数据安全-数据监控和审计系统.ppt

《数据安全-数据监控和审计系统.ppt》由会员分享，可在线阅读，更多相关《数据安全-数据监控和审计系统.ppt（66页珍藏版）》请在三一办公上搜索。

1、数据安全数据监控和审计系统,2,内容提要,当前数据安全状况分析；数据库审计产品情况.数据保护与审计相关知识,3,数据安全认识误区,误区1：有了防火墙系统就是安全的：事实：40的Internet被入侵案例，系统都配备了防火墙。误区2：黑客导致大部分的安全隐患：事实：80的数据丢失都是由内部造成的，尤其是拥有高权限的系统管理和维护人员；误区3：数据安全是一个技术问题：事实：安全不仅仅是一个技术问题，也是一个管理问题，先进的安全技术需要配合严格的管理制度，才能更加安全。,4,2009年数据库泄漏数据情况,Data Breach统计：从数据库泄漏的数据达75%数据违规增加,5,对数据资产安全认识,缺乏

2、对数据资源价值的认识：数据=信息=价值；数据的泄漏或泄密导致资产的损失数据的泄漏不像银行金库那样立即看到损失(病毒或攻击看得到；数据被拷贝几百次没有少!)对信息安全的投资扭曲：大量的安全开销只注重投入到两个领域：网络外围（例如，防火墙、网关过滤设备等）；尽管这些工具在保护设备和基础架构方面很有效，在保护数据本身方面却几乎无能为力。结果是：敏感数据还是存在风险；,6,人为因素导致数据被窃,高权限用户的错误操作，删除或损坏了关键的业务数据系统维护人员或高权限的超级用户，私自在后台查看、窃取、甚至恶意破坏业务数据内部人员违规修改业务数据业务人员越权访问数据和应用维护人员把整个数据库中的数据备份带走典

3、型事件：2007年10月18日英国皇家海关及税务总署保存的两张电脑光盘丢失，其存有大约2500万份个人资料。,7,国内数据安全常被忽视,数据中心管理不规范：多数人员具有DBA权限；外包或开发商长期拥有数据库系统的高权限(如DROP)内部数据库管理人员或DBA权限混乱(出现事故后难以追查)；防范内部威胁重视不够：大部分的数据泄漏或威胁长时间未被发现备份到磁带的数据没有加密-容易被带走和恢复没有对内部人员或DBA进行必要的监控；,8,数据库活动审计与监控的迫切性,信息安全的全方位：信息安全(数据保护)不仅仅是备份恢复；信息安全是整个数据生命期的预防、监控、审计、及事件追踪等系列活动；数据保护=遵循

4、法规+权限分离+审计监控技术。法规遵循与管理的落实：信任但要验证；权限的独立性；技术的实现：外部监控与审计内部的活动的审计审计数据的管理,9,内容提要,当前数据安全状况分析；数据库审计产品情况.,10,0.Oracle系统安全与审计,Oracle 10g：一般审计：DML审计、使用资源审计、系统权限审计；FGA：对表、视图列或行的控制审计；触发方法审计；不足：不能防止DBA查询其他用户的表。Oracle 11g：一般审计：DML审计、使用资源审计、系统权限审计；FGA：对表、视图列或行的控制审计；触发方法审计；可防止DBA查询其他用户的表。,11,0.Oracle系统安全与审计,Oracle

5、Audit Vault 产品：与11g版本一起推出，是Oracle database Vault的一部分；Audit Vault 可在9i/10g/11g 版本上运行；。,12,0.Oracle系统安全与审计,Oracle Audit Vault 启用与CPU占用率(CPU Overhead)：下面是Oracle 原厂给出的Audit Vault 运行时CPU占用率,13,0.Oracle系统安全与审计,Oracle 审计与性能影响情况：触发器方法对性能的影响为FGA对性能的影响为,14,0.RDBMS与第三方审计比较,RDBMS 审计：一般的RDBMS 都提供功能相当强大的审计技术RDBMS

6、 可审计内部的任何数据库表的操作和对系统的各种命令操作，比如SQL语句、实用程序及Network访问等。弱点是：增加RDBMS本身的负载，主要是降低系统性能和占用数据库系统的存储空间第三方 审计产品：一般都提供基于旁路设备的审计技术不影响(很少影响)RDBMS系统的性能(零负载)但是：不能对数据库内部人员的直接操作的审计，比如从Oracle服务器上直接用sqlplus(无连接字串)登录或EXP操作等,15,1.IBM Guardium,Guardium 系统：以色列Log-On软件的子公司。主要产品是向客户提供可扩展的企业安全平台，可实时保护企业应用的数据库 IBM 于2009.11.30 收

