深信服DAS-1000-A620数据库审计

   告别数据裸奔 拥抱数据安全 

                       --------深信服数据库安全审计

产品概述

深信服数据库安全审计系统DAS（ Database security Audit System ）是深信服对用户数据安全新方向的不断探索，创新地将数据安全防护与大数据分析相结合，它能为用户提供完整的数据库审计分析、轨迹分析、数据库访问关系可视、数据库攻击威胁分析。

Part1数据资产目前面临着什么样的挑战？

➢内部人员缺乏关注

  1、针对内部危险行为无法做到面面俱到的跟踪分析

  2、数据安全的意识薄弱存在缺少对数据中心的加固

  3、各种途径缺少从源头上做到有效的管制

➢数据的流动不可视

  1、内部业务间的交互可能将数据库暴露在互联网出口

  2、内部数据流动不可视让内部员工变得有机可乘

  3、内部数据流动不可视让的潜伏变得更具隐秘性

➢数据难以发现

  1、独立工作的安全组件容易忽略整个网络的通路

  2、缺乏深度分析的工具无法迅速定位风险和轨迹

  3、人工难以对数据窃取操作进行精准定位和实时预警

➢账户权限管控缺失

  1、内部人员拥有高权限数据库账户有潜在的风险

  2、通过违规提权有潜在的嫌疑访问和删除重要的资料

Part2威胁不仅仅只潜伏在数据中心

通过国家数据统计，大部分的数据窃取威胁都来自于互联网的攻击，巩固防火墙及互联网出口并不能阻止的入侵，由此可见数据库威胁是遍布于整个网络的。

目前大部分网络安全设施都是以单个安全组件的形式部署在整个网络中，它们都是独立的工作，但是独立工作的安全组件无法兼顾于整个网络的威胁。

Part3深信服如何克服这些挑战和威胁？

整体方案：

访问可视

传统的数据库安全审计系统不能有效直观的看到整个网络中除了正常的数据库访问之外还潜伏着的异常数据库访问，深信服数据库安全审计系统通过与深信服行为感知平台BA（Behavior Awareness System）联动可以帮助用户直观的展示内网数据的流动、风险以及数据库访问关系。 

外发

从已发的用户事件来分析，内部员工通过互联网工具也是目前的主流原因之一，传统的数据库安全审计系统大部分都是通过部署在数据中心的审计设备单方面做事后追溯分析及策略管控，深信服数据库安全审计系统通过与上网行为管理(AC)和行为感知平台(BA)联动实现拦截以及还原真实的轨迹，帮助用户进行精准定位和实时拦截。

数据窃取

大部分攻击都是通过弱特征方式绕过互联网出口边界设备并且在网络中搭建一个数据通路的纽带来入侵并潜伏于内网服务器实现数据窃取，深信服数据库安全审计系统通过与深信服下一代防火墙联动，可以分别从防火墙（NGAF）和数据库审计系统（DAS）同时捕获到同样弱特征的Webshell窃取行为，通过捕获单边的弱特征分析转为强特征方式从源头上联动Webshell攻击。 

