天融信数据安全管理系统数据库安全网关系统tdsm-dbgw 白皮书
TRANSCRIPT
可信网络 安全世界
www.topsec.com.cn 第 1 页 共 14 页
天融信数据安全管理系统
数据库安全网关系统
TDSM-DBGW
白皮书
天融信
TOPSEC®
北京市海淀区上地东路 1 号华控大厦 100085
电话:+8610-82776666
传真:+8610-82776677
服务热线:+8610-8008105119
http: //www.topsec.com.cn
可信网络 安全世界
www.topsec.com.cn 第 2 页 共 14 页
版权声明
本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)
所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本
手册没有任何形式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、
利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规
格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通
知之义务。
版权所有 不得翻印© 1995-2016 天融信公司
商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其
他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所
有,恕不逐一列明。
TopSEC®天融信
信息反馈
http://www.topsec.com.cn
可信网络 安全世界
www.topsec.com.cn 第 1 页 共 14 页
目录
第一章 产品简介 ..................................................................................................................................... 2
1.1.产品综述 ..................................................................................................................................... 2 1.2.产品价值 ..................................................................................................................................... 2 1.3.产品优势 ..................................................................................................................................... 3
1.3.1.与网络防火墙对比 ........................................................................................................ 3 1.3.2.与 Web 防火墙对比 ........................................................................................................ 4 1.3.3.与数据库审计产品对比 ................................................................................................ 4
第二章 特色功能 ..................................................................................................................................... 5
