产品概括

中安威士云数据库安全审计系统是中安威士（北京）科技有限公司自主研发的一款针对云数据库的安全管理工具。为用户提供在云环境下对数据库的安全审计，以实现对云数据库所面临的风险进行评估，对云数据库的操作内容进行全面审计等。产品由相互关联，且保护能力依次递增的系列功能模块构成。核心功能模块包括：敏感数据发现、性能审计、风险评估、数据库审计等。为客户带来的价值：

将云上数据访问活动可视化，提高数据安全管理能力；

满足合规要求，快速通过云等保等各种评测；

完善纵深防御体系，提升整体安全防护能力；

减少核心数据资产被侵犯，保障业务的连续性。

产品功能

敏感数据发现

通过数据库服务发现、敏感数据发现、分类等功能帮助企业了解云端数据库服务器、敏感数据的分布情况。所发现的重要服务器、服务、数据自动分类，并生成统计报表。所有发现和分类结果直接加入到后续模块中的规则中。

扫描发现：通过扫描IP，发现服务器；

服务发现：通过扫描端口范围自动发现数据库服务；

数据发现：根据指定的敏感数据条件，发现敏感数据。

所有发现结果以可视化图形的形式进行展示，并可直接导出为报表。

数据库审计功能

中安威士云数据库审计系统采用了SQL语法分析技术，分析发往数据库的SQL语句。根据预先制定的策略决定是否对某SQL语句或访问行为进行记录。

数据库状态监控功能

数据库状态监控的目的是保证数据库系统一直处于健康、稳定的运行状态。通过监控数据库系统的内存使用状况、缓冲区管理统计、连接统计、Cache信息、锁信息、SQL统计信息、数据库信息、计划任务、线程信息、键效率、缓冲区命中率等信息来判断数据库系统运行是否出现异常，出现任何异常会立刻告警通知管理员，提前防止数据库系统崩溃。

数据库风险扫描

数据库风险扫描中将数据库中潜在的风险或漏洞，进行全面的扫描，以减少数据库被攻击或数据泄露的风险。功能包括：

弱口令检测，即保证数据库账号的口令强度和更换周期，确保不存在缺省口令、弱口令和长期口令；

软件漏洞扫描，即检测数据库系统存在的各种软件漏洞，如缓冲区溢出漏洞；

权限分配风险，即对各个数据库账号的权限进行分析，及时发现权限分配不合理的情况；

数据库配置风险，即根据安全策略检测数据库系统中各种配置参数的安全性；

操作系统相关风险，即根据安全策略检测操作系统中各种配置参数（与数据库相关配置）的安全性；

通过数据库风险扫描功能可以减少、弱化大多数人为与非人为造成的数据库风险，提高数据库的安全性。

特性优势

高性能

数据库访问信息需要经过数据获取、分析处理、存储、检索展现等处理。中安威士在这些方面形成了完全自主的技术体系，形成了较高的技术壁垒。

分析处理之多级缓存技术：多级分析结果缓存，高效分析通信内容；

存储之海量日志存储技术：基于BigTable和MapReduce的存储，实现单机环境高效、海量存储；

检索展现之分段索引技术: 基于倒排索引的分段检索，实现高效、灵活日志分析。

实际测试结果表明，中安威士云数据库审计系统的连续SQL处理能力轻松达到10万条SQL/秒，每TB硬盘最低存储能力达到30亿条，远高于国内外竞争产品。

全面审计

全面审计涵盖了可能访问云端数据库的所有途径，无论是内部、外部，还是直接、间接。

完美报表

提供大量报告模板，包括各种审计报告、安全趋势等。可实现报表格式和模板的自定义。

典型部署

通过软件探针方式，采集数据库数据进行审计，同时支持私有云及公有云环境部署。

解决方案

公有云通用行业数据加固解决方案

背景介绍和需求

在公有云中，租户应用系统和支撑其运转的数据库都迁移到云端，数据的安全是十分重要的问题。相比于传统计算环境，云计算的开放性和虚拟化的特性，传统的数据安全方案变得复杂甚至无能为力，给云端数据库的防护带来了更大的挑战。尤其像政府、银行、证券、保险等行业用户，以及大型企业用户，对数据安全方面都非常重视，如果敏感数据遭到盗取或泄露，都会对云用户造成巨大的损失。

