一、產品介紹

“數據庫風險監測系統”是一款落實數據分類分級后實時監控并記錄數據庫系統各類操作和涉及相關的資產和數據的流量分析系統。通過對SQL語句和語法的分析，實時地、智能地解析對數據庫的各種操作，并記入數據庫審計設備中以便日后進行查詢、分析、過濾，實現對目標數據庫系統的用戶操作的監控和審計。

二、設計理念

為了部署一款既能獨立審計針對數據庫的各種訪問行為，又不影響數據庫的高效穩定運行的系統，主要以以下原則為設計準繩。

實用性:于業務系統數據在數據庫中進行集中存儲，故對于數據庫的操作審計需要細化到數據庫指令、表名、視圖、字段等，同時具有回收站技術，在數據庫出現關鍵錯誤時及時響應，避免由于數據庫故障帶來的數據損失；

靈活性:審計系統可提供缺省的審計策略及自定義策略，可結合用戶業務特點，對關鍵業務用戶、操作途徑、重要操作、重要表、重要字段進行過濾審計，并可指定操作事件發生時，系統的響應方式。

獨立性：審計系統應獨立于數據庫系統存在，即使數據庫或者操作系統遭到破壞，仍然要保證審計日志的準確性和完整性。同時，審計系統的運行，對數據庫系統和業務操作不應造成性能影響。

擴展性:當業務系統進行擴容時，審計系統可以平滑擴容。系統支持向第三方平臺提供記錄的審計信息。

可靠性：審計系統能連續穩定運行，且提供足夠的存儲空間來存儲審計日志，滿足在線存儲至少36個月的要求；審計系統能夠保證審計記錄的時間的一致性，避免錯誤時間記錄給追蹤溯源帶來的影響。

易用性:審計系統應能夠基于操作進行分析，能夠提供主體標識（即用戶）、操作（行為）、客體標識（設備、操作系統、數據庫系統、應用系統）的分析和靈活可編輯的審計報表。

三、產品功能

     1、資產管理

資產自動發現：支持網卡流量抓包以及PCAP文件上傳，自動發現網絡流量內的數據庫，記錄數據庫的IP地址、端口號、數據庫類型等信息，設備無需添加、即插即用實現數據庫審計

業務系統管理：以業務系統的角度查看，存在哪些網絡資產（主機、數據庫資產）

主機資產管理：將終端資產，進行業務系統歸屬，部門歸類，屬主確認等運營工作，最終形成完備的終端資產

組件資產管理：數據組件作為網絡空間數據承載的基礎設施，存儲著網絡空間活動過程中的各類數據，系統幫忙客戶進行數據組件資產盤點，并明確歸歸宿任人與部門。

數據資產管理：通過技術手段與人工服務，協助用戶理順數據資產，形成具有隸屬和并列關系的分類分級目錄。形成基于分類分級結果的數據治理基礎。

2、審計策略

數據庫安全審計主要是通過制定審計策略，發現流量中存在符合策略的命令從而完成審計操作的。系統除了自身內置的策略之外，客戶可根據自身業務需求制定自定義的策略。當前系統支持SQL白名單、SQL注入、數據庫漏洞及高級策略等規則的制定。規則的制定和開啟，當審計流量時命中該規則即會觸發規則告警，根據不同的風險等級和預置規則，系統會做出相應的響應。主要有：

基于場景化的SQL流量類型劃分：基于客戶端IP、數據庫賬號、數據庫客戶端類型等維度制定邏輯表達式，用于區分不同場景的數據庫流量。

場景化分析：智能學習業務的SQL行為基線，并基于行為基線進行告警。

自定義規則：可以根據客戶端IP、敏感資產所屬表、默認DB、會話連接ID、敏感標簽、實例名、結果行數、規則類型、SQL命令、風險級別、服務區IP、流量類型、訪問時間、數據庫類型、應用程序名等多因子聯合查詢。

3、審計方式

通過數據庫網絡審計、數據庫本地審計兩種審計方式，對數據庫來自運維終端訪問、來自網絡訪問、來自DBL .ink的訪問、來自加殼偽裝的訪問、來自普通數據客戶端訪問、來自數據庫本地訪問、來自數據庫內部的訪問等全方位的數據庫訪問行為進行審計。

4、審計內容

 4.1 用戶審計

 所有審計的目標最終都是為了確定操作數據庫的人，對用戶的賬號、用戶的類型進行統計分析，審計到特權用戶、新增用戶及刪除用戶。根據運維、業務和BI的三個維度對用戶進行類型劃分，并統計用戶的數量，查看流量中各類型用戶的占比情況。并還可審計出流量中用戶的活躍時間段、登錄時長、登錄地址，綜合以上對用戶類型、活躍時間段、登錄時長和地址，得到用戶畫像，更加清楚的了解用戶的使用情況。

 4.2 資產審計

 審計資產是數據庫對象，包括數據庫的類型、地址、端口等信息。審計到的新增數據庫和刪除的數據庫，依照數據庫類型等維度做數據資產的分析。審計到數據庫后，匯總分析出表、列、敏感標簽的新增、刪除、清空的數量。因為數據庫為經常訪問的對象，因此審計維度中對于數據庫的請求SQL、返回結果集SQL做出趨勢圖，可以更加直觀的看出哪些數據庫、哪些表、哪些列會被經常訪問。