方案价值：

一、审计、合规需求

  简易化部署

单机部署

深信服DAS设备在网络中以旁路方式部署，一体化提供策略配置、日志采集、查询报表等功能；适用于仅需要在一个采集点上进行数据采集的场景。

多机部署

深信服采集器和管理器均以旁路部署，适用于将多个采集点数据汇聚到一个管理器的场景

采集器：以旁路的方式部署在各个业务主机（或业务系统）的核心交换机上，主要负责日志采集并上报到管理器。

  管理器：与多台采集器并行通讯，提供策略统一管理并下发的采集器；同时汇总采集器上

  报的日志并提供查询、报表统计功能。

  不漏审保障

DPDK技术框架

1）应用层接管内核技术保障宕机

2）专用CPU机制保障收发数据不丢包

SQL模式串抽取

1）SQL串模式抽取保障磁盘IO性能

2）分离式存储保障数据审计速度快

可靠性及灾备：

1）支持各种IT基础设备，如：大型集群

2）支持同步数据到外部，如：外部备份

3）支持数据外部存储  ， 如： 磁盘柜

4）支持原始数据灾备保障， 如： 事物重做

完整、精细化审计

5W1H审计标准

支持业务系统和web服务器以及DB的要素全面审计， 如：

Who——应用用户、数据库用户、主机名称、操作系统帐号等；

What——访问了什么对象数据，执行了什么操作；

When——每个事件发生的具体时间；

Where——事件的来源和目的，包括IP地址、MAC地址等；

How——通过哪些应用程序或第三方工具进行的操作；

Range——该操作执行的影响范围，如查询、修改或删除的记录行数；

ResultSet——返回结果集，如查询操作的返回内容，这将是审计人员进行线索追踪分析的有力取证材料。

语义语法全面解析：

  1）支持长度大于5M的SQL语句审计

2）支持针对SQL语句的变量绑定

3）支持参数化并自动生成SQL模板

多种DB的同时审计：

1）支持mysql oracle、SQL server、DB2、Informix、postgresql 、sysbase、达梦、人大金

仓同时审计

  2）支持自适配数据库格式编码保障DB的兼容性

IT基础设施全适配：

1）全面支持：物理网络 、虚拟化、公有云、私有云、混合云、agent部署。

数据库双向审计：

1）支持业务系统以及web服务器、DB系统的双向审计，如：数据库与业务系统的会话交互response、request。

  审计全面、易使用

日志秒级查询

自主研发的查询引擎、存储数据库Iterate DB基于业务的列式存储，查询性能大幅度提升。达到秒级出结果，保证用户查询的核心述求。

审计条件面

支持细粒度的条件查询，例如：源IP客户端程序、操作类型、数据库名称、表名、响应时间、返回行数、影响行数、响应内容、触发时间。

多维度分析统计

支持审计结果多维度分析，包括SQL吞吐量

操作类型吞吐、数据库业务、业务主机、SQL响应性能等并提供针对SQL模板的下钻分析

web三层关联

通过同时开启DB审计和web审计、同时镜像DB流量和web端流量实现还原SQL操作真实的访问者。

自定义拖拽报表

支持可拖拽式的报表订阅功能，用户可以灵活选择组装需要的报表进行订阅，灵活的条件、自由的拖拽，让用户拥有个性化的订阅报表。

多种告警方式

支持Syslog、SNMP trap、邮件，短信多种方式告警。且提供灵活的配置告警对象，可根据不同的告警需求选择合适的告警对象。

二、数据库威胁分析

  风险监测

动态呈现内部数据库存在的风险情况，帮助用户及时发现内网数据安全隐患。

  安全组件联动分析

通过定时全面的关联分析受攻击业务系统防止木马以及webshell入侵，支持与下一代防火墙、上网行为管理强强联合，及时发现外部或内部用户窃取数据。

  灵活的管控策略

可以提供针对SQL语句、操作数据量、数据表等的灵活策略，满足各类安全需求。

三、数据库访问可视

  全面的可视化机制

完整呈现各类角色对数据库的访问和使用，高亮显示业务系统、运维人员、客户端高危和恶意操作。

  通路完整回溯

通过采集数据的流动，回溯事件的整体过程，图形化呈现通路帮助事后快速追溯。

数据破坏及时感知

及时发现潜在的木马或人工蓄意破坏内部数据机密造成数据丢失或带来直接利益的损失。

四、数据库特权管控

  命令级SQL语句管控

深部署工作模式，数据库审计产品可以旁路镜像模式部署，不影响数据库性能和网络架构；同时支持集中管理，可集中管理多台审计设备审计事件的存储、分析，实现统一配置、统一报表、统一查询。

功能级权限管控策略

1）监控用户的数据库权限违规记录并报警高危操作(用户提权、恶意删除)

2）支持自学习防爆库规则帮助巩固内网数据库账号安全，防止通过爆库、撞库破解账户

应用场景：

精细化报表满足行业合规性 (行业化审计)

深信服数据库安全审计系统内置大量的分析报表，支持国内外主流的数据库审计系统，可以帮助用户满足等保合规建设。

清晰呈现数据库访问关系（数据中心内网分析）

深信服数据库安全审计系统通过交互式分析视图可以直观的展示网络中正常和异常的访问，帮助用户及时察觉数据库暴露在互联网的风险和威胁。

监测数据库威胁分析（数据中心攻击分析）

深信服数据库安全审计系统可以捕获和收集特征的方式实现数据库威胁监测，通过深度分析实时定位网络中存在的风险，联动互联网出口边界设备从源头上阻断威胁。

细粒度数据库权限管控策略 (旁路部署支持阻断)

深信服数据库安全审计系统具备有效规划、分配、管理用户对数据库账户的使用，通过内置灵活的数据库规则轻松实现旁路发rest包方式阻断越权、篡改和高危操作、数据库访问控制。

Part4竖立在数据库审计行业的深信服

➢教育行业客户

●福建省医科大学

●青海省交通学校

●桂林电子科技大学

➢政府行业客户

●合肥市人民政府政务服务中心

●河北省交通管理局

●珠海

➢医疗行业客户

●四川省成都市青白江区卫生和计划生育局

●济南市第二人民医院

●上海市徐汇区中心医院

➢大客户客户

福建农商行

福建省联通