網(wǎng)絡(luò)安全審計系統(tǒng)(數(shù)據(jù)庫審計)解決方案

1、 數(shù)數(shù)據(jù)據(jù)庫庫審審計計系系統(tǒng)統(tǒng) 技術(shù)建議書技術(shù)建議書 目目 次次 1.綜述 .1 2.需求分析 .2 2.1.內(nèi)部人員面臨的安全隱患.2 2.2.第三方維護人員的威脅.2 2.3.最高權(quán)限濫用風險.2 2.4.違規(guī)行為無法控制的風險.3 2.5.系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患.3 2.6.系統(tǒng)崩潰帶來審計結(jié)果的丟失.3 3.審計系統(tǒng)設(shè)計方案 .3 3.1.設(shè)計思路和原則.3 3.2.系統(tǒng)設(shè)計原理.5 3.3.設(shè)計方案及系統(tǒng)配置.6 3.4.主要功能介紹.7 3.4.1.數(shù)據(jù)庫審計 .7 3.4.2.網(wǎng)絡(luò)運維審計 .8 3.4.3.OA 審計.9 3.4.4.數(shù)據(jù)庫響應(yīng)時間及返回碼的審計 .9 3.

2、4.5.業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián) .9 3.4.6.合規(guī)性規(guī)則和響應(yīng) .10 3.4.7.審計報告輸出 .12 3.4.8.自身管理 .13 3.4.9.系統(tǒng)安全性設(shè)計 .13 3.5.負面影響評價.14 3.6.交換機性能影響評價.15 4.資質(zhì)證書 .16 1. 綜述 隨著計算機和網(wǎng)絡(luò)技術(shù)發(fā)展，信息系統(tǒng)的應(yīng)用越來越廣泛。數(shù)據(jù)庫做 為信息技術(shù)的核心和基礎(chǔ)，承載著越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)，漸漸成為商 業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，數(shù)據(jù)庫的安全穩(wěn)定運行也直接決定 著業(yè)務(wù)系統(tǒng)能否正常使用。 圍繞數(shù)據(jù)庫的業(yè)務(wù)系統(tǒng)安全隱患如何得到有效解決，一直以來是 IT 治 理人員和 DBA 們關(guān)注的焦點。做為資深信息安

3、全廠商，結(jié)合多年的安全 研究經(jīng)驗，提出如下解決思路： 管理層面管理層面：完善現(xiàn)有業(yè)務(wù)流程制度，明細人員職責和分工，規(guī)范內(nèi)部員 工的日常操作，嚴格監(jiān)控第三方維護人員的操作。 技術(shù)層面技術(shù)層面：除了在業(yè)務(wù)網(wǎng)絡(luò)部署相關(guān)的信息安全防護產(chǎn)品（如 FW、IPS 等） ，還需要專門針對數(shù)據(jù)庫部署獨立安全審計產(chǎn)品，對關(guān)鍵的 數(shù)據(jù)庫操作行為進行審計，做到違規(guī)行為發(fā)生時及時告警，事故發(fā)生后精 確溯源。 不過，審計關(guān)鍵應(yīng)用程序和數(shù)據(jù)庫不是一項簡單工作。特別是數(shù)據(jù)庫系 統(tǒng)，服務(wù)于各有不同權(quán)限的大量用戶，支持高并發(fā)的事務(wù)處理，還必須滿 足苛刻的服務(wù)水平要求。商業(yè)數(shù)據(jù)庫軟件內(nèi)置的審計功能無法滿足審計獨 立性的基本要求，還

4、會降低數(shù)據(jù)庫性能并增加管理費用。 2. 需求分析 隨著信息技術(shù)的發(fā)展，XXX 已經(jīng)建立了比較完善的信息系統(tǒng)，數(shù)據(jù)庫 中承載的信息越來越受到公司相關(guān)部門、領(lǐng)導的重視。同時數(shù)據(jù)庫中儲存 著諸如 XXX 等極其重要和敏感的信息。這些信息一旦被篡改或者泄露，輕 則造成企業(yè)或者社會的經(jīng)濟損失，重則影響企業(yè)形象甚至社會安全。 通過對 XXX 的深入調(diào)研，XXX 面臨的安全隱患歸納如下： 2.1.內(nèi)部人員面臨的安全隱患 隨著企業(yè)信息化進程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復雜，由內(nèi) 部員工違規(guī)操作導致的安全問題變得日益突出起來。防火墻、防病毒、入 侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于內(nèi)部人

5、員 的違規(guī)操作卻無能為力。 2.2.第三方維護人員的威脅 企業(yè)在發(fā)展的過程中，因為戰(zhàn)略定位和人力等諸多原因，越來越多的 會將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司。如何有效地管控設(shè) 備廠商和代維人員的操作行為，并進行嚴格的審計是企業(yè)面臨的一個關(guān)鍵 問題。 2.3.最高權(quán)限濫用風險 因為種種歷史遺留問題，并不是所有的信息系統(tǒng)都有嚴格的身份認證和 權(quán)限劃分，權(quán)限劃分混亂，高權(quán)限賬號（比如 DBA 賬號）共用等問題一 直困擾著網(wǎng)絡(luò)管理人員，高權(quán)限賬號往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈， 任何一個操作都可能導致數(shù)據(jù)的修改和泄露，最高權(quán)限的濫用，讓數(shù)據(jù)安 全變得更加脆弱，也讓責任劃分和威脅追蹤變得更加

