安恒数据库审计及风险控制系统用户手册v2.9.0

安恒数据库审计方案杭州安恒信息技术有限公司2022-04-25目录1概述 (4)1.1数据库审计需求 (4)2解决方案 (5)2.1总体设计 (5)2.2数据库审计系统架构 (6)3产品功能 (7)3.1明御数据库审计与风险控制平台主要功能 (7)3.1.1数据库静态审计 (7)3.1.2实时监控与风险控制 (7)3.1.3齐全的实时审计 (8)3.1.4均衡的双向审计 (8)3.1.5细粒度的审计规则 (8)3.1.6精确的行为检索 (9)3.1.7独有的三层审计 (9)3.1.8完备的审计报表 (9)3.1.9安全事件回放 (9)3.1.10多形式的预警机制 (10)3.1.11系统配置管理 (10)3.1.12分部式部署管理 (10)3.1.13自身日志的审计 (10)3.1.14故障自动排查平台 (10)4产品特点与优势 (11)4.1数据库审计与风险控制系统产品特点 (11)4.1.1最全的数据库类型支持 (11)4.1.2独立审计模式 (11)4.1.3灵活的动态审计规则 (11)4.1.4全方位、细粒度审计分析 (11)4.1.5合规的职责分离 (12)4.1.6零风险部署 (12)4.1.7完备的自身安全 (12)5系统部署 (13)5.1数据库审计与风险控制系统部署 (13)6客户最终收益 (14)6.1数据库审计与风险控制系统客户收益 (14)7产品清单 (15)8公司简介 (16)9典型案例分析 (17)9.1数据库审计与风险控制系统典型案例分析（某证券公司） (17)概述1.1数据库审计需求数据库系统是任何单位和组织最具有战略性的资产，通常都保存着重要的单位机密信息和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。

信息技术的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面：✧管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

安恒云V1.0.0快速入门文档版本：01发布日期：2020-10-27本文中出现的任何文字描述、文字格式、插图、照片、方法等内容，除另有特别注明，版权均属杭州安恒信息技术股份有限公司（简称“安恒信息”）所有，受到有关产权及版权法保护。

任何个人、机构未经安恒信息的书面授权许可，不得以任何方式复制或引用本文的任何片段。

经授权使用本文中内容的的单位或个人，应在授权范围内使用，并注明“来源：安恒信息”。

违反上述声明者，安恒信息保留追究其法律责任的权利。

除杭州安恒信息技术股份有限公司的商标外，本手册中出现的其他商标、产品标识及商品名称，由各自权利人拥有。

文档说明修订记录目录前言 (I)1. 概述 (1)1.1产品简介 (1)1.2主要业务流程 (1)2. 团队管理 (4)2.1创建团队 (4)2.2团队相关操作 (8)3. 多云管理 (10)3.1资源池 (10)3.1.1 导入VMware资源池 (10)3.1.2 导入OpenStack资源池 (13)3.2导入对象存储资源 (18)3.3导入CDN资源 (19)4. 导入主机与数据库 (21)4.1导入公有云主机 (21)4.2导入私有云主机 (22)4.3导入局域网主机 (23)4.4导入资源池主机 (27)4.5导入数据库 (29)4.6云账号管理 (33)5. 开启安全防护 (35)5.1开通服务类产品 (35)5.2开通镜像类产品 (36)5.2.1 开通数据库审计 (37)5.2.2 使用数据库审计 (41)6. 日常运维 (42)6.1主机管理 (42)6.2磁盘快照 (43)6.3文件传输 (44)6.3.1 主机文件管理 (45)6.3.2 文件分发 (45)6.3.3 文件采集 (47)6.4成本优化 (49)6.4.1 概述 (49)6.4.2 查看成本优化 (49)6.4.3 优化仿真工具 (50)前言概述感谢您选择安恒信息的网络安全产品。

