1. 引言
1.1 背景
数据安全已经成为国家安全的重要战略组成部分,大数据如同一把双刃剑,在我们享受数据分析带来的精准信息的同时,其所带来的安全问题也开始成为企业的隐患。信息泄露、黑客袭击、病毒传播等等互联网信息安全问题层出不穷。政府、企业和个人对信息安全日益关注,近些年,国家相继出台系列政策支持信息安全行业的发展。
1.2 编写目标
DBTP平台数据安全监控服务接入后,最终将实现以下目标:
- “****支持多平台环境及主流服务器、存储、网络设备的监控****”
支持国内外主流操作系统、国内外主流服务器、存储、网络设备。
- “****724小时实时监控,整体状况一手掌控****”*
帮助用户全面掌控数据资源、计算资源等,确保用户投资利益最大化。
- “****实时采集与分析近百项监控指标****,筑牢安全长城****”
帮助用户全面掌控数据行为,根据这些行为进行分析,保障数据整体安全可控。
- “****支持多维度数据报表与多通道智能告警****”
提供列表、图表等多维度监控数据展示,提供短信、钉钉、邮件等多通道智能告警。
2. 监控内容
1.1 整体监控
主要从CPU使用行为、内存占用行为、磁盘增长行为、网络IO行为、TCP连接行为、日志行为、敏感资源使用行为、外部设备接入行为等角度分析展示所有数据整体安全状况,同时提供从宏观下钻到单节点的视角。
监控策略:每隔半(可配)小时,DBTP平台自动运行一次数据安全监控服务,获取监控的服务器指定时间段的监控数据进行统计分析。监控项可设置预警阀值,达到阀值可通过短信、钉钉、邮件等多种方式通知相关人员。
说明:下述监控项中,黄色节点监控项(1.8、1.10)可能不容易实现,需要技术攻关。
整体监控概览:
单机监控概览:
1.2 CPU监控
存在漏洞:
对服务器进行恶意攻击、人为误操作服务器、应用程序运行不正常都会导致CPU占用过高。
行为分析:
每隔半(可配)小时,DBTP平台自动运行一次数据安全监控服务,获取监控的服务器指定时间段的CPU使用数据,排查集群环境下,节点服务器CPU利用率过高所存在的安全隐患。
1.3 内存监控
存在漏洞:
服务器遭到恶意攻击、人为误操作服务器、应用程序运行不正常都会导致内存占用过高。
行为分析:
分析监控的服务器指定时间段的内存使用数据,排查集群环境下,节点服务器内存利用率过高所存在的安全隐患。
1.4 磁盘监控
存在漏洞:
1、某分区空间暴涨;
2、指定数据库文件突然暴增;
3、系统日志、应用程序日志突然暴增;
4、磁盘无规律增长。
行为分析:
分析监控的服务器指定时间段的磁盘使用大小进行排查:
1、某分区暴涨,有可能被种植木马;
2、指定数据文件突然暴增,有可能相关应用受到攻击;
3、系统日志、平台日志、工具日志突然暴增,有可能操作系统内部异常、或应用程序内部异常;
4、数据有流入,磁盘没有增长,说明数据未落盘;数据有流出,磁盘没有增长,说明数据未及时更新;磁盘有增长,数据没流出,说明数据未被访问;磁盘有增长,数据没流入,说明存在未知异常。
1.5 网络IO监控
存在漏洞:
通过公网或局域网,上传恶意数据或下载重要文件。
行为分析:
分析监控的服务器指定时间段的磁盘读取量及磁盘写入量、网络入口量网络出口量数据,排查集群环境下,节点服务器通过外网或局域网,上传或下载文件所存在的安全隐患。
1.6 TCP连接监控
存在漏洞:
服务器遭到DDoS恶意攻击、或被种植木马、或应用程序socket连接未释放等。
行为分析:
分析监控的服务器指定时间段的TCP连接数,排查集群环境下,节点服务器TCP连接数过高所存在的安全隐患。
1.7 日志监控
存在漏洞:
日志出现大量报错、或发生问题无法追溯。
行为分析:
分析监控的服务器指定时间段的指定日志中报错数量、用户操作记录(可提前将每台服务器的登录用户操作过程记录在日志中),排查集群环境下,节点服务器日志异常所存在的安全隐患。
1.8 敏感资源监控
存在漏洞:
服务器被黑客远程控制、内部人员误操作或窃取重要信息等。敏感资源包括但不限下述:
敏感命令:如 ,rm,cp,mv等;
敏感目录:如 ,/home/u03、/opt/u02等包含重要文件目录;
敏感会话:如,权限切换、防火墙操作、查杀进程、主机重启、数据库系统帐号登录、非正常时间登录。
行为分析:
分析监控的服务器指定时间段的敏感资源何时被谁的操作记录,排查集群环境下,节点服务器中敏感资源所存在的安全隐患。
1.9 IP白名单监控
存在漏洞:
内外部人员通过非法手段入侵服务器。
行为分析:
分析监控的服务器指定时间段访问的IP,比对创建的IP白名单,排查集群环境下,访问某节点服务器所存在的安全隐患。
1.10 外部设备接入监控
存在漏洞:
内部人员使用外部设备连接服务器的USB口、串口、并口等进行非法操作。
行为分析:
分析监控的服务器指定时间段的USB口、串口、并口等的操作记录,排查集群环境下,节点服务器中外部设备接入所存在的安全隐患。
3. 国内外监控工具对比
个人意见:
1、Open-falcon工具基本满足我们目前安全监控的需求,小米公司的开源监控工具,使用方式与Zabbix类似,支持的监控项也比较多。但与Zabbix最大的不同是,Zabbix只需要将server端安装好后,agent端可以通过DBTP平台自动安装;但是Open-falcon不仅要安装server端,还需要提前将agent端安装并配置好,才能到DBTP平台中进行监控项的选择及其它操作,无法自动安装agent。如果不需要自动安装agent,则该工具为最佳监控实现方案。
2、监控宝也是国产监控工具,但是需要收费。电话咨询过对方,了解到也基本上能够满足我们目前监控需求,但是花钱的功能,Open-falcon同样也能够实现。对方称是按节点收费,可以到公司面谈具体需求。
3、Zabbix是一款十分成熟且功能齐全的监控工具,但是按照客户所属平台、软硬件全部国产化的思路,这款国外产品显然十分不合适。
4、Nagios也是一款类似Zabbix的国外监控工具,具体功能未研究。
4. 附录:产品安全设计
产品的安全与否,也直接影响到数据库的测试安全。这里依据产品的开发语言,进行了相关的安全漏洞梳理,需要完善相关产品代码。
[图片上传失败...(image-27a6cf-1597302738587)]