2.1.数据库用户权限的细粒度管理 .................................................................................................. 5 2.2.黑白名单和例外策略 .................................................................................................................. 5 2.3.全面、精细、实时的审计分析和追踪 ...................................................................................... 5 2.4.数据库审计日志数据脱敏 .......................................................................................................... 5 2.5.数据库数据在线脱敏 .................................................................................................................. 6 2.6.数据库状态监控.......................................................................................................................... 6 2.7.大量的内置报表.......................................................................................................................... 6 2.8.三权分立 ..................................................................................................................................... 7
第三章 产品特性 ..................................................................................................................................... 8
3.1.控制和审计双模式支持 .............................................................................................................. 8 3.2.策略配置灵活.............................................................................................................................. 8 3.3.提供与第三方系统多种接入方式 .............................................................................................. 8
第四章 关键技术说明.............................................................................................................................. 9
4.1.高性能 SQL 分析和风险计算技术 ............................................................................................ 9 4.2.高性能日志存储检索引擎技术 .................................................................................................. 9 4.3.数据库增强认证、访问控制和审计技术 .................................................................................. 9
第五章 部署形式 ................................................................................................................................... 10
5.1.串联方式 ................................................................................................................................... 10 5.2.旁路方式 ................................................................................................................................... 10 5.3.软件探针 ................................................................................................................................... 11 5.4.建议部署模式............................................................................................................................ 11
可信网络 安全世界
www.topsec.com.cn 第 2 页 共 14 页
第一章 产品简介
天融信数据库安全网关系统(简称 TDSM-DBGW)能够实时监控网络上的数据库活动,使
用全面的访问控制,防止来自内部和外部对数据的攻击,是保护数据库安全的最后一道防线。
TDSM-DBGW 易于部署,无需修改现有应用程序和数据库。
1.1. 产品综述
天融信数据库安全网关系统(简称 TDSM-DBGW)是一款专业的、主动、实时保护数据库
安全的解决方案。TDSM-DBGW 具有数据库状态监控、数据库审计、数据库风险扫描、SQL 防
火墙、访问控制等多种引擎,可提供黑白名单和例外策略、用户登录控制、用户访问权限控制,
并且具有实时监控数据库访问行为和灵活的告警功能。
TDSM-DBGW 支持两种工作模式,可以作为 IDS(入侵检测系统)和 IPS(入侵防御系统)来应
用。TDSM-DBGW 独立于数据库配置和部署,这种方式能够在不影响数据库的情况下,达到灵
活管理的目的。TDSM-DBGW 支持灵活的部署模式,包括双机、串联、旁路,以及 ByPass。
与传统的 SQL 防火墙(依赖于正则表达式、字符串等技术识别 SQL)不同,TDSM-DBGW
可以智能的识别 SQL 类型,从而灵活的构建行为模型,且能够快速、准确的配置和定位策略。
此外,通过智能的 SQL 识别,能够及时发现 SQL 的潜在风险,并进行控制(包括告警、拦截等),
从而能够将攻击行为防患于未然。
TDSM-DBGW 能够通过易用的配置,达到细粒度访问控制的目的,在不影响数据库用户权
限的前提下,直接在 TDSM-DBGW 上对数据库用户权限进行细粒度划分,从而确保数据库达到
合规性要求。
TDSM-DBGW 可监视数据库访问,实时通过访问控制策略,对异常的行为进行实时告警,
并帮助防止来自于内外部的数据库攻击行为。此外,通过监控数据库系统的内存使用状况、缓冲
区管理统计、用户连接统计、Cache 信息、锁信息、SQL 统计信息、数据库信息、计划任务、线
程信息、键效率、缓冲区命中率等信息来判断数据库系统运行是否正常,保证数据库系统的可用
性和响应能力。
TDSM-DBGW 可以对数据库的系统漏洞、用户弱口令、权限分配、宿主操作系统漏洞等内
容进行定期扫描,发现漏洞风险及不合理的配置项,及时通知管理员。通过数据库风险扫描功能
可以减少、弱化大多数人为与非人为造成的数据库风险,提高数据库的安全性,减少数据库被攻
击的风险。
TDSM-DBGW 当前支持 Oracle、MSSQL、MYSQL、DB2、达梦、Gbase 等多种主流数据库,
支持旁路、串联部署方式,满足用户多种部署需求。
1.2. 产品价值
使用 TDSM-DBGW 解决方案,能够为您带来以下价值:
可信网络 安全世界
www.topsec.com.cn 第 3 页 共 14 页
保护数据库以及核心数据安全;
提供灵活、便利的策略定制;
提高对数据库访问的可控度;
帮助您及时的发现针对数据库攻击行为和安全隐患;
帮助您从多角度了解数据库活动现状;
帮助您满足合规/审计的要求;
简化您合规/审计的工作。
1.3. 产品优势
目前,安全产品和数据库审计产品多种多样,常见的安全产品有网络防火墙、Web 防火墙。
TDSM-DBGW 作为专业的数据库安全网关,有自己独特的优势。
1.3.1. 与网络防火墙对比
网络防火墙和 TDSM-DBGW 由于各自的防护重点不同,因此各具特色。相较于网络防火墙,
TDSM-DBGW 是专业的数据库安全网关,所具备的审计、控制等功能更适用于保护数据库安全。
从网络访问控制方面说,网络防火墙在网络层面的控制规则是基于 MAC/IP/协议/端口,而
TDSM-DBGW 的控制策略支持基于 IP/数据库类型/端口的安全访问控制。
从数据库 TNS 访问控制方面说,网络防火墙不具备 TNS 协议解析的功能,而 TDSM-DBGW
