1、数据库是信息系统最关键的部分,广泛应用到各个领域。由于数据库本身安全性的不足,容易受到非法访问及恶意破坏。从而造成信息系统的瘫痪,敏感信息的泄漏,危害数据及信息系统的安全。
优炫数据库安全审计系统模块在应用系统和数据库之间设置一个监管机制,监控数据库的所有访问。该产品提供多重机制获取数据库和用户之间的通信内容,根据安全策略判定通信内容的风险等级,实现完全独立于数据库的审计功能,拦截非法数据库及操作系统访问和恶意攻击。实时检测出用户对数据库进行的SQL注入和缓冲区溢出攻击,对不合法SQL命令进行阻断,过滤掉所有对目标设备的非法访问行为。从而提高数据库的安全性。
2、产品功能
(1)屏蔽直接访问数据库的通道:部署之后,该产品介于数据库服务器和应用服务器之间,屏蔽直接访问的通道。
(2)二次认证和二次授权检查:部署之后,应用程序对数据库的访问必须经过该产品和数据库自身两层身份认证和权限检查,并提供基于“连接五元组”和“行为七元组”的独立的授权管理。通过二次认证和二次权限检查,攻击者无法伪造连接到数据库进行直接的攻击。
(3)攻击保护:实时检测出用户对数据库进行的SQL注入和缓冲区溢出攻击,并报警或者阻止攻击行为。同时能审计出攻击操作发生的时间、IP、登录数据库的用户名、攻击代码等详细信息。
(4)连接监控:实时监控所有连接到数据库的情况。管理员可以立即断开指定的可疑连接。
(5)完善的安全审计:系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等信息。并提供灵活的日志查询分析功能,定制生成符合行业规范的报表。
(6)口令检测:口令检测的目的是测试数据库账号的口令强度,确保不存在缺省口令和弱口令。选取不同的字典文件可以对缺省口令、生日数字口令、字母组合口令、姓名口令等进行检测。使用多线程暴力试探的方法,从口令字典中依次读取口令,尝试登录数据库服务器,若用户的口令强度不够,将有可能被猜中。
(7)风险扫描:风险扫描的目的是检测系统中各种配置参数的安全性。对每一个系统配置进行扫描前,可由用户为每一个系统配置设置参数,之后执行特定的检测脚本,根据返回结果判断风险是否存在。比如:对重要资料的非法访问以及窃取数据库内容等恶意行动等等。检测结果按高、中、低风险给予警告并给出可行的修复建议。
(8)SQL注入检测:SQL注入用于检测软件相关漏洞。DBMS中内置函数存在SQL注入漏洞,入侵者通过利用SQL注入漏洞可以提升自身的系统权限,威胁系统的安全。通过对某个SQL注入漏洞来检测系统中是否存在漏洞。
(9)安全扫描系统:独立接入现有网络结构,不改变当前系统的拓扑结构和连接方式,即使其自身崩溃,也不会导致系统整个数据库的服务中断。系统采用先进的多线程技术开发,具有很高的并行扫描效率和用户响应速度。
综述:优炫数据库安全审计系统能极大的保护企业内部数据库系统及服务器资源的安全,企业内部数据库管理合理化和专业化。
3、产品部署
旁路:该模式主要是对数据库的操作进行审计。不需要对现有应用、数据库基础设施或目标数据库的现用操作系统进行任何调整。采用镜像监听技术实现对数据库的监控和审计。
串联:该模式除具备旁路的所有功能外,还具备对数据库的操作进行控制,阻断风险访问操作。
4、产品优势
(1)源于深厚的技术积累
本产品研发团队核心成员从2000年开始数据库安全加固技术的研究。数年来,团队在数据库安全审计系统、数据库安全扫描、数据库透明加密、数据库与业务监控等方面具有深厚的积累,专注于国内最好的数据库业务安全管理产品的服务和研发。
(2)定位于世界级产品
目前国内数据库安全行业刚刚起步,而国外的产品,如Guardium、Imperva、Oracle等,已经非常成熟,并已经有数个商业收购案例。国内外数据库安全产品还存在较大的技术差距,本产品定位为世界级产品,研发过程中参考国外先进产品和技术,同时充分考虑国内法律法规的具体情况和使用习惯上的不同。
(3)完善的功能模块
本产品包含完善的数据库及业务系统监控审计功能模块。包括数据库运行状态监控、数据库风险监控、数据库和业务审计、数据库安全审计系统、数据库口令管理。覆盖了数据库运行状态、安全状态、访问入口加固、审计监控等多个层次的安全问题,为业务系统提供立体的防护体系。