明御运维审计与册风险控制系统⽤户⼿册（DOC189页）明御运维审计与册风险控制系统⽤户⼿册(DOC 189页)部门： xxx时间： xxx整理范⽂，仅供参考，可下载⾃⾏编辑明御?运维审计与风险控制系统杭州安恒信息技术有限公司⽬录明御?运维审计与风险控制系统 (2)⽬录 (3)前⾔ (1)章节概要 (1)适⽤范围和先决条件 (2)⽀持信息 (2)第⼀章产品简介 (4)1.1产品概要 (4)1.2应⽤场景 (5)第⼆章概念阐述 (7)2.1架构原理 (7)2.2权限模型 (8)2.3部署模式 (10)2.4⽀持的协议和客户端 (11)第三章系统基本信息 (13)3.1出⼚默认信息 (13)第四章产品部署 (14)4.1外观⽰意图 (14)4.1.1前段⾯板 (14)4.2连接线缆 (16)4.2.2连接数据⼝线 (16)4.3配置IP (16)第五章登录 (19)5.1登录系统 (19)第六章⽤户和⽤户组 (20)6.1⽤户管理 (20)6.1.1新建⽤户 (20)6.1.2编辑⽤户 (23)6.1.3删除⽤户 (25)6.1.4导⼊⽤户 (25)6.1.5导出⽤户 (27)6.1.6搜索⽤户 (27)6.1.7激活/锁定⽤户 (28)6.1.8批量为⽤户修改⽤户组 (28) 6.2AD⽤户管理 (29)6.3LDAP⽤户管理 (29)6.4RADIUS⽤户管理 (29)6.5⽤户组管理 (30)6.5.1新建⽤户组 (30)6.5.2编辑⽤户组 (31)6.5.3删除⽤户组 (32)6.5.4搜索⽤户组 (32)6.5.5添加⽤户组成员 (33)6.5.6删除⽤户组成员 (34)6.5.7搜索⽤户组成员 (35)第七章资产 (36)7.1主机管理 (36)7.1.1添加主机 (36)7.1.2编辑主机 (38)7.1.3删除主机 (39)7.1.5搜索主机 (42)7.1.6启⽤/禁⽤主机 (42)7.1.7添加主机标签 (43)7.1.8删除主机标签 (44)7.1.9批量为主机修改标签 (45) 7.2帐户管理 (45)7.2.1添加主机帐户 (46)7.2.2编辑主机帐户 (48)7.2.3删除主机帐户 (50)7.2.4导⼊主机账户 (51)7.2.5导出主机账户 (52)7.2.6搜索主机帐户 (53)7.2.7添加主机账户标签 (53) 7.2.8删除主机账户标签 (54) 7.3应⽤托管 (55)7.3.1查看应⽤托管 (55)7.3.2导出应⽤托管 (56)7.3.3添加应⽤托管 (58)7.3.4删除应⽤托管 (60)7.3.5应⽤托管搜索 (61)7.4密码托管 (61)7.4.1新建任务 (61)7.4.2开始/暂停任务 (63)7.4.3删除任务 (64)7.4.4已托管密码 (65)7.4.5⼿动改密 (67)7.4.6邮件⽅式发送托管密码 (68) 7.4.7ftp⽅式发送托管密码 (69)第⼋章策略 (71)8.1访问规则 (71)8.1.1查看访问规则 (72)8.1.3编辑访问规则 (74)8.1.4删除访问规则 (75)8.1.5启⽤/禁⽤访问规则 (76) 8.1.6搜索访问规则 (77)8.2⾏为规则 (78)8.2.2添加⾏为规则 (79)8.2.3编辑⾏为规则 (80)8.2.4删除⾏为规则 (82)8.2.5启⽤/禁⽤⾏为规则 (82) 8.2.6搜索⾏为规则 (83)8.2.7查看⾏为规则命令 (84) 8.2.8添加⾏为规则命令 (85) 8.2.9删除⾏为规则命令 (86) 8.2.10搜索⾏为规则命令 (87) 8.2.11查看⾏为规则命令组 (88) 8.2.12添加⾏为规则命令组 (89) 8.2.13删除⾏为规则命令组 (91) 8.2.14搜素⾏为规则命令组 (92) 8.3审计规则 (93)8.3.1查看审计规则 (93)8.3.2添加审计规则 (94)8.3.3编辑审计规则 (95)8.3.4删除审计规则 (96)8.3.5启⽤/禁⽤审计规则 (97) 8.3.6搜索审计规则 (98)8.4策略⽇志 (99)8.4.1查看访问规则⽇志 (99) 8.4.2搜索访问规则⽇志 (100) 8.4.3查看⾏为规则⽇志 (101) 8.4.4搜索⾏为规则⽇志 (102) 8.4.6搜索审计规则⽇志 (104) 8.5策略配置 (105)8.5.1查看策略配置 (105)8.5.2启⽤/禁⽤规则 (105)第九章审计 (107)9.1会话审计 (107)9.1.1查看会话 (107)9.1.2审计会话 (108)9.1.3搜索会话 (110)9.1.5审计事件 (111)9.1.6搜索事件 (113)9.2会话报表 (113)9.2.1主机标签 (113)9.2.2主机协议 (114)9.2.3会话数量趋势 (116) 9.2.4主机会话数量 (117) 9.2.5⽤户会话数量 (118) 9.2.6主机会话源IP (119) 9.2.7⽤户会话源IP (120) 9.2.8访问告警等级 (121) 9.2.9⾏为告警等级 (122) 9.2.10审计告警等级 (123) 9.2.11主机访问告警 (124) 9.2.12主机⾏为告警 (125) 9.2.13主机审计告警 (126) 9.2.14⽤户访问告警 (127) 9.2.15⽤户⾏为告警 (128) 9.2.16⽤户审计告警 (129) 9.2.17源IP访问告警 (130) 9.2.18源IP⾏为告警 (131)。