6、困難。 2.4.違規(guī)行為無法控制的風險 管理人員總是試圖定義各種操作條例，來規(guī)范內(nèi)部員工的訪問行為，但 是除了在造成惡性后果后追查責任人，沒有更好的方式來限制員工的合規(guī) 操作。而事后追查，只能是亡羊補牢，損失已經(jīng)造成。 2.5.系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患 我們經(jīng)常從各種系統(tǒng)日志里面去發(fā)現(xiàn)是否有入侵后留下來的“蛛絲馬跡” 來判斷是否發(fā)生過安全事件。但是，系統(tǒng)往往是在經(jīng)歷了大量的操作和變 化后，才逐漸變得不安全。另外的情況是，用戶通過登錄業(yè)務(wù)服務(wù)器來訪 問數(shù)據(jù)庫等核心資產(chǎn)，單純的分析業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)庫系統(tǒng)的日志，都無 法對整個訪問過程是否存在風險進行判斷。從系統(tǒng)變更和應(yīng)用的角度來看， 網(wǎng)絡(luò)審計日志

7、比系統(tǒng)日志在定位系統(tǒng)安全問題上更可信。 2.6.系統(tǒng)崩潰帶來審計結(jié)果的丟失 一般來說，數(shù)據(jù)庫系統(tǒng)都會存儲操作日志，也能開啟審計模塊對訪問 進行審計，但是一旦有意外發(fā)生導致系統(tǒng)的崩潰，這些審計日志也隨之消 失，管理人員無法得知系統(tǒng)到底發(fā)生了什么。 3. 審計系統(tǒng)設(shè)計方案 3.1.設(shè)計思路和原則 需要部署一款數(shù)據(jù)庫審計系統(tǒng)，既能獨立審計針對數(shù)據(jù)庫的各種訪問 行為，又不影響數(shù)據(jù)庫的高效穩(wěn)定運行。該系統(tǒng)主要從以下 8 個方面進行 設(shè)計考慮： 實用性:由于業(yè)務(wù)系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫中進行集中存儲，故對于數(shù)據(jù)庫 的操作審計需要細化到數(shù)據(jù)庫指令、表名、視圖、字段等，同時能 夠?qū)徲嫈?shù)據(jù)庫返回的信息，包括錯誤碼和數(shù)據(jù)

8、庫響應(yīng)時長，這樣能 夠在數(shù)據(jù)庫出現(xiàn)關(guān)鍵錯誤時及時響應(yīng)，避免由于數(shù)據(jù)庫故障帶來的 業(yè)務(wù)損失； 靈活性:審計系統(tǒng)可提供缺省的審計策略及自定義策略，可結(jié)合用戶 業(yè)務(wù)特點，對關(guān)鍵業(yè)務(wù)用戶、操作途徑、重要操作、重要表、重要 字段進行過濾審計，并可指定操作事件發(fā)生時，系統(tǒng)的響應(yīng)方式。 兼容性：審計系統(tǒng)應(yīng)適應(yīng)不同的數(shù)據(jù)庫類型和應(yīng)用環(huán)境，對于主流 商業(yè)數(shù)據(jù)庫、國產(chǎn)數(shù)據(jù)庫的各種版本均能進行審計。且對于不同數(shù) 據(jù)庫的審計策略編輯方法、日志展現(xiàn)能做到統(tǒng)一。 獨立性：審計系統(tǒng)應(yīng)獨立于數(shù)據(jù)庫系統(tǒng)存在，即使數(shù)據(jù)庫或者操作 系統(tǒng)遭到破壞，仍然要保證審計日志的準確性和完整性。同時，審 計系統(tǒng)的運行，對數(shù)據(jù)庫系統(tǒng)和業(yè)務(wù)操作不應(yīng)

9、造成影響。 擴展性:當業(yè)務(wù)系統(tǒng)進行擴容時，審計系統(tǒng)可以平滑擴容。系統(tǒng)支持 向第三方平臺提供記錄的審計信息。 可靠性：審計系統(tǒng)能連續(xù)穩(wěn)定運行，且提供足夠的存儲空間來存儲 審計日志，滿足在線存儲至少 6 個月的要求；審計系統(tǒng)能夠保證審 計記錄的時間的一致性，避免錯誤時間記錄給追蹤溯源帶來的影響。 安全性：分權(quán)限管理，具有權(quán)限管理功能，可以對用戶分級，提供 不同的操作權(quán)限和不同的網(wǎng)絡(luò)數(shù)據(jù)操作范圍限制，用戶只能在其權(quán) 限內(nèi)對網(wǎng)絡(luò)數(shù)據(jù)進行審計和相關(guān)操作，具有自身安全審計功能。 易用性:審計系統(tǒng)應(yīng)能夠基于操作進行分析，能夠提供主體標識（即 用戶） 、操作（行為） 、客體標識（設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、

