绿盟数据库审计系统

绿盟数据库审计系统

产品白皮书

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录

一. 产品概述 (1)

二. 产品综述 (1)

三. 产品优势 (2)

3.1灵活的数据库审计配置策略 (2)

3.2强大数据库入侵检测能力 (2)

3.3全方面、细粒度审计分析 (3)

3.4准确的应用用户关联能力 (4)

3.5完备的系统持续在线保障 (5)

四. 产品功能 (5)

4.1审计模式支持 (5)

4.2全面的实时审计 (5)

4.3完备的双向审计 (6)

4.4细粒度的审计规则 (7)

4.5黑白名单和例外策略 (7)

4.6大数据量日志记录 (8)

4.7应用用户关联审计 (8)

4.8多种协议审计和回放 (9)

4.9完整的数据备份和还原操作 (9)

4.10多形式的告警方式 (10)

4.11全面系统管理能力 (10)

五. 典型部署模式 (11)

5.1旁路模式 (11)

5.2多级部署模式 (13)

一. 产品概述

绿盟数据库审计系统-NSFOCUS Database Audit System（简称DAS）是能够实时监视、记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理系统。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部网络行为记录，提高数据资产安全。

二. 产品综述

DAS是一款专业、实时进行数据库访问监视与审计的数据库安全设备。能够多角度分析数据库活动，并对异常的行为具有告警通知、审计记录、时候追踪分析功能。DAS独立于数据库进行配置和部署，这种方式能够在不影响数据库的前提下，达到安全管理的目的。DAS 支持灵活的部署模式，包括旁路和多级部署模式。

与传统数据库审计产品中的SQL处理机制（依赖于正则表达式、字符串等技术识别SQL）不同，DAS完全模拟数据库的词法、语法（lex/yacc）解析，可以精准、智能的识别SQL类型，从而灵活的构建行为模型，且能够快速、准确的配置和定位策略。此外，通过智能的SQL识别，采用启发式风险评估，能够及时发现数据库操作的潜在风险，从而能够实现事后对数据库操作记录进行合规性分析。

由于数据库系统的庞大和复杂，数据库自身存在各种各样的漏洞，出于应用系统的稳定性等考虑，数据库系统往往不能及时升级补丁修复漏洞，这就给黑客对数据库的攻击提供了便利条件。DAS通过漏洞攻击特征识别技术，在不需要数据库做任何补丁、升级工作的前提下，即可实现对400种以上的数据库漏洞攻击行为进行准确监测，及时告警。

DAS能够通过易用的配置，达到细粒度访问审计配置的目的，直接在DAS上对数据库用户权限进行细粒度划分，对于违反细粒度策略的访问行为进行审计、告警，从而确保数据库操作达到合规性要求。

DAS可监视数据库访问，实施访问策略，对异常的行为进行实时告警，并帮助事后分析来自于内外部的数据库攻击行为。此外，DAS还提供强大的数据库活动审计功能，从多个角度灵活呈现数据库的活动情况，有助于对数据库现状进行分析。

DAS能够获取详细的用户信息，它能与应用系统用户对接，将数据库行为定为到应用用户，能够获取访问数据库的用户IP、MAC以及操作系统信息，从而将针对数据库的行为定为到具体的人和地点。

三. 产品优势

3.1 灵活的数据库审计配置策略

DAS提供了灵活和易于操作的策略配置管理。策略配置为高效而全面地实现数据库安全审计起到了决定性的作用。

DAS有以下多种配置策略；

全面审计策略：所有的数据库请求都会被审计，保证审计的全面性；

审计过滤策略：在某些高吞吐量场景，过高的负载将使实时处理和存储压力过大，通过系统提供的白名单过滤、白名单规则可以对常规安全语句、安全来源实现审计过滤，使系统能够在过载的情况下，集中在危险或异常的SQL语句审计上；

重点语句告警策略：无论是否执行全面审计的策略，系统都可以对需要重点监视的语句进行特殊对待，可以通过黑名单、正则表达、重点用户、重点IP、返回行数等策略完成对重点关注对象和行为的定义，对这些重点对象和行为的语句可以将其放入到告警审计中，可以通过syslog、snmp、邮件或短信等多种途径对这些语句进行告警。

3.2 强大数据库入侵检测能力

DAS提供了强大的入侵检测能力，对入侵行为进行重点告警；DAS对入侵检测行为提供了大量的检测策略定义方法，包括：

A. 危险客户端登录：通过IP、用户、数据库客户端工具、时间等多维定义可能具有入

侵风险的登录；

B. 危险访问行为：通过用户、敏感对象、时间、返回行数、操作是否有Where、是否

使用了系统对象、高危操作子等多种方式定义了危险访问行为；

C. SQL注入：系统提供了系统性的SQL注入库，以及基于正则表达式或语法抽象的

SQL注入描述扩展；

D. 漏洞攻击库：系统提供了针对数据库漏洞进行攻击的描述模型，使对这些典型的数

据库攻击行为被迅速发现；

E. 黑名单：提供准确而抽象的方式，对系统中的特定访问SQL语句进行描述，使这些

SQL语句出现时能够迅速报警。

3.3 全方面、细粒度审计分析

DAS提供了大量预定义的分析和追踪报告供不同需求的管理者使用；分析的内容涵盖了：

●提供丰富的、精细的审计数据分析和追踪报告

?关键敏感对象的访问分析

?DB实例访问综合分析

?IP(MAC)行为分析和追踪

?用户行为分析和追踪

?SQL行为分析和追踪（基于精细SQL解析和分类）

?SESSION会话分析和追踪、回溯

●提供精确、实时的危害性行为分析和追踪

?新类型SQL（新型攻击）发现和分析追踪

?SQL注入风险分析和追踪

?精细访问告警分析和追踪

?DB漏洞攻击行为分析和追踪

?高危操作分析和追踪

?大规模数据泄漏分析和追踪

?批量数据篡改行为分析和追踪。

●提供准确详细的数据库应用系统性能分析和追踪

?SQL报文流量分析和追踪

?TOP N SQL分析

例如关键敏感对象的访问分析：

3.4 准确的应用用户关联能力

DAS是国内首个可以做到100%应用关联审计准确率的同类产品。

DAS通过应用层访问和数据库操作请求进行多层业务关联审计，实现访问者信息的完全追溯，包括：操作发生的应用用户、URL、客户端的IP、请求报文等信息，通过多层业务关联审计更精确地定位事件发生前后所有层面的访问及操作请求，使得追责、问责到具体操作人变得现实，真正做到数据库操作行为可监视,违规操作可追溯。

