安华金和数据库监控与审计系统
一. 产品概述
安华金和数据库监控与审计系统(简称DBAudit),是一款面向数据库运维和安全管理人员,集安全、诊断与维护能力为一体的安全管理工具;DBAudit实现了数据库访问的全面精确审计,100%准确应用用户关联审计;DBAudit具备风险状况、运行状况、性能状况、语句分布的实时监控能力。
DBAudit具备数据库化的界面语言、智能化的协议识别、可视化的运行状况呈现、可交互可下钻的风险追踪能力,是一款完美实现免实施、免培训、免维护的新一代数据库审计产品。
二. 产品价值
2.1全量的业务审计
为适应复杂的网络部署要求,产品除了常规的旁路审计部署之外,还可以基于“探针”,捕获并解析数据库的本机操作行为,实现应用与数据库的同机审计。通过SQL行为和业务用户的准确关联分析,使数据库的访问行为有效定位到业务工作人员、基于风险、语句、会话、客户端、应用端、响应时长、应答结果等形成数据库的全量行为记录,进行有效的追溯和定责。
2.2实时的风险告警
系统提供数据库风险告警能力,对于外部发起的数据库漏洞攻击、恶意的SQL注入行为、非法的业务登录、高危的SQL操作和过量的数据下载,系统可以基于灵活的策略配置,设置风险规则,提供实时的风险告警。告警方式包括:短信、邮件、SNMP、Syslog等多种方式。
2.3数据库性能诊断
系统提供实时的数据库运行状态监控,针对数据库访问流量、并发吞吐量、解析语句量、语句归类模板量、SQL语句的响应速度等进行专项的界面分析;可针对执行量较多、访问较慢的语句进行梳理和呈现,提供专业的性能诊断分析,帮助用户优化数据库性能。
2.4数据库行为建模
可针对数据库通讯协议进行完全解析;可学习、归类SQL语句模板,并结合会话信息、应用关联信息,实现数据库行为建模。基于建模语句波动情况,进行有效的分析和深入的挖掘,当隐藏在软件中的后门程序启动时,提供实时告警能力。
四. 功能特性
4.1支持数据库类型
Oracle、SQLServer、DB2、Informix、Sybase、Cache等国外主流数据库
MySQL、PostgreSQL等开源数据库
达梦、GBase、金仓、Oscar等国内主流数据库
MongoDB、Hbase、Hive等NoSQL数据库
4.2风险行为监控
口令攻击:针对不同客户端和账户的失败登录频次制定风险策略。
访问规则:针对应用端信息、客户端信息、时间等条件监测非法账户登录行为。
操作规则:针对高危语句操作、SQl注入、批量数据篡改和大规模数据泄露等风险行为监控。
漏洞监控:针对数据库漏洞攻击行为监控。
批次操作:针对高批次操作和语句支持,提供灵活的规则配置,实现频次行为监控。
4.3应用用户关联审计
系统基于应用端插件部署,可基于应用系统捕获应用账户及登录IP等关联审计信息,并添加到风险策略,实现风险行为监控。针对应用端与业务服务器分离的【四层关联审计】,同样可基于插件部署捕获到应用的原始访问信息,实现应用用户的有效溯源。
4.4多维数据分析
风险和危害线索:提供高中低的风险等级,包括漏洞攻击、SQL注入、黑名单语句、违反授权策略的行为。
会话线索:根据时间、用户、IP、应用程序和客户端等多角度分析。
详细语句线索:提供用户、IP、客户端工具、访问时间、操作对象、SQL操作类型、成功与否、访问时长、影响行数等多种检索条件。
4.5审计合规性报表
综合报表:提供日报、周报、月报等各类报表,基于系统级和单库级别对审计信息做全量综合分析。
合规性报表:根据法案构成,提供SOX、PCI、等保报表。
专项报表:根据风险、性能、客户端、失败信息等多个维度分别建立独立分析报表。
自定义报表:用户可基于报表模型,自定义生成符合自身业务关注点的报表。
4.6云化部署支持
系统支持私有云及虚拟化部署,并提供多种数据采集能力;
虚拟交换机引流:依赖虚拟交换机(VSwitch)进行流量镜像,类似于传统的审计产品网络部署。
Rmagent插件引流:基于应用端或数据库服务器安装rmagent插件,通过虚拟环境分配的审计管理口进行数据传输,完成数据采集。
4.7集群管理
提供分布式部署能力,可支持数据集中化管理和分析。在网络内已部署多个审计节点的前提下,建立独立的集群管理中心,各节点具备远程登录和管理的权限,可通过上报、审批加入集群管理列表,并支持如下功能: