數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制解決方案

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制解決方案

1概述

1.1數(shù)據(jù)庫(kù)面臨的安全挑戰(zhàn)

數(shù)據(jù)庫(kù)是企業(yè)核心業(yè)務(wù)開(kāi)展過(guò)程中最具有戰(zhàn)略性的資產(chǎn)，通

常都保存著重要的商業(yè)伙伴和客戶信息，這些信息需要被保護(hù)起

來(lái)，以防止競(jìng)爭(zhēng)者和其他非法者獲取?；ヂ?lián)網(wǎng)的急速發(fā)展使得企

業(yè)的數(shù)據(jù)庫(kù)信息價(jià)值及可訪問(wèn)性得到了提升，同時(shí)，也致使數(shù)據(jù)

庫(kù)信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，概括起來(lái)主要表現(xiàn)在以下三個(gè)層

面：

管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員

工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，

致使安全事件發(fā)生時(shí)，無(wú)法追溯并定位真實(shí)的操作者。

技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫(kù)內(nèi)部操作不明，無(wú)法通過(guò)外部的任

何安全工具（比如：防火墻、IDS、IPS等）來(lái)阻止內(nèi)部用戶的惡

意操作、濫用資源和泄露企業(yè)機(jī)密信息等行為。

審計(jì)層面：現(xiàn)有的依賴(lài)于數(shù)據(jù)庫(kù)日志文件的審

計(jì)方法，存在諸多的弊端，比如:數(shù)據(jù)庫(kù)審計(jì)功能

的開(kāi)啟會(huì)影響數(shù)據(jù)庫(kù)本身的性能、數(shù)據(jù)庫(kù)日志文

件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息的

真實(shí)性。

伴隨著數(shù)據(jù)庫(kù)信息價(jià)值以及可訪問(wèn)性提升，使

得數(shù)據(jù)庫(kù)面對(duì)來(lái)自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大

增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息

竊取泄漏，但事后卻無(wú)法有效追溯和審計(jì)。

1.2數(shù)據(jù)庫(kù)審計(jì)的客觀需求

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制的目的概括來(lái)說(shuō)主要

是三個(gè)方面：一是確保數(shù)據(jù)的完整性;二是讓管

理者全面了解數(shù)據(jù)庫(kù)實(shí)際發(fā)生的情況;三是在可

疑行為發(fā)生時(shí)可以自動(dòng)啟動(dòng)預(yù)先設(shè)置的告警流

程，防范數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)的發(fā)生。因此，如何采取一

種可信賴(lài)的綜合途徑，確保數(shù)據(jù)庫(kù)活動(dòng)記錄的

100%捕獲是極為重要的，任何一種遺漏關(guān)鍵活

動(dòng)的行為，都會(huì)導(dǎo)致數(shù)據(jù)庫(kù)安全上的錯(cuò)誤判斷，

并且干擾數(shù)據(jù)庫(kù)在運(yùn)行時(shí)的性能。只有充分理解

企業(yè)對(duì)數(shù)據(jù)庫(kù)安全審計(jì)的客觀需求，才能夠給出

行之有效的解決方案：

捕捉數(shù)據(jù)訪問(wèn)：不論在什么時(shí)間、以什么方式、只要數(shù)據(jù)被

修改或查看了就需要自動(dòng)對(duì)其進(jìn)行追蹤；

捕捉數(shù)據(jù)庫(kù)配置變化：當(dāng)”數(shù)據(jù)庫(kù)表結(jié)構(gòu)、控制數(shù)據(jù)訪問(wèn)的

權(quán)限和數(shù)據(jù)庫(kù)配置模式”等發(fā)生變化時(shí)，需要進(jìn)行自動(dòng)追蹤；

自動(dòng)防御：當(dāng)探測(cè)到值得注意的情況時(shí)，需要自動(dòng)啟動(dòng)事先

設(shè)置的告警策略，以便數(shù)據(jù)庫(kù)安全管理員及時(shí)采取有效應(yīng)對(duì)措

施，對(duì)于嚴(yán)重影響業(yè)務(wù)運(yùn)行的高風(fēng)險(xiǎn)行為甚至可以立即阻斷；

審計(jì)策略的靈活配置和管理：提供一種直截了當(dāng)?shù)姆椒▉?lái)配

置所有目標(biāo)服務(wù)器的審計(jì)形式、具體說(shuō)明關(guān)注的活動(dòng)以及風(fēng)險(xiǎn)來(lái)

