產(chǎn)品概述

明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)（簡(jiǎn)稱：DAS-DBAuditor）是安恒信息結(jié)合多年數(shù)據(jù)庫(kù)安全的理論和實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上，結(jié)合各類法令法規(guī)（如SOX、PCI、企業(yè)內(nèi)控管理、等級(jí)保護(hù)等）對(duì)數(shù)據(jù)庫(kù)審計(jì)的要求，自主研發(fā)完成的業(yè)界首創(chuàng)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制的數(shù)據(jù)庫(kù)全業(yè)務(wù)審計(jì)產(chǎn)品。

DAS-DBAuditor以獨(dú)立硬件審計(jì)的工作模式，靈活的審計(jì)策略配置，解決企業(yè)核心數(shù)據(jù)庫(kù)面臨的"越權(quán)使用、權(quán)限濫用、權(quán)限盜用"等安全威脅，滿足各類法令法規(guī)（詳細(xì)內(nèi)容見(jiàn)附錄）對(duì)數(shù)據(jù)庫(kù)審計(jì)的要求，廣泛適用于"政府、金融、運(yùn)營(yíng)商、公安、能源、稅務(wù)、工商、社保、交通、衛(wèi)生、教育、電子商務(wù)及企業(yè)"等所有使用數(shù)據(jù)庫(kù)的各個(gè)行業(yè)。DAS-DBAuditor支持Oracle、MS-SQL Server、DB2、Sybase、MySQL、Informix、OSCAR等業(yè)界主流數(shù)據(jù)庫(kù)以及眾多遠(yuǎn)程操作協(xié)議，如RDP(遠(yuǎn)程桌面)、SSH、VNC、Xwindow、TELNET、FTP、SFTP等，可以幫助用戶提升數(shù)據(jù)庫(kù)和主機(jī)運(yùn)行監(jiān)控的透明度，降低人工審計(jì)成本，真正實(shí)現(xiàn)數(shù)據(jù)庫(kù)全業(yè)務(wù)運(yùn)行可視化、日常操作可監(jiān)控、危險(xiǎn)操作可控制、所有行為可審計(jì)、安全事件可追溯。

典型部署

DAS-DBAuditor可以在不改變現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)、不占用數(shù)據(jù)庫(kù)服務(wù)器任何資源、不影響數(shù)據(jù)庫(kù)性能的情況下，快速部署到業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)中。

主要功能

多層業(yè)務(wù)關(guān)聯(lián)審計(jì)：

通過(guò)應(yīng)用層訪問(wèn)和數(shù)據(jù)庫(kù)操作請(qǐng)求進(jìn)行多層業(yè)務(wù)關(guān)聯(lián)審計(jì)，實(shí)現(xiàn)訪問(wèn)者信息的完全追溯，包括：操作發(fā)生的URL、客戶端的IP、請(qǐng)求報(bào)文等信息，通過(guò)多層業(yè)務(wù)關(guān)聯(lián)審計(jì)更精確地定位事件發(fā)生前后所有層面的訪問(wèn)及操作請(qǐng)求，使管理人員對(duì)用戶的行為一目了然，真正做到數(shù)據(jù)庫(kù)操作行為可監(jiān)控,違規(guī)操作可追溯。

細(xì)粒度數(shù)據(jù)庫(kù)審計(jì)：

通過(guò)對(duì)不同數(shù)據(jù)庫(kù)的SQL語(yǔ)義分析，提取出SQL中相關(guān)的要素（用戶、SQL操作、表、字段、視圖、索引、過(guò)程、函數(shù)、包…）

實(shí)時(shí)監(jiān)控來(lái)自各個(gè)層面的所有數(shù)據(jù)庫(kù)活動(dòng)，包括來(lái)自應(yīng)用系統(tǒng)發(fā)起的數(shù)據(jù)庫(kù)操作請(qǐng)求、來(lái)自數(shù)據(jù)庫(kù)客戶端工具的操作請(qǐng)求以及通過(guò)遠(yuǎn)程登錄服務(wù)器后的操作請(qǐng)求等

通過(guò)遠(yuǎn)程命令行執(zhí)行的SQL命令也能夠被審計(jì)與分析，并對(duì)違規(guī)的操作進(jìn)行阻斷

系統(tǒng)不僅對(duì)數(shù)據(jù)庫(kù)操作請(qǐng)求進(jìn)行實(shí)時(shí)審計(jì)，而且還可對(duì)數(shù)據(jù)庫(kù)返回結(jié)果進(jìn)行完整的還原和審計(jì)，同時(shí)可以根據(jù)返回結(jié)果設(shè)置審計(jì)規(guī)則