DAS提供的关联方法，避免了传统关联中基于时间匹配所造成的大量错审现象，使应用用户与SQL语句实现实时、准确关联；也使针对应用用户危险行为描述、审计和实时告警成为可能。

3.5 完备的系统持续在线保障

DAS全方位确保设备本身的高可靠性，包括但不限于：

●物理保护；关键部件采用冗余配置（如：冗余电源等）。

●系统故障保护：内置监测模块准实时地监测设备自身的健康状况。

●不间断的管理保护：在进行策略配置情况下，能保持网络的连接和保护。

●不丢包：基于硬件加速的接口卡，在高速环境下实现100%数据包捕获。

四. 产品功能

4.1 审计模式支持

当用户与数据库进行交互的过程中，DAS系统能实时审计用户行为，并根据预定义策略对用户行为进行监测，任何被监测到的违规操作都可以被记录和告警。

DAS系统中支持的工作模式是数据库活动审计模式。数据库活动审计模式是非入侵防护模式，所有的数据包会全部放行，能够显示策略的风险等级和“执行结果”，但不会真正的执行策略动作。这是一种通过“旁路”方式对被保护的数据库进行记录和审计的模式。这种模式对来自网络的数据库操作，支持的安全策略包括告警（Alarm）审计。

4.2 全面的实时审计

DAS突破了传统审计产品5要素的审计能力瓶颈，将可审计要素提升至7个方向

精细全面的SQL行为分析:最关键的DAS通过对捕获的SQL语句进行精细的SQL语法分析,并根据SQL的行为特征和关键词特征对SQL语句进行自动分类，从而可以轻松的将大量系统生成的不同的SQL语句有效的“归类”到几百个甚至几十个类别范围内，从而使对审计结果的分析更精确、更可用。主要SQL类别如下图所示：

4.3 完备的双向审计

DAS系统提供对双向数据包的解析、识别，不仅能够识别用户的请求，还能够对数据库的应答做了详细的统计，包括命令执行的时长、影响行数、应答码等信息。

以下是DAS系统中对错误SQL信息的统计：

能够对用户的访问行为进行回放：

4.4 细粒度的审计规则

DAS提供了可配置的细粒度的审计规则，可以根据系统的需要，确定不同的审计策略，包括：

TraceLog审计的内容：SQL语句、SQL语句参数、执行结果（成功、失败和详细的失败原因）、被影响的记录、详细的查询结果集、事务状态、会话登录和登出信息等。

审计的范围：对象、操作（上百种操作可选）、SQL分类类型（基于DAS对SQL的分类结果进行筛选）、用户、指定的客户端（IP、MAC）、客户端工具或应用系统等。

提供了实时的风险评估引擎、漏洞攻击监测引擎、细粒度访问监测引擎的告警数据。4.5 黑白名单和例外策略

DAS建立所有被保护数据库的活动基线，包括DML、DDL、DCL、只读活动（SELECT）以及已存在程序的使用。

DAS通过学习模式以及SQL语法分析构建动态模型，形成白名单，此外，为了完善用户访问数据库的正常模型，还允许DAS管理者对通过对已经识别的SQL信息进行操作，完善黑白名单的策略，包括，将未识别SQL归入到黑白名单以及将黑白名单中的信息互相调换。

DAS允许对黑白名单配置不同的策略。对白名单只允许设置审计类策略和放行，对黑名单可以进行全部的告警策略。当DAS检测到用户提出的请求和行为模型出现差异时，DAS将根据用户的配置进行警告操作。

图2-4 白名单列表

此外，DAS还能够对所有策略指定例外机制，在此时间范围内，对应规则将失效。

4.6 大数据量日志记录

由于DAS采用了基于SQL语法的分析和重写的归一化技术，只保留了SQL语句中的本质特征的一份副本，而仅需大量保存各SQL语句动态的条件值或参数，因此，DAS能够存储尽可大量的日志数据。

DAS能够存储数据量大小，因硬盘大小而不同，例如1TBG的硬盘，DAS可以存储的数据量能够达到10亿条，是同类产品的4~5倍。

4.7 应用用户关联审计

对于B/S架构的应用系统而言，用户通过WEB服务器实现对数据库的访问，传统的数据库审计系统只能审计到WEB 服务器的相关信息，无法识别是哪个原始访问者发出的请求。DAS通过关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息（如：操作发生的URL、客户端的IP等信息），产品主要根据时间片、关键字等要素进行信息筛选，以确定符合数据库操作请求的WEB访问，通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。

4.8 SQL操作回放

DAS允许安全管理员对过去某一时段的事件进行回放，真实展现当时的完整操作过程，便于分析和追溯系统安全问题。

很多安全事件或者与之关联的事件在发生一段时间后才引发相应的人工处理, 这个时候, 作为独立审计的DAS就发挥特别的作用. 因为所有的FTP、telnet、SSH、数据库操作等事件都保存后台(包括相关的告警), 对相关的事件做定位查询，缩小范围，使得追溯变得容易。

sql操作的回放：

4.9 完整的数据备份和还原操作

DAS能够对SQL日志、运行期数据和策略中心的数据进行自动备份、手动备份、备份还原以及数据自动清理功能。

自动备份是周期性的对SQL日志、运行期数据和策略中心的数据进行备份，并且可以根据配置，将归档文件上传到FTP服务器并且设置上传成功后是否删除归档文件。同时要设置归档文件的保留天数，或占用文件系统比例（如20%），如果超过该保留限制，则自动的删除最旧的归档文件。