(4)完整的解决方案
本产品提供的数据库业务监控与审计功能模块,致力于解决当前业务系统中数据安全的相关问题。支持TCP/IP、本地环回TCP/IP、共享内存、命名管道、SSL等多种通信协议,支持多种主流数据库系统和查询分析能力。可以广泛应用于各个行业、各种网络环境和应用环境,满足不同类别的数据库安全需求。产品采用开放式设计,可以根据实际情况进行修改,适应新的环境。
(5)完全自主知识产权
本产品是在长期对该领域研究的专注基础上完成的,拥有完全自主的知识产权。相关核心技术已经或者正在申请专利保护。
5、产品价值
(1)满足合规要求
如何通过IT审计对IT治理环境进行有效的控制,确保IT治理与企业战略目标相符成为了企业及其监管部门最关心的问题之一。国内公司遵循的许多规范正在逐步与国际接轨,如在美上市的中资企业需遵循SOX法案(上市公司会计改革与投资者保护法案)。同时随着国家等级化保护基本要求(等保)、分级保护(分保)、以及行业风险管理和内控指引的出台,用户合规审计需求日益凸显,政府、电信、金融、大型企业等都纷纷制定相关的规范,成为安全审计发展的重要促进因素。产品提供了灵活的IT审计解决方案,有助于完善组织的IT内控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。
(2)防止权限滥用
本产品促进组织落实监督管理机制。能够提供各类责任到人的访问记录,保证操作的可追溯性。本产品系列可以依据企业内部的数据访问策略对数据分级、分权限类型保护,可以通过审计设备制定相应审计策略,如:限制访问策略、特权访问等。本产品限制了数据库管理员(DBA)的超级权限,实现了系统管理员、安全管理、审计的角色分离,从而可以保证对系统管理员实施有效的监督,消除了传统数据库系统中系统管理员权限过大带来的安全风险。
(3)完整的第三方协议审计
业务系统一般由数据库服务器、应用服务器以及连接各系统的网络设备共同构成。本系统能够针对这些业务系统提供精确到字段的审计与响应。提供丰富的审计查询条件和细致的统计分析条件,通过多样化的关联查询分析能力,保证数据展现的灵活多样。
(4)定制合规报表
提供符合性报表集,加快按照各种法规、最佳做法等框架(包括SOX、等级保护、分级保护等)进行的审计、安全和符合性检查工作。这些报表不仅关注具体法规标准,而且还关注与业务应用相关的指标。除了预定义的报表外,本系统具有强大的报表定制能力,在创建定制报表和模板方面提供了全面的灵活性。
6、产品型号
主要属性 | CDPS-DAF-200 | CDPS-DAF-400 | CDPS-DAF-600 | CDPS-DAF-800 | CDPS-DAF-1000 | CDPS-DAF-1500 | CDPS-DAF-2000 |
---|---|---|---|---|---|---|---|
sql处理能力 | 8000条/秒 | 10000条/秒 | 12000条/秒 | 15000条/秒 | 18000条/秒 | 20000条/秒 | 30000条/秒 |
吞吐量 | 2Gbps | 2Gbps | 2Gbps | 2Gbps | 4Gbps | 4Gbps | 4Gbps |
日志容量 | 大于20亿 | 大于20亿 | 大于40亿 | 大于40亿 | 大于40亿 | 大于40亿 | 大于100亿 |
网口数量 | 4口 | 4口 | 4口 | 6口 | 6口 | 8口 | 8口 |
网口类型 | 千兆电口 | 千兆电口 | 千兆电口 | 千兆电口 | 千兆电口 千兆光口 |
千兆电口 千兆光口 |
千兆电口 千兆光口 |
规格 | 1U | 2U | 2U | 2U | 2U | 2U | 2U |
电源 | 1+1冗余电源 | 1+1冗余电源 | 1+1冗余电源 | 1+1冗余电源 | 1+1冗余电源 | 1+1冗余电源 | 1+1冗余电源 |
平均无故障时间 | 大于60000小时 | 大于60000小时 | 大于60000小时 | 大于60000小时 | 大于60000小时 | 大于60000小时 | 大于60000小时 |