精準(zhǔn)化行為回溯：

一旦發(fā)生安全事件，提供基于數(shù)據(jù)庫(kù)對(duì)象的完全自定義審計(jì)查詢及審計(jì)數(shù)據(jù)展現(xiàn)，徹底擺脫數(shù)據(jù)庫(kù)的黑盒狀態(tài)

全方位風(fēng)險(xiǎn)控制：

靈活的策略定制：根據(jù)登錄用戶、源IP地址、數(shù)據(jù)庫(kù)對(duì)象（分為數(shù)據(jù)庫(kù)用戶、表、字段）、操作時(shí)間、SQL操作命令、返回的記錄數(shù)或受影響的行數(shù)、關(guān)聯(lián)表數(shù)量、SQL執(zhí)行結(jié)果、SQL執(zhí)行時(shí)長(zhǎng)、報(bào)文內(nèi)容的靈活組合來(lái)定義客戶所關(guān)心的重要事件和風(fēng)險(xiǎn)事件

多形式的實(shí)時(shí)告警：當(dāng)檢測(cè)到可疑操作或違反審計(jì)規(guī)則的操作時(shí)，系統(tǒng)可以通過(guò)監(jiān)控中心告警、短信告警、郵件告警、Syslog告警等方式通知數(shù)據(jù)庫(kù)管理員

多協(xié)議層的遠(yuǎn)程訪問(wèn)監(jiān)控：

支持對(duì)客戶端工具、應(yīng)用層以及對(duì)服務(wù)器的遠(yuǎn)程訪問(wèn)（如：RDP、SSH、FTP、TELNET、VNC、Xwindow）實(shí)時(shí)監(jiān)控及回放功能，有助于安全事件的定位查詢、成因分析及責(zé)任認(rèn)定

職權(quán)分離：

《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理技術(shù)要求》、《企業(yè)內(nèi)部控制規(guī)范》、SOX法案或PCI中明確提出對(duì)工作人員進(jìn)行職責(zé)分離，系統(tǒng)設(shè)置了權(quán)限角色分離。

友好真實(shí)的操作過(guò)程回放：

對(duì)于客戶關(guān)心的操作可以回放整個(gè)相關(guān)過(guò)程，讓客戶可以看到真實(shí)輸入及屏幕顯示內(nèi)容

對(duì)于遠(yuǎn)程操作實(shí)現(xiàn)對(duì)精細(xì)內(nèi)容的檢索，如執(zhí)行刪除表、文件命令、數(shù)據(jù)搜索等

業(yè)界首創(chuàng)的審計(jì)模式：

除了提供實(shí)時(shí)的動(dòng)態(tài)審計(jì)功能，還提供了可選的掃描審計(jì)模塊對(duì)數(shù)據(jù)庫(kù)的不安全配置、弱口令等進(jìn)行檢測(cè)和審計(jì)

產(chǎn)品特點(diǎn)

完整性：獨(dú)一無(wú)二的多層業(yè)務(wù)關(guān)聯(lián)審計(jì)，可針對(duì)WEB層、應(yīng)用中間層、數(shù)據(jù)層各層次進(jìn)行關(guān)聯(lián)審計(jì)

細(xì)粒度：細(xì)粒度的審計(jì)規(guī)則、精準(zhǔn)化的行為檢索及回溯、全方位的風(fēng)險(xiǎn)控制

有效性：獨(dú)有專利技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)安全的各類攻擊風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)的有效控制；靈活的、可自定義的審計(jì)規(guī)則滿足了各類內(nèi)控和外審的需求（有效控制誤操作、越權(quán)操作、惡意操作等違規(guī)行為）

公正性：基于獨(dú)立審計(jì)的工作模式，實(shí)現(xiàn)了數(shù)據(jù)庫(kù)管理與審計(jì)的分離，保證了審計(jì)結(jié)果的真實(shí)性、完整性、公正性

零風(fēng)險(xiǎn)：無(wú)需對(duì)現(xiàn)有數(shù)據(jù)庫(kù)進(jìn)行任何更改或增加配置，即可實(shí)現(xiàn)零風(fēng)險(xiǎn)部署

高可靠：提供多層次的物理保護(hù)、掉電保護(hù)、自我監(jiān)測(cè)及冗余部署，提升設(shè)備整體可靠性

易操作：充分考慮國(guó)內(nèi)用戶的使用和維護(hù)習(xí)慣，提供Web-based全中文操作界面及在線操作提示

 #p#

易操作：充分考慮國(guó)內(nèi)用戶的使用和維護(hù)習(xí)慣，提供Web-based全中文操作界面及在線操作提示。

產(chǎn)品規(guī)格

注：詳細(xì)配置僅供參考，實(shí)際交付以合同約定為準(zhǔn)。

典型應(yīng)用案例

某省級(jí)電信運(yùn)營(yíng)商

由于電信運(yùn)營(yíng)商數(shù)據(jù)庫(kù)系統(tǒng)用戶眾多，涉及數(shù)據(jù)庫(kù)管理員、內(nèi)部員工及合作方人員等，因此網(wǎng)絡(luò)管理更加復(fù)雜，單位數(shù)據(jù)庫(kù)面臨的主要安全威脅與風(fēng)險(xiǎn)總結(jié)如下：