手动归档需要指定事件发生时间段，根据时间段寻找符合条件的时间的事件文件进行归档。

4.10 多形式的告警方式

对于违反告警及审计规则的信息，系统提供了多形式的预警，包括通过手机短信、邮件、屏幕、以及SYSLOG、SNMP等发送到日志审计平台或其它相应的网管中心平台。根据风险等级的不同，采取不同的告警方式。

4.11 全面系统管理能力

1.1.1 系统配置管理

DAS提供WEB管理页面，数据库安全管理员在不需要安装任何客户端软件的情况下，基于标准的浏览器即可完成对DAS 的相关配置管理，主要包括网络管理、容灾管理、安全管理、数据库和审计实例管理等。

1.1.2 系统日志审计

提供针对审计设备自身的操作日志进行详细记录，满足相关法令规范要求。

1.1.3 系统状态查询和审计

DAS系统能够接收本系统以及其它第三方服务系统通过syslog、trap等方式发送过来的系统状态信息。用户无需使用客户端软件即可发现审计设备的系统资源、引擎状态进行监测，对发现问题的内容提供便利。

资源监控情况：

引擎监控情况：

五. 典型部署模式

5.1 旁路模式

DAS在旁路模式下，通过端口镜像、网络嗅探器、集线器、TAP等，达到将访问被保护数据库的流量复制一份到DAS审计服务器上。另外，还有一种特殊的旁路模式，是在客户端到被保护数据库链路上的堡垒机或者代理服务器上，通过TCP/IP协议探测形式，将获取的数据包信息复制（发送）一份到与堡垒机并行的审计服务器上。

DAS在旁路模式下的网络拓扑图如下所示：

5.2 多级部署模式

系统支持对多个数据库审计节点的集中审计管理，能够实现复杂网络环境下的数据库操作审计。

DAS的多级部署中，各个“探针点”负责记录和分析对数据库的操作信息以及数据库的响应，将这些数据发送给审计中心。而审计中心负责汇集所有“探针点”捕获的信息，存储并管理log文件，生成各种审计报表和合规性报告，同时提供接口负责与第三方系统的“整合”处理。此外，DAS管理员可以通过审计中心管理、配置安全控制和审计策略和模式。在多极部署模式下，一个审计中心可以收集多台审计设备的信息，在审计中心完成审计信息的存储、告警和分析。

5-企业案例-网络安全审计系统(数据库审计)解决方案

数据库审计系统技术建议书

目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。

1.综述 随着计算机和网络技术发展，信息系统的应用越来越广泛。数据库做为信息技术的核心和基础，承载着越来越多的关键业务系统，渐渐成为商业和公共安全中最具有战略性的资产，数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决，一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商，结合多年的安全研究经验，提出如下解决思路： 管理层面：完善现有业务流程制度，明细人员职责和分工，规范内部员工的日常操作，严格监控第三方维护人员的操作。 技术层面：除了在业务网络部署相关的信息安全防护产品（如FW、IPS 等），还需要专门针对数据库部署独立安全审计产品，对关键的数据库操作行为进行审计，做到违规行为发生时及时告警，事故发生后精确溯源。 不过，审计关键应用程序和数据库不是一项简单工作。特别是数据库系统，服务于各有不同权限的大量用户，支持高并发的事务处理，还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求，还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展，XXX已经建立了比较完善的信息系统，数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露，轻则造成企业或者社会的经济损失，重则影响企业形象甚至社会安全。 通过对XXX的深入调研，XXX面临的安全隐患归纳如下：

数据库安全审计解决方案

一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统，数据库存在各种管理和技术上的风险，如果这些风险变为事实，那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题，企业常常要面对一下问题： 数据库被恶意访问、攻击甚至数据偷窃，而企业无法及时发现、追踪并阻截这些恶意的行为。 数据库遭受恶意访问、攻击后，不能追踪到足够的证据。 不了解数据使用者对数据库访问的细节，从而无法保证数据安全，特别是敏感数据的管理。 来自内部的威胁：特权用户随意修改配置、改变或盗取数据，没有明确职责分工。 针对数据库、应用系统日志的审计只能做事后分析，周期长，且无法进行持续性审计。 审计缺乏规范性，无法有效成为公司的安全管理规范且满足外部审计需求。 人工审计面对海量数据，无法满足可见性，造成审计不完整。 权责未完全区分开，导致审计效果问题。 二、企业数据管理综合解决方案 提供的一组集成模块，使用一个统一的控制台和后端数据存储，管理整个数据库的安全与合规周期。通过，现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库，又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越，而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零，无需对数据库作任何变更，甚至不依赖本地数据库日志或审计工具。 三、通过管理数据安全 发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置，然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策

