2024年7月4日发(作者:)
2022年4月7
目录
1前言
...............................................................................................................................
3
1.1
1.2
2
2.1
2.2
3WEBUI
...............................................................................................................
3
...............................................................................................................
3
......................................................................................................................
4
...............................................................................................................
4
...............................................................................................................
5
........................................................................................
6
............................................................................................................
73.1
3.2系统UI访问页面使用需求开发的端口
..............................................................
7
3.3云数据库安全审计模式配置
...............................................................................
8
3.3.1开启接口审计功能
.........................................................................................
8
.....................................................
83.3.2Agent
....................................................................................................
103.3.3Agent
........................................................................................................
113.3.4
........................................................................................................
113.3.5
........................................................................................................
133.3.6
........................................................................................................
173.3.7
3.3.8策略规则配置示例
.......................................................................................
18
..............................................................................................................
323.4
........................................................................................................
323.4.1
............................................................................................
343.4.2
4AGENT
..........................................................................................
35
5附录:防火墙代理模式配置手册
...........................................................................
44
1前言
本手册主要介绍神州数码数据库安全审计系统的安装、配置、使用和管理。通过
阅读本文档,用户可以了解该系统的主要功能,并根据实际应用环境进行安装和配
置
。
1.1
通过阅读本文档,能够快速地部署实施神州数码数据库安全审计系统,配置管理
员达到对该系统主体功能熟悉和理解,有效地管理该防护设备,实现高效可靠的统
一管理。
1.2
本用户手册适用于具有基本网络、安全知识的系统管理员和运维人员。
4
2
本章就神州数码数据库安全审计系统的系统架构、部署模式以及所涉及的基本概
念进行简单介绍。
本章内容主要包括:
产品概述:介绍产品的主要功能和适用对象。
部署模式:介绍系统在应用场景中的部署示意图。
2.1
神州数码数据库安全审计系统是主动、实时监控数据库安全,集应用压力分析与
访问控制为一体的专业产品。
在数据库安全审计方面系统采用有效的数据库安全审计方式,针对数据库漏洞攻
击、风险操作、SQL注入等数据库风险操作行为,通过不同的审计规则发生记录和告
警。面向企业级用户,集应用压力分析与SQL监控审计为一体的产品。它以旁路的
方式部署在网络中,不影响网络的性能。具有实时的网络数据采集能力、强大的审
计分析功能以及智能的信息处理能力。
通过使用该系统,可以实现如下目标:
分析数据库系统压力。
可审计Oracle、MySQL、SQLServer、HBase、Hive、Sybase、DM7等多种数
据库。
实现网络行为后期取证。
高效率的存储检索功能。
内置丰富的报表模板。
该产品适用于对信息保密、非法信息传播/控制比较关心的单位,或需要实施
网络行为监控的单位和部门,如政府、军队机关的网络管理部门,公安、保密、
司法等国家授权的网络安全监察部门,金融、电信、电力、保险、海关、商检、
学校、军工等各行业网络管理中心,以及大中型企业网络管理中心等。
4
2.2
图2-2部署示意图
在系统开始工作前,管理员需根据实际应用需求配置审计引擎,并绑定审计策
略。
审计引擎负责数据采集,并根据已设置的策略进行匹配,分析后将解析结果存
储。通过管理界面对审计引擎进行管理。可以监控、审计已经解析的数据结果,
并生成统计分析报表,以供管理员查询,追踪。
4
3WebUI
数据库安全审计系统三权账号的默认配置:
配置项
系统管理员
安全管理员
审计管理员
默认值
用户名/密码:SysAdmin/admin12345
用户名/密码:SecAdmin/admin12345
用户名/密码:Auditor/admin12345
通过操作系统IP,登录访问数据库安全审计系统,在管理主机的浏览器上输入
URL,例如:X.X.X.X,显示如下的登录界面。
输入用户名、密码(默认为:SysAdmin/admin12345)和验证码(验证码不区
分大小写),点击“登录”,便可进入管理主页。
5
在输入URL时需要输入https。
3.1
通过云服务购买“云硬盘”后,目标扩展硬盘空间,将审计存储的日志文件单独
存放到该数据盘中,操作如下。
SysAdmin登入,进入“系统配置”页面,在系统配置中,点击“数据与备份
—>硬盘挂载>”页面,找到挂载的盘符,点击“格式化并挂载”。
点击“格式化并挂载”,执行成功后,下拉菜单无信息,如下图。
接下来正常进行数据库安全审计的部署即可。
3.2系统UI访问页面使用需求开发的端口
1)管理通道开放tcp443
2)业务通道开放端口
tcp443,20,21,22,9001-9999(与防护数据库个数有关)
udp7000-8000(与审计的数据库个数有关)
6
3)建议神州数码数据库安全审计系统开放的最少端口集:
部署数据库安全审计:tcp443,udp7000-7010
实际情况调整)
部署数据库防火墙:tcp443,9001-9010(防护10个数据库,请根据实际情
况调整)
(审计10个数据库,请根据
3.3云数据库安全审计模式配置
云模式下数据库安全审计通过Agent方式来实现。
3.3.1开启接口审计功能
SysAdmin登入,进入“系统配置”页面,在系统配置中,点击“硬件和诊断—
>接口功能”页面,支持配置开启业务接口的审计业务功能。(注:Agent审计也
需开启接口功能)。
至此系统管理员配置部分完成,接下来进入安全管理员配置部分。
3.3.2Agent
审计保护的数据库被称为引擎。在使用数据库安全审计功能前,首先需要添加
库引擎信息。包括数据库IP、端口、类型、缺省数据库(实例)等。
SecAdmin用户登入,进入“数据库概况”页面如下图所示:
7
点击“添加”按钮,提示是否使用配置向导进行数据库的添加与配置。
:防护数据库自定义名称。
系统所支持的所有数据库类型,根据情况选择所审计保护的数
据库类型。
所选择单库还是集群。
所要审计保护的数据库版本。
支持IP和域名地址。
IP所要审计保护的数据库IP地址。
系统显示为各数据库默认端口号,在实际配置中请按照环境情况填写。
即数据库实例名,系统显示为各数据库默认实例名;根据实
际情况填写数据库实际实例名。
主页数据库引擎显示顺序
审计保护数据库的批注。
*
10
3.3.3Agent