10、應(yīng)用系統(tǒng)）的分析和靈活可編輯的審計報表。 3.2.系統(tǒng)設(shè)計原理 審計系統(tǒng)基于“網(wǎng)絡(luò)數(shù)據(jù)流俘獲應(yīng)用層數(shù)據(jù)分析審計和響應(yīng)”的 基本流程實現(xiàn)各項功能，采用旁路接入的工作模式，使得審計系統(tǒng)在實現(xiàn) 各種安全功能的同時，對數(shù)據(jù)庫系統(tǒng)無任何影響。 審計系統(tǒng)主要實現(xiàn)以下安全功能： 針對不同的數(shù)據(jù)庫協(xié)議，提供基于應(yīng)用操作的審計； 提供數(shù)據(jù)庫操作語義解析審計，實現(xiàn)對違規(guī)行為的及時監(jiān)視和告警； 提供缺省的多種合規(guī)操作規(guī)則，支持自定義規(guī)則（包括正則表達式等） ，實現(xiàn)靈活多樣的策略和響應(yīng)； 提供基于硬件令牌、靜態(tài)口令、Radius 支持的強身份認證； 根據(jù)設(shè)定輸出不同的安全審計報告； 3.3.網(wǎng)絡(luò)安全審計系統(tǒng)介紹 經(jīng)過

11、調(diào)研，網(wǎng)絡(luò)安全審計系統(tǒng)（簡稱“系統(tǒng)”或者“” ）是針對業(yè)務(wù)環(huán) 境下的網(wǎng)絡(luò)操作行為進行細粒度審計的合規(guī)性管理系統(tǒng)。它通過對業(yè)務(wù)人 員訪問系統(tǒng)的行為進行解析、分析、記錄、匯報，用來幫助用戶事前規(guī)劃 預防，事中實時監(jiān)視、違規(guī)行為響應(yīng)，事后合規(guī)報告、事故追蹤溯源，同 時加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進核心資產(chǎn)（數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備 等）的正常運營。對于業(yè)務(wù)系統(tǒng)的核心數(shù)據(jù)庫的審計能力表現(xiàn)尤其出 色，是國內(nèi)審計數(shù)據(jù)庫類型最全，解析粒度最細的審計產(chǎn)品。其設(shè)計思路 和產(chǎn)品功能滿足我單位數(shù)據(jù)庫審計系統(tǒng)的設(shè)計思路和功能要求。 網(wǎng)絡(luò)安全審計系統(tǒng)能夠監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，實 時、智能的解析對數(shù)據(jù)庫服

12、務(wù)器的各種操作，一般操作行為如數(shù)據(jù)庫的登 錄，數(shù)據(jù)的導入導出、特定的 SQL 操作如對數(shù)據(jù)庫表的插入、刪除、修改， 執(zhí)行特定的存貯過程等，都能夠被記錄和分析，分析的內(nèi)容可以精確到操 作類型、操作對象（庫、表、字段） 。可記錄操作的用戶名、機器 IP 地址、 客戶端程序名、操作時間等重要信息，對于關(guān)鍵操作的數(shù)據(jù)庫返回信息， 包括操作結(jié)果、響應(yīng)時長、select 操作返回內(nèi)容也可進行記錄。同時，提供 日志報表系統(tǒng)進行事后的分析、取證和生成審計報告。 3.3.1.審計系統(tǒng)功能 1. 支持 HA 部署，產(chǎn)品支持主備方式 2. 支持審計引擎統(tǒng)一管理、至少支持 2 個以上的引擎同時管理，審計 數(shù)據(jù)統(tǒng)一存儲

13、、查詢、分析、統(tǒng)計 3. 支持各類數(shù)據(jù)庫的審計，如 Oracle、SQL- Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache 數(shù)據(jù)庫，同時包括國產(chǎn)數(shù)據(jù)庫人大金倉(Kingbase)、達夢(DM)、南大通用 (Gbase)、神通(shentong)等數(shù)據(jù)庫 4. 支持 oracle 數(shù)據(jù)庫審計，并具有審計 oracle 中綁定變量的 SQL 語句 的功能與技術(shù) 5. 支持對 Oracle 數(shù)據(jù)庫狀態(tài)的自動監(jiān)控，可監(jiān)控會話數(shù)、連接進程、 CPU 和內(nèi)存占用率等信息 6. 提供對數(shù)據(jù)庫返回碼的知識庫和實時說明，幫助管理員快速對返回

14、錯誤碼進行識別 7. 系統(tǒng)能提出數(shù)據(jù)庫錯誤信息，方便審計以及運維 8. 支持數(shù)據(jù)庫賬號登陸成功、失敗的審計，數(shù)據(jù)庫綁定變量方式訪問 的審計，Select 操作返回行數(shù)和返回內(nèi)容的審計； 9. 支持訪問數(shù)據(jù)庫的源主機名、源主機用戶、SQL 操作響應(yīng)時間、數(shù) 據(jù)庫操作成功、失敗的審計；支持數(shù)據(jù)庫操作類、表、視圖、索引、觸發(fā) 器、存儲過程、游標、事物等各種對象的 SQL 操作審計。 10. 支持數(shù)據(jù)庫存儲過程自動獲取及內(nèi)容審計。 11. 支持 Telnet 協(xié)議的審計，能夠?qū)徲嬘脩裘⒉僮髅?、命令響?yīng)時 間、返回碼等；支持對 FTP 協(xié)議的審計，能夠?qū)徲嬘脩裘?、命令、文件?命令響應(yīng)時間、返回碼等