7、购，并改名为IBM InfoSphere Guardium重点是：Database activity monitoring(数据库活动监控)Guardium特点：IBM InfoSphere Guardium 解决方案通过安装在数据库服务器上的轻量软件探测器连续地监视数据库事务；探测器在操作系统内核级上监视所有数据库事务，包括特权用户的事务，而不依赖于数据库审计日志；,16,2.Imperva产品,Imperva：属于：Security Information&Event Management；End-to-End Web Application Protection；MonitoringAu

8、ditingReportingAssessment(数据库配置评估)Access Control Protection(包含策略).Imperva不足：没有内部的用户审计和控制；没有对用户权限的分析和监控；,17,3.DB Audit Expert产品,DB Audit export产品：DB Audit Expert是专业的集所有功能于一身Oracle,Sybase,DB2,MS SQL和MySQL数据库安全和审计解决方案DB Audit Expert使数据库和系统管理员，安全管理员，审计员和操作人员追踪和分析数据库安全包括数据库安全，访问和使用率，数据创建，更改或删除。DB Audit e

9、xport特点：安全性预防管理 侦测和安全配置分析 审计与监控 弱点及渗入测试 校正,18,3.DB Audit Expert产品,DB Audit export优点：可捕获常规的和从“后门”进入的被审计的数据库系统.功能集中的安全和审计，提供从单一位置控制方便管理多个数据库系统。提供分析报告，减少审计大量数据从而轻松地识别各种数据库的安全行为的全面数据汇总。提供分析报告，帮助确定哪些进程和用户占用系统资源。提供不可用于本地数据库审计用途的审计线索细节。当敏感数据发生变化时，为关键人员提供实时电子邮件警报。支持灵活的审计配置，使安全人员选择必须监测和审计跟踪的特定的数据库操作和数据变化。提供完

10、全透明的系统级的数据更改审计，而无需对当前应用做任何改动。完全兼容所有主机系统上可以运行支持的数据库，不局限于Windows NT,UNIX,Linux,VMS,OS/390,z/OS上。,19,4.杭州安恒-DBAuditor审计,安恒审计系统：明御TM数据库审计与风险控制系统(简称：DAS-DBAuditor)支持Oracle、MS-SQL Server、DB2及Sybase等业界主流数据库 DAS-DBAuditor可支持直连、旁路两种模式灵活地部署到网络中，在无需更改现有网络体系结构 安恒审计系统-多层监控审计：应用系统发起的数据库操作请求、来自数据库客户端工具 的操作请求以及通过远程

11、登录服务器后的操作请求等,20,4.杭州安恒-DBAuditor审计功能,风险评估：软件风险 配置风险操作风险监控与保护：用户行为监控、权限监控、元数据监控对象监控、事务监控、远程访问监控实时告警或阻断审计与分析：数据库权限审计数据库配置审计数据库操作审计(select/DML/DDL.)远程访问安全审计(telnet/ftp/sqlplus),21,5.杭州帕拉迪审计产品,杭州帕拉迪 数据库审计系统：针对外来用户的控制；对网络和OS操作的监控；审计-记录的操作人员的基本信息；部分数据传输的加密.杭州帕拉迪 数据库审计系统不足：没有内部的用户审计和控制；没有对用户权限的分析和监控；,22,6.

12、中创软件的审计产品,InforGuard审计系统：以网络审计方式为主，同时兼顾数据库本地审计对数据库的查询、新增、删除、修改、授权等各种操作行为进行解析和智能关联，并提供多种灵活方便的查询方法、统计报表，供数据库管理者查询、分析和决策。目前对ORACLE、MS SQLServer、Sybase等各种主流数据库进行审计。InforGuard审计特点：审计引擎(硬件)通过旁路监听的方式接入网络，在网络层对数据库操作数据进行协议还原和分析，发送到审计中心。审计中心接收并存储引擎采集的数据，具有完善的数据分析和事件关联功能，形成报警和决策。管理控制台提供人机交互界面功能，支持管理人员对系统实施配置、查

