1 概述

互聯網的急速發展使得運營商的數據庫信息價值及可訪問性得到了提升，同時，也致使數據庫信息資產面臨以下三個層面的挑戰：

■ 管理層面：主要表現為人員的職責、流程有待完善，內部員工的日常操作有待規范，第三方維護人員的操作監控失效等等，致使安全事件發生時，無法追溯并定位真實的操作者。

■ 技術層面：現有的數據庫內部操作不明，無法通過外部的任何安全工具來阻止內部用戶的惡意操作、濫用資源和泄露企業機密信息。

■ 審計層面：現有的依賴于數據庫日志文件的審計方法，存在諸多的弊端,難于體現審計信息的真實性。

數據庫防御與審計的目的就是規避上述三個層面的安全風險，確保數據庫信息的完整性、審計記錄的真實性及攻擊防范的及時有效性。為了達到數據完整性的目標，要求數據庫防御與審計系統能夠100%的捕捉數據訪問、自動追蹤數據庫配置變化;同樣，為了保持審計記錄的真實性，需要對審計記錄的存儲與管理獨立于被審計的數據庫本身，而實時有效的防范，則需要依靠靈活的安全策略去實現。

依靠傳統的網絡防火墻及入侵保護系統(IPS)，在網絡中檢查并實施數據庫訪問控制策略的安全解決方案因無法實現對特定用戶數據庫操作的識別，無法實現細粒度的操作審計，致使其在面對運營商切實的數據庫權限濫用等安全問題時束手無策。而開啟數據庫軟件自身的審計功能，一方面會大大影響數據庫系統的性能，另一方面也無法保證審計信息的真實性。

為了解決運營商數據庫安全領域的深層次、應用及業務邏輯層面的安全問題及審計需求，亞龍(安恒)與浙江鴻程共同研制并成功推出了全球領先的、面向運營商核心數據庫的、集“全方位的風險評估、多視角的訪問控制、深層次的審計報告”于一體的數據庫防御與審計設備，即明御數據庫防御與審計系統(簡稱：DAS-DBAuditor)，為運營商核心數據庫提供全方位安全防護。

在運營商業務支撐網絡中部署了DAS-DBAuditor，可以實現運營商核心數據庫的“系統運行可視化、日常操作可跟蹤、安全事件可鑒定”目標，解決運營商數據庫所面臨的管理層面、技術層面、審計層面的三大風險,以滿足運營商的不斷增長的業務需要。

2 方案概述

2.1 功能介紹

如下圖所示，DAS-DBAuditor主要的功能模塊包括“自動化風險評估、動態建模、實時監控與防御、全方位審計分析、配置管理及綜合查詢、SOX審計”幾個部分。

■ 自動化風險評估：

DAS-DBAuditor依托其權威性的數據庫風險規則庫，自動完成對幾百種不當的數據庫不安全配置、潛在弱點、數據庫用戶弱口令、數據庫軟件補丁、數據庫潛藏木馬等等全方位的掃描，最終形成嚴謹的評估報告及加固建議。通過自動化的風險評估，可以為后續的安全策略設置提供有力的依據。

■ 動態平衡建模：

DAS-DBAuditor通過智能自學習引擎，完成對數據庫正向安全模型的自動創建，動態建模彌補了手工創建及維護安全規則的最大不足。

■ 實時監控與防御：

DAS-DBAuditor依賴智能自學習創建的正向安全模型，可防止數據庫受到特權濫用、已知漏洞攻擊、人為失誤等等的侵害。當用戶與數據庫進行交互時，DAS-DBAuditor會自動根據預設置的訪問控制策略進行第一道防護、繼而通過對數據庫活動的實時監控，進行特征檢測及異常檢測。任何嘗試的攻擊都會被檢測到并實時阻斷或告警。