臨時(shí)采取的動(dòng)作；

審計(jì)記錄的管理：將從多個(gè)層面追蹤到的信息自動(dòng)整合到一

個(gè)便于管理的，長(zhǎng)期通用的數(shù)據(jù)存儲(chǔ)中，且這些數(shù)據(jù)需要獨(dú)立于

被審計(jì)數(shù)據(jù)庫(kù)本身；

靈活的報(bào)告生成：臨時(shí)和周期性地以各種格式輸出審計(jì)分析

結(jié)果，用于顯示、打印和傳輸；

1.3現(xiàn)有的數(shù)據(jù)庫(kù)審計(jì)解決方案的不足

傳統(tǒng)的審計(jì)方案，或多或少存在一些缺陷，主要表現(xiàn)在以下

幾個(gè)方面：

傳統(tǒng)網(wǎng)絡(luò)安全方案：依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)

(IPS),在網(wǎng)絡(luò)中檢查并實(shí)施數(shù)據(jù)庫(kù)訪問(wèn)控制策略。但是網(wǎng)絡(luò)防

火墻只能實(shí)現(xiàn)對(duì)IP地址、端口及協(xié)議的訪問(wèn)控制，無(wú)法識(shí)別特

定用戶的具體數(shù)據(jù)庫(kù)活動(dòng)（比如：某個(gè)用戶使用數(shù)據(jù)庫(kù)客戶端刪

除某張數(shù)據(jù)庫(kù)表）；而IPS雖然可以依賴(lài)特征庫(kù)有限阻止數(shù)據(jù)庫(kù)

軟件已知漏洞的攻擊，但他同樣無(wú)法判別具體的數(shù)據(jù)庫(kù)用戶活

動(dòng)，更談不上細(xì)粒度的審計(jì)。因此，無(wú)論是防火墻，還是IPS都

不能解決數(shù)據(jù)庫(kù)特權(quán)濫用等問(wèn)題。

基于日志收集方案：需要數(shù)據(jù)庫(kù)軟件本身開(kāi)啟審計(jì)功能，通

過(guò)采集數(shù)據(jù)庫(kù)系統(tǒng)日志信息的方法形成審計(jì)報(bào)告，這樣的審計(jì)方

案受限于數(shù)據(jù)庫(kù)的審計(jì)日志功能和訪問(wèn)控制功能，在審計(jì)深度、

審計(jì)響應(yīng)的實(shí)時(shí)性方面都難以獲得很好的審計(jì)效果。同時(shí)，開(kāi)啟

數(shù)據(jù)庫(kù)審計(jì)功能，一方面會(huì)增加數(shù)據(jù)庫(kù)服務(wù)器的資源消耗，嚴(yán)重

影響數(shù)據(jù)庫(kù)性能；另一方面審計(jì)信息的真實(shí)性、完整性也無(wú)法保

證。

其他諸如應(yīng)用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認(rèn)證系統(tǒng)授權(quán)

等等方式，均只能記錄有限的信息，更加無(wú)法提供細(xì)料度的數(shù)據(jù)

庫(kù)操作審計(jì)。

1.4本方案解決的數(shù)據(jù)庫(kù)安全問(wèn)題

為了解決企業(yè)數(shù)據(jù)庫(kù)安全領(lǐng)域的深層次、應(yīng)用及業(yè)務(wù)邏輯層

面的安全問(wèn)題及審計(jì)需求，杭州安恒信息技術(shù)有限公司依靠其對(duì)

入侵檢測(cè)技術(shù)的深入研究及安全服務(wù)團(tuán)隊(duì)積累的數(shù)據(jù)庫(kù)安全知

識(shí)，研制并成功推出了全球領(lǐng)先的、面向企業(yè)核心數(shù)據(jù)庫(kù)的、集

“全方位的風(fēng)險(xiǎn)評(píng)估、多視角的訪問(wèn)控制、深層次的審計(jì)報(bào)告”

于一體的數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制設(shè)備，即明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)

控制系統(tǒng)，為企業(yè)核心數(shù)據(jù)庫(kù)提供全方位安全防護(hù)。

在企業(yè)業(yè)務(wù)支撐網(wǎng)絡(luò)中部署了明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系

統(tǒng)，可以實(shí)現(xiàn)企業(yè)核心數(shù)據(jù)庫(kù)的“系統(tǒng)運(yùn)行可視化、日常操作可

跟蹤、安全事件可鑒定”目標(biāo)，解決企業(yè)數(shù)據(jù)庫(kù)所面臨的管理層

面、技術(shù)層面、審計(jì)層面的三大風(fēng)險(xiǎn)，以滿足企業(yè)的不斷增長(zhǎng)的

業(yè)務(wù)需要。明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)對(duì)于企業(yè)數(shù)據(jù)庫(kù)的安

