数据库安全审计系统的集中统一管理,上级统一配置下发审计策略,下级上传审计信息到一级中心进行集中审计,保证总部和各分支机构的安全策略的统一性。
