独立的审计模式
在数据安全时代,独立的审计模式符合相关标准和法规的要求。昂楷防统方系统采用独立的安全结构,通过交换机镜像完成数据的采集,不需要在应用系统、终端安装任何插件,其部署与运维不影响原有网络及应用。同时,昂楷防统方系统采用三权分立的模式,这使得数据库维护或开发小组,安全审计小组的工作进行适当的分离。而且,审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于昂楷防统方系统自带的存储空间中,避免了数据库特权用户或恶意入侵数据库服务器用户,干扰审计信息的公正性。
审计细腻度更深
全面性:针对业务层、应用层、数据库等各个层面的操作进行跟踪定位,包括数据库SQL执行情况、数据库返回值等。细粒度:精确到表、对象、记录内容的细粒度审计策略,实现对敏感信息的精细监控;独立性:基于独立监控审计的工作模式,实现了数据库管理与审计的分离,保证了审计结果的真实性、完整性、公正性。 审计语句分析和翻译 在实际项目中,有些单位有专门负责审计的机构,如在医院中,昂楷防统方系统权限由医院纪委监察室和信息科分别掌握,因数据库SQL语言及其它数据库语言如M语言的抽象性,非专业技术人员很难看懂语句的真实信息以及蕴含的风险,而专业技术人员不存在该问题,为更好的方便客户使用,昂楷防统方系统提供了专业的数据分析和翻译界面。通过在配置中设置表和字段的中文别名,在翻译中以直观和易懂的语言显示审计的结果及语意关系,方便非专业技术人员的查看。
防二次泄密
在对数据库查询操作返回结果的审计中,返回信息包含了重要的敏感的信息,一旦被审计人员看到会造成信息的二次泄密,同时也会增加审计人员泄密敏感信息的可疑性。对审计结果中敏感字段进行系统级隐秘设置,可减少审计人员自身泄露敏感信息的可能性,同时也增加了数据的安全性和保密性。
分权管理
安全法规要求审计设备具有一定的权限控制,昂楷防统方系统设置了权限角色分离,如系统管理员负责设备的运行设置;审计员负责查看相关审计记录及规则违反情况;规则配置员负责数据库审计安全规则的配置等。
事件准确定位
在信息安全及虚拟化背景时代下,单靠某一个信息去定位违规操作者已经成为不可能,如内网用户大多采用DHCP分配IP地址,没有做IP-MAC绑定及相应的准入规则,用户可通过更改操作系统名、IP地址、MAC地址等方式逃避追踪,传统的数据库审计定位往往局限于IP地址和MAC地址,很多时候不具备可信性。因此只有通过关联尽可能多的身份定位信息进行定位以及做一定的准入权限设置,其审计结果才具有可靠性,才能作为电子证据。昂楷防统方系统可以对IP、MAC、操作系统用户名、使用的工具、应用系统账号等一系列进行关联分析,从而追踪到具体人。
返回结果
返回结果就是指某个查询操作所返回的数据,审计过程中可根据返回数据的内容、返回行数去直观的判断操作的危险性。昂楷防统方系统可审计到双向数据,从客户端请求到服务器端的响应,做到双向审计。
事件关联性分析
昂楷防统方系统可对响应事件进行关联,如根据IP关联出某段时间内该IP所触发的告警数量等;根据一段时间内的数据库或应用系统登录失败次数判断出暴力破解密码的可能性;根据账号的多次登录判断账号信息泄密或共享账号的可能性;相似SQL语句执行时间过长从而判断该语句设计的合理性等。根据事件关联性分析,自动涌现一批对客户具有实用价值的信息,帮助客户管理和维护好现有应用。
字符型协议审计
除支持对各种数据库访问审计外,昂楷防统方系统还支持TELNET、FTP等各种字符型协议对数据库服务器的访问,并可对其设置告警条件,如发现移动或下载数据备份文件时触发告警。
风险处理电子化
昂楷防统方系统同其它应用系统一样,支持流程的标准化,当发生数据库安全事件后,昂楷防统方系统将事件关键信息通过电邮、短信等风险发送给安全审计相关人员,在调查取证确认合法性后通过昂楷防统方系统给出处置意见信息,以确定事件的结束。审计管理员日后可通过追溯安全事件处置信息确定有无包庇及不作为行为。
访问工具监控
昂楷防统方系统自动扫描连接数据库的访问工具。从访问数据库的源头进行分析,应用系统和客户端工具根据不同的数据库类型可通过ODBC、JDBC、直连等方式连接数据库,直接连接工具如Winsql,Plsql及CS架构的客户端工具等。如发现审计记录中出现未知的数据库连接工具或出现规定之外的连接工具,审计员可根据工具监控记录分析出使用过该工具的IP及关联的操作记录,进而取证使用该工具的源头及操作的合法性。 事件场景还原
昂楷防统方系统可根据审计日志,通过事件、端口、端口等因素构建出事件的关联性及现场,通过模拟回放,模拟出整个事件的行动轨迹,通过大屏幕显示可方便分析人员及技术人员通过回放线索,直观的追溯事件的前后关联性及风险蕴含较深的操作行为。
应用场景