全防護(hù)功能，概括起來(lái)體現(xiàn)在以下三個(gè)方面：

首先：明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)采用“網(wǎng)絡(luò)抓包、本

地操作審計(jì)”組合工作模式，結(jié)合安恒專(zhuān)用的硬件加速卡，確保

數(shù)據(jù)庫(kù)訪問(wèn)的100%完整記錄，為后續(xù)的日常操作跟蹤、安全事

件鑒定奠定了基礎(chǔ)。

其次：明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)通過(guò)專(zhuān)利級(jí)的雙引擎

技術(shù)，一方面利用數(shù)據(jù)庫(kù)安全研究團(tuán)隊(duì)多年積累的安全知識(shí)庫(kù)，

防止無(wú)意的危險(xiǎn)誤操作，阻止數(shù)據(jù)庫(kù)軟件漏洞引起的惡意攻擊；

另一方面，依賴(lài)智能自學(xué)習(xí)過(guò)程中動(dòng)態(tài)創(chuàng)建的安全模型與異常引

擎相結(jié)合，有效控制越權(quán)操作、違規(guī)操作等異常操作行為。

再者：明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)依賴(lài)其獨(dú)特的數(shù)據(jù)庫(kù)

安全策略庫(kù)，可以深入到應(yīng)用層協(xié)議（如操作命令、數(shù)據(jù)庫(kù)對(duì)象、

業(yè)務(wù)操作過(guò)程）實(shí)現(xiàn)細(xì)料度的安全審計(jì)，并根據(jù)事先設(shè)置的安全

策略采取諸如產(chǎn)生告警記錄、發(fā)送告警郵件（或短信）、提升風(fēng)險(xiǎn)

等級(jí)、加入黑名單、立即阻斷等響應(yīng)。同時(shí)，明御數(shù)據(jù)庫(kù)審計(jì)與

風(fēng)險(xiǎn)控制系統(tǒng)可以提供多視角的審計(jì)報(bào)告，即根據(jù)實(shí)時(shí)記錄的網(wǎng)

絡(luò)訪問(wèn)情況，提供多種安全審計(jì)報(bào)告，更清晰地了解系統(tǒng)的使用

情況以及安全事件的發(fā)生情況，并可根據(jù)這些安全審計(jì)報(bào)告進(jìn)一

步修改和完善數(shù)據(jù)庫(kù)安全策略庫(kù)。

2方案總體結(jié)構(gòu)

2.1主要功能

如下圖所示，數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)主要的功能模塊包

括“靜態(tài)審計(jì)、實(shí)時(shí)監(jiān)控與風(fēng)險(xiǎn)控制、動(dòng)態(tài)審計(jì)（全方位、細(xì)粒

度）、審計(jì)報(bào)表、安全事件回放、審計(jì)對(duì)象管理、系統(tǒng)配置管理

管理”幾個(gè)部分。

2.1.1數(shù)據(jù)庫(kù)靜態(tài)審計(jì)

數(shù)據(jù)庫(kù)靜態(tài)審計(jì)的目的是代替繁瑣的手工檢查，預(yù)防安全事

件的發(fā)生。數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)依托其權(quán)威性的數(shù)據(jù)庫(kù)安

全規(guī)則庫(kù)，自動(dòng)完成對(duì)幾百種不當(dāng)?shù)臄?shù)據(jù)庫(kù)不安全配置、潛在弱

點(diǎn)、數(shù)據(jù)庫(kù)用戶弱口令、數(shù)據(jù)庫(kù)軟件補(bǔ)丁、數(shù)據(jù)庫(kù)潛藏木馬等等

靜態(tài)審計(jì)，通過(guò)靜態(tài)審計(jì)，可以為后續(xù)的動(dòng)態(tài)防護(hù)與審計(jì)的安全

策略設(shè)置提供有力的依據(jù)。

2.1.2實(shí)時(shí)監(jiān)控與風(fēng)險(xiǎn)控制

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)可保護(hù)業(yè)界主流的數(shù)據(jù)庫(kù)系統(tǒng)，

防止受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等的侵害。當(dāng)用

戶與數(shù)據(jù)庫(kù)進(jìn)行交互時(shí)，數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)會(huì)自動(dòng)根據(jù)

預(yù)設(shè)置的風(fēng)險(xiǎn)控制策略，結(jié)合對(duì)數(shù)據(jù)庫(kù)活動(dòng)的實(shí)時(shí)監(jiān)控信息，進(jìn)

