观安观智数据库安全审计系统
首页
产品定位观智数据库安全审计系统是一款集数据库活动实时监控与安全分析为一体的新一代数据库审计产品。
它在充分吸收传统数据库审计系统优势的基础上,结合大数据安全技术,提供了海量的审计日志存储和高性能的日志检索能力。
当出现数据库高危操作和非法入侵行为时,能够及时告警。为降低企业数据资产损失,满足合规要求,提供强有力的安全保障。
产品设计理念产品围绕以数据为中心的审计和安全防护DCAP进行设计
以数据为中心的审计与保护(Data-Centric Audit and Pretection,以下简称“DCAP")DCAP是保护组织隐私的一种手段,它强调特定数据本身的安全性,将数据安全应用于待保护的特定数据片段,它可以使数据保护目标与企业的业务战略保护一致。产品设计围绕以下功能:
2、包含用户角色、权限、访问等信息的敏感数据访问行为场景;
3、敏感数据访问图谱和响应;
5、数据安全事件审计和溯源分析。
产品核心能力产品围绕全流量采集、分层架构、主动告警响应与合规保障四大核心,通过技术手段实现对数据库行为的全面监控、风险识别与快速响应,最终达到以下目标:
风险可控:通过多维度告警机制驱动安全团队快速定位问题,降低数据泄露、操作失误及攻击风险。
合规保障:通过策略配置与告警规则覆盖满足法规要求,提供审计日志与可视化报告支撑合规检查,适应技术环境变化;
高效运维:分层解耦设计的分层架构与自动化告警,实现灵活配置与高效管理,提升安全团队的响应效率与决策质量。
监测阶段:主要分为协议层、配置层、展示层。协议层负责对数据库的底层协议进行解析;配置层提供策略配置、资产管理等基础配置功能;展示层提供可视化分析报告以及可视化日志查询等功能。
采集阶段:通过旁路部署获取核心交换机网卡镜像流量,以及通过Agent获取云主机流量。审计引擎可同时归并和汇集网卡镜像流量和Agent云端流量。
告警阶段:告警阶段主要展示监测阶段配置的各种风险告警,当系统监测到的原始日志命中了风险策略,则会产生审计告警。可通过短信邮件等方式发送告警通知,或syslog/kafka进行日志外发。
功能架构
资产识别与管理/数据库类型识别解决问题
通过流量识别技术,自动发现网络中活跃的数据库实例,对发现的数据库资产进行分类、分组管理,解决用户对数据库资产分布不清、难以统一监控的问题。
功能设计
通过流量分析技术,自动识别网络中运行的数据库类型,自动将发现的数据库添加为审计对象,并支持按类型、业务场景等分组管理,提升审计效率。
关系型数据库:支持Oracle、SQL Server、Sybase等。
非关系型数据库:支持MongoDB、Redis等
国产化数据库:支持达梦 (DM)、神舟 (Oscar)等
大数据组件:支持ElasticSearch、Hive等。
基于流量识别技术,可自动发现当前流量中活跃的数据库,无需手工指定数据库类型和IP地址及端口号。方便用户在不清楚资产分布的情况下,自动发现数据库库资产;并可将数据库添加为审计对象,对同类或同业务数据库可进行分组管理。
功能优势
自动化程度高:无需手动指定数据库类型、IP或端口,自动完成资产发现与识别。
功能价值
通过自动化流量识别分析技术及时发现网络中活跃的数据库实例,对发现的数据库资产进行分类、分组管理,减少人工操作,全面摸清数据库资产分布、统一监控,降低因资产遗漏导致的管理盲区。
资产识别与管理/数据库加密协议解析针对MySQL、PostgreSQL、SQL Server、Oracle加密协议,通过导入"安全证书” 的形式,进行通讯协议解密,解决加密协议通讯无法审计问题。
功能设计
针对MySQL、PostgreSQL、SQL Server、Oracle加密协议,系统可通过导入"安全证书”的形式,进行通讯协议解密。