15、 12. 支持審計網(wǎng)絡(luò)鄰居（NetBIOS）的用戶名、讀寫操作、文件名等， 支持審計 NFS 協(xié)議的用戶名、文件名等 13. 支持審計 Radius 協(xié)議的認證用戶 MAC、認證用戶名、認證 IP、NAS 服務(wù)器 IP 14. 支持審計 HTTP/HTTPS 協(xié)議的 URL、訪問模式、cookie、Post 數(shù)據(jù) 和內(nèi)容 15. 支持 IP-MAC 綁定變化情況的審計 16. 支持可對 SQL 注入、XSS 跨站腳本攻擊行為的發(fā)現(xiàn) 17. 系統(tǒng)應(yīng)自帶不少于 100 個缺省的審計規(guī)則庫，方便用戶選擇使用 18. 用戶可自定義審計策略，審計策略支持時間、源 IP、目的 IP、協(xié)議、 端口、登陸賬號

16、、命令作為響應(yīng)條件 19. 數(shù)據(jù)庫審計策略支持數(shù)據(jù)庫客戶端軟件名稱、數(shù)據(jù)庫名、數(shù)據(jù)庫表 名、數(shù)據(jù)庫字段名、數(shù)據(jù)庫返回碼作為響應(yīng)條件 20. 審計策略支持字段名稱和字段值作為分項響應(yīng)條件 21. 支持記錄審計日志 22. 支持界面告警、Syslog 告警、SNMP trap 告警、短信告警、郵件告 警 23. 支持按時間、級別、源目的 IP、源目的 MAC、協(xié)議名、源目的端 口為條件進行查詢 24. 支持查詢、統(tǒng)計的條件模板編輯與應(yīng)用 25. 數(shù)據(jù)庫訪問日志，支持按數(shù)據(jù)庫名、數(shù)據(jù)庫表名、字段值、數(shù)據(jù)庫 登陸賬號、數(shù)據(jù)庫操作命令、數(shù)據(jù)庫返回碼、SQL 響應(yīng)時間、數(shù)據(jù)庫返回 行數(shù)作為查詢和統(tǒng)計條件

17、26. 系統(tǒng)能精確定位，支持在多源信息系統(tǒng)中搜索信息 27. web 訪問日志，支持按 URL、訪問模式、cookie、頁面內(nèi)容、Post 內(nèi)容等作為查詢和統(tǒng)計條件 28. 管理員登陸支持靜態(tài)口令認證，支持密碼的復雜性管理，比如大小 寫、數(shù)字、特殊字符、長度等 29. 管理員登陸支持硬件令牌認證 30. 提供審計數(shù)據(jù)管理功能，能夠?qū)崿F(xiàn)對審計日志、審計報告的自動備 份 31. 提供磁盤存儲容量不足、磁盤 Raid 故障等自動郵件報警 32. 支持 SNMP 方式，提供系統(tǒng)運行狀態(tài)給第三方網(wǎng)管系統(tǒng)，支持、 syslog、SNMP Trap 向外發(fā)送審計日志 33. 支持 Syslog 方式接收第三

18、方審計日志 34. 支持連接外置存儲，以擴展日志存儲能力 3.3.2. 各類數(shù)據(jù)庫操作審計各類數(shù)據(jù)庫操作審計 目前，網(wǎng)絡(luò)安全審計系統(tǒng)支持以下數(shù)據(jù)庫系統(tǒng)的審計，是業(yè)界支持數(shù)據(jù)庫種類最多 的審計系統(tǒng)，能夠滿足不同用戶、不同發(fā)展階段情況下的數(shù)據(jù)庫審計需求： Oracle SQL-Server DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 人大金倉 Kingbase 數(shù)據(jù)庫 達夢 DM 數(shù)據(jù)庫 南大通用 GBase 數(shù)據(jù)庫 神通 Oscar 數(shù)據(jù)庫 對于支持 SQL92 語法的數(shù)據(jù)庫操作均能精確審計，包括以下內(nèi)容： DDL：Create ,Dr

19、op,Grant,Revoke DML：Update,Insert,Delete DCL：Commit,Rollback,Savapoint 其他：Alter System,Connect,Allocate 數(shù)據(jù)的導入、導出操作 登錄操作和登錄失敗操作 多編碼環(huán)境支持： 系統(tǒng)能夠?qū)Σ捎?ODBC、JDBC、OLE-DB、命令行等各種方式對數(shù)據(jù)庫的訪問進 行審計和響應(yīng)。適用于多種應(yīng)用環(huán)境，特別是在異構(gòu)環(huán)境中，比如 IBM AS/400 通常采 用 EBCDIC 編碼方式實現(xiàn) telnet 協(xié)議的傳輸、某些數(shù)據(jù)庫同時采用幾種編碼與客戶端進 行通訊，若系統(tǒng)不能識別多種編碼，會導致審計數(shù)據(jù)出現(xiàn)亂碼，對

