企业数据安全：运营商数据库防御与审计解决方案(1)

1 概述

互联网的急速发展使得运营商的数据库信息价值及可访问性得到了提升，同时，也致使数据库信息资产面临以下三个层面的挑战：

■ 管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

■ 技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息。

■ 审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,难于体现审计信息的真实性。

数据库防御与审计的目的就是规避上述三个层面的安全风险，确保数据库信息的完整性、审计记录的真实性及攻击防范的及时有效性。为了达到数据完整性的目标，要求数据库防御与审计系统能够100%的捕捉数据访问、自动追踪数据库配置变化;同样，为了保持审计记录的真实性，需要对审计记录的存储与管理独立于被审计的数据库本身，而实时有效的防范，则需要依靠灵活的安全策略去实现。

依靠传统的网络防火墙及入侵保护系统(IPS)，在网络中检查并实施数据库访问控制策略的安全解决方案因无法实现对特定用户数据库操作的识别，无法实现细粒度的操作审计，致使其在面对运营商切实的数据库权限滥用等安全问题时束手无策。而开启数据库软件自身的审计功能，一方面会大大影响数据库系统的性能，另一方面也无法保证审计信息的真实性。

为了解决运营商数据库安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求，亚龙(安恒)与浙江鸿程共同研制并成功推出了全球领先的、面向运营商核心数据库的、集“全方位的风险评估、多视角的访问控制、深层次的审计报告”于一体的数据库防御与审计设备，即明御数据库防御与审计系统(简称：DAS-DBAuditor)，为运营商核心数据库提供全方位安全防护。

在运营商业务支撑网络中部署了DAS-DBAuditor，可以实现运营商核心数据库的“系统运行可视化、日常操作可跟踪、安全事件可鉴定”目标，解决运营商数据库所面临的管理层面、技术层面、审计层面的三大风险,以满足运营商的不断增长的业务需要。

2 方案概述

2.1 功能介绍

如下图所示，DAS-DBAuditor主要的功能模块包括“自动化风险评估、动态建模、实时监控与防御、全方位审计分析、配置管理及综合查询、SOX审计”几个部分。

■ 自动化风险评估：

DAS-DBAuditor依托其权威性的数据库风险规则库，自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等全方位的扫描，最终形成严谨的评估报告及加固建议。通过自动化的风险评估，可以为后续的安全策略设置提供有力的依据。

■ 动态平衡建模：

DAS-DBAuditor通过智能自学习引擎，完成对数据库正向安全模型的自动创建，动态建模弥补了手工创建及维护安全规则的最大不足。

■ 实时监控与防御：

DAS-DBAuditor依赖智能自学习创建的正向安全模型，可防止数据库受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时，DAS-DBAuditor会自动根据预设置的访问控制策略进行第一道防护、继而通过对数据库活动的实时监控，进行特征检测及异常检测。任何尝试的攻击都会被检测到并实时阻断或告警。