部署架构图

针对公有云数据安全需求，中安威士提供以云端数据库审计产品为核心的云数据安全加固解决方案，该方案可以有效监控云平台中每个租户身的数据库访问行为，准确掌握数据库系统的安全状态，及时发现违规操作，并实时告警、记录，实现云租户自己追查取证，以保障数据安全。

云端数据库审计系统以旁路的方式部署于公有云网络中。针对每个租户的数据库采集、分析、过滤所有不同用户对自己应用数据库的访问行为，将符合规则的行为记录下来。发现违规访问行为采取告警措施通知管理人员，并提供访问行为的回放，便于管理人员更直观的判断问题。按规定的时间生成报表提供给监察部门审核。

云端数据库审计系统采用了SQL语法分析技术，分析、过滤发往数据库的SQL语句。根据预先制定的策略决定是否对某SQL语句或访问行为进行记录，这种审计方式可以避免记录大量无用的、无风险的日志，减少占用空间并提高发现问题的准确度。预先制定的策略包括：

白名单规则，即遇到该名单认可的SQL语句时，防火墙就将其看作正常语句，不做记录；

黑名单规则，即专门记录该名单未授权的SQL语句；

例外规则，即可以灵活地让适用的安全策略无效；

属性规则，即通过主客体的属性记录访问行为，如一天中的时间、IP地址、用户和SQL类等属性。

云端数据库审计系统提供数据库状态监控功能，目的是保证数据库系统一直处于健康、稳定的运行状态。通过监控数据库系统的内存使用状况、缓冲区管理统计、连接统计、Cache信息、锁信息、SQL统计信息、数据库信息、计划任务、线程信息、键效率、缓冲区命中率等信息来判断数据库系统运行是否出现异常，出现任何异常会立刻告警通知管理员，防止数据库系统崩溃。

云端数据库审计系统还提供数据库风险扫描功能，将数据库中潜在的风险或漏洞，进行全面的扫描，以减少数据库被攻击或数据泄露的风险。通过数据库风险扫描功能可以减少、弱化大多数人为与非人为造成的数据库风险，提高数据库的安全性。

针对于每个公有云平台租户，中安威士都提供独立的云端数据库安全审计产品，保障云平台租户的数据审计效果；

目前中安威士已与青云、阿里云、腾讯云、百度云IaaS资源结合，提供云端数据库安全审计产品，青云公有云上用户，可以在镜像市场购买中安威士云端数据库审计产品实现对数据库审计。

有益结果

中安威士云端数据库安全产品，为公有云租户，及公有云平台运营商，都会带来不同价值：

对于公有云租户：

1、保障用户数据库合规访问

通过中安威士云端数据库审计系统，对所有访问数据库请求的记录和审核，有效保障了公有云平台租户对自身数据库访问的合规性，通过配置访问策略，可以达到非法访问第一时间告警；

2、降低用户使用成本

相比较于线下部署数据库审计系统，在云端部署和使用成本大大降低，对于云平台租户来说，更划算，更方便。

3、安装部署方便

云端数据加安全审计产品，在云上采用软探针的部署方式，只是在数据库中定入一段启动脚本，无需修改客户的应用和数据库，即可完成对数据库访问的审计，并形成报表，非常方便云租户安装部署使用；

对于公有云平台运营商：

1、第三方系统保障云平台数据安全

公有云平台多租户的特点，用户一直有如何保障数据不会非法访问和盗取的担忧，公有云平台引入第三方数据库审计系统，可以直接留存访问数据库的所有操作，达到事后追溯的目的，有效协助云平台管理者解除用户担忧。

2、带动闲置云平台IaaS资源

中安威士PaaS级云端数据库审计系统，每套都需要使用云平台资源，可以将云平台闲置资源利用起来，对运营商形成增值；

3、形成差异化云平台

当前为租户提供云端数据库审计服务的公有云平台还不多，增加此功能，可以形成租户更加依赖平台为其提供的服务，与其它公有云平台形成差异化竞争。