行特征檢測(cè)及審計(jì)規(guī)則檢測(cè)，任何嘗試的攻擊或違反審計(jì)規(guī)則的

操作都會(huì)被檢測(cè)到并實(shí)時(shí)阻斷或告警。

三上啰t

饗*電**ta技+風(fēng)險(xiǎn)掛圖

2.1.3數(shù)據(jù)庫(kù)動(dòng)態(tài)審計(jì)

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)基于“數(shù)據(jù)捕獲f應(yīng)用層數(shù)據(jù)分

析f監(jiān)控、審計(jì)和響應(yīng)”的模式提供各項(xiàng)安全功能，使得它的

審計(jì)功能大大優(yōu)于基于日志收集的審計(jì)系統(tǒng)，通過(guò)收集一系列極

其豐富的審計(jì)數(shù)據(jù)，結(jié)合細(xì)粒度的審計(jì)規(guī)則、以滿足對(duì)敏感信息

的特殊保護(hù)需求。

數(shù)據(jù)庫(kù)動(dòng)態(tài)審計(jì)可以徹底擺脫數(shù)據(jù)庫(kù)的黑匣子狀態(tài)，提供

4W(who/when/where/what)審計(jì)數(shù)據(jù)。通過(guò)實(shí)時(shí)監(jiān)測(cè)并智能地分

析、還原各種數(shù)據(jù)庫(kù)操作，解析數(shù)據(jù)庫(kù)的登錄、注銷(xiāo)、插入、刪

除、存儲(chǔ)過(guò)程的執(zhí)行等操作，還原SQL操作語(yǔ)句；跟蹤數(shù)據(jù)庫(kù)訪

問(wèn)過(guò)程中的所有細(xì)節(jié)，包括用戶名、數(shù)據(jù)庫(kù)操作類(lèi)型、所訪問(wèn)的

數(shù)據(jù)庫(kù)表名、字段名、操作執(zhí)行結(jié)果、數(shù)據(jù)庫(kù)操作的內(nèi)容取值等。

全方位的數(shù)據(jù)庫(kù)活動(dòng)審計(jì)：實(shí)時(shí)監(jiān)控來(lái)自各個(gè)層面的所有數(shù)

據(jù)庫(kù)活動(dòng)。如：來(lái)自應(yīng)用程序發(fā)起的數(shù)據(jù)庫(kù)操作請(qǐng)求、來(lái)自數(shù)據(jù)

庫(kù)客戶端工具的操作請(qǐng)求、來(lái)自數(shù)據(jù)庫(kù)管理人員遠(yuǎn)程登錄數(shù)據(jù)庫(kù)

服務(wù)器產(chǎn)生的操作請(qǐng)求等。

完整的雙向?qū)徲?jì)：除可實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)的請(qǐng)求操作以外，還

可以實(shí)時(shí)監(jiān)控所有請(qǐng)求操作后數(shù)據(jù)庫(kù)的回應(yīng)信息，如命令執(zhí)行情

況，錯(cuò)誤信息等。

潛在危險(xiǎn)活動(dòng)重要審計(jì)：提供對(duì)DDL類(lèi)操作、DML類(lèi)操作的重

要審計(jì)功能，重要審計(jì)規(guī)則的審計(jì)要素可以包括：用戶、源IP

地址、操作時(shí)間(任意天、一天中的時(shí)間、星期中的天數(shù)、月中

的天數(shù)）、使用的SQL操作類(lèi)型

（Select/Delete/Drop/Insert/Update）o當(dāng)某個(gè)數(shù)據(jù)庫(kù)活動(dòng)匹配

了事先定義的重要審計(jì)規(guī)則時(shí)，一條報(bào)警將被記錄以進(jìn)行審計(jì)。

重要審計(jì)規(guī)則設(shè)置:

重要審計(jì)結(jié)果展示:

敏感信息細(xì)粒度審計(jì)：對(duì)業(yè)務(wù)系統(tǒng)的重要信息，提供完全自

定義的、精確到字段及記錄內(nèi)容的細(xì)粒度審計(jì)功能。自定義的審

計(jì)要素包括登錄用戶、源IP地址、數(shù)據(jù)庫(kù)對(duì)象（分為數(shù)據(jù)庫(kù)用戶、

表、字段）、操作時(shí)間段（本日、本周、本月、最近三小時(shí)、最近

十二小時(shí)、最近二十四小時(shí)、最近七天、最近三十天、任意時(shí)間

段）、使用的SQL操作類(lèi)型

(select/delete/drop/insert/update/create/turncate)、記錄

內(nèi)容。

根據(jù)操作類(lèi)型及記錄內(nèi)容進(jìn)行細(xì)粒度審計(jì):

明周及計(jì)蒙&qfn

—g1”…■一HI、

??9?

