星环科技数据安全监测软件Audit 3.0，助力企业数据安全与合规

Transwarp Audit （简称Audit ）是一款星环科技自研的数据安全监测软件。Audit基于审计日志方式，对敏感数据操作事件进行监测与审计，识别异常的敏感操作事件并及时告警。支持对用户的登录、授权、文件操作、数据库表增删改查等数据库行为进行安全审计，覆盖数据库高危操作、用户异常访问、权限滥用、口令嗅探、拖库行为等安全审计场景。近日，Audit重磅发布3.0版本，全方位助力企业数据安全与合规。

全方位异常行为监控，解决企业安全风险

常见的数据库安全风险问题主要包括：越权操作、高危操作、账户安全威胁、拖库攻击等，这些操作会对企业造成巨大的威胁。Transwarp Audit 3.0 针对以上安全风险提供实时监控与分析、强大的审计日志管理、预置丰富的告警检测规则等能力，逐一解决企业安全风险。

1.强大的审计日志管理

Audit 3.0 以数据软件资产为视角，展示关键审计信息，包括谁在用、怎么用、何时用、何地用以及用了哪些数据，并能审计多种类型的日志。具体包括但不限于：

• HDFS,TranswarpInceptor/ArgoDB,Transwarp Guardian,Transwarp SQLBook。

• 这些日志涵盖了HDFS目录/文件、数据/表/列、数据库身份认证、权限变更、SQL脚本（SQLBook脚本）、数据源等多方面的操作。

2.预置丰富的告警检测规则

系统预置40+内置告警规则：权限监控规则能够识别表过度授权、库表临时授权、敏感库表赋权、高权限账号操作等权限风险；高危操作监控规则可以识别大数据量更新、删表、删库、删数据、高风险操作、大表查询、敏感数据修改等高危行为；账户安全监控规则能够识别口令嗅探、登录失败率过高和异常登录时间等账户安全风险；拖库攻击监控规则能够识别大规模数据导出、批量查询、高频数据下载、敏感数据导出、大表数据导出和异常数据访问模式等拖库攻击行为。

数据安全策略检测，确保数据安全合规

在数据使用场景中，企业实施了大量动态脱敏策略以保护敏感信息。但是策略是否按预期执行，是否存在策略漏配、错配、策略更新不及时导致敏感数据裸奔的风险，这是企业数据安全管理员需要关注并解决的问题。

Audit 3.0通过数据安全策略检测功能帮助识别这些风险，确保策略有效执行，通过采集策略执行引擎的操作审计日志，解析日志中记录的实际执行的安全策略，具体包括如下步骤：

1.系统自动对比配置态（预期的安全策略配置）与执行态（实际执行的安全策略）之间的差异，识别出策略配置错误、策略未按预期执行等风险

2.当发现策略执行与预期不符或存在安全风险时，系统生成告警事件

3.发生告警的数据支持从Defensor获取数据分类分级信息，辅助用户判断触发告警数据的重要/敏感程度

4.针对告警事件，支持日志溯源分析功能，追踪事件的来源和影响范围，以便进行有效的响应和修复

检测结果：

通过事中的数据安全策略动态防护与事后的审计策略检查的组合拳，为客户提供了全面的数据分析场景下敏感数据访问安全解决方案。

敏感信息泄露检测，减少数据泄露的风险

高敏感数据的访问行为合规性审计是确保数据安全和遵守监管要求的关键环节。Audit可以基于分类分级结果确定要监测的数据对象，可以从数据的访问时间、访问IP、访问用户维度对敏感数据访问进行监测与判定，若在非正常时段、非正常IP网段、非特定用户发起的敏感数据访问，将会直接判定为泄敏事件并进行告警，通知安全管理员及时阻断相关行为。

Transwarp Audit 3.0 与数据安全管理平台Defensor 联动，提供了一套完整的解决方案来审计和监控高敏感数据的访问行为，识别泄敏风险并生成告警。

在具体的业务场景中，针对数据库每一次数据查询，Audit会对SQL查询日志进行判断分析，解析出访问的数据对象是否符合高敏感数据规则。若命中规则，则此次访问被判定为敏感数据访问操作，如果此次访问为明文访问且未匹配任何白名单规则，则会产生泄敏告警事件。

日志链路溯源分析，定位问题源头与影响范围

当数据仓库ArgoDB 中的个人信息表被明文查询时，若发生数据泄露，仅靠数据库层面日志，难以溯源到执行 SQL 命令的用户和开发工具，形成监控盲区，如果同时数据库账号又是多人共用的情况下，就更难以追责和溯源。

Audit 3.0 的日志溯源分析模块可以解决这个问题。通过采集数据库、数据开发工具、网关等多组件日志，构建数据访问的链路，实现基于数据访问链路的告警溯源。安全管理人员可借此快速定位问题源头，分析上下游日志，及时发现并处理数据安全事件，保障数据安全。

通过敏感信息泄露检测，Audit 3.0能够及时发现对高敏感数据的未授权访问，从而减少数据泄露的风险，保护客户隐私和企业声誉。

星环科技为某银行建立了全面覆盖大数据平台的审计中心

某商业银行需要建设安全访问规则、数据脱敏规范等制度，并基于银行的安全规范，搭建数据安全平台实现全行所有业务人员对不同敏感等级的数据的访问控制。完成数据安全平台与中台项目如数据总线、资产、运营、开发、BI等模块的应用集成。

场景需求

• 数据安全管理制度：建立银行的安全访问规则、数据脱敏规范等制度。

• 数据安全平台：实现全行所有业务人员对不同敏感等级的数据的访问控制。

• 中心子系统对接：数据安全平台需与银行数据中台内数据总线、资产、运营、开发模块集成。

场景建设

DSB系统：包括WebIDE、BI报表、自助查询等功能模块。

数据安全系统：包括脱敏策略管理、脱敏引擎、敏感数据识别、日志审计、异常行为告警、策略检测、敏感数据泄露检测等功能。

数据源：支持Oracle、ArgoDB、DB2等多种数据库。

建设成果

• 基于银行安全规范，制定数据脱敏规范：接入全行统一日志查询网关2节点，单日10W+日志数量，审计指标生效数量25个，告警规则启用数量28个。

• 监控的安全场景

临时表的建立和回收：监测临时表的创建和删除操作，确保这些操作符合安全规范，防止敏感数据在临时表中的不当使用。

脱敏策略执行情况：监控脱敏策略是否按预期执行，确保敏感数据在分析过程中被正确处理，防止敏感信息泄露。

通过这些措施，星环科技帮助银行确保数据访问和操作活动的合规性，同时提高了对数据安全事件的响应能力，有效保护了敏感数据不被泄露，满足了银行对于数据安全和合规性的严格要求。