20、多編碼的支持是衡量 審計系統(tǒng)環(huán)境適應(yīng)性的重要指標之一，目前網(wǎng)絡(luò)安全審計系統(tǒng)支持如下編碼格式 ASCII Unicode UTF-8 UTF-16 GB2312 EBCDIC 。 3.3.3. 數(shù)據(jù)庫運維審計數(shù)據(jù)庫運維審計 在審計數(shù)據(jù)庫操作的同時，系統(tǒng)也支持常用的運維協(xié)議及文件傳輸協(xié)議審計，能夠 全程記錄用戶在數(shù)據(jù)庫服務(wù)器上的各種運維操作?？芍С值倪\維協(xié)議如下： Telnet Rlogin FTP SCP SFTP X11 NFS Netbios HTTP、HTTPS 3.3.4. 數(shù)據(jù)庫返回信息審計數(shù)據(jù)庫返回信息審計 網(wǎng)絡(luò)安全審計系統(tǒng)支持對 SQL Server、DB2、Oracle、Info

21、rmix 等數(shù)據(jù)庫系統(tǒng)的 SQL 操作響應(yīng)時間、返回碼和返回內(nèi)容的審計。通過對響應(yīng)時間和返回碼的審計，可 以幫助用戶對數(shù)據(jù)庫的使用狀態(tài)全面掌握、及時響應(yīng)故障信息，特別是當新業(yè)務(wù)系統(tǒng)上 線、業(yè)務(wù)繁忙、業(yè)務(wù)模塊更新時，通過網(wǎng)絡(luò)安全審計系統(tǒng)對超長時間和關(guān)鍵返回碼進行 審計并實時報警有助于提高業(yè)務(wù)系統(tǒng)的運營水平，降低數(shù)據(jù)庫故障等帶來的運維風險。 目前網(wǎng)絡(luò)安全審計系統(tǒng)支持上述數(shù)據(jù)庫系統(tǒng)共計 13000 多種返回碼的知識庫供用戶 快速查詢和定位問題。 3.3.5. 業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián)業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián) 當前業(yè)務(wù)系統(tǒng)普遍采用三層結(jié)構(gòu)：瀏覽器客戶端、Web 服務(wù)器/中間件、數(shù)據(jù)庫服 務(wù)器。通常的流程是：用戶通過瀏

22、覽器客戶端，利用自己的帳戶登錄 Web 服務(wù)器，向 服務(wù)器提交訪問數(shù)據(jù)；Web 服務(wù)器根據(jù)用戶提交的數(shù)據(jù)構(gòu)造 SQL 語句，并利用唯一的 帳戶訪問數(shù)據(jù)庫服務(wù)器，提交 SQL 語句，接收數(shù)據(jù)庫服務(wù)器返回結(jié)果并返回給用戶。 在這種基于 Web 的業(yè)務(wù)行為訪問模式下，傳統(tǒng)的信息安全審計產(chǎn)品一般可審計從 瀏覽器到 Web 服務(wù)器的前臺訪問事件，以及從 Web 服務(wù)器到數(shù)據(jù)庫服務(wù)器的后臺訪問 事件。但由于后臺訪問事件采用的是唯一的帳戶，對每個后臺訪問事件，難以確定是哪 個前臺訪問事件觸發(fā)了該事件。如果在后臺訪問事件中出現(xiàn)了越權(quán)訪問、惡意訪問等行 為，難以定位到具體的前臺用戶上。舉一個一個典型的例子，內(nèi)部

23、違規(guī)操作人員利用前 臺的業(yè)務(wù)系統(tǒng)，以此作為跳板對后臺數(shù)據(jù)庫內(nèi)容進行了篡改和竊取，這種情況下，通常 審計產(chǎn)品只能發(fā)現(xiàn)來自某個數(shù)據(jù)庫賬號，而無法判斷最終的發(fā)起源頭。 研究人員實現(xiàn) HTTP 操作和數(shù)據(jù)庫操作之間的關(guān)聯(lián)計算，目前已經(jīng)申請專利。專利 名稱為“一種 Web 服務(wù)器前后臺關(guān)聯(lián)審計方法和系統(tǒng)” ，專利受理號碼：9.6。 三層關(guān)聯(lián)邏輯部署圖 通過這種關(guān)聯(lián)分析技術(shù)，能夠?qū)徲嫯a(chǎn)品從基于事件的審計，逐漸升級為基于用戶 業(yè)務(wù)行為的審計，在關(guān)聯(lián)分析過程中采用自動建模技術(shù)，可以將前臺 Web 業(yè)務(wù)操作和 后臺數(shù)據(jù)庫操作行為進行對應(yīng)，并形成業(yè)務(wù)訪問行為模式庫，同時，在該技術(shù)的基礎(chǔ)上 還可以進一步分析，發(fā)現(xiàn)

24、可能的業(yè)務(wù)異常及 SQL 異常。 3.3.6. 細粒度審計細粒度審計策略策略 網(wǎng)絡(luò)安全審計系統(tǒng)的審計和響應(yīng)功能可以簡單地描述為：“某個特定的服務(wù)（如 FTP、Telnet、SQL 等）可以（或不可以）被某個特定的用戶（主機）怎樣地訪問” ，這 使得它提供的審計和響應(yīng)具有很強的針對性和準確性。 強大的數(shù)據(jù)庫規(guī)則 系統(tǒng)能夠根據(jù)訪問數(shù)據(jù)庫的源程序名、登陸數(shù)據(jù)庫的賬號、數(shù)據(jù)庫命令、數(shù)據(jù)庫名、 數(shù)據(jù)庫表名、數(shù)據(jù)庫字段名、數(shù)據(jù)庫字段值、數(shù)據(jù)庫返回碼等作為條件，對用戶關(guān)心的 違規(guī)行為進行響應(yīng)，特別是針對重要表、重要字段的各種操作，能夠通過簡單的規(guī)則定 義，實現(xiàn)精確審計，降低過多審計數(shù)據(jù)給管理員帶來的信息爆炸