數(shù)據(jù)庫(kù)賬戶和權(quán)限的濫用

數(shù)據(jù)庫(kù)自身日志審計(jì)的缺陷

數(shù)據(jù)庫(kù)與業(yè)務(wù)系統(tǒng)無(wú)法關(guān)聯(lián)分析

數(shù)據(jù)庫(kù)自身存在問(wèn)題

數(shù)據(jù)庫(kù)系統(tǒng)的運(yùn)維存在安全隱患

安恒信息解決方案：

我們根據(jù)電信用戶的需求進(jìn)行分析，從全審計(jì)的角度出發(fā)考慮整體的數(shù)據(jù)庫(kù)全業(yè)務(wù)安全審計(jì)，主要包括以下幾個(gè)方面：

采用靜態(tài)審計(jì)實(shí)現(xiàn)數(shù)據(jù)庫(kù)軟件自身安全隱患的審計(jì)，依托安恒信息其權(quán)威性的數(shù)據(jù)庫(kù)安全規(guī)則庫(kù)，自動(dòng)完成對(duì)幾百種不當(dāng)?shù)臄?shù)據(jù)庫(kù)不安全配置、潛在弱點(diǎn)、數(shù)據(jù)庫(kù)用戶弱口令、數(shù)據(jù)庫(kù)軟件補(bǔ)丁、數(shù)據(jù)庫(kù)潛藏木馬等數(shù)據(jù)庫(kù)軟件存在的問(wèn)題，為后續(xù)的動(dòng)態(tài)防護(hù)與審計(jì)的安全策略設(shè)置提供了有力的依據(jù)。

采用數(shù)據(jù)庫(kù)實(shí)時(shí)審計(jì)解決數(shù)據(jù)庫(kù)操作中的細(xì)粒度審計(jì)，包括采用細(xì)粒度的審計(jì)策略對(duì)操作、訪問(wèn)及命令返回進(jìn)行全監(jiān)控，實(shí)現(xiàn)針對(duì)所有帳戶對(duì)數(shù)據(jù)庫(kù)操作、訪問(wèn)及命令的全面監(jiān)測(cè)審計(jì)，加強(qiáng)對(duì)數(shù)據(jù)庫(kù)臨時(shí)帳戶與高權(quán)限帳戶的審計(jì)監(jiān)測(cè)審計(jì)，加強(qiáng)針對(duì)重要敏感數(shù)據(jù)的訪問(wèn)審計(jì)監(jiān)測(cè)，達(dá)到字段級(jí)的審計(jì)細(xì)粒度，提供詳細(xì)的數(shù)據(jù)庫(kù)審計(jì)記錄及分類報(bào)表統(tǒng)計(jì)，根據(jù)多年數(shù)據(jù)庫(kù)安全經(jīng)驗(yàn)提供報(bào)表支持，實(shí)現(xiàn)數(shù)據(jù)庫(kù)異常操作監(jiān)測(cè)報(bào)警，并提供多種告警方式通知相關(guān)人員處置，采用獨(dú)立審計(jì)的工作模式，不對(duì)現(xiàn)有系統(tǒng)造成任何影響，彌補(bǔ)了因數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)置日志審計(jì)而帶來(lái)的缺陷。

通過(guò)堡壘主機(jī)實(shí)現(xiàn)對(duì)所有遠(yuǎn)程操作的行為監(jiān)測(cè)，堡壘主機(jī)基于網(wǎng)絡(luò)、透明方式工作，不影響網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)，覆蓋運(yùn)營(yíng)商采用的遠(yuǎn)程協(xié)議，如RDP、SSH、VNC、Xwindow、Telnet、FTP等協(xié)議，可以對(duì)操作進(jìn)行回放和檢索查詢，幫助構(gòu)建全面的審計(jì)平臺(tái)。

應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)操作進(jìn)行關(guān)聯(lián)，有效解決操作行為的追溯,根據(jù)時(shí)間片、關(guān)鍵字等要素進(jìn)行信息篩選，以確定符合數(shù)據(jù)庫(kù)操作請(qǐng)求的WEB訪問(wèn)，通過(guò)多層業(yè)務(wù)審計(jì)更精確地定位事件發(fā)生前后所有層面的訪問(wèn)及操作請(qǐng)求。

用戶部署示意圖

邏輯示意圖