Mfl—r-?)*??.g4V*R?

。e?y??.：?C*士■

■OtnjnMt?oMBC~?nti：-0***<MB*C*'

■MP

?A4B*10^9.IOX*

口

E?0fjffj

tOilSKlfttfl1AUV±￡

。.*4MnMI?*uVWflOS

ngge.iuat

■?1*caw(&*?Om*

細(xì)粒度審計(jì)結(jié)果展示:

義3—301—ITin

-??fi.?

FtJnUJM________________________________________________________wiiiRiMwrt

■■■“?.?■?*????.xMb.

MXMB-：；“t?，???：，_、.??:??11?_；--??t

~~25~|MSWM*9,愴1tXMVttMC!??????（

,

?atm*0nMV?M>4，■“S”3?X

f?sttlUMMIMLOWCKSrirv'OV?C

?t22WMk）Xtt?la?MtoM>??，a<?MM-IM9M23U

|W0MH?|>M1tHMCMJ^ffAlOO'KT-QWC1

遠(yuǎn)程ftp操作審計(jì)與回放：對(duì)發(fā)生在數(shù)據(jù)庫(kù)服務(wù)器上的ftp

命令進(jìn)行實(shí)時(shí)監(jiān)控、審計(jì)及回放。審計(jì)的要素包括：ftp用戶、

ftp客戶端IP地址、命令執(zhí)行時(shí)間段（本日、本周、本月、最近

三小時(shí)、最近十二小時(shí)、最近二十四小時(shí)、最近七天、最近三十

天、任意時(shí)間段）、執(zhí)行的ftp命令（get/put/ls等等）。

自定義ftp操作審計(jì):

明即“應(yīng)用及數(shù)據(jù)蟀防御審計(jì)系統(tǒng)ftp134.97.9.16^

?丫Ise1t|依9|utgaat]

wa

甌希?IP

?務(wù)■?11.97916:21

時(shí)而段至回朝初

■?三4守!?二4,修二十m.量七務(wù)?設(shè)三十天

，法：?KU,lt*量6七語(yǔ)的榮H)

Jtxif.O1*◎■遇。金?

ftp審計(jì)結(jié)果展示:

(x*7?n

o*p?n

>8,,內(nèi)

U4(MriMfTaM

w，,”，XS，R

?M?aH

rwifantMVFMN

mrm

iMtrtM

iMtranO4?T??4

3"Z

f>F?n

fMircH?M*TIM

fMV*tntMtraw

(Mv??n<M*Tm

tMP?n

txwirIMVTBM

tMtf**?也?，■?

mviniMtraw

ftp回放:

明?”盛用及CUR?S0?it蒙慌np

_________________皿1，標(biāo)

遠(yuǎn)程telnet操作審計(jì)與回放：對(duì)發(fā)生在數(shù)據(jù)庫(kù)服務(wù)器上的

Telnet命令進(jìn)行實(shí)時(shí)監(jiān)控、審計(jì)及回放。審計(jì)的要素包括：telnet

用戶、telnet客戶端IP地址、命令執(zhí)行時(shí)間段（本日、本周、

本月、最近三小時(shí)、最近十二小時(shí)、最近二十四小時(shí)、最近七天、

最近三十天、任意時(shí)間段）、telnet登錄后執(zhí)行的系統(tǒng)命令

（login/pwd/root等等）。

自定義telnet操作審計(jì):

明6"應(yīng)用及數(shù)據(jù)除防御串計(jì)系統(tǒng)Mne<鑰.

9-十一三一IaiLijll一■i

□歐文?，IMP

?SPmtP

VMIIP1349791?：23

彩旺4制十=1重二夕$10%&匕*M三日

ig?]