明御®运维审计与风险控制系统杭州安恒信息技术有限公司目录明御®运维审计与风险控制系统 (1)目录 (2)前言 (1)章节概要 (1)适用范围和先决条件 (2)支持信息 (2)第一章产品简介 (4)1.1产品概要 (4)1.2应用场景 (5)第二章概念阐述 (7)2.1架构原理 (7)2.2权限模型 (8)2.3部署模式 (9)2.4支持的协议和客户端 (10)第三章系统基本信息 (12)3.1出厂默认信息 (12)第四章产品部署 (13)4.1外观示意图 (13)4.1.1前段面板 (13)4.2连接线缆 (14)4.2.2连接数据口线 (15)4.3配置IP (15)第五章登录 (18)5.1登录系统 (18)第六章用户和用户组 (19)6.1用户管理 (19)6.1.1新建用户 (19)6.1.2编辑用户 (22)6.1.3删除用户 (24)6.1.4导入用户 (24)6.1.5导出用户 (26)6.1.6搜索用户 (26)6.1.7激活/锁定用户 (27)6.1.8批量为用户修改用户组 (27)6.2AD用户管理 (28)6.3LDAP用户管理 (28)6.4RADIUS用户管理 (28)6.5用户组管理 (29)6.5.1新建用户组 (29)6.5.2编辑用户组 (30)6.5.3删除用户组 (31)6.5.4搜索用户组 (31)6.5.5添加用户组成员 (32)6.5.6删除用户组成员 (33)6.5.7搜索用户组成员 (34)第七章资产 (35)7.1主机管理 (35)7.1.1添加主机 (35)7.1.2编辑主机 (37)7.1.3删除主机 (38)7.1.5搜索主机 (40)7.1.6启用/禁用主机 (41)7.1.7添加主机标签 (42)7.1.8删除主机标签 (43)7.1.9批量为主机修改标签 (44)7.2帐户管理 (44)7.2.1添加主机帐户 (45)7.2.2编辑主机帐户 (47)7.2.3删除主机帐户 (49)7.2.4导入主机账户 (50)7.2.5导出主机账户 (51)7.2.6搜索主机帐户 (52)7.2.7添加主机账户标签 (52)7.2.8删除主机账户标签 (53)7.3应用托管 (54)7.3.1查看应用托管 (54)7.3.2导出应用托管 (54)7.3.3添加应用托管 (57)7.3.4删除应用托管 (59)7.3.5应用托管搜索 (60)7.4密码托管 (60)7.4.1新建任务 (60)7.4.2开始/暂停任务 (62)7.4.3删除任务 (63)7.4.4已托管密码 (64)7.4.5手动改密 (66)7.4.6邮件方式发送托管密码 (67)7.4.7ftp方式发送托管密码 (68)第八章策略 (70)8.1访问规则 (70)8.1.1查看访问规则 (71)8.1.3编辑访问规则 (73)8.1.4删除访问规则 (74)8.1.5启用/禁用访问规则 (75)8.1.6搜索访问规则 (76)8.2行为规则 (77)8.2.1查看行为规则 (77)8.2.2添加行为规则 (78)8.2.3编辑行为规则 (79)8.2.4删除行为规则 (81)8.2.5启用/禁用行为规则 (81)8.2.6搜索行为规则 (82)8.2.7查看行为规则命令 (83)8.2.8添加行为规则命令 (84)8.2.9删除行为规则命令 (85)8.2.10搜索行为规则命令 (86)8.2.11查看行为规则命令组 (87)8.2.12添加行为规则命令组 (88)8.2.13删除行为规则命令组 (89)8.2.14搜素行为规则命令组 (91)8.3审计规则 (92)8.3.1查看审计规则 (92)8.3.2添加审计规则 (93)8.3.3编辑审计规则 (94)8.3.4删除审计规则 (95)8.3.5启用/禁用审计规则 (96)8.3.6搜索审计规则 (97)8.4策略日志 (98)8.4.1查看访问规则日志 (98)8.4.2搜索访问规则日志 (99)8.4.3查看行为规则日志 (99)8.4.4搜索行为规则日志 (100)8.4.6搜索审计规则日志 (102)8.5策略配置 (103)8.5.1查看策略配置 (103)8.5.2启用/禁用规则 (104)第九章审计 (106)9.1会话审计 (106)9.1.1查看会话 (106)9.1.2审计会话 (107)9.1.3搜索会话 (109)9.1.4查看事件 (109)9.1.5审计事件 (110)9.1.6搜索事件 (112)9.2会话报表 (112)9.2.1主机标签 (112)9.2.2主机协议 (113)9.2.3会话数量趋势 (115)9.2.4主机会话数量 (116)9.2.5用户会话数量 (117)9.2.6主机会话源IP (118)9.2.7用户会话源IP (119)9.2.8访问告警等级 (120)9.2.9行为告警等级 (121)9.2.10审计告警等级 (122)9.2.11主机访问告警 (123)9.2.12主机行为告警 (124)9.2.13主机审计告警 (125)9.2.14用户访问告警 (126)9.2.15用户行为告警 (127)9.2.16用户审计告警 (128)9.2.17源IP访问告警 (129)9.2.18源IP行为告警 (130)9.2.20导出会话报表 (132)第十章系统 (133)10.1安全配置 (133)10.1.1用户锁定配置 (133)10.1.2密码策略配置 (134)10.1.3登录配置 (136)10.1.4双因素认证 (137)10.1.5管理员登录配置 (138)10.2网络配置 (140)10.2.1查看网络配置 (140)10.2.2接口配置 (141)10.2.3DNS配置 (142)10.2.4协议端口配置 (144)10.2.5Web端口配置 (145)10.3SNMP配置 (147)10.4告警配置 (149)10.4.1邮件告警 (149)10.4.2Syslog告警 (150)10.4.3选择等级 (152)10.5认证配置 (154)10.5.1启用/禁用认证 (154)10.5.2LDAP认证配置 (155)10.5.3同步LDAP用户 (156)10.5.4AD认证配置 (158)10.5.5同步AD用户 (160)10.5.6RADIUS认证配置 (161)10.6系统日志配置 (169)10.7系统报表 (171)10.7.1系统状态信息 (171)10.7.2操作重要性 (173)10.7.3用户控制 (174)10.7.5会话控制 (177)10.7.6用户与资产操作 (179)10.7.7用户源IP (180)10.7.8异常用户 (182)10.7.9异常IP (183)10.7.10导出系统报表 (185)10.8系统日志 (186)10.8.1查看系统日志 (186)10.8.2搜索系统日志 (187)10.9数据维护 (188)10.9.1数据自动删除 (188)10.9.2数据手动删除 (189)10.9.3日志备份 (190)10.9.4新建会话备份任务 (192)10.9.5开始/暂停会话备份任务 (194)10.9.6删除会话备份任务 (195)10.10系统维护 (196)10.10.1系统状态 (196)10.10.2许可证管理-查看许可证 (197)10.10.3许可证管理-导出系统认证 (198)10.10.4许可证管理-导出许可证 (200)10.10.5许可证管理-导入许可证 (202)10.10.6系统管理-时间同步 (204)10.10.7系统管理-系统升级 (205)10.10.8系统管理-重启及恢复 (207)10.10.9系统配置备份与还原 (208)10.10.10磁盘管理-查看磁盘信息 (210)10.10.11磁盘管理-磁盘检测 (211)10.10.12磁盘管理-磁盘同步 (212)10.10.13调试日志 (213)10.10.14系统警报 (214)10.10.16网络诊断TCPDump抓包 (217)10.10.17系统诊断 (219)第十一章运维 (221)11.1会话管理 (221)11.1.1查看会话 (221)11.1.2会话监控 (222)11.1.3阻断会话 (224)11.1.4事件监控 (225)11.2应用中心 (227)11.2.1查看应用托管 (227)11.2.2搜索应用托管 (227)11.2.3下载单点登录器 (228)11.2.4应用托管单点登录 (228)11.3主机运维 (230)11.3.1查看运维主机 (230)11.3.2添加运维主机标签 (230)11.3.3修改运维主机标签 (232)11.3.4删除运维主机标签 (232)11.3.5下载单点登录器 (233)11.3.6下载第三方客户端 (234)11.3.7单点登录全局配置 (235)11.3.8单点登录细粒配置 (236)11.3.9主机运维单点登录 (237)11.3.10主机运维快速登录 (238)11.4命令审批 (240)11.4.1开启命令审批功能 (240)11.4.2命令审批 (241)第十二章运维授权 (244)12.1用户授权账户 (244)12.1.1查看用户授权账户 (244)12.1.3删除用户授权账户 (246)12.1.4搜索用户授权账户 (248)12.2用户组授权账户 (249)12.2.1查看用户组授权账户 (249)12.2.2添加用户组授权账户 (251)12.2.3删除用户组授权账户 (252)12.2.4搜索用户组授权账户 (253)12.3账户授权用户/用户组 (255)12.3.1查看账户授权用户 (255)12.3.2添加账户授权用户 (256)12.3.3删除账户授权用户 (257)12.3.4搜索账户授权用户 (259)12.3.5查看账户授权用户组 (260)12.3.6添加账户授权用户组 (261)12.3.7删除账户授权用户组 (262)12.3.8搜索账户授权用户组 (264)12.4应用托管授权用户/用户组 (265)12.4.1应用托管授权用户 (265)12.4.2应用托管授权用户组 (266)12.5账户未授权登录 (267)12.5.1运维授权配置 (267)12.5.2未授权登录 (269)12.5.3授权审核 (271)前言章节概要第一章产品简介介绍明御®运维审计与风险控制系统（DAS-USM）的主要功能和目的。