13、询等功能。,23,内容提要,当前数据安全状况分析；数据库审计产品情况.数据保护与审计相关知识,24,0.数据库安全术语,漏洞(vulnerabilities)：软件设计本身存在的弱点(漏洞)；操作系统和数据库都可能存在漏洞；漏洞可能被不法分子攻击漏洞扫描(vulnerability scanning)：主要是针对不同软件存在的缺陷进行检查；目前出现许多不同环境的漏洞扫描软件，如一个基于Web的网络漏洞扫描系统、；,25,0.数据库安全术语,取证分析(forensics)：证据分析Forensics analyze 流氓软件(rogue application)：主要是指那些用于破坏对方软件系统

14、，导致系统瘫痪或性能受到影响等的不法软件,26,0.数据库安全知识,Database Activity Monitoring(DAM)：数据库活动监控对内/外所有用户的操作进行记录；对DB的审计产生的数据可记录在OS路径下，也可记录在数据库内；审计可分为普通审计和高级审计(精细的审计).Security Information&Event Management(SIEM)：主要是对数据库操作用户的监控，包括用户活动的捕获、跟踪及阻断等；数据库监控与预防攻击是一种主动式安全方法；,27,0.数据库安全知识,主动式入侵预防技术：入侵预防技术-Intrusion Prevention System(

15、IPS)；典型产品有TippingPoint IPS产品入侵检测：入侵检测(IDS)产品只能检测到攻击，而不能采取任何主动的防御形式；,28,安全知识,法规(Governance)：1.Basel II2.Sarbanes Oxley3.OFAC4.Turnbull Report隐私(Privacy)：1.EU DPD2.AU/NZ NPP3.SB 1386/AB 19504.GLBA5.HIPAA6.PCI7.FCRA-“Red Flag”,29,安全知识,法规遵循问题：Sarbanes；满足需求的IT 控制：COSO/COBIT防范内部威胁：大部分的威胁未被发现外包的趋势客户想监控内部人员

16、或DBA,30,数据库审计面临的挑战,数据审计面临的问题：管理审计数据(审计数据的安全性、大规模审计数据的管理、审计数据的归档)分析、报告审计数据 与 监控审计数据,设置与修改参数,审计跟踪,DBA,User,启用审计,executes command.,Database,Serverprocess,审计数据1审计数据2 审计数据n,CRMDSS,审计OS文件,31,数据库审计面临的挑战,数据审计面临的问题：收集审计数据；报告审计数据；监控审计数据；管理审计数据(审计数据的安全性、大规模审计数据的管理、审计数据的归档),32,数据库审计面临的挑战,数据审计面临的问题：收集审计数据；报告审计数据

17、；监控审计数据；管理审计数据(审计数据的安全性、大规模审计数据的管理、审计数据的归档)任务记录分析及事后追查：可对监控/记录项目中重要条件进行统计和报告 可对记录的所有条件进行多种格式导出（如Excel)对审计数据进行分类整理周期性自动备份机临界值,33,数据库审计报告,数据审计分析并给出报告：以Excel输出报告 以PDF格式输出报告?,34,5.Oracle 数据库 审计范围,Oracle 数据库审计范围：Oracle User Accounts and PasswordsOracle RolesDatabase System PrivilegesDatabase Object Privi

18、legesOracle Audit TrailsNetwork SecurityOracle 数据库审计不足：Oracle 不能对数据读取流量进行控制Oracle 不能识别攻击,35,Oracle Network Security,Data is transmitted in clear-textOracle Advanced SecuritySqlnet.ora Node CheckingTCP.VALIDNODE_CHECKING=TCP.EXCLUDED_NODES=(ip_address,hostname)TCP.INVITED_NODES=(hostname,ip_address),

19、36,SQL Server-Audit Areas,SQL Server Security ConfigurationSQL Server LoginsServer RolesSQL Server DatabasesDatabase RolesStatement&Object PermissionsSecurity Logs and Audit Trails,37,DB2 Audit Areas,Security Configuration ParametersAuthenticationDB2 AuthoritiesDatabase PrivilegesObject PrivilegesAu

20、dit Trail Mechanisms,38,Network Based Information Leakage Detection&PreventionVericept,Vontu,Port Authority,Tablus,Reconnex,Zantaz,Fidelis Security,SurfControl,Websense,Tizor,NitroSecurityDesktop Based Information Leakage Detection&PreventionVerdasys,Orchestria,Oakley Networks,Control Guard,Safend,O

21、nigmaFraud Detection solutionsFairIsaac,SearchSpace,Mantas,Norkom,Actimize,IntellinxDatabase Security and Monitoring SolutionsLumigent,Guardium,DataMirror,Teleran,IPLocks,Tizor,ImpervaLog Aggregation and AnalysisConsul,Vanguard,SenSage,LogLogic,Memento,BalaBit,Internal Threats Players,39,信息安全难題,安全,可

