啟明星辰天玥資料庫安全審計產品評測

　　近年來，資料庫被攻擊和資料竊取事件層出不窮：CNN財經網報導的4000 萬信用卡資訊被黑客竊取，導致嚴重的經濟問題和社會問題;國內也出現幾次電信運營商資料庫伺服器被攻擊，給企業帶來了經濟和聲譽上的損失等等。越來越多的大型企業意識到了資料庫行為審計的重要性，現在採用獨立的資料庫審計產品已經成為業界的趨勢。

　　大部分企業在資料中心的資料庫伺服器中儲存公司的核心資料資訊，資料庫的安全和審計就顯得尤為重要。通常資料庫管理主要面臨以下挑戰：

　　管理風險：主要表現為人員的職責、流程有待完善，內部員工的日常操作有待規範，第三方維護人員的操作監控失效等等。離職員工的後門，致使安全事件發生時，無法追溯並定位真實的操作者。

　　技術風險：資料庫是一個龐大而複雜的系統，安全漏洞如溢位、注入層出不窮，每一次的 CPU(Critical Patch Update)都疲於奔命，而出於穩定性考慮，往往對補丁的跟進非常延後，更何況通過應用層的注入攻擊使得資料庫處於一個無辜受害的狀態。目前的現實狀況是很難通過外部的任何網路層安全裝置(比如：防火牆、IDS、 IPS 等)來阻止應用層攻擊的威脅。

　　審計層面：現有的依賴於資料庫日誌檔案的審計方法，存在諸多的弊端，比如: 資料庫審計功能的開啟會影響資料庫本身的效能、這一點在大型的資料庫使用者最能表現;資料庫日誌檔案本身存在被篡改的風險、自己的日誌審計也難以體現審計資訊的有效性和權威性。

　　通過上述的分析，如何有效地保證資料庫系統的安全，實現資料的保密性、完整性和有效性，對資料庫的內容進行有效地審計，已經成為企業資料庫安全管理與審計的當務之急。

　　針對以上這些問題，我們選擇了在安全產品及解決方案方面有著較高聲譽的廠商啟明星辰出品的，符合資料庫安全及審計需求特點的、價效比較高的安全審計產品—天玥網路安全審計系統(硬體+軟體)，並配合天鏡脆弱性掃描與管理系統(軟體)，通過實際環境的測試，來展示在資料庫(Oracle資料庫)安全、審計等方面為企業帶來的益處。

　　本方將通過以下幾個步驟來進行：

　　一、天玥產品解決方案架構設計及評測環境介紹
二、產品基本配置及管理方式
三、資料庫安全及審計測試目標
四、主要功能測試示例及介紹
1、產品自身安全及分角色管理
2、資料庫操作全面、實時審計(命令級別)
3、高風險操作行為警報
4、資料庫安全漏洞評估
5、事後調查取證
6、多種組合查詢、回放及報表輸出
7、三層關聯功能
8、等重要功能介紹
五、測試總結

　　一、天玥解決方案架構設計及評測環境

　　1、 產品特性

　　天玥網路安全審計系統是針對業務環境下的網路操作行為進行細粒度審計的合規性管理系統。它通過對被授權人員和系統的網路行為進行解析、分析、記錄、彙報，以幫助使用者事前規劃預防、事中實時監視、違規行為響應、事後合規報告、事故追蹤溯源，從而，加強內外部網路行為監管，保障核心資產(資料庫、伺服器、網路裝置等)的正常運營。

　　天玥系統能夠審計各類業務網路中的協議，包括：資料庫類協議(Oracle、Informix、DB2、DB2-DAS、Microsoft SQL Server、Sybase、MySQL、PostgreSQL、Teradata、Cache，Sybase)，運營維護類協議(SSH、Telnet、Rlogin、X11)，檔案操作類協議(SCP、SFTP、FTP、NFS、SunRPC/PCNFSD、Windows網路上的芳鄰)，網際網路類協議(HTTP 、SMTP、POP3)，以及其他一些協議型別(Windows遠端桌面、Radius、自定義協議)。

　　而天鏡脆弱性掃描與管理系統是啟明星辰自主研發的基於網路的脆弱性分析、評估和綜合管理系統，根據“發現-掃描-定性-修復-稽核” 弱點全面評估法則，能夠快速發現網路資產，準確識別資產屬性、全面掃描安全漏洞，清晰定性安全風險，給出修復建議和預防措施，並對風險控制策略進行有效稽核，從而在弱點全面評估的基礎上實現安全自主掌控。

　　在本次測試中，將以天玥安全審計產品為主，天鏡產品為輔進行對Oracle資料庫安全審計及漏洞掃描評估等。

　　2、解決方案架構

　　天玥網路安全審計系統採用審計資料中心、審計引擎分佈部署，審計資料中心支援一對一或一對多的方式與審計引擎進行連線。

　　審計資料中心連線在交換機的普通埠，負責審計資料的儲存和提供管理入口;而審計引擎有兩種監聽方式：其一，採用旁路監聽方式，連線在交換機的映象埠，負責對映象流量進行分析;其二，可以串接在資料庫伺服器前端，對所有流向資料庫的網路流量進行擷取及分析。一般情況下，企業偏向於第一種方式，對網路效能的影響最小，還不影響業務系統的連續性。

　　值得注意的是，如果被審計的業務物件環境中的交換機啟用了Trunk功能(如伺服器虛擬化環境)，也是會受到天玥解決方案的支援的。

　　管理員可以在網路中任何一臺PC上通過瀏覽器對系統進行管理，系統提供審計策略管理、事件查詢、報告等功能。

　　下兩圖均來自官方：圖一是單級部署方式，適合於中小企業，網路架構不復雜，且業務資料庫量相對較少的環境;圖二是多級分散式部署，適合於大型企業，或者網路架構複雜，安全審計業務需求型別較多的環境，同時，對於審計業務物件分佈在全國各地的企業來說，通過網際網路(VPN)實現總部到分支的一對多的分散式部署方式亦能支援。

▲圖示 天玥產品單級部署解決方案

▲圖示 天玥產品分散式部署解決方案

　　3、評測環境介紹

　　本次的評測環境為某大學的一個小型資料中心機房，中心內部署有多臺oracle、mysql資料庫。有一臺三層核心交換機，具備埠映象及VLAN功能。

　　採用旁路接入的單級部署方式，兩臺裝置，審計資料中心及審計引擎。審計資料中心為管理及審計日誌儲存端，而審計引擎則連線到三層交換機的映象口及普通埠。而oracle資料庫伺服器是通過一臺windows server 2003機器上安裝sql plus客戶端進行管理的。sql plus客戶端所連線交換機埠流量映象到映象口，同時，天鏡脆弱性掃描與管理系統安裝部署在此臺機器上。