【IT168 评测】随着企业业务的发展及IT技术的进步,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要,关系到企业兴衰成败甚至社会的稳定。
近年来,数据库被攻击和数据窃取事件层出不穷:CNN财经网报导的4000 万信用卡信息被黑客窃取,导致严重的经济问题和社会问题;国内也出现几次电信运营商数据库服务器被攻击,给企业带来了经济和声誉上的损失等等。越来越多的大型企业意识到了数据库行为审计的重要性,现在采用独立的数据库审计产品已经成为业界的趋势。
大部分企业在数据中心的数据库服务器中存储公司的核心数据信息,数据库的安全和审计就显得尤为重要。通常数据库管理主要面临以下挑战:
管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等。离职员工的后门,致使安全事件发生时,无法追溯并定位真实的操作者。
技术风险:数据库是一个庞大而复杂的系统,安全漏洞如溢出、注入层出不穷,每一次的 CPU(Critical Patch Update)都疲于奔命,而出于稳定性考虑,往往对补丁的跟进非常延后,更何况通过应用层的注入攻击使得数据库处于一个无辜受害的状态。目前的现实状况是很难通过外部的任何网络层安全设备(比如:防火墙、IDS、 IPS 等)来阻止应用层攻击的威胁。
审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如: 数据库审计功能的开启会影响数据库本身的性能、这一点在大型的数据库用户最能表现;数据库日志文件本身存在被篡改的风险、自己的日志审计也难以体现审计信息的有效性和权威性。
通过上述的分析,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,对数据库的内容进行有效地审计,已经成为企业数据库安全管理与审计的当务之急。
针对以上这些问题,我们选择了在安全产品及解决方案方面有着较高声誉的厂商启明星辰出品的,符合数据库安全及审计需求特点的、性价比较高的安全审计产品—天玥网络安全审计系统(硬件+软件),并配合天镜脆弱性扫描与管理系统(软件),通过实际环境的测试,来展示在数据库(Oracle数据库)安全、审计等方面为企业带来的益处。
本方将通过以下几个步骤来进行:
一、天玥产品解决方案架构设计及评测环境介绍
二、产品基本配置及管理方式
三、数据库安全及审计测试目标
四、主要功能测试示例及介绍
1、产品自身安全及分角色管理
2、数据库操作全面、实时审计(命令级别)
3、高风险操作行为警报
4、数据库安全漏洞评估
5、事后调查取证
6、多种组合查询、回放及报表输出
7、三层关联功能
8、等重要功能介绍
五、测试总结
一、天玥解决方案架构设计及评测环境
1、 产品特性
天玥网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,从而,加强内外部网络行为监管,保障核心资产(数据库、服务器、网络设备等)的正常运营。
天玥系统能够审计各类业务网络中的协议,包括:数据库类协议(Oracle、Informix、DB2、DB2-DAS、Microsoft SQL Server、Sybase、MySQL、PostgreSQL、Teradata、Cache,Sybase),运营维护类协议(SSH、Telnet、Rlogin、X11),文件操作类协议(SCP、SFTP、FTP、NFS、SunRPC/PCNFSD、Windows网上邻居),互联网类协议(HTTP 、SMTP、POP3),以及其他一些协议类型(Windows远程桌面、Radius、自定义协议)。
而天镜脆弱性扫描与管理系统是启明星辰自主研发的基于网络的脆弱性分析、评估和综合管理系统,根据“发现-扫描-定性-修复-审核” 弱点全面评估法则,能够快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在弱点全面评估的基础上实现安全自主掌控。
在本次测试中,将以天玥安全审计产品为主,天镜产品为辅进行对Oracle数据库安全审计及漏洞扫描评估等。
2、解决方案架构
天玥网络安全审计系统采用审计数据中心、审计引擎分布部署,审计数据中心支持一对一或一对多的方式与审计引擎进行连接。
审计数据中心连接在交换机的普通端口,负责审计数据的存储和提供管理入口;而审计引擎有两种监听方式:其一,采用旁路监听方式,连接在交换机的镜像端口,负责对镜像流量进行分析;其二,可以串接在数据库服务器前端,对所有流向数据库的网络流量进行截取及分析。一般情况下,企业偏向于第一种方式,对网络性能的影响最小,还不影响业务系统的连续性。
值得注意的是,如果被审计的业务对象环境中的交换机启用了Trunk功能(如服务器虚拟化环境),也是会受到天玥解决方案的支持的。
管理员可以在网络中任何一台PC上通过浏览器对系统进行管理,系统提供审计策略管理、事件查询、报告等功能。
下两图均来自官方:图一是单级部署方式,适合于中小企业,网络架构不复杂,且业务数据库量相对较少的环境;图二是多级分布式部署,适合于大型企业,或者网络架构复杂,安全审计业务需求类型较多的环境,同时,对于审计业务对象分布在全国各地的企业来说,通过互联网(VPN)实现总部到分支的一对多的分布式部署方式亦能支持。
▲图示 天玥产品单级部署解决方案
▲图示 天玥产品分布式部署解决方案
3、评测环境介绍
本次的评测环境为某大学的一个小型数据中心机房,中心内部署有多台oracle、mysql数据库。有一台三层核心交换机,具备端口镜像及VLAN功能。
采用旁路接入的单级部署方式,两台设备,审计数据中心及审计引擎。审计数据中心为管理及审计日志存储端,而审计引擎则连接到三层交换机的镜像口及普通端口。而oracle数据库服务器是通过一台windows server 2003机器上安装sql plus客户端进行管理的。sql plus客户端所连接交换机端口流量镜像到镜像口,同时,天镜脆弱性扫描与管理系统安装部署在此台机器上。