22、用性,成本,三者之间取得平衡,40,参考资源,中国信息安全组织：；中国信息安全组织-数据库安全：中国信息安全认证中心：IBM InfoSphere Guardium：,41,Oracle安全漏洞检测,Oracle 系统用户权限过渡检查SQL脚本：,select b.owner|.|b.table_name obj,b.privilege what_granted,b.grantable,a.usernamefrom sys.dba_users a,sys.dba_tab_privs bwherea.username=b.granteeorder by 1,2,3;selectowner|.|t

23、able_name obj,privilege what_granted,grantable,grantee from sys.dba_tab_privs wherenot exists(select x from sys.dba_users where username=grantee)order by 1,2,3;,42,数据库监控与审计安全系列,支持不同OS环境和不同数据库的安全产品系列标准版本到网络版本：,43,Background,Disclaimer:Approximate percentages based on transitory marketing information.

24、Actual data may vary.,44,Popular Databases in Common,45,Roles&Privilege Auditing,46,Special Spots for Databases,47,Database ConfigurationProtecting Data,48,資訊安全的管理領域,49,控制要點及控制目標,資訊安全管理系統是包含10個管理領域，在這10個管理領域中又細分為36個控制目標。為達成控制目標時，有時常會運用一個甚至多個控制要點。在BS 7799-2中總共有127個控制要點。,50,技術與管理的結合,資訊安全管理系統的主軸是一套管理系統

25、，針對十大管理領域定義資訊安全。依據十大管理領域來區分，75%是管理相關；25%是只能由技術相關方案來解決。例如：防火牆、入侵偵測、防毒及弱點掃描等系統。,51,安全政策管理步驟,Policy,Standards,Procedures,Guidelines&Practices,ESM Policy Compliance,Actual Environment,強制遵循安全政策符合業界 ISO 17799規範定義安全技術的實作程序ESM 弱點檢測協助企業稽核安全政策是否落實 作業系統和應用軟體,52,Audit Tools and Resources,Implementing Database S

26、ecurity&AuditingRon Ben Natan(Elsevier Digital Press)The Database Hackers HandbookLitchfield,Anley,Heasman,Grindlay(Wiley)Oracle Security Handbook(Oracle Press)Oracle Database Administration(OReilly)Many useful resources and scriptsscanner.sql(security and audit test script)Exploiting and Penetratin

27、g Oracle whitepaperwww.sans.org(SCORE section Oracle Audit Checklist),53,Audit Tools&Resources,SQL Server Security Andrews/LitchfieldMcGraw Hill/OsborneSQL Server Audit Checklists and ToolsDB2 Audit ProgramsIBM DB2 SecurityCenter for Internet Security Benchmarks Cisecurity.org(Oracle,SQL Server,MySQ

28、L),DB2,SQL Server,54,Database-Key Controls,Database security designDatabase hardeningSecurity alert monitoringPatch managementNetwork isolationNot exposed to Internet Not exposed in internal networkEncryption in transitDatabase EncryptionSecure Application Coding(e.g.to address SQL Injection issues)

29、,55,Summary,Security and control of database environment involves audit of a number of key areas:Network SecurityOperating System SecurityDatabase SecurityApplication System SecurityKey is to understand and evaluate the placement of security and control features,56,三个数据库审计功能比较,Oracle-MS SQL-Sybase:D

30、atabase,57,三个审计软件产品功能比较,审计软件:审计软件产品,58,审计软件支持的RDBMS,DB Audit Expert 审计软件:审计软件,59,数据库=数据=钱,数据是资产:数据是有价值的,60,参考资源,数据库安全审计与控制:,61,国外数据库审计提供商,数据库审计几个有名厂商:Log Rhythm(http:/Qradar(http:/Prismmicrosystems(http:/Nitro Security(http:/,62,Oracle在所有主流平台提供一致的功能,-Yes-,63,Oracle 系统与端口号,Oracle-Port:这些端口号基本是固定的,64,Oracle 系统与加密,Oracle 10g/11g 支持的加密:加密算法的差异,65,安全与技术,安全与技术总是同时出现的:现在的软件越来越复杂，安全也越做越大,Vendor Approaches,Log Rhythm(http:/Qradar(http:/Prismmicrosystems(http:/Nitro Security(http:/,