能够准确的对双向通信的 TNS 协议进行解析,此外,TDSM-DBGW 还能够根据策略,在不扰乱
后续通信的情况下,灵活的控制 TNS 数据包,例如,替换 TNS 协议中的 SQL 语句,重新构建
TNS 协议包。
从应用层的 SQL 访问控制方面来说,TDSM-DBGW 能够对 SQL 语句进行智能的语法分析,
从而达到防止对系统表和应用表恶意操作、防止对 SQL 注入等攻击,以及控制对数据库的细粒
度访问等目的。
从安全审计方面来说,网络防火墙只能对网络层、传输层的活动信息进行记录,而
TDSM-DBGW 能够将应用层的信息记录下来,有助于对数据库的操作行为进行详细的分析。
从防御功能方面来说,网络防火墙只能实现网络及传输层的报文过滤,而 TDSM-DBGW 能
够通过对数据库访问的应用协议进行解析和构建,通过对应用数据内容——SQL 语句进行分析、
检测与过滤,采用告警、拦截、阻断等方式保护数据库安全。
TDSM-DBGW 防火墙之所以与网络防火墙有如此大的差别,主要原因是它们所保护的对象
不同。网络防火墙保护内网设备安全,需要对通过网络访问内网的设备的行为都进行访问控制;
而 TDSM-DBGW 是专门的数据库安全网关,它所保护的对象就是数据库,它是为了保护数据库
安全而量身定制的。而相比于网络防火墙在网络层多方面防控,TDSM-DBGW 功能更为专业。
在整个网络拓扑中,两者缺一不可。
可信网络 安全世界
www.topsec.com.cn 第 4 页 共 14 页
1.3.2. 与 Web 防火墙对比
Web 防火墙是一种入侵防御系统,主要是对 Web 应用特有的入侵方式加强防护,例如 DDOS
防护、SQL 注入、XML 注入、XSS 等。一些 Web 防火墙产品还具备黑白名单的功能,“黑名单”
是明确需要阻断的访问者,一般而言是有过不良记录的外部访问者;“白名单”是需要无条件信
任的访问者。此外有些 Web 防火墙还具有自学习网页规律或者用户访问规则的功能。
Web 防火墙在网络中部署于 Web 服务器前端,而 TDSM-DBGW 防火墙通常部署于数据库前
端。就防御范围来说,Web 防火墙仅仅防御通过 Web 访问数据库的行为,而 TDSM-DBGW 除了
防御应用域的行为,对于 DBA 等所处的管理域也能够进行积极有效的防御。
从检测内容来说,Web 防火墙是对 Web 页面传输过来的“只言片语”进行检测,实际上是
对即将要发送给数据库服务器的片段内容进行检测,从中发现 Web 应用特有的攻击行为,而
TDSM-DBGW 能够识别完整的 SQL 语句、客户端信息、DB 信息以及数据库用户信息,并对 SQL
语句进行基于语法的解析,通过对 SQL 语句的检测,从中发现 SQL 注入行为、评估其中的风险、
发现针对数据库漏洞的攻击行为、发现数据库用户越权访问行为,并且为数据库活动的审计提供
了全面、精细、实时的日志信息。此外,对于通过各种隐蔽性手段绕过防火墙达到了数据库的攻
击行为,TDSM-DBGW 能够通过错误信息替换、返回行数控制等,阻碍攻击行为,将损失降到
最低。
从数据库访问控制角度来说,Web 防火墙更多的是控制即将进行 SQL 注入的行为,而
TDSM-DBGW 除了能够对 SQL 攻击进行预估和控制,还能够对系统表、敏感表进行恶意操作控
制,能够指定不同的数据库用户的权限,例如对敏感表的可操作权限、影响数据行数等。
从控制策略来说,Web 防火墙通常只能放行或者拦截客户端访问行为,而 TDSM-DBGW 提
供更全面的访问控制,包括记录、递送、告警、拦截、阻断、放行七种策略,可以灵活组合。
总的来说,相对于 Web 防火墙,TDSM-DBGW 对数据库的安全防御范围更为宽广,防御和
审计功能更为准确、全面。
1.3.3. 与数据库审计产品对比
相对于各个厂家的数据库审计产品,TDSM-DBGW 实时监控数据库访问活动,TDSM-DBGW
对 SQL 进行重写,去掉了 SQL 中无意义的参数,不但便于管理,而且缩减了日志量,为大数据
量日志存储和快速的查询、管理提供了便利。此外,TDSM-DBGW 提供了庞大的内置报表、自
定义报表能力和灵活的日志查询能力。
可信网络 安全世界
www.topsec.com.cn 第 5 页 共 14 页
第二章 特色功能
2.1. 数据库用户权限的细粒度管理
TDSM-DBGW 在不影响数据库用户配置的前提下,对于当前数据库用户所具有的权限提供
更详细的虚拟权限控制,数据库用户如果需要访问数据库,那么就需要受到 TDSM-DBGW 中的
访问权限限制。
数据库用户权限的细粒度管理功能,避免 DBA 花费大量精力对数据库用户的权限重新调整,
同时,避免了数据库用户权限滥用造成的数据泄露等危险。
2.2. 黑白名单和例外策略
TDSM-DBGW 建立所有被保护数据库的活动基线,包括 DML、DDL、DCL、SELECT 以及
已存在程序的使用。
TDSM-DBGW 通过学习模式以及 SQL 语法分析构建动态模型,形成白名单,此外,为了完