略。 评估加固漏洞、配置和行为评估，锁定与追踪 的数据库安全评估功能会扫描整个数据库架构，查找漏洞，并使用实时和历史数据提供持续的数据库安全状态评估。它预先配置了一个综合测试库，建立在特定平台漏洞和业界最佳实践案例的基础之上，可以通过的订阅服务得到定期更新。也可以自定义测试，以满足特定的要求。评估模块还会标记与合规相关的漏洞，如遵从和法规提供非法访问和数据表的行为。 监控￥执行—可视性，监控和执行各项策略，主动实时安全通过定制细粒化的实时策略来防止特权用户进行非法或可疑的行 为，同时抵挡欺诈用户或外来者的攻击。 审计报表—细粒度审计追踪，合规工作流自动化 创建一个覆盖所有数据库活动的连续、详细的追踪记录，并实时的语境分析和过滤，从而实现主动控制，生成需要的具体信息。生成的结果报表使所有数据库活动详细可见。 四、数据库安全审计解决方案的突出特点和优势： .可以同时支持监控管理多种数据库（）的各种版本； .同时支持多种企业级应用（）、应用服务器中间件服务器（）；.非入侵式部署，不影响网络、数据库服务器现有运行方式及状况，对用户、网络、服务器透明，不在数据库内安装，不需要数据库建立用户；.具有实时阻断非法访问，抵御攻击能力； .可以实现从用户、应用服务器到数据库的全程跟踪即可记录； .可以实现全方位准确监控（来自网络的访问和本地登录访问）； .具备分布式部署和分层架构能力，支持企业级不同地域、多种数据库的应用； .部署容易简单； .独特跟踪下钻（）功能，追查问题可以一步步到最底层； .多行业、众多客户成功应用案例的证明； .对、、等法律遵从性的良好支持； .国际著名审计公司的认同、认可； .第三方国际著名咨询评测机构的认可和赞赏； .支持多种异构操作系统； .记录的日志不可更改，完全符合法律要求；

网络安全审计系统需求分析复习过程

网络安全审计系统需 求分析

安全审计系统需求分析 关键字：行为监控，内容审计 摘要：系统集内容审计与行为监控为一体，以旁路的方式部署在网络中，实时采集网络数据，并按照指定策略对数据进行过滤，然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能，以及后期取证功能。 需求背景 按等级进行计算机信息系统安全保护的相关单位或部门，往往需要对流经部门与外界接点的数据实施内容审计与行为监控的，以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况，提高单位或部门的工作效率。 所涉及的单位类型有政府、军队机关的网络管理部门，公安、保密、司法等国家授权的网络安全监察部门，金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心，大中型企业网络管理中心等。 一、实现的效果和目的 a. 对用户的网络行为监控、网络传输内容审计（如员工是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了公司的机密信息，是否通过网络传播了反动言论等）。 b. 掌握网络使用情况（用途、流量），提高工作效率。 c. 网络传输信息的实时采集、海量存储。

d. 网络传输信息的统计分析。 e. 网络行为后期取证。 f. 对网络潜在威胁者予以威慑。 二、典型的系统组成 安全审计系统由三部分组成：审计引擎、数据中心、管理中心。 图1 ：典型的单点部署 审计引擎（硬件）：审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析，并把分析后的数据流发送给数据中心。 数据中心（软件）：对审计引擎传送过来的数据流进行存储；按照用户的指令对数据进行还原、解码、解压缩，并可进行关键字查询审计、统计分析。 管理中心（软件）：提供WEB形式的管理界面，可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。

数据库安全审计建设立项申请报告

数据库安全审计建设立项申请报告 1数据库系统安全隐患分析 我单位的信息系统中关键数据库服务器群中的数据服务器存储着大量涉密、重要数据信息。用户数据服务器通过数据库管理系统实现对信息资源的存储管理。我单位信息系统网络系统用户数量众多，用户相互差别较大，对数据库涉密信息、重要业务信息的访问频繁。用户对数据库的任何恶意修改或误操作，都关系我单位信息系统业务数据信息的可用性、完整性与机密性，目前数据库安全隐患集中在： ●信息存储加密：数据的安全性； ●系统认证：口令强度不够，过期账号，登录攻击等； ●系统授权：账号权限，登录时间超时等； ●系统完整性：特洛伊木马，审核配置，补丁和修正程序等； 2建立数据库安全审计体系的必要性 2.1数据安全保护形势严峻 随着信息技术的不断发展，数字信息逐渐成为一种重要资产，尤其是在过去的20多年里，作为信息的主要载体——数据库，其相关应用在数量和重要性方面都取得了巨大的增长。几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高，各种数据信息都成为了关系组织生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾，网络技术使得数字信息的泄漏和篡改变得更加容易，而防范则更加困难。 更为严重的是，所有信息泄漏事件中，源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过85%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元

的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。 因此，近两年来，大多数企事业单位和政府机关纷纷把关注的目光投向信息系统数据的安全问题，尤其是内部网络的管理和防护。 2.2现有数据安全防护体系存在不足 现在较为普遍的做法是在原有网络安全防护（防火墙、IDS、UTM等传统安全设备）的基础上，采用上网行为管理类、终端管理类等具备较强防止内部信息外泄功能的产品，筑起了一道由内向外的安全防线，典型的安全防护体系如下图所示： 图：数据库安全防线的缺失 从这幅典型的网络拓扑图中，我们不难看出，安全防护体系中缺失的正是对服务器区的防护，对数据库的防护,对内部PC访问业务系统的防护！ 尽管可能使用的数据库系统是Oracal、MS SQL是国际大品牌的产品，其本身有非常强的安全性，但依然可能存在诸多隐患： 1）对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾

面向业务的信息系统的安全审计系统

面向业务的信息系统的安全审计系统 近些年来，IT系统发展很快，企业对IT系统的依赖程度也越来越高，就一个网络信息系统而言，我们不仅需要考虑一些传统的安全问题，比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫 等，但是，随着信息化程度的提高，各类业务系统也变得日益复杂，对业务系统的防护也变得越来越重要，非传统领域的安全治理也变得越来越重要。根据最新的统计资料，给企业造成的严重攻击中70％是来自于组织中的内部人员，因此，针对业务系统的信息安全治理成为一道难题，审计应运而生。 一、为什么需要面向业务的信息安全审计？ 面向业务的信息安全审计系统，顾名思义，是对用户业务的安全审计，与用户的各项应用业务有密切的关系，是信息安全审计系统中重要的组成部分，它从用户的业务安全角度出发，思考和分析用户的网络业务中所存在的脆弱点和风险。 我们不妨先看两个鲜活的案例。不久前，中国青年报报道，上海一电脑高手，方某今年25岁，学的是计算机专业，曾是某超市分店资讯组组长。方某利用职务之便，设计非法软件程序，进入超市业务系统，即超市收银系统的数据库，通过修改超市收银系统的数据库数据信息，每天将超市的销售记录的20%营业款自动删除，并将收入转存入自己的账户。从2004年6月至2005年8月期间，方某等人截留侵吞超市3家门店营业款共计397万余元之多。 程某31岁，是X公司资深软件研发工程师，从2005年2月，他由A

