大数据安全
产品介绍
——————————
HADOOP是由APACHE主导开发的一种大数据架构,目前市场上最受欢迎的一种大数据解决方案之一HADOOP 由许多元素构成。其核心是分布式文件系统(HDFS)和MapReduce引擎,并涵盖众多提供HADOOP应用的子项目,如:数据仓库工具(HIVE)、NOSQL数据库(HBASE)、大数据分析平台(PIG,为用户提供多种接口)等以及众多的编程接口。因此,要保证大数据安全的有效安全审计需支持众多大数据相关工具及接口的审计。
(HADOOP架构业务及审计逻辑)
审计到标准的类SQL语句(HQL)
使用开发工具的JAVA API接口循环插入数据到HBASE
审计到所有插入的操作
大数据库审计按照大数据安全需求设计,通过双向审计机制,全面覆盖WEB
主流大数据库及多种协议、接口支持
支持对大数据平台下的MongoDB、Solr、redis、HBase等数据库协议的识别,如:对Hbase的审计,包括HIVE审计,支持hive-hwi、hive-view的操作的审计,HUE的操作审计,RESTAPI接口审计,JDBC、API接口调用的审计。
大数据安全审计系统支持类SQL语句的嵌套、函数、绑定变量、长语句、返回结果、脚本等复杂等操作行为的审计。深度识别和立体分析,不漏审、不误审,准确防范各种危险行为,能够防范黑客级“高手”,让其无可遁形。
大数据库审计系统提供全方位的数据库活动审计,自动扫描连接数据库的访问工具。从访问数据库的源头进行分析,应用系统和客户端工具根据不同的数据库类型可通过ODBC、JDBC、直连等方式连接数据库,如发现审计记录中出现未知的数据库连接工具或出现规定之外的连接工具,审计员可根据工具监控记录分析出使用过该工具的IP及关联的操作记录,进而取证使用该工具的源头及操作的合法性。
大数据库审计系统支持HTTP协议、,针对很多重要系统提供精确到命令的审计以及提取返回内容,针对http协议审计提取URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数等,并且经过长期的努力,独创应用组件穿透技术,现已经能提取出http返回的js等文件内容,提供全方位的三层(应用层、中间层、数据库层)的访问审计。
行业内一般只能支持“五元组”来进行标识,并不能支持应用层账号(即当前用户登录应用程序的工号),在复杂环境下难以定位到“人”。特别是对于账号共享行为,通过IP没法锁定最终的操作者。
在数据库审计领域,天数元独创了“六元组”来标识用户访问数据库的属性。“六元组”具体是指应用层账号、数据库账号、操作系统用户名、客户端主机名、客户端IP、客户端Mac。
大数据库审计系统不仅内置安全规则,而且有丰富的规则设置条件,可按各种场景自定义安全预警规则,更容易满足不同数据库系统的不同审计需求。
大数据库审计系统独有的组合规则,可根据某一客体的操作行为序列,连续操作了设定的语句序列时进行规则审计告警。提供通过子对象模式多级关联跨表跨字段的组合规则。
大数据库审计系统独有的统计规则,可根据在一定的时间内,重复某项操作达到设定的统计次数进行规则审计告警。
大数据库审计系统可根据审计日志,通过事件、端口、端口等因素构建出事件的关联性及现场,通过模拟回放,还原事件场景,模拟出整个事件的行动轨迹,直观的追溯事件的前后关联性及风险蕴含较深的操作行为,真实再现完整操作过程,进行电子取证,为溯源和取证提供有力的证据。
大数据库审计系统采用多级优化索引技术解决海量数据检索的问题,支检索效率高达亿条数据分钟级,搜索条件支持全范围搜索(特别要求在超过亿条数据量时),一次性完成搜索的响应时间在分钟级别。
大数据库审计系统实时监测实时告警,支持屏幕、短信、邮件、SNMP、syslog多种告警方式,可供客户灵活选择。
大数据库审计系统支持流程的标准化,当发生数据库安全事件后,系统将事件关键信息通过电邮、短信等风险发送给安全审计相关人员,在调查取证确认合法性后通过审计系统给出处置意见信息,以确定事件的结束。审计管理员日后可通过追溯安全事件处置信息确定有无包庇及不作为行为。
大数据库审计系统可对响应事件进行关联,如根据IP关联出某段时间内该IP所触发的告警数量等;根据一段时间内的数据库或应用系统登录失败次数判断出暴力破解密码的可能性;根据账号的多次登录判断账号信息泄密或共享账号的可能性;相似SQL语句执行时间过长从而判断该语句设计的合理性等。根据事件关联性分析,自动涌现一批对客户具有实用价值的信息,帮助客户管理和维护好现有应用。
安全法规要求审计设备具有一定的权限控制,系统设置了权限角色分离,如系统管理员负责设备的运行设置;审计员负责查看相关审计记录及规则违反情况;规则配置员负责数据库审计安全规则的配置等。
基于现有环境及数据动态分析、整体的洞悉安全威胁,发现识别、理解分析、从全局视角的提升对安全威胁的发现识别并为采取相应的主动防御策略提供数据依据。
识别目前的威胁状态,自动生成策略规则,解决人工配置规则可能导致的风险遗漏问题;降低人工配置的复杂度,提升配置精确度;自动识别异常风险、异常操作、实时报警。
通过各数据中心的实时动态连接,监控数据库状态和流量信息,可快速分析数据库运行情况,帮助用户实时了解数据库状态。
脱敏系统可通过预定义敏感数据特征库,在任务执行过程中通过智能匹配识别敏感数据,最大限度的实现脱敏工作自动化,避免按字段名手工方式定义敏感数据的繁琐工作。