25、。 定制審計事件規(guī)則 網(wǎng)絡(luò)安全審計系統(tǒng)提供了事件規(guī)則用戶自定義模塊，允許用戶自行設(shè)定和調(diào)整各種 安全審計事件的觸發(fā)條件與響應(yīng)策略。 例如，用戶特別關(guān)注在 telnet 過程中出現(xiàn) rm、passwd、shutdown 等命令的行為， 那么用戶就可以利用網(wǎng)絡(luò)安全審計系統(tǒng)定義相應(yīng)的審計事件規(guī)則。這樣，網(wǎng)絡(luò)安全審計 系統(tǒng)就可以針對網(wǎng)絡(luò)中發(fā)生的這些行為進行響應(yīng)。 基于業(yè)務(wù)特征的規(guī)則庫 系統(tǒng)可以將審計員制定的多個符合業(yè)務(wù)特征的規(guī)則進行匯總、編輯和命名，形成具 備某種業(yè)務(wù)特征的規(guī)則寫入用戶自定義的規(guī)則庫。這樣，審計員在針對某個特定業(yè)務(wù)用 戶制定審計策略時，可以直觀地使用自命名的規(guī)則進行設(shè)置，方便了各種策略

26、的制定和 查詢。 特定賬號行為跟蹤 系統(tǒng)能夠?qū)崿F(xiàn)對“用戶網(wǎng)絡(luò)環(huán)境中出現(xiàn)的特定賬號或特定賬號執(zhí)行某種操作后”的 場景進行賬號跟蹤，提供對后繼會話和事件的審計。這樣，管理員能夠?qū)Τ霈F(xiàn)在網(wǎng)絡(luò)中 的特權(quán)賬號，比如 root、DBA 等，進行重點的監(jiān)控，特別是哪些本不應(yīng)出現(xiàn)在網(wǎng)絡(luò)上 的特權(quán)賬號突然出現(xiàn)的事件。 多種響應(yīng)方式 網(wǎng)絡(luò)安全審計系統(tǒng)提供了多種響應(yīng)方式，包括： 在審計服務(wù)器中記錄相應(yīng)的操作過程； 在日常審計報告中標注； 向管理控制臺發(fā)出告警信息； 實時阻斷會話連接； 管理人員通過本系統(tǒng)手工 RST 阻斷會話連接； 通過 Syslog 方式進行告警 通過 SNMP Trap 方式進行告警 通過郵件方

27、式進行告警 實時跟蹤和回放 管理員可以通過審計顯示中心實時地跟蹤一個或多個網(wǎng)絡(luò)連接，通過系統(tǒng)提供的 “時標”清晰地顯示不同網(wǎng)絡(luò)連接中每個操作的先后順序及操作結(jié)果，當發(fā)現(xiàn)可疑的操 作或訪問時，可以實時阻斷當前的訪問。管理員也可以從審計數(shù)據(jù)中心中提取審計數(shù)據(jù) 對通信過程進行回放，便于分析和查找系統(tǒng)安全問題，并以次為依據(jù)制定更符合業(yè)務(wù)特 征和系統(tǒng)安全需求的安全規(guī)則和策略。 3.3.7. 審計報告輸出審計報告輸出 審計系統(tǒng)從安全管理的角度出發(fā)，設(shè)計一套完善的審計報告輸出機制。 多種篩選條件 網(wǎng)絡(luò)安全審計系統(tǒng)提供了強大、靈活的篩選條件設(shè)置機制。 在設(shè)置篩選條件時，審計員可基于以下要素的組合進行設(shè)置：時間

28、、客戶端 IP、 客戶端端口號、服務(wù)端 IP、服務(wù)端端口、關(guān)鍵字、事件級別、引擎名、業(yè)務(wù)用戶身份、 資源賬號等條件。 審計員可根據(jù)需要靈活地設(shè)置審計報表的各種要素，迅速生成自己希望看到的審計 內(nèi)容。同時系統(tǒng)提供了報表模板功能，審計員無需重復輸入，只需要設(shè)置模板后，即可 按模板進行報表生成。 命令及字段智能分析 系統(tǒng)能夠根據(jù)審計協(xié)議的類型進行命令和字段的自動提取，用戶可以選擇提取后的 命令或字段作為重點對象進行分析。針對數(shù)據(jù)庫類協(xié)議，可分析并形成數(shù)據(jù)庫名、表名、 命令等列表；針對運維類協(xié)議，可分析并形成命令等列表；針對文件操作類協(xié)議，可分 析并形成文件名、操作命令等列表；通過該功能，可以簡化用戶