善用户访问数据库的正常模型,还允许 TDSM-DBGW 管理者对通过对已经识别的 SQL 信息进行
操作,完善黑白名单的策略,包括,将未识别 SQL 归入到黑白名单以及将黑白名单中的信息互
相调换。
TDSM-DBGW 允许对黑白名单配置不同的策略。对白名单只允许设置审计类策略和放行,
对黑名单可以进行全部的控制策略。当 TDSM-DBGW 检测到用户提出的请求和行为模型出现差
异时,TDSM-DBGW 将根据用户的配置进行警告或者拦截等操作。
2.3. 全面、精细、实时的审计分析和追踪
采用智能 SQL 语法分析技术,对发往数据库的 SQL 语句进行分析,并将 SQL 语句还原为对
数据库的操作行为,进行细粒度的记录、审计和报表展现,对高风险的 SQL 操作进行告警甚至
阻断。对于业务系统的特殊部署(比如应用系统与数据库系统同台部署)或运维操作(比如直接
在服务器操作数据库、远程桌面访问数据库等),常规数据库审计方法是无法监控到的。数据库
审计系统可以提供本地探针的部署方式,全面审计到对数据库的本地访问行为,确保审计信息无
死角。数据库审计可以对违规操作数据库的行为进行记录、追踪和取证,这对内部网络犯罪是一
种强大的威慑。
2.4. 数据库审计日志数据脱敏
用其它内容代替检索结果以及报表中的敏感信息,在结果中会显示遮蔽后的内容。可以进行
正则式的配置,如符合身份证正则式的信息全部替换为 XXX,则显示结果中凡是身份证号全部
替换为 XXX。
可信网络 安全世界
www.topsec.com.cn 第 6 页 共 14 页
2.5. 数据库数据在线脱敏
是依赖于数据库安全网关技术的强大的数据库通讯协议分析能力,在进行协议分析时,可以
完整无误的解析出 SQL 语句,并进行相应的重写、格式化过程,将 SQL 语句格式化为正则表达
式能够识别的格式。通过在策略中配置将格式化后的原始 SQL 语句替换为脱敏 SQL 语句。那么
如果原始语句返回值是:
NAME
李明
张亮
而替换后的语句返回值为:
NAME
######
######
2.6. 数据库状态监控
通过监控数据库系统的内存使用状况、缓冲区管理统计、用户连接统计、Cache 信息、锁信
息、SQL 统计信息、数据库信息、计划任务、线程信息、键效率、缓冲区命中率等信息来判断数
据库系统运行是否正常,保证数据库系统的可用性和响应能力。
图 2-6 数据库状态监控
2.7. 大量的内置报表
本产品提供丰富的审计查询条件和细致的统计分析条件,通过多样化的关联查询分析能力,
保证数据展现的灵活多样。同时提供强大的报表模板以及可定制的客户化报表,满足用户不同层
次的需要。其中报表模板有 DPA、SOX、等保、医疗防统方以及普通的基于查询的报表模板。
可信网络 安全世界
www.topsec.com.cn 第 7 页 共 14 页
系统提供丰富的日志检索接口。可以根据多个查询条件进行组合检索,包括时间、IP、用户
名、事件类型等。系统支持全文检索、布尔检索、通配符检索等功能,方便管理员挖掘日志的价
值。能够生成当天、当周、当月、当年以及定义时间跨度中的 IP、用户、数据库的流量、操作、
警告的统计和排名报表。系统自动生成方便用户查看的表格、柱状图、饼状图等,支持 PDF 格式
的报表导出。
2.8. 三权分立
对 TDSM-DBGW 系统本身的管理,采用职责分离的用户管理模式,可以对不同的用户指定
不同的权限。TDSM-DBGW 系统具备三权分立的功能,默认有安全管理员、安全审计员、系统
管理员,各个用户具备不同的系统管理、策略管理、系统日志查看的功能。
可信网络 安全世界
www.topsec.com.cn 第 8 页 共 14 页
第三章 产品特性
3.1. 控制和审计双模式支持
在 TDSM-DBGW 系统中,能够支持数据库活动控制和审计两种工作模式,不同的部署方式
支持的工作模式不同。
数据库活动审计模式(Database Activity Auditing Mode,简称 DAA 模式)
数据库活动审计模式是入侵检测模式,所有的数据包会全部放行,能够显示策略的风险等级
和“执行结果”,但不会执行阻断和中断会话策略动作。这是一种通过“旁路”方式对被保护的
数据库进行监控和审计的模式。
这种模式对来自网络的数据库操作只进行很“弱”控制,支持的安全策略包括:告警、传递、
记录。
数据库活动控制模式(Database Activity Controlling Mode,简称 DAC 模式)
数据库活动控制模式是入侵防御模式,支持全部安全策略,这是一种通过“串联”方式对被
保护的数据库进行强访问控制、监控和审计的模式。这种模式对来自网络的数据库操作进行很
“强”的控制,可支持所有的 TDSM-DBGW 的安全策略。
3.2. 策略配置灵活
TDSM-DBGW 提供了灵活和易于操作的策略配置管理。策略配置为保护数据库安全起到了
决定性的作用。
TDSM-DBGW 的配置方法从两方面体现:
事前规则配置