使用agent功能审计时,需单独配置,如图所示;
在页面上下载agent插件,并在数据库服务器上安装。
10
agent插件在数据库服务器上安装并配置完成后,此页面的cpu、内存以及审
计接口会刷新出数据库服务器上的信息。此时添加审计IP,以及在默认的接受端
口被占用情况下,修改端口后,点击“启动”按钮,启动其审计功能。
3.3.4
进入策略管理模块,默认策略包括五部分:
黑名单:默认高危DCL、DDL操作,如grant、revoke、truncate、drop、alter
等操作,日志级别高风险,报警动作。可以依据环境自定义添加非信任、未授
权的数据库用户名,源IP,源应用程序等的访问。
白名单:主要针对可信任操作、授权的数据库用户名、信任的源IP和源应用
工具的访问操作进行日志不记录,实现不关注的日志不存档。
全审计策略:该策略匹配记录所有接入数据库的访问,执行的所有sql操作的
审计记录,默认日志级别无风险,策略动作放行,日志全记录,实现对数据库
流量的全捕获。
入侵检测策略:主要针对Oracle、MySQL、SQLServer数据库分析漏洞特征,
匹配策略执行及时报警或阻断动作。即数据库漏洞、SQL注入漏洞攻击行为
的跟踪和防护功能。可以查看漏洞CVE编号、漏洞名称、漏洞类型等详细信
息。
通用sql注入策略:针对SQL注入不同类型分析其特征,进行识别审计,实
现实时报警或阻断防护。
3.3.5
策略管理包括策略的添加和删除。
3.3.5.1
单击<添加>按钮,弹出“新增策略”提示框,输入名称、描述、选择模板、
区分大小写。点击<确定>按钮,新增策略。
11
配置项说明:
名称
描述
模板
设置策略名称
设置策略描述,对名称的补充说明
选择策略应用模板,即:已经新增的策略及策略下
的规则复制粘贴至当前策略下。
默认:空的策略
数据库用户
新增策略默认数据库用户不区分大小写
操作系统用户默认不区分大小写
客户端程序默认不区分大小写
区分
大小写
操作系统用户
客户端程序
3.3.5.2
选择辅助栏删除的策略,单击<删除>按钮,弹出提示框,提醒用户确认删除
选择策略,点击提示框中的<确定>按钮,即可删除策略。
12
3.3.6
3.3.6.1
选择策略,配置区显示当前策略下的所有规则,用户可以根据不同的筛选条
件查看指定的规则。
1
选择规则状态、风险等级、动作、输入关键字,点击<查询>按钮,查找规则。
2
点击配置区规则列表操作下的<详情>按钮,查看规则详情,包括过程名称、
所属策略、状态、等级、动作、客户端IP、客户端工具、操作系统用户、数据库
账号。
3.3.6.2
点击<添加>按钮,进入规则配置页面,输入规则配置基本信息:名称、描述,
选择状态、等级、动作、日志记录级别,点击规则配置条件,展开配置框,输入
配置信息,点击<保存>按钮,即可添加规则。
13
3.3.6.3
点击<编辑>按钮,进入“编辑规则”页面,修改规则基本信息及条件,点击
<保存>按钮,即可修改规则。
3.3.6.4
点击<删除>按钮,弹出确认删除提示框,点击<确定>按钮,即可删除规则。
3.3.6.5
规则信息包括六部分:
基本信息:
配置规则名称、描述、状态(即规则使能,规则的开启和关闭)、等级(分
五个等级:无风险、低风险、中风险、高风险、致命风险)、动作(分3个动
作:放行、报警、阻断)、日志记录级别(分3个级别:总是记录、抽样、不
记录)。
14
客户端:
接入数据库用户端的信息,其中包含客户端IP(源IP地址)、客户端工具
(连接数据库的源应用程序)、客户端操作系统用户(用户主机操作系统用户)、
客户端操作系统主机名(用户主机操作系统主机名)。
SQL:
访问数据库sql请求相关信息,其中包括SQL语句(用户端发送的sql请求
语句)、SQL关键字(sql请求语句中提取出的关键字)、SQL正则(对sql请求语
句编写对应的正则表达式匹配)、特权操作(访问数据库的特权操作)、操作类型
(常用的sql操作类型,如select、insert、update、delete、login、logout)。
操作对象:
访问数据库的sql请求语句中的操作对象,包括表组(多个目标表)、字段(tabl
e中的字段)、数据库Schema(不同数据库类型的实例/库)、目标表(操作对象)
。
15
结果:
用户端访问数据库的sql请求影响的结果,包括响应时间(数据库响应请求的
响应时间,用于判断数据库的性能)、影响行数(用户端sql请求操作对象的影响
结果,用于判断影响的风险性)、发生次数(基于数据库用户名和源IP,在设置时
间段里的发生次数,用于监控是否是暴力破解,或频繁的异常操作)、认证结果(用
户端操作的执行结果)。
其它:
该部分包括规则匹配时间范围的定义,访问数据库的数据库用户,敏感数据
访问(该功能需要先配置“敏感数据扫描”,执行扫描,开启该功能,当用户端访
问数据库时,涉及到扫描结果中的敏感数据,那么审计的日志会被该规则匹配),
查询组、webIP和web用户名(三层关联访问数据库的终端用户源IP、用户名,
16
即访问web应用的源主机IP地址,登录web的用户名)。
3.3.7
策略应用即将配置的全局策略批量应用到防护的单个数据库或多个数据库。
选择策略,点击<应用到数据库>按钮,弹出应用到数据库配置框,如图所示,
可以查看数据基本信息包含数据库名、数据库类型、数据库IP三部分。可选择一
个或多个数据库,也可以选择数据库名(全选按钮),选择所有的数据库。点击<确
认>
按钮,即可应用策略到数据库。
17