 4.3 行為審計

 操作行為會被歸為DDL、DML等操作行為。可統計出組件、用戶、用戶IP等維度的活躍時長。登錄和請求等失敗的操作，根據用戶、用戶IP等維度進行統計。

 4.4 風險審計

         針對數據庫遇到的軟件環境風險、數據泄漏風險、業務風險和可疑操作四個大項，20+子項進行審計，全方位發現風險。

   5、風險告警

 數據安全審計系統通過實時告警引擎和短信、郵件等多種告警手段來保證告警的實時性；通過精細化的事件審計、靈活的告警規則、重復事件合并和過濾功能、以及強大的搜索引擎保障來保證告警信息不會泛濫造成管理者麻木；通過精細化告警規則、未知威脅的智能化告警、SQL注入檢測、錯誤操作檢測來方便管理者訂制需要的事件告警，管理者也可以依據自身的安全需求訂閱相關的告警。

   6、事件查詢和溯源

 數據庫安全審計系統提供安全事件查詢功能，基礎搜索查詢方式靈活方便，可直接查詢到包含關鍵詞的相關事件；高級搜索通過更加精準的因子表達式，寫出多因子的搜索條件，可以更精準的查詢到目標事件。能夠針對某個登錄主題進行從數據庫登錄到當前操作的時間序列安全事件回溯，是真正基于數據庫會話的一致性回溯。也可以對某條安全事件進行同類事件回顧，回溯相同的安全審計事件在歷史上的發生情況。

   7、外部產品聯動

            外部的聯動主要是針對分類分級的聯動和對上安全管理中心的聯動。

  外部分類分級對接：通過對接外部分類分級系統，將分類分級后的數據同步至本系統。并將同步過來的敏感標簽同步至審計日志中。

  安全管理中心聯動：可通過ServerLess機制快速定義API，無需定制開發就可以快速與其他產品以API的形式打通，可以接收其他產品的數據，也可將數據傳輸給其他產品。ServerLess機制支持JAVA、Python等語言。

   8、消息訂閱

 數據庫安全審計系統具有消息訂閱功能，支持短信、郵件、syslog形式的消息發送。消息訂閱可用于策略告警通知、報表定期發送。

   9、合規報表

 審計統計報表是數據庫安全審計常規化的關鍵功能支持，數據安全審計系統提供極為豐富的手段以支持用戶日常性的報表導出任務，內置了多種報表模板，基本涵蓋數據安全涉及的所有方面。例如：用戶畫像分析報表、數據庫審計風險分析報告，元數據溯源分析、薩班斯合規報表等。這些報表皆可進行任務調度，以日報、周報和月報的形式導出，并支持通過消息訂閱進行定期發送。

四、產品優勢

   1、落實分類分級后的數據流動監測

  數據庫風險監測產品通過和數據分類分級對接，能夠得到數據分級分類清單及標簽，為后續針對數據級別緯度的監測打好了基礎。后續，可以根據庫、表、列中的數據標簽，識別處數據的級別，并和人員權限做綁定。

  可以針對人員數據訪問情況（如A訪問了數據庫的四級數據）、敏感數據違規訪問、敏感數據異常下載、用戶異常下載進行等數據及敏感數據操作進行審計和告警。

   2、數據資產全生命周期管理

  可以針對數據資產的生命周期進行管理，主要包括：

? 敏感數據流向分析

? 敏感數據流入非敏節點

? 冷數據、熱數據TOP分析

? 敏感詞告警

? 元數據生命周期分析

? 數據通道違規

? 高敏數據違規使用

? 敏感數據分布與動態變更分析

? 數據過度拉取

? 數據的新增，使用，銷毀趨勢

   3、數據庫風險全生命周期監測

? 資產可視：通過對數據庫的分析，自動識別數據庫、表、字段數量，對數據庫訪問情況進行梳理。

? 用戶可管：數據用戶梳理與風險分析

? 行為可控：根據給定事件，完整還原用戶事件，通過指定用戶，分析出該IP或用戶的訪問基線

? 風險可知：審計所有操作，通過行為分析預知潛在風險。

? 溯源可查：根據給定的敏感數據或者敏感表追溯訪問者、訪問事件，流出數量。

? 運營可感：通過對數據資產全生命周期展示和用戶行為分析，體現較好的運營效果。

   4、數據庫風險全覆蓋

 整理出與數據庫有關的風險，將風險根據危害程度分成四個等級，根據等級統計風險的數量，對數據庫的風險進行全方位監測。

   5、多個緯度進行精準審計

? 精準審計到操作人：通過應用程序賬戶以及CA數字認證和U盾，可以精確識別到操作自然人。

? 精準審計到具體操作：用精確審計到操作庫對象、表對象；精確審計到具體的列對象；具體操作的SQL語句戶。

? 精確審計到三層終端：既可以精確審計到二層訪問的終端，也可以精確審計到來自于三層B/S架構下的瀏覽器終端信息，包括IP、用戶、應用模塊。

? 精確審計到操作工具：精確識別連接數據庫連接工具，防止被假冒應用注入或者數據竊取。