HX"OtffOtV

telnet操作審計(jì)結(jié)果展示:

會(huì)話分析與查看：?jiǎn)蝹€(gè)離散的操作（Sql操作、ftp命令、telnet

命令）還不足于了解用戶的真實(shí)意圖，一連串的操作所組成的一

個(gè)完整會(huì)話展現(xiàn)，可以更加清晰地判斷用戶的意圖（違規(guī)的'粗心

的、惡意的）。

Telent操作審計(jì)會(huì)話查看:

■父

1MIT9M)ogrM

txt/trtmiVfMa.陽(yáng)1*09

Q4R9ftoe>ii>o$i3ss<n

mmOM，61SMO

1)4978T5049T9tf?11O5UM43

iwrriHMWtfW-H-M11M43

ii4*raKraft

ixntrswm”E，1田

小?？?2Ml-13S*43

2.1.4審計(jì)報(bào)表

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)內(nèi)嵌了功能強(qiáng)大的報(bào)表模塊，除

了按安全經(jīng)驗(yàn)、行業(yè)需求分類(lèi)的預(yù)定義固定格式報(bào)表外，管理員

還可以利用報(bào)表自定義功能生成定制化的報(bào)告。報(bào)告模塊同時(shí)支

持Word、Excel、PowerPoint、Pdf格式的數(shù)據(jù)導(dǎo)出。系統(tǒng)缺省

提供以下報(bào)表：

DB第fit安全觀計(jì)報(bào)表

數(shù)據(jù)庫(kù)攻擊源統(tǒng)計(jì)

DB安全審計(jì)報(bào)表

DBA表訪問(wèn)審計(jì)

系統(tǒng)表訪問(wèn)審計(jì)

數(shù)據(jù)庫(kù)操作審計(jì)

數(shù)據(jù)庫(kù)特權(quán)操作審計(jì)

數(shù)據(jù)庫(kù)用戶訪問(wèn)審計(jì)

數(shù)據(jù)庫(kù)攻擊源統(tǒng)計(jì)示意圖：

攻擊來(lái)源TOP10

⑼麗迎

1921a318

192axi

1921^3209

192IO3I2

1921683103

1921A3J0

192160224

192168322

數(shù)據(jù)庫(kù)操作審計(jì)示意:

/IKW?作審計(jì)據(jù)計(jì)分析

同時(shí)提供靈活的格式報(bào)表功能，可以方便的根據(jù)業(yè)務(wù)邏輯來(lái)

動(dòng)態(tài)格式化報(bào)表元素，提供強(qiáng)大的樣式定義，對(duì)于熟悉CSS的設(shè)

計(jì)人員來(lái)說(shuō)，可以設(shè)計(jì)出相當(dāng)出色的報(bào)表樣式。

2.1.5安全事件回放

允許安全管理員提取歷史數(shù)據(jù)，對(duì)過(guò)去某一時(shí)段的事件進(jìn)行

回放，真實(shí)展現(xiàn)當(dāng)時(shí)的完整操作過(guò)程，便于分析和追溯系統(tǒng)安全

問(wèn)題。

很多安全事件或者與之關(guān)聯(lián)的事件在發(fā)生一段時(shí)間后才引發(fā)

相應(yīng)的人工處理，這個(gè)時(shí)候，作為獨(dú)立審計(jì)的數(shù)據(jù)庫(kù)審計(jì)與風(fēng)

險(xiǎn)控制系統(tǒng)就發(fā)揮特別的作用.因?yàn)樗械腇TP、telnet、客戶

端連接等事件都保存后臺(tái)（包括相關(guān)的告警），對(duì)相關(guān)的事件做

定位查詢，縮小范圍，使得追溯變得容易；同時(shí)由于這是獨(dú)立監(jiān)

控審計(jì)模式，使得相關(guān)的證據(jù)更具有公證性。

Sql操作回放示意圖:

VIMitorMXmtMvz*

telnet命令回放示意圖:

.111■一?.—■■???O

2.1.6綜合管理

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)提供WEB-base的管理頁(yè)面，數(shù)據(jù)

庫(kù)安全管理員在不需要安裝任何客戶端軟件的情況下，基于標(biāo)準(zhǔn)

的瀏覽器即可完成對(duì)數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)的相關(guān)配置管

理，主要包括“審計(jì)對(duì)象管理、系統(tǒng)管理、用戶管理、功能配置、

風(fēng)險(xiǎn)查詢”等。

下圖為審計(jì)對(duì)象配置示意圖:

下圖為系統(tǒng)配置示意圖:

?AmtJEkJfiar

下圖為風(fēng)險(xiǎn)查詢示意圖:

2.2審計(jì)流程

明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)流程如下圖所

示:

知信

2.2.1審計(jì)數(shù)據(jù)采集

明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)審計(jì)數(shù)據(jù)采集的方式包括：

網(wǎng)絡(luò)抓包、本地操作審計(jì)，采集的內(nèi)容主要包括：

賬號(hào)登錄行為數(shù)據(jù)：采集對(duì)賬號(hào)登錄動(dòng)作的審計(jì)。具體包括:

賬號(hào)名稱(chēng)、登錄成功或登錄失敗、用戶終端IP/ID、登錄時(shí)間

等;

對(duì)異常動(dòng)作的審計(jì)記錄，應(yīng)記錄越權(quán)企圖、用戶終端IP/ID、

登錄時(shí)間等；

賬號(hào)登錄后各種操作記錄，記錄各種操作的操作人員、操作

時(shí)間、操作內(nèi)容，具體包括：

對(duì)數(shù)據(jù)庫(kù)的一般操作記錄；

對(duì)關(guān)鍵數(shù)據(jù)的操作記錄；

數(shù)據(jù)庫(kù)特殊命令的操作記錄

明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)對(duì)審計(jì)數(shù)據(jù)的采集大多數(shù)情

況下是通過(guò)網(wǎng)絡(luò)獲取，由于其采用了專(zhuān)用硬件加速接口卡，可以

在千兆環(huán)境下線速捕獲，因此保證了明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制

系統(tǒng)具備交換機(jī)一樣的高吞吐量和低延時(shí)、并且確保了審計(jì)信息

的不會(huì)丟失。

2.2.2審計(jì)數(shù)據(jù)標(biāo)準(zhǔn)化

審計(jì)數(shù)據(jù)來(lái)源自多種方式采集的數(shù)據(jù)，而這些數(shù)據(jù)定義的格

式不盡相同。所以，審計(jì)數(shù)據(jù)的標(biāo)準(zhǔn)化就必須把這些不同格式的

事件轉(zhuǎn)化成標(biāo)準(zhǔn)格式，然后寫(xiě)入審計(jì)數(shù)據(jù)庫(kù)。在標(biāo)準(zhǔn)化的過(guò)程中，

也需要對(duì)多種方式采集的數(shù)據(jù)進(jìn)行排重處理。

2.2.3審計(jì)數(shù)據(jù)歸并

對(duì)于標(biāo)準(zhǔn)化處理后的審計(jì)數(shù)據(jù)必須對(duì)某些數(shù)據(jù)進(jìn)行歸并（會(huì)

聚）。歸并規(guī)則，就是在什么情況下，滿足什么條件，對(duì)哪些字

段進(jìn)行歸并。事件歸并功能可以對(duì)海量的審計(jì)數(shù)據(jù)依據(jù)歸并條件

進(jìn)行歸并，達(dá)到簡(jiǎn)化審計(jì)數(shù)據(jù)，提高審計(jì)數(shù)據(jù)準(zhǔn)確率。

審計(jì)數(shù)據(jù)歸并規(guī)則包含以下屬性：

歸并字段：歸并處理的審計(jì)數(shù)據(jù)字段，所列字段內(nèi)容相同的

審計(jì)數(shù)據(jù)才進(jìn)行歸并；

歸并時(shí)間：歸并審計(jì)數(shù)據(jù)的時(shí)間窗口，指多長(zhǎng)時(shí)間進(jìn)行一次

歸并；

歸并數(shù)目：需要?dú)w并事件的數(shù)量，指多少事件進(jìn)行一次歸并;

對(duì)被歸并審計(jì)數(shù)據(jù)的處理方式：被歸并的審計(jì)數(shù)據(jù)以何種方

式進(jìn)行處理；

被歸并審計(jì)數(shù)據(jù)的處理方式：

丟棄：直接將被歸并審計(jì)數(shù)據(jù)全部丟棄，不寫(xiě)入數(shù)據(jù)庫(kù)；

寫(xiě)入數(shù)據(jù)庫(kù)：將被歸并審計(jì)數(shù)據(jù)全部寫(xiě)入數(shù)據(jù)庫(kù)；

通過(guò)預(yù)設(shè)歸并規(guī)則的模板，方便對(duì)海量審計(jì)數(shù)據(jù)的歸并，明

御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)提供以下預(yù)設(shè)模板：

根據(jù)審計(jì)數(shù)據(jù)名稱(chēng)進(jìn)行歸并分析；

根據(jù)審計(jì)數(shù)據(jù)的類(lèi)型進(jìn)行歸并分析；

根據(jù)審計(jì)數(shù)據(jù)的原始時(shí)間進(jìn)行歸并分析；

根據(jù)受審計(jì)的設(shè)備類(lèi)型進(jìn)行歸并分析;

2.2.4安全事件關(guān)聯(lián)

通過(guò)安全事件關(guān)聯(lián)功能，來(lái)深度挖掘安全隱患、判斷審計(jì)數(shù)