地运营商系统进入B地运营商的业务系统--充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，非法获利380万。 通过上述两个案例，我们不难发现，内部人员，包括内部员工或者提供第三方IT支持的维护人员等，他们利用职务之便，违规操作导致的安全问题日益频繁和突出，这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题，但是，对于这类与业务息息相关的操作行为、违规行为的安全问题，必须要有强力的手段来防范和阻止，这就是针对业务的信息安全审计系统能够带给我们的价值。 二、如何理解面向业务的信息安全审计？ 信息安全审计与信息安全管理密切相关，信息安全审计的主要依据为信息安全管理相关的标准，例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而达到信息安全审计的目的，提高信息系统的安全性。因此，面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。 根据国外的经验，如在美国的《萨班斯-奥克斯利法案

数据库安全审计解决实施方案

数据库安全审计解决方案

————————————————————————————————作者：————————————————————————————————日期： 2

一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统，数据库存在各种管理和技术上的风险，如果这些风险变为事实，那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题，企业常常要面对一下问题： ?数据库被恶意访问、攻击甚至数据偷窃，而企业无法及时发现、追踪并阻截这些恶意的行为。 ?数据库遭受恶意访问、攻击后，不能追踪到足够的证据。 ?不了解数据使用者对数据库访问的细节，从而无法保证数据安全，特别是敏感数据的管理。 ?来自内部的威胁：特权用户随意修改配置、改变或盗取数据，没有明确职责分工。 ?针对数据库、应用系统日志的审计只能做事后分析，周期长，且无法进行持续性审计。 ?审计缺乏规范性，无法有效成为公司的安全管理规范且满足外部审计需求。 ?人工审计面对海量数据，无法满足100%可见性，造成审计不完整。?DBA权责未完全区分开，导致审计效果问题。 二、Guardium企业数据管理综合解决方案 InfoSphere Guardium提供的一组集成模块，使用一个统一的控制台和后端数据存储，管理整个数据库的安全与合规周期。通过Guardium，IBM 现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库，又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越，而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零，无需对数据库作任何变更，甚至不依赖本地数据库日志或审计工具。 三、通过Guardium管理数据安全 ?发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置，然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策

当前数据库安全现状及其安全审计

当前数据库安全现状及其安全审计 大学数据库原理教科书中，数据库是这样被解释的：数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式，如文字/数码/符号/图形/图象以及声音。 数据库安全现状 数据库系统立足于数据本身的管理，将所有的数据保存于数据库中，进行科学地组织，借助于数据库管理系统，并以此为中介，与各种应用程序或应用系统接口，使之能方便地使用并管理数据库中的数据，如数据查询/添加/删除/修改等。 数据库无所不在。海量的数据信息因为数据库的产生而变得更加容易管理和使用。政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等行业，纷纷建立起各自的数据库应用系统，以便随时对数据库中海量的数据进行管理和使用，国家/社会的发展带入信息时代。同时，随着互联网的发展，数据库作为网络的重要应用，在网站建设和网络营销中发挥着重要的作用，包括信息收集/信息查询及搜索/产品或业务管理/新闻发布/BBS论坛等等。 然而，信息技术是一把双刃剑，为社会的进步和发展带来遍历的同时，也带来了许多的安全隐患。对数据库而言，其存在的安全隐患存在更加难以估计的风险值，数据库安全事件曾出不穷： 某系统开发工程师通过互联网入侵移动中心数据库，盗取冲值卡 某医院数据库系统遭到非法入侵，导致上万名患者私隐信息被盗取 某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡 黑客利用SQL注入攻击，入侵某防病毒软件数据库中心，窃取大量机密信息，导致该防病毒软件公司严重损失 某证券交易所内部数据库造黑客股民入侵，盗窃证券交易内部报告 …… 数据库安全面临内部恶意操作以及外部恶意入侵两大夹击。如何有效保护数据库信息成为当前信息安全界最为关注的课题。 数据库安全分析 三大安全风险

网络安全审计系统的实现方法

网络安全审计系统的实现方法 司法信息安全方向王立鹏1 传统安全审计系统的历史 传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中，其审计的重点也是本主机的用户行为和系统调用。在随后的20年间，其他的各个操作系统也有了自己的安全审计工具，如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。 2 常用安全措施的不足和基于网络的安全审计系统的出现 近几年来，随着开放系统Internet的飞速发展和电子商务的口益普及，网络安全和信息安全问题日益突出，各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多，特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。 2.1防火墙技术的不足 防火墙技术是发展时间最长，也是当今防止网络人侵行为的最主要手段之一，主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离，控制外部对受保护网络的访问，它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术，但是由于防火墙技术自身存在的一些缺陷，使其越来越难以完全满足当前网络安全防护的要求。 包过滤型防火墙如只实现了粗粒度的访问控制，一般只是基于IP地址和服务端口，对网络数据包中其他内容的检查极少，再加上其规则的配置和管理极其复杂，要求管理员对网络安全攻击有较深人的了解，因此在黑客猖撅的开放Internet系统中显得越来越难以使用。 而代理网关防火墙虽然可以将内部用户和外界隔离开来，从外部只能看到代理服务器而看不到内部任何资源，但它没有从根本上改变包过滤技术的缺陷，而且在对应用的支持和速度方面也不能令人满意 2.2入侵检测技术的不足 人侵检测技术是防火墙技术的合理补充，能够对各种黑客人侵行为进行识别，扩展了网络管理员的安全管理能力。一般来说，人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。 目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。 基于主机的IDS来源于系统的审计日志，它和传统基于主机的审计系统一样一般只能检测发生在本主机上面的人侵行为。 基于网络的IDS系统对网络中的数据包进行监测，对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性…准实时性)，它能在出现攻击的时候发出警告，让管理人员在在第一时间了解到攻击行为的发生，并作出相应措施，以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要，因此决定了其采用的数据分析算法不能过于复杂，也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析，所以现在大