功能特点
兼容主流关系型数据库:兼容主流关系型数据库 (MySQL、PostgreSQL、SQL Server)的加密通信,确保不同数据库环境的审计一致性。
功能优势
解决加密审计难题:通过证书解密技术,突破传统审计工具对加密流量的“黑盒”限制,实现对加密通信的全面监控与分析。
功能价值
针对MySQL、PostgreSQL、SQL Server数据库实时监控加密通信中的异常行为,实现对加密通信内容的透明化审计,快速响应威胁。
风险监测预警/数据库风险监测覆盖场景解决问题
以数据资产和敏感数据为基础,从访问主体的场景和身份角度,实现对数据库访问行为的全方位风险或异常行为监控,解决数据泄露、非法访问等核心安全问题。
功能设计
以数据资产、敏感数据为基础,以数据安全为目标,从场景和身份角度解决数据安全问题,通过构建场景化的数据安全管控手段,实现对数据库访问主体进行全方位的风险或异常行为监控。
场景识别引擎:构建场景化数据安全管控机制,覆盖多类型数据库访问场景,实现对访问主体的全面监控。
访问主体行为分析:通过分析访问主体的操作行为(如SQL语句、访问行为、结果集信息等),识别潜在风险和异常操作。
实现针对敏感数据异常操作、非工作时间登录、同账号多IP登录、僵尸账号活跃疑似暴力破解、批量拖库、长期高频泄露、绕行堡垒机登录、蚂蚁搬家等高风险场景行为实时告警。
功能优势
风险场景全面覆盖:支持多种数据库类型及访问场景,提供360°安全监控能力。
功能价值
提升数据安全性:通过风险场景覆盖,有效防范数据泄露、未授权访问等风险。
风险监测预警/风险告警行为基线解决问题
通过建立用户访问数据库的行为的基线模型,识别偏离正常模式的行为,及时发现并告警安全威胁,解决数据库访问中的异常行为和潜在风险问题。
功能设计
通过在解析数据库协议的过程中对用户访问数据库的行为进行自学习,对用户行为中所涉及到的客户端IP、数据库用户、客户端工具、SQL模板等信息进行汇总统计并生成基线模型。从而对后续的数据库异常操作行为进行及时告警。
自学习机制:通过解析数据库协议,对客户端IP、数据库用户、客户端工具、SQL模板等多维度行为数据进行自学习,形成用户操作的动态画像。
基线模型生成:基于自学习数据,汇总统计正常操作模式,生成反映常规行为的基线模型。异常行为检测:实时监控数据库操作行为,对比基线模型,对异常行为触发告警。
功能特点
数据库访问场景全面覆盖:从账号、工具、来源、行为等多角度全面监控,覆盖数据库访问的全场景。
智能分析:利用自学习技术动态更新基线模型,提升异常检测的准确性和实时性。
功能优势
关联资产保护:通过关联数据库资产风险模型,精准定位核心资源,增强对关键数据的保护能力。
复杂场景多维风险识别:从学习维度和学习周期进行深度学习分析,提升复杂行为模式的风险识别能力。
功能价值
通过建立用户访问数据库的行为的基线模型,实现自动化基线建模和异常检测减少人工监控成本,提升安全管理的效率和精准度。
风险监测预警/数据蜜罐技术防范数据泄露解决问题
通过数据蜜罐技术植入仿真表并监控其访问行为,解决外部攻击者遍历数据库表的行为,防止真实数据被窃取,及时发现数据泄露风险问题。
功能设计
外部攻击者在利用漏洞对数据库进行攻击时,通常会遍历数据库表清单,从中寻找有价值的数据,利用这样的场景特性,在生产库中植入仿真表(蜜罐),内置敏感数据 (经过脱敏处理)。通过监控植入的蜜罐,一旦产生访问行为,大概率出现了数据泄露风险,则及时触发风险告警。
蜜罐植入:在生产库中部署高仿真表,内置脱敏后的敏感数据,模拟真实数据环境。
蜜罐监控:将仿真表设为监控对象,重点审计其访问行为,识别异常操作。