3.3.8策略规则配置示例
1策略配置配置
1.1单字段条件赋值之间的关系说明
单个字段条件值之间的关系是“逻辑或”的关系。
1.2规则中条件之间的配置关系说明
条件之间的配置关系是“逻辑与”的关系。
示例:
对源IP地址:172.16.0.70,222.128.182.107,使用system用户对
_cs敏感表的查询,标记为高风险。
规则配置如下:
18
规则匹配效果:
1.3SQL关键字使用说明
字符串间空格间隔“逻辑与”关系,字符串间换行“逻辑或”关系,“逻辑或”
“逻辑与”可以同时设置,匹配生效。
示例:
19
对查询操作,操作对象test_xx的cerid字段,标记为高风险。
对查询操作,操作对象test_cs,标记为高风险。
规则配置如下:
1.4策略执行优先级说明
多个策略匹配是顺序匹配,都要匹配执行;
执行1条sql查询,核对策略条件,均会匹配:
1.5规则执行优先级说明
一个策略中多个规则的匹配,匹配到优先级高的规则,停止匹配其它规则,跳
出该策略。规则ID值越大优先级越高。
示例:
全审计策略中有3条规则:
20
规则2:不带where的查询
21
规则3:全审计策略
敏感表规则优先级高的匹配效果:
调整敏感表规则优先级低后的匹配效果:
1.6白名单策略说明
白名单策略是已授权的行为,信任的访问,业务审计日志不记录。
2典型规则配置示例
2.1敏感数据查询
对敏感数据的查询(如:用户信息:银行卡号,电话等)视为高风险并报警,
策略配置如下图:
22
23
2.2不带条件的增删改查高危操作
不带条件的增删改查视为高危风险操作,如下图:
24
2.3删除数据库操作的高危操作
将删除库视为高危等级并报警,配置如下图:
25
2.4非授权用户的访问
对非授权用户的访问进行报警跟踪,配置如下图:
2.5非信任源应用程序的连接
将不在规划使用范围内的客户端应用程序的访问视为高危访问,如在某IP段
范围内允许SQLDeveloper、SQLPLUS接入访问,不允许其它应用接入数据
库,配置如下图:
26
27
2.6黑名单IP接入访问
仅允许规划IP范围接入访问数据库,其它IP地址/段不允许访问,配置如下
图:
28
2.7SQL注入检测策略
对SQL注入的行为进行实时检测并报警,开启默认策略即可。
2.8撞库检测
在短时间段内,使用同一个数据库账号频繁尝试登录的行为,匹配识别并报警,
配置如下图:
29
2.9非正常时间段的访问
识别特定数据库用户,或用户端主机在非工作时间的访问视为高风险并报警,配
置如下图:
30
31
3.4
安全管理员身份登录系统,选择“全局配置->报表管理”,进入报表结果界
面。
3.4.1
点击<报表设置>按钮,进入高级报表界面。
高级报表分四类:
基础报表
数据库综合状况报告:展示系统内所有数据库的综合状况。
数据库安全分析报告:对单个数据库进行的安全报告分析。
服务器分析
数据库服务器分析:用访问数据库来源信息分析数据库服务器。
数据库服务器性能:通过sql请求的响应时间判断数据库的性能。
来源分析
数据库用户分析:分析访问数据库的用户。
32
客户端应用程序:分析访问数据库的源应用程序。
客户端操作系统主机:统计访问数据库的用户端主机操作系统主机信息。
客户端IP:统计访问数据库的源IP,数据库用户数量信息。
登录分析:统计登录数据库的终端侧的登录信息。
客户端应用程序性能:统计接入数据库相关性能信息。
操作类型分析
特权操作分析:统计特权操作相关信息。
表格删除与截断:统计不同用户对表的删除与截断。
存储过程的更改:统计用户对表的操作和相关存储过程的访问。
DCL命令:通过DCL命令分析用户与特权操作。
DML命令:通过DML命令分析用户与特权操作。
DDL命令:通过DDL命令分析用户与特权操作。
本机审计:分析操作类型为Audit的特权操作。
创建及授权用户分析:统计创建用户的相关的CREATEUSER方法和GRANT的
方法。
生成报表
基于时间范围配置,手动生成报表,报表格式包括:pdf、excel、word。
计划任务
计划任务支持针对单个项目的单次任务,不支持多个时间点,多库配置。
33
数据范围
基于系统内置报表模板数据范围的筛选配置。
3.4.2
点击<下载>按钮,即可下载报表。
点击<删除>按钮,弹出“确认删除”提示,点击<确认>即可删除报表。
34
4Agent
1.使用说明
当工作环境中交换机不支持端口镜像,或虚拟化的部署时,又要达到数据库
审计的功能,就需要使用agent部署数据库安全审计。
2.工作原理
数据库agent审计是基于C/S架构设计,agent插件作为agent_client端,安
装在数据库服务器上,审计系统作为agent_server端,服务端口TCP443端口和
UDP700*(700*基于在审计系统配置的端口为准)。
Agent与审计系统通信分两部分:
一部分是配置参数协商、CPU内存信息上报:通过服务端口TCP443,
agent_client端周期性收集数据库CPU、内存、接口信息,发送给审计系统
agent_server端;审计系统agent_server返回审计系统侦听UDP端口、抓取流量
的
34
接口及过滤IP信息给agent_client端。Agent_client通过审计系统server返回的接
口及过滤IP生成抓取流量服务。
另一部分是数据库流量数据上传到审计系统:agent_client抓取到数据库操
作流量后,生成临时文件,并通过向审计系统agent_server,通过服务UDP端口