據(jù)的嚴(yán)重程度，包括關(guān)聯(lián)分析的類(lèi)型和關(guān)聯(lián)分析規(guī)則的內(nèi)容。

基于時(shí)序關(guān)聯(lián)規(guī)則：將賬號(hào)的登錄行為和賬號(hào)各種業(yè)務(wù)操作

行為根據(jù)時(shí)序進(jìn)行關(guān)聯(lián)。通過(guò)時(shí)序關(guān)聯(lián)，形成某一個(gè)賬號(hào)連續(xù)的

登錄行為和操作行為，根據(jù)制定審計(jì)策略判斷其是否業(yè)務(wù)操作習(xí)

慣;根據(jù)時(shí)序關(guān)聯(lián)判斷執(zhí)行每個(gè)業(yè)務(wù)操作的賬號(hào)是否具有正常的

登錄記錄等；

基于賬號(hào)與重要操作行為的關(guān)聯(lián)：將對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的重要業(yè)

務(wù)操作時(shí)所使用的賬號(hào)信息進(jìn)行關(guān)聯(lián)，用來(lái)判斷該賬號(hào)是否正常

使用；判斷該賬號(hào)是否具有該項(xiàng)權(quán)限所對(duì)應(yīng)的權(quán)限范圍，是否為

合法用戶等等。

基于賬號(hào)與權(quán)限關(guān)聯(lián)：將賬號(hào)應(yīng)該對(duì)應(yīng)的權(quán)限與實(shí)際系統(tǒng)中

賦予的權(quán)限進(jìn)行關(guān)聯(lián)，用來(lái)審計(jì)賬號(hào)的訪問(wèn)權(quán)限是否合理；查詢

資源的授權(quán)訪問(wèn)者，權(quán)限的分配時(shí)間、分配者等是否和審批的一

致。

2.2.5審計(jì)結(jié)果呈現(xiàn)

審計(jì)數(shù)據(jù)的呈現(xiàn)與安全風(fēng)險(xiǎn)管理是密切相關(guān)的。明御數(shù)據(jù)庫(kù)

審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)提供對(duì)審計(jì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控和實(shí)時(shí)展現(xiàn)。

在審計(jì)數(shù)據(jù)的展現(xiàn)或響應(yīng)中，可以支持郵件、彈出窗口、syslog、

SNMPTrap、手機(jī)信息、聲音報(bào)警等多種方式。

2.2.6靈活的報(bào)告展現(xiàn)

明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)內(nèi)嵌了功能強(qiáng)大的報(bào)表模

塊，除了按安全經(jīng)驗(yàn)、行業(yè)需求分類(lèi)的預(yù)定義固定格式報(bào)表外，

管理員還可以利用報(bào)表自定義功能生成定制化的報(bào)告。報(bào)告模塊

同時(shí)支持Word、Excel>PowerPointPdf、Html>Postscript

格式的數(shù)據(jù)導(dǎo)出。支持兩種報(bào)表生成模式，即預(yù)置固定格式的報(bào)

表、用戶自定義報(bào)表：

通過(guò)預(yù)置固定格式的報(bào)表：可快速查看安全告警、SOX審計(jì)、

設(shè)備性能以及應(yīng)用系統(tǒng)受攻擊情況。

靈活的條件格式定義，可以方便的根據(jù)業(yè)務(wù)邏輯來(lái)動(dòng)態(tài)格式

化報(bào)表元素，同時(shí)提供強(qiáng)大的樣式定義，對(duì)于熟悉CSS的設(shè)計(jì)人

員來(lái)說(shuō)，可以設(shè)計(jì)出相當(dāng)出色的報(bào)表樣式。

用戶名登錄時(shí)間IP操作退出時(shí)間訪問(wèn)服務(wù)

dbadmin2007-7-1192168.3.106SELECTOracle

dbadmin2007-7-106UPDATEOracle

dbadmin2007-7-106SELECTOracle

cskftp2007-7-122dirFTP

cskftp2007-7-122cddocFTP

dbadmin2007-7-106SELECT2007-7-1Oracle

cskftp2007-7-122get20070701.docFTP

cskftp2007-7-122get20070701.xIsFTP

yyt2007-7-212589.3.12CREATEORREPLACEFUNOracle

cskftp2007-7-222dirFTP

yyt2007-7-2125.89.3,12EXECUTEIMMEDIATE*GRAOracle

cskftp2007-7-222cd20070630FTP

cskftp2007-7-222dirFTP

yyt2007-7-22GRANTEXECUTEONGET.Oracle

yyt2007-7-212589.312setroledbaOracle

yyt2007-7-212589.3.12DECLARE