风险暴露:通过检测对仿真表的访问行为,暴露外部攻击者的攻击路径或意图。
告警联动:实时触发告警机制,快速响应潜在威胁,降低风险影响范围。
高仿真性:仿真表与真实数据表高度相似,攻击者难以区分真假,提升诱捕效果。
数据脱敏:仿真表内数据经过脱敏处理,即使被访问也不会泄露真实敏感信息。
重点监控:对仿真表的访问行为进行专项监控,确保异常行为无遗漏。
实时告警:检测到异常访问时立即告警,缩短响应时间。
功能优势
主动防御:通过设置仿真陷阱,主动诱捕攻击者,提前暴露潜在威胁。
实时响应:告警机制与监控联动,快速定位并阻断攻击行为。
数据保护:脱敏数据确保即使蜜罐被攻破,真实敏感信息仍受保护。
功能价值
通过蜜罐技术提升数据库防护能力,缩短数据泄露事件响应时间,有效防范数据泄露。
风险监测预警/告警方式解决问题
解决因数据库操作行为引发的数据泄露、违规操作等风险时,通过多渠道告警及时通知相关人员的问题。
功能设计
支持设置实时告警、聚合告警、统计告警、系统告警等多种类型的告警模板,在数据库操作行为触发了风险策略后,系统会立即响应,进行多种方式的风险日志告警,包括系统界面、邮箱、短信、企业微信等。
告警模版:支持实时告警(即时触发)、聚合告警 (批量汇总)、统计告警 (周期性分析)、系统告警等模板化配置。
告警方式:支持系统界面、邮箱、短信、企业微信、syslog、kafka、SNMP等多渠道通知,确保信息快速触达。
多渠道告警能力:通过短信、企业微信、API接口(如kafka、syslog)等灵活适配不同场景需求。
灵活配置能力:告警模板、触发条件、通知方式均可自定义,满足差异化业务和安全要求。
功能优势
告警渠道全面覆盖:多告警类型和渠道组合,确保风险无遗漏,提升监控广度与深度。
风险易管理:通过模板化配置和统一管理界面,降低运维复杂度。
功能价值
提升安全性:实时监控与告警机制有效遏制数据泄露、违规操作等风险,降低安全事件发生概率。
审计与溯源/审计策略解决问题
通过内置和自定义审计规则策略,全面监控数据库操作行为,解决企业数据库安全审计合规性需求,快速识别数据库潜在的安全风险。
功能设计
审计策略:采用【审计元素-规则-策略】三维检测设计思路,内置常用安全审计策略。自定义策略可根据实际使用场景任意添加组合审计规则(内置790+余条审计规则),并指定资产,做到风险及时发现。
审计规则:支持访问来源、操作对象、库表字段,数据库特征,返回结果集等20多个审计元素的组合规则。
响应机制:安全响应机制包括:仅审计、告警、白名单过滤、旁路阻断等。同时可限制是否审计结果集,并指定入库大小、入库行数、入库对象等。
通知途径:支持多种告警通知途径,支持在审计系统自身进行告警通知;也可通过邮箱等渠道进行接收。可将风险行为通过syslog/kafka进行第三方平台转发。
灵活通知:支持系统内置告警、邮件、syslog/kafka等多渠道通知。
自定义能力:用户可自定义规则和策略,提升审计针对性和灵活性。
功能优势
全面覆盖:内置丰富规则,覆盖多种安全场景。
灵活配置:自定义策略和规则,适应企业个性化需求。
实时响应:通过实时告警机制快速处理安全事件。
功能价值
通过灵活的自定义策略和规则,适应企业个性化需求,全面提升数据库监控和审计针对性,有效降低运维复杂度和成本。
审计与溯源/审计内容解决问题
通过5W1H设计,解决SQL日志信息和访问行为轨迹记录不完整的问题,实现全维度内容审计。
功能设计
通过5W1H的设计和数据流量的深度协议解析,实现能审计详细的SQL日志信息和数据访问行为轨迹。
深度协议解析:通过解析数据流量的底层协议,提取并记录完整的SQL日志信息
SQL日志信息审计:包括来源信息、目标信息、业务信息、操作内容、语句类型等数十类数据库请求日志信息。