700*发送此数据库操作数据,审计系统接收到此数据后,交由审计系统处理,分
析并生成审计日志。
3.组网说明
数据库安全审计系统与数据库服务器路由可达,比如数据库安全审计系统IP:
172.16.1.82,数据库服务器IP为:172.16.1.253。
插件安装及配置说明(windows版)
1)登录数据库安全审计系统,配置审计接口及IP信息等配置。
SysAdmin登录系统→系统配置→硬件和诊断→接口设置→保存:
配置接口审计功能:
2).登录数据库安全审计及防护系统,配置数据库安全审计引擎等配置(
以配置向导
为例)。
SecAdmin登录系统→主页(数据库概览)→添加→配置向导→基本信息→
模式选择(审计:eth0)→策略配置(全审计策略)→保存并启用:
35
36
3).进入此数据库引擎界面,点击‘设置’进入功能设置界面,下载window相
应的agent插件:
4).把agent程序拷贝到数据库服务器上,存放分区根目录下并解压(目录不要太
深,名称不可随意更改),进入agent目录中,修改中的配置:
其中的IP为数据库安全审计系统的界面管理IP,此IP需与数据库服务器互联,url
格式:X.X.X.X/base/receiveagentinfo(此URL只适用新UI)
37
5).根据agent中‘说明’文档,安装agent插件到数据库服务器上:执
行安装agent程序到数据库服务器中。
弹出是否安装Npcap程序,若首次安装agent插件,此Npcap程序需安装。
6).安装Npcap只需默认安装即可,安装完成后,agent也会默认安装完成,详
细可查阅安装包中的说明;如果已安装过Npcap程序,只需选择否,agent程序就
会默认安装完成。查看agent程序是否正常启动,可查看服务,win系统下‘运行’中
输入,找到服务名为DBAAgent和DBACapture两个服务:
38
7).agent安装完成后,登录数据库安全审计系统,开启agent功能:
Secadmin登录数据库安全审计及防护系统,在主页中数据库概览中进入单库
界面,点击‘设置’进入功能设置界面,开启agent,修改接收端口(agent服务端
口,如7000),设置CPU阀值,其他配置默认,配置完成后,点击保存。
39
注:审计接口为agent插件从数据库服务器中取出并发送到审计系统上,故需先
安装agent插件,再开启审计系统中的agent。
至此,可以看到当前服务器的CPU和内存使用率,agent审计已部署完成。
8).卸载agent插件,执行即可卸载成功。
5.安装agent插件到数据库服务器(linux版)
1).安装agent插件到数据库服务器,把agent安装包agent_拷贝到
数据库服务器上,通过命令:tar–xvfagent_解压,cd进入agent目录
下:执行./install命令,输入172.16.1.82:443(此IP为数据库安全审计系
统的界面管理IP)参数按回车,agent安装完成。
注:172.16.1.82为审计系统的IP,此IP与数据库服务器路由可达。
2).agent安装完成后,登录数据库安全审计系统,开启agent功能:
40
Secadmin登录数据库安全审计及防护系统,在主页中数据库概览中进入单库界面,
点击‘设置’进入功能设置界面,开启agent,修改接收端口(agent服务端口,如7000)
,设置CPU阀值,其他配置默认,配置完成后,点击保存。
注:审计接口为agent插件从数据库服务器中取出并发送到审计系统上,故需先
安装agent插件,再开启审计系统中的agent。
3).卸载agent插件,agent目录下执行./uninstall。
6.应对措施
1).当出现agent工作异常,包括审计系统获取CPU内存信息出现异常、审计流量
传输出现异常,需要执行卸载agent插件后,重新执行安装agent插件,从而恢
复agent正常工作。
2).安装多个agent时,需要手动修改服务端口700*,每个agent对应一个服务端
口。
3).agent审计必须确保审计系统与数据库服务器之间路由可达。
4).出现agent不工作时,如果因CPU阀值设置过小,需要适当调整CPU阀值,等
待数秒后,agent会自动工作。
服务器上防护多个数据库。(2个数据库)
41
5).支持同一台数据库
6).选择的审计接口必须是UP状态,并且开启了数据库安全审计功能。
审计接口与路由到达数据库服务器的接口可以不是同一个接口。
7).
8).安装
新版本的agent时,需要查看上一版本的agent服务是否存在,若存在需要卸载,
安装新版本的agent插件。
42
5附录:防火墙代理模式配置手册
1.配置防护引擎
42
按照导向完成数据库防护引擎的添加。
2.查看数据库引擎开放的代理端口
3.
133
用户端源应用程序修改接入数据库的连接信息
数据库地址:114.116.96.11,神州数码数据库安全审计系统的地址:139.9.85.
43
4.审计及访问控制
用户端连接数据库,访问的sql均可以被审计到。
配置基于目标表“userinfo”敏感数据访问控制策略,如下图:
44
在用户端sqldeveloper上访问fo敏感表,访问连接被阻断:
神州数码数据库安全审计系统,基于目标表“userinfo”敏感数据访问控制匹配效果
45
46
发布者:admin,转转请注明出处:http://www.yc00.com/web/1720040465a2759738.html
评论列表(0条)