服务描述:TOPVIEW是一种通过数据库访问控制来保护数据库和存放在数据库内的企业信息资产的安全解决方案。目前已知的很多数据库侵权案例,如日志的完整性和信息的泄漏,是由于内部的使用者滥用数据访问权限导致的,而不是外部的用户(黑客)入侵引起的。因此,TOPVIEW按照权限级别控制用户的数据库访问。这样,某个用户只能够按照最低权限策略访问数据库的部分数据或者被TOPVIEW屏蔽后的部分数据。特别的是TOPVIEW的数据屏蔽功能减少了数据库加密的性能和成本负载。
TOPVIEW是一种通过数据库访问控制来保护数据库和存放在数据库内的企业信息资产的安全解决方案。目前已知的很多数据库侵权案例,如日志的完整性和信息的泄漏,是由于内部的使用者滥用数据访问权限导致的,而不是外部的用户(黑客)入侵引起的。因此,TOPVIEW按照权限级别控制用户的数据库访问。这样,某个用户只能够按照最低权限策略访问数据库的部分数据或者被TOPVIEW屏蔽后的部分数据。特别的是TOPVIEW的数据屏蔽功能减少了数据库加密的性能和成本负载。
TOPVIEW部署于提出访问请求的客户端与数据库服务器之间,能够实施监控输入/输出数据流。同时保存审计数据。TOPVIEW保证存储的审计数据和策略管理历史记录的日志完整性。
同时,TOPVIEW帮助审计人员以加密算法备份审计数据。审计人员能够依照后续的审计要求查询审计数据,报告支持*.pdf, *.doc, *.hwp, *.csv, *.xls 等14种格式。
适用于金融、证券、保险、电力、政务、卫生、教育等大中型组织对数据库审计的安全需求。
类型 | 内容 |
时间日期类 | 操作发生的时间和日期 操作发生在一周的哪一天(如:每周一)和一个月的哪一天(如:每月一号) |
连接类 | 主机名 客户端IP地址 数据库用户名 操作系统用户名 连接时使用的应用程序名 通过何种传输协议连接,包括:Telnet,SSH,FTP,Oracle数据库协议. |
系统命令类 | Telnet, FTP, R-Login, R-Command, 和 SSH 命令。 |
SQL语句类 | 返回时间; 返回行数; 绑定变量的信息; SQL语句的类型,包括:Query,DDL,DML,DCL,PL/SQL等语句的内容; 被操作的数据库表的名称; 被操作的数据库表中的列名 |
TOPVIEW数据库安全审计解决方案消除了因为权限误用、恶意攻击、经过合法认证的个人或程序意外失误等“意想不到的行为”给数据库带来的威胁,为数据库的安全提供全面保障。从源头上阻止因各种不利因素会给企业数据库带来的致命影响,为企业的核心业务信息及个人信息构建了一道强大的安全保护屏障。
TOPVIEW最基本的安全措施是按照权限对数据库访问进行控制。TOPVIEW通过提供各种安全防范措施来实现对数据库的保护,典型的安全措施如:为引发数据库输入/输出数据流的应用服务器和数据库用户设置访问权限,允许联合事务(Transaction),阻止不合理事务;根据组织的安全政策赋予SQL执行权限;屏蔽具有敏感信息的重要数据,对读取权限进行制约,只提供与权限相对应的数据;执行变更数据库的SQL语句时,对变更前及变更后的数据进行模拟(Simulation);在安全监视过程中实时监控所有通信信息和用户识别信息,并将其作为审核数据(Audit data)进行存储;利用数据加密算法对审核数据进行安全管理。
图1:TOPVIEW数据库安全审计系统架构”
TOPVIEW数据库安全解决方案主要包括监听模式(Sniffing Mode)、网关模式(Gateway Mode--inline + forwarding)、Hybrid 混合模式:三层架构(3-tier WAS Agent)、Software-TAP等几种部署方式。
图2:TOPVIEW数据库安全解决方案拓扑;
监听模式是指在不给数据库造成任何负荷的基础上,百分之百的记录审核数据,以此来监视及控制数据库的访问,无须在客户端端和数据库上安装任何第三方代理软件,且对当前业务和网络环境不会造成任何影响的监听方式。
监听方式结构图如下所示:
按监听模式部署时,主要有以下几个优点:
1、实时监测DB访问信息,并对访问后的用户进行跟踪
2、实时监测连接到数据库的不同会话信息 对DB服务器无任何影响
网关模式是指百分之百控制数据库的输入/输出数据流,支持安装或不安装第三方代理软件两种方式。该方式以SQL为单位进行作业控制,所以不管是对内部的开发人员还是外部人员都能够实现高度的安全控制。
监听方式结构图如下所示:
按网关模式部署时,主要有以下几个优点:
1、对于不同用户访问数据库的权限进行控制
2、防止非法查询及盗用个人信息的操作
3、根据用户设置的措施进行报警和拦截
4、Hybrid 混合模式:(三层架构(3-tier WAS Agent)
因三层架构是通过收集经过网络流(Network Stream)的程序包(Packet)来实现监控及控制,所以在网络服务器环境下,只能从普通结构中收集网络服务器的信息,而不能识别终端用户(End-user)的身份。三层架构的方式可以通过在网络服务器中安装第三方软件,按照提前设定的安全访问政策来识别终端用户身份。
Hybrid 混合模式结构图如下所示:
按Hybrid 混合模式部署时,主要有以下几个优点:
1、Sniffing和Gateway构成的混合类型
2、为固定访问用户提供安全访问保障及检查功能
3、对非固定访问加强权限管理和访问控制
Software-Tap是指在监听用户和数据库之间通信的数据包时,并非使用的是物理TAP设备或镜像端口开关(Port Mirroring Switch),而使用的是通过在数据库里安装第三方软件的方式来收集数据包。这种方式虽然减少了设备采购成本,但却不适用于数据流量较大的使用场景。
Software-TAP模式图:
汪洋:13601137435
刘博:18910282595
请拨打电话购买