所谓事前规则配置,即提前配置 TDSM-DBGW 实例和受保护数据库的整体规则,那么在下
一次事件发生时,即可受到控制。
事后规则配置
所谓事后规则配置,即当在查看 TDSM-DBGW 所统计到的结果信息时,如果需要调整策略,
那么可以直接在查询界面,进入策略配置功能界面,对具体的对象进行规则配置。
3.3. 提供与第三方系统多种接入方式
TDSM-DBGW 可以通过递送方式,将记录的 SQL 信息通过多种方式发送给第三方系统,支
持的方式有:Syslog、SNMP Trap。
可信网络 安全世界
www.topsec.com.cn 第 9 页 共 14 页
第四章 关键技术说明
4.1. 高性能 SQL 分析和风险计算技术
SQL 分析和风险计算技术是数据库安全保护的核心技术。其性能直接决定整个系统的性能。
我们研发了特有的 SQL 分析和风险计算技术,以应对该问题。该技术的主要特点有:
通过扁平化的 SQL 分析,避免生成和二次解析、遍历复杂的抽象语法树;
将解析和风险计算整合到同一个过程中,避免多遍处理导致的性能损失;
使用缓存技术,缓存解释结果和授权检验、风险计算结果。
该技术能够提高十倍以上的 SQL 解析和风险计算速度,能够很好的服务于数据库安全系统。
4.2. 高性能日志存储检索引擎技术
审计日志具有单条记录较小,数量巨大,入库速度快,并要求进行按照关键字的模糊检索。
基于数据库的存储系统或者基于全文检索技术的存储系统都无法满足要求。
我们在多年在信息检索技术的积累基础之上,自主研发了高性能日志存储检索引擎。该引擎
基于倒排索引技术和多级缓存提交技术,在支持模糊检索的前提下,具有数十倍于数据库与全文
检索系统的入库速度。全面满足审计环境下的存储要求,能够很好的部署于云平台,提供日志存
储和查询功能。
4.3. 数据库增强认证、访问控制和审计技术
用户访问数据库时,通常都基于普通的用户名/密码认证方式。本项目产品在传统身份认证技
术的基础上,实现了基于数字证书的认证接入、基于 IP 地址的认证接入和基于 MAC 地址认证接
入等多种复合认证方式,可满足教育、医疗行业的各类业务应用对数据库访问的安全认证要求。
平台还提供透明代理、独立的授权管理、攻击保护、连接监控、日志审计等功能,从而达到
牢牢控制数据库入口,提高数据库应用安全性的目的。通过增强访问控制功能,平台屏蔽直接访
问数据库的通道,同时,应用程序和租户对数据库的访问,必须经过数据库安全网关和数据库自
身两层身份认证和权限检查。通过二次认证和二次权限检查,攻击者无法伪造连接到数据库进行
直接的攻击。
平台实时检测出用户对数据库进行的 SQL 注入和缓冲区溢出攻击。并报警或者阻止攻击行
为,同时详细的审计下攻击操作发生的时间、来源 IP、登录数据库的用户名、攻击代码等详细信
息。
平台还能够审计对数据库的访问情况。包括用户名、程序名、IP 地址、请求的数据库、连接
建立的实际、连接断开的时间、通信量大小、执行结果等等信息。提供灵活的日志查询分析功能,
并可以定制生成合规的报表。
可信网络 安全世界
www.topsec.com.cn 第 10 页 共 14 页
第五章 部署形式
DBFW 具备数据库安全网关和数据库审计两大核心功能,根据开启的功能不同,部署方式也
不同,如需开启防火墙功能,则只支持串联的部署方式,如只需开启审计功能,则支持串联、旁
路(并联)和软件探针三种基本部署方式。可以根据实际需要,采用灵活的部署方案。
5.1. 串联方式
开启防火墙功能,以串联模式部署于数据库服务器之前,作为数据库系统的第一道防线。此
时所有对数据库服务器的访问必须经过本系统。在这种模式下,本系统的工作方式既可以是独立
的数据库安全网关,又可以是串联式数据库审计系统。
5.2. 旁路方式
本系统以并联的方式部署于数据库服务器所在的网络,只能开启数据库审计功能,如下图所
示:
可信网络 安全世界
www.topsec.com.cn 第 11 页 共 14 页
通过设置交换机上的数据镜像,所有对数据库服务器的访问被镜像到本系统,实现旁路监控。
5.3. 软件探针
将探针分布式的部署于各数据库服务器上,探针将获取到的对数据库的访问发回到审计服务
器上,从而实现审计和监控,不能实现防火墙功能。如下图所示:
5.4. 建议部署模式
数据库安全网关监控所有受保护数据库的网络数据流。
在开始部署时,首先通过旁路方式接入网络,将数据库安全网关配置为学习期模式,监控数
据库的数据流,收集和分析所有合法的数据库操作,并将应用的操作加入到白名单。
后期根据实际情况,开启 SQL 注入防护策略,以及针对维护侧指定相应的风险登录、风险
操作等策略,经过一段时期的观察,如果认为维护侧的策略已经完善时,可以将维护侧对数据库
可信网络 安全世界
www.topsec.com.cn 第 12 页 共 14 页
的访问进行串联控制,从而达到对维护侧的行为进行严格访问控制,并且具备对危险操作行为、
非法登录行为等操作进行阻断、中断的防护效果。