访问行为轨迹呈现:包括客户端IP、数据库用户、访问工具、服务端IP、表名。
全面覆盖:审计内容涵盖SQL语句类型、业务关联信息、执行结果等核心要素,无信息遗漏。
功能优势
高精度审计:基于深度协议解析技术,确保审计数据的完整性和准确性,避免信息丢失。
功能价值
通过详细内容审计和实时监控,分析SQL语句,有效防范数据泄露、未授权访问等安全威胁,降低风险发生概率。
审计与溯源/三层审计解决问题
通过三层关联审计技术,将数据库风险精确到具体人员,确保审计覆盖全链路,以提升定位和解析的准确性。
通过三层关联审计技术,与当前业务员 (账号)、web应用操作、数据库访问进行关联分析,实现更加精准的定位和解析,将数据库风险精确到具体人员,做到精准应用关联审计。
Web/应用:监控内外部用户通过Web或应用访问数据库的行为。三层审计:通过数据库访问与账号关联,进行综合审计和风险审计,形成完整审计链条。
功能特点
多维度审计:覆盖Web/应用层、核心数据库层和审计层,实现全场景审计。
功能优势
高精度:通过三层关联技术,精准定位风险责任人及操作路径
功能价值
通过将数据库风险审计精确到具体人员,实现全链条审计无死角,便于快速定位问题,提升运维效率与质量,保护敏感数据安全。
审计与溯源/一键审计溯源解决问题
通过多线索组合关联溯源,精准识别涉敏事件和风险事件,快速定位安全事件源头解决事件追溯效率低的问题。
采用多维度横向统计及纵向聚合下钻模式,在发生安全事件后,输入已知线索进行多线索组合关联溯源。通过数据库、访问源、敏感数据类型等进行溯源结果聚合处理,针对单一维度可进行下钻分析具体的操作行为。
功能特点
多线索关联:支持多线索组合溯源。
高效数据处理能力:支持大规模数据的快速处理与分析。
时间趋势分析:可分析事件时间分布趋势,识别高峰期。
功能优势
支持多维度横向统计及纵向聚合下钻模式,在产生安全事件后,通过已知线索进行多线索组合关联溯源,还可将相关的溯源数据库进行全量导出进行二次分析。
功能价值
提升安全响应速度:通过快速溯源和风险识别,缩短事件响应时间,提高处理效率。
审计与溯源/多维度审计报告解决问题
通过可视化图表展示风险事件的分析报告,解决用户各种业务场景下快速生成风险分析报告以满足合规审计需求的问题。
提供丰富灵活的报表统计模板,如等保、塞班斯等合规报告模版,可通过表格、图表等形式来动态显示数据,帮助安全管理人员更加直观地了解数据库运行风险。
自定义报表模版:审计报表支持自定义,基于报表模板,自定义生成符合自身业务关注点的报表,满足用户不同场景需求。
功能特点
可视呈现多样化:支持表格、柱状图、折线图等多形式数据展示,提升审计结果的可读性。
功能优势
高度定制化:支持用户自定义报表模板、统计指标及分析维度,满足差异化需求。
自动化与智能化:通过自动化报告生成和订阅机制,减少人工操作,提升工作效率。
功能价值
通过预置合规模板,自动化生成详细审计报告报表,降低审计复杂度,帮助安全管理人员更加直观地了解数据库运行风险。
安全监控与运维/双因素认证解决问题
通过双因素认证增强登录安全,解决缺乏动态验证机制,难以有效防范暴力破解、会话劫持等攻击行为问题,满足《数据安全法》《个人信息保护法》及等保2.0中对关键系统登录需采用多因素认证的要求。
功能设计
新增动态口令验证,在配置文件中可选择验证码登录或者双因素二维码登录;
验证码登录:通过系统页面获取一次性验证码完成二次验证。
二维码扫码绑定动态令牌:首次登录时通过扫描二维码绑定TOTP身份验证器,后续使用动态生成的一次性口令进行验证。
动态令牌管理:使用相关参数和算法生成更新的动态码,确保与时间同步的安全性,用户需确保系统时间和手机端时间一致,避免因时间偏差导致验证失败。