安全审计系统产品白皮书

绿盟安全审计系统产品白皮书 ? 2011 绿盟科技

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■商标信息 绿盟科技、NSFOCUS、绿盟是绿盟科技的商标。

目录 一. 前言 (1) 二. 为什么需要安全审计系统 (1) 2.1安全审计的必要性 (2) 2.2安全审计系统特点 (3) 三. 如何评价安全审计系统 (3) 四. 绿盟科技安全审计系统 (4) 4.1产品功能 (4) 4.2体系架构 (5) 4.3产品特点 (7) 4.3.1 网络事件“零遗漏”审计 (7) 4.3.2 高智能深度协议分析 (7) 4.3.3 全面精细的敏感信息审计 (7) 4.3.4 多维度网络行为审计 (7) 4.3.5 全程数据库操作审计 (8) 4.3.6 业界首创“网站内容安全”主动审计 (9) 4.3.7 强劲的病毒检测能力 (9) 4.3.8 基于协议的流量分析 (10) 4.3.9 基于对象的虚拟审计系统 (10) 4.3.10 强大丰富的管理能力 (10) 4.3.11 审计信息“零管理” (12) 4.3.12 方便灵活的可扩展性 (13) 4.3.13 高可靠的自身安全性 (13) 4.4解决方案 (13) 4.4.1 小型网络之精细审计方案 (13) 4.4.2 中型网络之集中审计方案 (14) 4.4.3 大型网络之分级审计方案 (15) 五. 结论 (16)

数据库审计系统_技术白皮书V1.0

此处是Logo 数据库审计系统 技术白皮书 地址： 电话： 传真： 邮编：

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京所有，受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可，不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。

目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)

数据库审计方案

` 目 录 1 数据库安全现状 ......................................................... 2 数据泄密途径及原因分析 ................................................. 3 数据库审计系统概述 ..................................................... 4 数据库审计基本要求 ..................................................... 4.1 全面的数据库审计 .................................................. 4.2 简易部署 .......................................................... 4.3 业务操作实时监控回放 .............................................. 5 数据库审计系统主要功能 ................................................. 5.1 全方位的数据库审计 ................................................ 5.1.1 ................................... 多数据库系统及运行平台支持 5.1.2 ......................................... 细粒度数据库操作审计 5.2 实时回放数据库操作 ................................................ 5.3 事件精准定位 ...................................................... 5.4 事件关联分析 ...................................................... 5.5 访问工具监控 ...................................................... 5. 6 黑白名单审计 ...................................................... 5. 7 变量审计 .......................................................... 数据库审计 解决方案

数据库审计系统白皮书

360数据库审计系统产品白皮书

目录 1.产品概述 (3) 2.产品特点 (3) 2.1专业的数据库审计 (3) 2.2业务操作实时回放 (3) 2.3事件精准定位 (4) 2.4事件关联分析 (4) 2.5访问工具监控 (4) 2.6黑白名单审计 (5) 2.7变量审计 (5) 2.8关注字段值提取 (5) 2.9丰富完善的报表报告 (5) 3.产品价值 (5) 3.1未知数据库资产发现 (5) 3.2敏感数据信息管理 (6) 3.3数据库安全事件预警 (6) 3.4数据库安全事件追溯 (6) 3.5辅助用户数据库访问策略制定 (6) 3.6满足用户合规需求 (6) 4.主要功能 (6)

1.产品概述 360数据库审计系统是针对网络访问数据库的操作行为进行细粒度分析的安全设备，它可提供实时监控、违规响应、历史行为回溯等操作分析功能，是满 足数据库风险管理和内控要求、提升内部安全监管，保障数据库安全的有效手段。 2.产品特点 2.1专业的数据库审计 360数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计，具体包括： 1)数据访问审计：记录所有对保护数据的访问信息，包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外部黑客入侵访问和内部人员非法获取敏感信息 2)数据变更审计：统计和查询所有被保护数据的变更记录，包括核心业务数据库表结构、关键数据文件的修改操作等等，防止外部和内部人员非法篡改重要的业务数据 3)用户操作审计：统计和查询所有用户的登录成功和失败尝试记录，记录所有用户的访问操作和用户配置信息及其权限变更情况，可用于事故和故障的追踪和诊断 4)违规访问行为审计：记录和发现用户违规访问。支持设定用户黑白名单，以及定义复杂的合规规则，支持告警 2.2业务操作实时回放 360数据库审计系统产品能对访问数据库操作进行实时、详细的监控和审计，包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过程回放，真实地展现用户的操作。