29、對審計數(shù)據(jù)的分析過程， 大大提高分析的效率。 宏觀事件到微觀事件鉆取 網(wǎng)絡(luò)安全審計系統(tǒng)提供了從宏觀報表到微觀事件的關(guān)聯(lián)，審計員可以在統(tǒng)計報表、 取證報表中查看宏觀的審計數(shù)據(jù)統(tǒng)計信息，通過點擊相應(yīng)鏈接即可逐步下探到具體的審 計事件。 自動任務(wù)支持 網(wǎng)絡(luò)安全系統(tǒng)提供報表任務(wù)功能，審計員可根據(jù)實際情況定制報表生成任務(wù)；系統(tǒng) 支持 HTML、EXCEL、CSV、PDF、Word 等多種文檔格式的報表輸出，可以通過郵件 方式自動發(fā)送給審計員。 數(shù)據(jù)和報表備份 網(wǎng)絡(luò)安全審計系統(tǒng)提供了審計數(shù)據(jù)和報表的手動和自動備份功能，可以將壓縮后的 數(shù)據(jù)自動傳輸?shù)街付ǖ?FTP 服務(wù)器，提供每天、每周、每月、時刻的定義方

30、式。 3.3.8. 自身管理自身管理 安全管理 網(wǎng)絡(luò)安全審計系統(tǒng)的管理控制中心提供了集中的管理控制界面，審計員通過管理控 制臺就能管理和綜合分析所有審計引擎的審計信息和狀態(tài)信息，并形成審計報表。 網(wǎng)絡(luò)安全審計系統(tǒng)支持權(quán)限分級管理模式，可對不同的角色設(shè)定不同的管理權(quán)限。 例如，超級管理員擁有所有的管理權(quán)限；而某些普通管理員則可能僅擁有查看審計報表 的權(quán)限，某些管理員可以擁有設(shè)置審計策略或安全規(guī)則的權(quán)限。 系統(tǒng)提供專門的自身審計日志，記錄所有人員對系統(tǒng)的操作，方便審計員對日志進 行分析和查看。 狀態(tài)管理 網(wǎng)絡(luò)安全審計系統(tǒng)提供 CPU、內(nèi)存、磁盤狀態(tài)、網(wǎng)口等運行信息，管理員可以很 輕松的通過 GUI

31、 界面實現(xiàn)對審計數(shù)據(jù)中心、審計引擎的工作狀態(tài)進行查看。當出現(xiàn)錯 誤信息時，比如 Raid 故障、磁盤空間不足、引擎連接問題，系統(tǒng)可自動郵件通知相關(guān) 管理人員。 時間同步管理 網(wǎng)絡(luò)安全審計系統(tǒng)提供手工和 NTP 兩種時間同步方式，通過對全系統(tǒng)自身的時 間同步，保證了審計數(shù)據(jù)時間戳的精確性，避免了審計事件時間誤差給事后審計分析工 作帶來的影響，提升了工作效率。 3.3.9. 多級分布式多級分布式部署部署 為了方便大型網(wǎng)絡(luò)客戶的使用，適應(yīng)不同的網(wǎng)絡(luò)管理結(jié)構(gòu)，系統(tǒng)實現(xiàn)了多級和分布 式管理。 系統(tǒng)多級管理適用于多層次網(wǎng)絡(luò)管理架構(gòu)，在滿足各級網(wǎng)絡(luò)自身的審計要求基礎(chǔ)上， 總部可以對二級公司的審計系統(tǒng)進行管理

32、，并對下級的審計報表進行查看，方便總部管 理人員了解下級網(wǎng)絡(luò)的安全狀態(tài)。 同時，的數(shù)據(jù)中心可以管理多個引擎（包括旁路引擎和在線引擎） ，對多個引擎進 行統(tǒng)一管理和維護，對審計日志進行統(tǒng)一的收集和分析。 3.3.10. 系統(tǒng)安全性系統(tǒng)安全性 在系統(tǒng)的設(shè)計中采用了嚴密的系統(tǒng)安全性設(shè)計，主要體系在以下幾個方面： 1.操作系統(tǒng)安全性設(shè)計：系統(tǒng)采用經(jīng)裁減、加固的 Linux 操作系統(tǒng)。在設(shè)計過程 中，結(jié)合系統(tǒng)的功能要求和我公司在操作系統(tǒng)安全方面的技術(shù)和經(jīng)驗，對 Linux 進行了精心的裁減和加固，包括補丁修補，取消危險的、無用的服務(wù)等。 2.數(shù)據(jù)庫安全性設(shè)計：審計數(shù)據(jù)中心審計服務(wù)器的數(shù)據(jù)庫是根據(jù)系統(tǒng)的功

33、能要求 自行設(shè)計的，在設(shè)計時已經(jīng)充分考慮了安全性方面的問題。 3.模塊間的通信：各功能模塊之間的通信均采用專門設(shè)計的通信協(xié)議，這些通信 協(xié)議在設(shè)計時均采用了諸如 CA 認證、編碼、簽名、加密等安全技術(shù)。對于遠 程維護，則采用了 SSH 加密傳輸協(xié)議。 在產(chǎn)品出廠測試階段，還將進行諸如漏洞掃描之類的安全性測試，因此，我們認為 系統(tǒng)具有很高的安全性。 3.3.11. 業(yè)內(nèi)領(lǐng)先的處理性能業(yè)內(nèi)領(lǐng)先的處理性能 一般來說，用戶總是希望盡可能多的記錄審計到的操作行為，這樣也會帶來一個后 果，每天都要處理海量的審計日志。系統(tǒng)首先解決日志完整入庫的問題。審計引擎的處 理速度再高，如果審計日志不能及時錄入數(shù)據(jù)庫，

