1 背景概述

1.1 数据库面临的安全挑战

数据库是任何商业和公共安全中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临管理、外部攻击、审计、平台脆弱性等四个层面的严峻挑战，给企业造成了巨大的损失。

1.2 法令法规的要求

《计算机信息系统安全等级保护数据库管理技术要求》是计算机信息系统安全等级保护技术要求系列标准之一，详细说明了计算机信息系统为实现GB17859所提出的安全等级保护要求对数据库管理系统的安全技术要求，以及确保这些安全技术所实现的安全功能达到其应有的安全性而采取的保证措施，明确提出数据库管理系统的安全审计应建立独立的安全审计系统。

1.3 数据库安全对企业的重要意义

数据是企业业务的根本，数据库是企业数据的载体，存储了企业的核心数据。从信息安全角度来看，数据库系统的安全是整个IT系统安全的核心，IT系统建设者越来越重视数据库的安全，在IT系统建设初期都充分考虑物理安全和网络安全方面的安全防护。但是，从当前发生的安全事件来看，数据库安全问题不仅仅是物理安全和网络安全，数据库系统正面临着从安全管理到安全技术等各方面的安全隐患，这些风险将给企业的业务带来严重的影响，可能会造成巨大的经济损失与政策风险。

公司采用数据库及业务应用安全监控审计系统集中应对企业数据库安全监控审计风险。系统广泛适用于政府、电信、金融、军队、能源、交通、教育、军工以及各大中型企业客户。

2 产品介绍

蓝盾数据库及业务应用安全监控审计系统(简称DAA)是一款集安全监控与审计为一体的新一代业务智能型数据库及业务应用安全审计产品。

系统围绕数据库弱点扫描、攻击检测、操作审计、风险控制四个方面建立了一套严密的数据库安全体系，系统采用深度检测、变量识别、长语句审计、模型分析、数据关联等核心技术，解决数据库资源面临的“异常操作、权限滥用、违规操作、漏洞攻击”等安全威胁，实现数据库系统的风险可视化、操作可视化、事件可溯源。

系统功能架构图

3 典型部署

3.1 单机旁路部署

图3-1单机旁路部署示意图

特点：

l 无需更改现有网络；

l 无需修改应用配置；

l 不影响数据库服务器性能。

适合客户类型：

l 中小企业客户。

3.2 探针部署

图3-2探针部署示意图

特点：

l 业务应用服务器上安装审计探针；

l 实现业务关联审计100%准确；

l 与网络架构无关。

适合客户类型：

l 适用于虚拟化、云环境；

l 无法镜像流量的网络环境；

l 对关联要求100%准确的客户。

3.3 分布式部署

图3-3分布式部署示意图

特点：

l 旁路与探针可同时部署、无需更改现有网络；

l 根据网络结构、业务类型、流量分布情况部署采集器；

l 集中管理、统一展示、策略配置统一下发。

适合客户类型：

l 中大型企业客户、集团客户

3.4 分布式混合部署

图3-4分布式混合部署示意图

特点：

l 根据业务系统、机房位置、流量等合理部署采集器，通过分流器进行分流；

l 大数据平台统一数据存储，可灵活扩展、支持高效检索性能；

l 管理中心进行集中管理，统一展示，策略规则统一分发。

适合客户类型：

l 超大型客户，运营商

4 方案优势

4.1 全面的数据库类型及协议支持

BD-DAA支持目前市场上绝大部分的数据库类型，如主流数据库Oracle、MS SQL server、DB2、Sybase、MySQL、Informix、CACHE、PostgreSQL、MongoDB、MariaDB等，数据仓库teradata，国产数据库达梦、人大金仓、Oscar（神通）、南大通用，和其他安全运维协议HTTP、Telnet、SMTP、POP3、FTP、DCOM等。

图4-1全面的数据库类型及协议支持图示

4.2 保障数据全生命周期的安全

提供数据库安全全过程监控，事前进行安全风险评估，事中实时攻击检测、动态审计、风险控制、违规告警，事后进行异常行为分析，审计取证溯源，操作回放，全面保障数据库的网络空间安全与数据全生命周期安全。

图4-2系统实时监控与风险控制图示

4.3 多维度、细粒度审计分析

1. 全方位：实时监控来自各个层面的所有数据库活动，包括SQL操作、ftp操作、telnet操作，精细到表、字段、具体报文内容的细粒度审计规则，实现对敏感信息的精细监控。

2. 细粒度：细粒度的审计规则、精准化的行为回溯、全方位的风险控制。

4.4 广泛的系统合规适用性

BD-DAA具有合规性和广泛的适用性，符合国家法律法规的规定，满足《等级保护数据库管理技术要求》、《信息安全等级保护测评准则》要求。

同时系统还满足SOX法案或者专业职责标准（如PCI）中明确提出对工作人员进行三权分立职责分离要求，系统设置了权限角色分离，如系统管理员负责设备的运行设置；配置管理员负责相关数据库操作规则的设定；审计员负责查看相关审计记录及规则违反情况。

系统通过多种类型的探针支持和灵活的部署方式，支持传统的部署方式以及主流的虚拟化平台、第三方虚拟化平台部署，能够适用不同客户各种复杂网络环境以及支持各种业务系统类型，目前支持的探针类型有JAVA、PHP、.NET等，目前支持的部署方式包括单机旁路部署、探针部署、分布式部署、分布式混合部署。

系统简单实用、界面友好、美观大方、置有丰富的仪表板及报表，适用于各级管理人员，适用于政府、电信、金融、军队、能源、交通、教育、军工以及各大中型企业客户。

4.5完全解析，精准定位溯源

BD-DAA通过专业的协议全解析技术、支持超长语句审计以及变量绑定识别；领先的业务关联审计技术以及智能的异常行为分析技术，支持多种探针类型实现业务关联的100%准确关联以及动态建模的异常行为分析；全面真实的协议解析还原，实现精准的审计定位溯源。

4.6 领先的业务智能分析

BD-DAA是新一代业务智能型数据库审计产品，系统通过丰富的业务关联模型，动态建模的智能异常行为分析技术，完整的语义业务翻译功能，和全面的风险分析测评，确保蓝盾数据库及业务应用安全监控审计系统能够满足未来最新的数据库审计和监控需求，确保客户业务系统和重要数据的安全。