市财政信息系统 数据库监控与审计解决方案

市财政信息系统 数据库监控与审计解决方案 https://www.360docs.net/doc/ec11033176.html, 1、概述 当前市财政局各类信息系统中，数据密级度较高的系统包括预算编制系统、决算系统、国库支付、政府采购系统等，后台数据库中存储的敏感数据一旦发生泄漏或者被非法篡改，都将是责任重大的信息安全事故。 为了在发生疑似影响数据安全操作的时候，能及时告警并记入审计日志以便事后追责，市财政局应从技术和管理手段上采取相应的措施提高敏感数据的安全性。技术上采用数据库监控与审计设备记录敏感数据的操作，对批量的数据导出和针对数据库的恶意攻击及时告警；管理上引入定期安全巡检、对告警信息及时处理，让安全管理员切实管好敏感信息不泄漏，出现数据泄漏和篡改等问题能准确追责和定责。 2、需求分析 2.1、数据安全风险显著 省财政数据中心当前主要面临如下三类数据安全风险： ●财政敏感信息的泄密风险 在当前的管理平台系统中，有宏观财政指标参数、行业领域预算信息、项目详细预算和决算数据，同时政府采购项目相关的招标项目信息、产品报价、中标结果信息等敏感信息，程序开发人员、信息中心人员有数据库的账户，都有机会利用数据库存在的漏洞以及自身拥有的高权限，直接获取敏感信息的风险。 ●财政敏感信息被非法篡改风险 当前的管理平台系统中，有国库支付相关的预算单位信息、预算科目、会计科目、计划金额、用款金额等敏感信息，财政信息系统往往是局方内部人员、厂商程序开发人员和实施

人员共同维护数据。一旦发生了违规的数据篡改行为，也无法有效界定到底是哪方人员造成的信息安全事故。 ●缺乏有效追踪排查手段 如果缺乏独立和有效的数据库操作审计日志，就不可能对可疑的违规操作及时进行分析，包括对违规篡改操作发生的时间、地址、操作者、数据修改值等信息项，当前都缺乏有效手段进行追踪。 2.2、政策要求安全审计 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确要求我国信息安全保障工作实行等级保护制度，提出"抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南"。 2004年9月发布《关于信息安全等级保护工作的实施意见》（公通字[2004]66号"）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。这些文件以意见的形式提出对网络行为进行实时记录并保存相关各类日志。 政府单位更多的寻求技术手段完善政府单位网络安全防护体系，充分满足国家对信息系统的等级保护要求和对涉密网的分级保护要求，对数据库审计的具体安全要求：每个用户的行为、各种可疑操作并进行告警通知，能对操作记录进行全面的分析，提供自身审计进程的监控，审计记录防止恶意删除，同时具备自动归档能力。 3、解决方案 3.1、防护目标 本方案的目标是市财政局信息中心数据库形成以监控与审计为主的安全防护，重点解决敏感信息泄密和数据非法篡改的及时告警和事后审计问题。 数据库监控与审计的防护目标概括来说主要是三个方面： 一是确保数据的完整性；

数据库内部安全审计

数据库内部安全审计 一、背景 在信息系统的整体安全中，数据库往往是最吸引攻击者的目标，许多网络攻击的根本目的就是获取存放在数据库中的重要信息。传统的数据库安全保障方法一定程度上提高了数据库系统的安全性，但是它们大多是被动的安全技术，以预防为主，无法有效地制止入侵行为，特别是对于数据库用户( 如数据库管理员等) 的权限滥用等内部攻击常常是无能为力的。 内部威胁问题具体表现为: (1)非故意的授权用户攻击，即用户不小心访问到了通常不访问的敏感信息，严重的是无意间将其错误地修改或者删除了； (2)盗取了正常用户信息的攻击者对数据库进行操作，他们拥有合法的访问权限，对数据库数据进行肆意的盗窃和破坏； (3)心怀不轨的内部工作人员对数据库的恶意攻击。 据统计，数据库安全问题近80%来自数据库系统内部，即数据库系统授权用户没有按照自身授权进行数据操作，而是跨越权限篡改或破坏数据。根据2013年Verizon的数据泄露调查报告:所有数据泄露事件中76%源自授权用户对敏感数据的访问；在47000多件安全事故中，69%的攻击来自于内部人员。京东发生的大型数据泄露事件造成5O亿条公民信息流出，导致用户损失数百万元，罪魁祸首就是内部工作人员。内部原因造成的数据库损失发生率和影响度都远远超过人们的想象。 由于此类安全问题发生在系统集团内部，因此，对数据库的危害极大，并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题，即使一些防火墙软硬件也无法实时检测内部入侵。因此，针对数据库系统中用户异常行为检测研究就显得尤为重要。 据统计，传统的数据安全模型是上个世纪 70 年代提出的，并且得到较好发展。到目前为止，在数据库上实现的安全策略基本上没有变化，仍旧为访问控制、用户认证、审计和加密存储。安全审计的任务是对用户已经完成的行为，给予回追式的分析，并对该行为的结果给出最终评价。这些安全机制在数据库管理上取得了较好成绩，但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境，这些安全机制将无法实时监测入侵行为，保护数据库与数据的安全。基于异常的入侵检测是入侵检测研究领域中的一个重要课题，并取得了一定的研究成果。但是，这些研究成果主要针对操作系统和计算机网络，针对数据库系统的研究成果则相对较少。 以访问控制为例，虽然访问控制能够保证只有拥有相关权限的用户才可以访问数据，这也是防止数据泄露的第一道屏障，但是访问控制有一定的限制:如果采用严格的机制，访问控制的规则可能表达不够充分，在动态的环境中访问控制的规则可能需要频繁地更新，这些

国都兴业慧眼数据库审计系统产品白皮书 v3.0

慧眼数据库审计系统产品白皮书（V3.0） 国都兴业信息审计系统技术（北京）有限公司 二〇一四年

版权声明 本技术白皮书是对国都兴业信息审计系统技术（北京）有限公司慧眼数据库审计系统产品的描述。与内容相关的权利归国都兴业信息审计系统技术（北京）有限公司所有。白皮书中的任何内容未经本公司许可，不得转印、复制。本资料将定期更新，如欲索取最新资料，请访问本公司网站：https://www.360docs.net/doc/ec11033176.html, 您的意见或建议请发至：china@https://www.360docs.net/doc/ec11033176.html, 公司联系方式： 国都兴业信息审计系统技术（北京）有限公司 北京市海淀区东北旺西路8号中关村软件园10号楼106室 邮政编码100193 106 Great Road Building, Zhongguancun Software Park, 8 Dongbeiwang Western RD, Haidian District, Beijing 100193, P.R.China 电话(Tel): +86-10-82585166 传真(Fax): +86-10-82825363 电子信箱: china@https://www.360docs.net/doc/ec11033176.html,