安恒数据库审计及风险控制系统用户手册v2.9.0安恒数据库审计及风险控制系统用户手册v2.9.01.系统介绍1.1 系统概述1.2 功能特性1.3 系统架构2.安装与配置2.1 硬件与软件要求2.2 系统安装步骤①安装前准备②安装过程③安装后配置2.3 数据库连接设置①添加数据库连接②配置数据库连接参数3.用户管理3.1 用户类型与权限3.2 添加用户3.3 修改用户信息3.4 删除用户3.5 用户登录与退出4.数据库审计4.1 审计策略配置①审计对象选择②审计内容设置③审计规则定义4.2 审计日志查看与分析①日志查询与过滤②日志分析与报表4.3 告警与通知设置①告警规则定义②告警处理与通知5.风险控制5.1 数据库漏洞扫描①扫描目标设置②扫描策略配置③漏洞扫描报告5.2 弱口令检测①弱口令规则定义②弱口令检测结果5.3 数据库敏感数据发现①敏感数据类型定义②敏感数据扫描与查找5.4 数据库访问权限控制①权限控制策略设置②用户权限配置6.系统维护与升级6.1 系统备份与恢复6.2 日志归档与清理6.3 系统升级与补丁安装附件：1.安恒数据库审计及风险控制系统安装包3.告警处理流程表4.弱口令规则定义表法律名词及注释：1.数据库审计：指对数据库的操作进行记录和分析，以保障数据的安全性和完整性。

主要用于检测数据库操作是否合规、防止数据泄露等方面。

2.风险控制：指对数据库中存在的安全隐患进行评估，并采取相应的措施进行预防和修复，以降低风险发生的概率和影响。

3.数据库漏洞扫描：通过扫描数据库系统的漏洞，发现数据库系统存在的安全隐患，包括但不限于弱口令、漏洞等。

4.弱口令检测：用于检测数据库用户的口令是否存在猜解和的风险，以提供改善和加固数据库访问安全的建议。