34、都會給后續(xù)的追蹤溯源帶來麻煩，審 計系統(tǒng)也就失去了存在的價值。系統(tǒng)采用專業(yè)設(shè)計的數(shù)據(jù)庫結(jié)構(gòu)，并在入庫方式上進行 了大量的優(yōu)化，從而得到了最優(yōu)的入庫性能10 萬條/秒以上的入庫速度。 然后，解決檢索效率的問題。系統(tǒng)針對此問題進行了專門的設(shè)計，并在日志入庫的 同時進行分類和統(tǒng)計，將一次數(shù)據(jù)庫查詢分布為多個預處理任務(wù)，使得日志檢索時，感 覺不到明顯的等待和延時，極大的方便了用戶的使用。 3.4.部署方案及系統(tǒng)配置 核心數(shù)據(jù)庫 Oracle 系統(tǒng)通過主備方式接入網(wǎng)絡(luò)，設(shè)計采用配置一臺審 計數(shù)據(jù)中心，一臺旁路審計引擎，一臺在線審計引擎。具體部署如下圖所 示： 系統(tǒng)部署圖 審計數(shù)據(jù)中心: 部署一臺審計數(shù)據(jù)

35、中心，該服務(wù)器具備一個 2T 的內(nèi)置 RAID5 存儲器，對網(wǎng)絡(luò)審計引擎進行管理和控制，實現(xiàn)對審計數(shù)據(jù)的存儲 和分析。審計數(shù)據(jù)中心的管理端口需要接入網(wǎng)絡(luò)中，并分配一個合法的 IP 地址，以接收管理控制臺的管理。審計數(shù)據(jù)中心的“管理端口”需要通過 網(wǎng)絡(luò)方式與網(wǎng)絡(luò)審計引擎的“管理端口”進行連接。 旁路審計引擎: 部署一臺網(wǎng)絡(luò)審計引擎對核心交換機上的 Oracle 流量進 行監(jiān)控和審計。網(wǎng)絡(luò)審計引擎配置兩個信息監(jiān)聽端口，該端口需要連接到 被監(jiān)控交換機的“鏡像目的端口”上，以獲取原始的通信信息，從而實現(xiàn) 各種審計和控制功能。網(wǎng)絡(luò)審計引擎需要設(shè)置一個“管理端口” ，這個端口 需要接入網(wǎng)絡(luò)，并分配一個合法

36、的 IP 地址，以接收管理控制臺的管理。 在線審計引擎：部署一臺旁路審計引擎，實現(xiàn)對運維區(qū)域的各種運維操 作進行監(jiān)控、審計和阻斷，該引擎自帶 Bypass 支持，通常采用透明方式進 行接入，對服務(wù)器端和終端用戶無影響。 管理控制臺:在網(wǎng)絡(luò)中的任何一臺 Windows 計算機上采用瀏覽器進行管 理。 在本方案中同時部署了旁路審計引擎與在線審計引擎，這是因為這兩種 引擎屬于互補關(guān)系，旁路審計引擎解決了在線審計引擎被繞過的風險，在 線審計引擎解決了旁路引擎無法實現(xiàn)加密協(xié)議審計和事前阻斷的風險，二 者的關(guān)系如下： 在線審計實現(xiàn)的基礎(chǔ)為“建立唯一訪問路徑，一切的行為均通過該路徑 進行訪問” ，也就是說需

37、要將所有被審計運維訪問流量都要通過在線引擎才 可以進行審計，這就牽涉到網(wǎng)絡(luò)結(jié)構(gòu)的變化或 ACL 的調(diào)整，在實際部署中， 在線審計依賴外部設(shè)備的 ACL 控制（比如交換機或 FW） ，一旦這些訪問 控制設(shè)備出現(xiàn)問題或 ACL 不夠充分，就會存在繞過堡壘主機的操作行為， 而此時這些繞過堡壘主機的行為是沒有被審計的，由于惡意攻擊者往往具 備較高的技術(shù)水平，同時善于尋找安全系統(tǒng)的漏洞，故不完善的 ACL 控制 會讓在線審計存在較大的部署風險。而旁路審計實現(xiàn)的基礎(chǔ)為“一切網(wǎng)絡(luò) 訪問行為均不可信”進行部署的，故所有可識別的操作均被審計，這兩種 審計部署方式存在著很強的互補性，通常都會一起部署，從而實現(xiàn)控制與 審計的完美結(jié)合。 4. 影響評價 4.1.業(yè)務(wù)系統(tǒng)影響評價 系統(tǒng)基于“網(wǎng)絡(luò)數(shù)據(jù)流俘獲應(yīng)用層數(shù)據(jù)分析審計和響應(yīng)”實現(xiàn)各 項功能。在具體實現(xiàn)時，無需在網(wǎng)絡(luò)通路中“跨接”任何硬件設(shè)備，也不 需要在審計對象中安裝“審計代理” ，因此，系統(tǒng)的安裝使用，不會對原系 統(tǒng)造成任何性能、穩(wěn)定性方面的影響。 系統(tǒng)的硬件設(shè)備由“審計數(shù)據(jù)中心”和“網(wǎng)絡(luò)審計引擎”構(gòu)成。其中， 審計數(shù)據(jù)中心象一臺主機設(shè)備一樣安裝用戶的系統(tǒng)中，只需