公司简介 国都兴业信息审计系统技术（北京）有限公司创建于1998年，公司总部设立于北京中关村软件园，是最优秀的信息系统审计解决方案、产品和服务提供商，具有强大的自主研发实力，是通过ISO9001：2000质量管理体系认证的北京市高新技术企业。国都兴业致力于提升用户掌控信息系统风险的能力，在信息系统的安全性、可靠性、合规性等方面提供全面的IT审计解决方案和服务，开发和销售专业的IT审计产品，解决用户对信息系统监测、评估和控制管理等方面的各项需求。 国都兴业是国内信息系统审计领域最具技术创新和产品研发实力的企业，是国内最早研发生产网络应用监控审计类产品的知名企业。国都兴业推出的“慧眼”信息审计系列产品，能够针对IT基础设施、信息安全、网络应用、数据库应用以及业务操作等方面，提供全方位地实时监测和审计，被广泛地应用于企业内部控制、企业风险管理、信息系统安全保障等方面。“慧眼数据库审计系统”连续两年入选中央国家机关网络安全产品协议供货商名录，通过国家、公安部、涉密、军队等信息安全产品认证，并被授予“2008年度最值得信赖品牌奖”。 国都兴业拥有来自军队、科研机构、国内知名院校的专家与学者组成的研发团队，拥有与国家信息技术安全研究中心（N&A）共同组建的网络安全监控技术实验室，在为政府、军队、金融、电信、能源、医疗、教育等行业提供了完善的网络安全解决方案和服务的同时，还承担了多项国家、军队科研攻关项目的研究工作。 国都兴业以雄厚的技术实力、优秀的产品和优质的服务获得业界的广泛认可，荣获“中国信息化建设30周年杰出贡献单位奖”、“中国信息化建设30周年杰出贡献人物奖”，入选北京信息安全服务平台2008年度运维支持单位，并圆满完成2008年奥运网络安全评估与保障任务，被授予“共铸网络利剑，携手平安奥运”的嘉奖。 国都兴业将秉承“诚信、兴业、自信、创新”的企业精神，致力于成为最优秀的IT审计企业、最值得客户信赖的企业、最吸引优秀人才的企业，为“提升企业驾驭IT的能力，创造信息系统新价值”而不懈努力！

数据库审计解决方案

数据库审计方案建议书

1综述--------------------------------------------------------------------------- 3 1.1方案背景 ----------------------------------------------------------------- 3 1.1.1数据库安全风险 ----------------------------------------------------- 3 1.2方案目标及实现原则 ------------------------------------------------------- 3 1.2.1实现的目标 --------------------------------------------------------- 3 1.2.2遵循的原则 --------------------------------------------------------- 4 2数据库审计系统产品简介 --------------------------------------------------------- 4 2.1产品定位 ----------------------------------------------------------------- 4 2.2功能简介 ----------------------------------------------------------------- 4 2.3产品特色 ----------------------------------------------------------------- 5 2.4功能特点 ----------------------------------------------------------------- 6 2.4.1强审计能力 --------------------------------------------------------- 6 2.4.2可灵活配置的审计规则 ----------------------------------------------- 6 2.4.3强大的搜索引擎 ----------------------------------------------------- 6 2.4.4丰富的审计报表 ----------------------------------------------------- 6 2.4.5自身安全性保护 ----------------------------------------------------- 6 3数据库审计系统部署 ------------------------------------------------------------- 7 4日志服务器集成 ----------------------------------------------------------------- 8 4.1 整体实施效果---------------------------------------------------------------- 8 5神码安全IDM产品结合数据库审计系统方案 ----------------------------------------- 9 5.1产品部署图和流程分析 ----------------------------------------------------- 9 6总结--------------------------------------------------------------------------- 9

网络安全审计系统需求分析

安全审计系统需求分析 关键字：行为监控，内容审计 摘要：系统集内容审计与行为监控为一体，以旁路的方式部署在网络中，实时采集网络数据，并按照指定策略对数据进行过滤，然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能，以及后期取证功能。 需求背景 按等级进行计算机信息系统安全保护的相关单位或部门，往往需要对流经部门与外界接点的数据实施内容审计与行为监控的，以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况，提高单位或部门的工作效率。 所涉及的单位类型有政府、军队机关的网络管理部门，公安、保密、司法等国家授权的网络安全监察部门，金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心，大中型企业网络管理中心等。 一、实现的效果和目的 a. 对用户的网络行为监控、网络传输内容审计（如员工是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了公司的机密信息，是否通过网络传播了反动言论等）。 b. 掌握网络使用情况（用途、流量），提高工作效率。 c. 网络传输信息的实时采集、海量存储。 d. 网络传输信息的统计分析。 e. 网络行为后期取证。 f. 对网络潜在威胁者予以威慑。 二、典型的系统组成

安全审计系统由三部分组成：审计引擎、数据中心、管理中心。 图1 ：典型的单点部署 审计引擎（硬件）：审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析，并把分析后的数据流发送给数据中心。 数据中心（软件）：对审计引擎传送过来的数据流进行存储；按照用户的指令对数据进行还原、解码、解压缩，并可进行关键字查询审计、统计分析。 管理中心（软件）：提供WEB形式的管理界面，可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。 图2：适合多级管理的分布式部署