神州泰岳

产品介绍

Ultra-DBSensor是神州泰岳2016年推出的全新一代数据库访问行为审计产品。通过旁路采集、分析内网中的数据库协议访问流量,Ultra-DBSensor可以全面监控数据库的访问、操作行为,为安全管理人员提供在线监控、统计和事后审计的技术手段。

优势特点

产品功能

适用场景

经典案例

神州泰岳

旁路监听零干扰

通过在核心交换机设置端口镜像或TAP分流监听模式,不影响数据库性能、不影响业务系统网络。

双向审计

针对orcale\Cache\MSSql\DB2\Sybase\Postgres返回字段和结果、执行状态、返回行数、执行时长等内容,能够根据返回结果设置审计策略,并在不连接被审计数据库情况下完成。

长SQL完全解析

将多个通讯包进行有效解析和关联,能够完整有效的对超长SQL语句进行完美还原。

支持各类主流数据库解析

DBSensor产品具备针对多种数据库访问行为的深度解析能力,支持包括关系型数据库Oracle、SqlServer、DB2、Sybase、Informix、PostgreSQL等,以及新型数据库类产品如Cache、Hbase、MongoDB、MaxDB、神通数据库等。

实时告警

检测到符合告警规则的可疑操作,系统将通过邮件或短信的方式下发给安全负责人。

多语句有效分割

准确记录SQL的操作类型、SQL语句的数据库对象、执行成功与否、SQL语句影响行等,以此清楚切割多语句,准确识别SQL语句行为。

数据库对象精准解析

对数据库网络访问对象名称进行精准识别,包括数据库服务器名称、IP地址、数据库名、表、视图、序列、包、存储过程、函数、库、索引、触发器等,以支持有效的制定告警策略。

变量绑定完全识别

通过建立句柄和会话的关联、参数与语句的映射、跟踪句柄的状态精准归并并还原语义与实际执行的对象参数。

三层应用用户
关联审计

通过http协议中的参数、SQL语句中的参数以及时间三者进行关联匹配,关联后台数据操作与实际用户,因此能够将所有行为追溯到人。

系统可用性自监控

系统状态达到一定的临界值时进行系统告警,例如系统磁盘剩余空间、CPU使用率、内存使用率、网卡吞度量峰值都可以通过短信和邮件下发给相关责任人。

审计结果导出

业务实体化管理

通过对象管理模块将业务用户、业务主机、应用系统的属性信息统一化管理,建立数据的业务关联性和补全日志中的业务属性。

多维度报表展示

通过多种手段发现业务中存在的问题,例如业务主机访问量排名柱图;业务用户访问量排名柱图;每小时各类型数据库访问量趋势折线图;各类型数据库流量占比饼图;业务用户与业务主机关系图。

自动化输出报表

数据库越权访问告警

Ultra-DBSensor提供了深度访问行为还原审计,可对网内业务系统访问流量提供完整的内容检测、信息还原功能,通过审计策略实现用户越权访问行为的告警。

数据库违规操作告警

Ultra-DBSensor记录了页面访问行为的请求时间、数据库名称、数据库类型、源IP地址、源端口、源地址所属部门、源地址所属地市、目的IP地址、目的端口、目的地址所属部门、目的地址所属地市、登录帐号、操作过程等信息,并可以通过黑白名单策略实现违规操作告警。

经典案例

天津移动业务支撑网数据库审计项目

项目背景

天津移动公司的计费系统按照传统的安全防护手段已经无法满足业务系统中敏感数据的保密要求。因此天津移动采用了DBSensor的数据库安全解决方案,保护了核心数据的安全。面临着如下问题:

1、系统维护人员有完全的数据访问权限
系统维护人员负责业务数据库的维护管理,直接掌握数据库DBA用户的登录口令,一旦发生误操作,或有恶意导出行为,将对移动公司造成不可挽回的损失。

2、第三方维护厂家可获取敏感数据
第三方系统服务提供商负责业务系统的开发及实施,能够直接访问数据库,获得所有用户信息。

3、内部工作人员具备联入数据库的网络资源
内部工作人员可以通过内部网络访问到数据库服务器。通过中间人攻击或跳板攻击等方式同样可以拷贝、盗取数据库文件,通过解析工具来获取数据库中的核心数据。

  

客户价值

DBSensor通过监控数据库操作行为,准确关联到操作人,审计出若干异常行为后,用户通过报表向发生问题的业务部门要求其整改。部署实施后对一些有恶意窃取敏感数据的内部员工形成了有力的威慑,使天津移动的信息安全上了一个台阶。