灵活认证方式:支持验证码登录和二维码扫码绑定动态令牌两种双因素认证方式,适应不同场景需求。
功能优势
安全性增强:通过增加双因素认证,极大降低账户被非法入侵的风险
功能价值
身份可信保障:通过双因素认证确保登录者身份真实可信,从源头上减少越权访问风险。
部署方式/旁路模式镜像流量
· 采用旁路部署,不需要在数据库/应用服务器上安装流量探针,不影响网络和业务系统的结构;
· 无需与业务系统对接,与数据库/应用服务器没有数据交互,不需要数据库/应用服务器提供用户名密码;
· 无需增加额外网络设备,也无需对现有的网络结构进行改造。
部署方式/流量代理插件Agent审计代理dragent
· 主要用于云端、虚拟化环境等不方使镜像流量的环境中,dragent流量代理可直接部署在数据库服务器上,在数据库不方便部署的情况下,可直接部署在应用服务器或客户端电脑上,通过网口抓取数据库流量发送到指定的审计设备中;
· 通过数审管理界面可进行批量部署、批量配置、重启、暂停、恢复、关闭、升级、回退、卸载;
· 支持设置CPU、内存最大占用阈值,达到阈值后,自动熔断。
产品优势
产品价值系统对高危、违规操作进行有效监控,同时可对长时间跨度的历史日志进行深度检索,实现对泄露源头的快速溯源。
典型案例/某运营商上海分公司项目背景需求
1、华东地区较大的省级分公司,机房众多且分散,日常数据库流量巨大,希望对所有数据库流量进行集中审计,并满足合规要求。
2、公司内部部门众多,公司希望在提供一套审计设备的前提下,各部门能够对自己的数据库流量进行独立审计,相互隔离。
1、建立分布式集中管理平台,在各个机房部署探测器,通过管理中心将各个探测器的数据进行汇总分析;
2、制定完善而灵活的多租户管理机制,通过管理中心平台对租户进行严格的权限划分,从而使各部门只能查看与自己相关联的数据库流量。
客户收益
1、通过管理中心平台,不仅实现了流量的集中管理,也具备了策略集中下发和集中生成报表的管理能力,使得企业内部的合规要求快速落地;
2、在物理资源共享得前提下,实现了租户间的数据隔离,大大降低了公司的硬件成本。
典型案例 / 某云资源市场项目背景需求
1、某运营商旗下的云资源市场,提供云环境下的计算资源、存储资源和各大行业解决方案。
2、客户希望能够在云资源市场上线一款贴合云环境的数据库安全审计产品。
解决方案
1、数据库审计产品兼容云环境下的云数据库,并且支持通过agent的方式对数据库的操作流量进行采集与转发;
2、对接云市场的控制台,对接云市场的订退改续业务以及控制台对云数据库审计系统的基础控制能力;
3、对接云市场的Openstack系统,实现基于Openstack的自动化部署,免除人工部署动作。
客户收益
1、云市场具备了数据安全品类的新产品云数据库审计;
2、能够给云市场的存量政企客户推荐满足等保合规的云数据库审计系统;
3、满足了云市场自身的合规要求。
典型案例/某公司内部PAAS部门项目背景需求
1、客户希望云数据库审计能够对接Paas平台,实现在k8s+容器化部署。
2、账号体系对接Paas平台,能够通过云数据库审计来满足集团内部的合规要求。
解决方案
1、数据库审计产品兼容云环境下的云数据库,并且支持通过agent的方式对数据库的操作流量进行采集与转发;
2、对接Paas平台的账号体系,实现Paas平台账号直接登录到云数据库审计系统;
3、对接K8S,实现基于K8S+容器化的自动化部署,免除人工部署动作。
客户收益
1、深度对接云控制台,控制台可随时对服务进行开启与关闭;
2、容器化部署节省人力,真正做到开箱即用;
3、各部门满足了集团合规要求,也满足了数据安全要求。
产品推荐
