數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)技術(shù)方案

1、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)技術(shù)方案隨著信息和網(wǎng)絡(luò)技術(shù)的普及，政府和企事業(yè)單位的核心業(yè)務(wù)信息系統(tǒng)不斷的網(wǎng)絡(luò)化，隨之而 來(lái)的就是面臨的信息安全風(fēng)險(xiǎn)日益增加。而這些安全風(fēng)險(xiǎn)中，來(lái)自內(nèi)部的違規(guī)操作和信息泄漏最 為突出。由于政府和企事業(yè)單位的核心業(yè)務(wù)系統(tǒng)（例如數(shù)據(jù)庫(kù)系統(tǒng)、核心業(yè)務(wù)主機(jī)系統(tǒng)）都實(shí)現(xiàn)了網(wǎng) 絡(luò)化訪問(wèn)，內(nèi)部用戶可以方便地利用內(nèi)部網(wǎng)絡(luò)通過(guò)各種通訊協(xié)議進(jìn)行刺探，獲取、刪除或者篡改 重要的數(shù)據(jù)和信息。同時(shí)，一些內(nèi)部授權(quán)用戶由于對(duì)系統(tǒng)不熟悉而導(dǎo)致的誤操作也時(shí)常給業(yè)務(wù)系 統(tǒng)造成難以恢復(fù)的損失。此外，對(duì)于使用 IT 外包和代維的大型機(jī)構(gòu)而言，如何限制外部人員對(duì)核 心業(yè)務(wù)系統(tǒng)的訪問(wèn)權(quán)限也是一個(gè)難題，外包方的技術(shù)工程師可能

2、在開(kāi)發(fā)業(yè)務(wù)系統(tǒng)的時(shí)候留下后門 或者幽靈帳號(hào)，為將來(lái)侵入核心業(yè)務(wù)系統(tǒng)埋下隱患。另一方面，為了加強(qiáng)內(nèi)控，國(guó)家強(qiáng)制機(jī)關(guān)和行業(yè)的主管部門相繼頒布了各種合規(guī)和內(nèi)控方面 的法律法規(guī)和指引，例如企業(yè)內(nèi)部控制基本規(guī)范 、銀行業(yè)信息科技風(fēng)險(xiǎn)管理指引 、證券公 司內(nèi)部控制指引 、保險(xiǎn)公司風(fēng)險(xiǎn)管理指引（試行） 等。而在國(guó)際上，美國(guó)政府針對(duì)上市公司的 薩班斯（ SOX ）法案、針對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)的HIPAA 法案、針對(duì)聯(lián)邦政府機(jī)構(gòu)的 FISMA 法案，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）都對(duì)內(nèi)控提出了嚴(yán)格的要求。這些內(nèi)控條例和指引都要求對(duì)網(wǎng) 絡(luò)中的重要業(yè)務(wù)系統(tǒng)進(jìn)行專門的安全審計(jì)?？梢哉f(shuō)，隨著安全需求的不斷提升，網(wǎng)絡(luò)

3、安全已經(jīng)從以防范外部入侵和攻擊為主逐漸轉(zhuǎn)變?yōu)?以防止內(nèi)部違規(guī)和信息泄漏為主了。在這種情況下，政府和企事業(yè)單位迫切需要一款專門針對(duì)網(wǎng)絡(luò)中業(yè)務(wù)信息系統(tǒng)進(jìn)行全方位審 計(jì)的系統(tǒng)。 網(wǎng)御神州借助多年在安全管理領(lǐng)域的積累， 推出了 SecFox-NBA 網(wǎng)絡(luò)行為審計(jì)系統(tǒng) （業(yè) 務(wù)審計(jì)型）產(chǎn)品，很好地滿足了客戶的安全審計(jì)需求。網(wǎng)御神州 SecFox-NBA （ Network Behavior Analysis for Business Audit ）網(wǎng)絡(luò)行為審計(jì)系統(tǒng)（業(yè) 務(wù)審計(jì)型）采用旁路偵聽(tīng)的方式對(duì)通過(guò)網(wǎng)絡(luò)連接到重要業(yè)務(wù)系統(tǒng)（服務(wù)器、數(shù)據(jù)庫(kù)、業(yè)務(wù)中間件、 數(shù)據(jù)文件等）的數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別，實(shí)時(shí)監(jiān)

4、視用戶訪問(wèn)業(yè)務(wù)系統(tǒng)的狀態(tài)，記錄各種訪 問(wèn)行為，發(fā)現(xiàn)并及時(shí)制止用戶的誤操作、違規(guī)訪問(wèn)或者可疑行為。產(chǎn)品部署簡(jiǎn)便，不需要修改任 何網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用配置，不會(huì)影響用戶的業(yè)務(wù)運(yùn)行。SecFox-NBA （業(yè)務(wù)審計(jì)型）獨(dú)有面向業(yè)務(wù)的安全審計(jì)技術(shù)，通過(guò)業(yè)務(wù)網(wǎng)絡(luò)拓?fù)溆涗浛蛻魳I(yè)務(wù) 網(wǎng)絡(luò)中各種數(shù)據(jù)庫(kù)、主機(jī)、 web 應(yīng)用系統(tǒng)相互的關(guān)聯(lián)性，審計(jì)人員可以根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的變化快速查看業(yè)務(wù)網(wǎng)絡(luò)中各個(gè)設(shè)備和整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的事件和告警信息。SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)（業(yè)務(wù)審計(jì)型）能夠?qū)I(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度 審計(jì)。系統(tǒng)通過(guò)制定符合業(yè)務(wù)網(wǎng)的審計(jì)策略，對(duì)符合策略的網(wǎng)絡(luò)操作行為進(jìn)行解析、分析、記錄、 匯報(bào)，以幫助

5、用戶事前規(guī)劃預(yù)防，事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)，事后合規(guī)報(bào)告、事故追蹤回放， 幫助用戶加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、避免核心資產(chǎn)（數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)服務(wù)器等）損失、保障業(yè)務(wù)系 統(tǒng)的正常運(yùn)營(yíng)。SecFox-NBA （業(yè)務(wù)審計(jì)型）能夠自動(dòng)地或者在管理員人工干預(yù)的情況下對(duì)審計(jì)告警進(jìn)行各種 響應(yīng)，并與包括各種類型的交換機(jī)、路由器、防火墻、IDS、主機(jī)系統(tǒng)等在內(nèi)的眾多第三方設(shè)備和系統(tǒng)進(jìn)行預(yù)定義的策略聯(lián)動(dòng)，并能夠?qū)崟r(shí)阻斷可疑的網(wǎng)絡(luò)通訊，實(shí)現(xiàn)安全審計(jì)的管理閉環(huán)。SecFox-NBA （業(yè)務(wù)審計(jì)型）為客戶提供了豐富的報(bào)表，使得管理人員能夠從各個(gè)角度對(duì)業(yè)務(wù) 系統(tǒng)的安全狀況進(jìn)行審計(jì)，并自動(dòng)、定期地產(chǎn)生報(bào)表。1產(chǎn)品特點(diǎn)SecFo

6、x-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)（業(yè)務(wù)審計(jì)型）的主要特點(diǎn)包括:1）旁路偵聽(tīng)的工作模式和簡(jiǎn)潔的部署方式2）全方位的數(shù)據(jù)庫(kù)審計(jì)3）面向業(yè)務(wù)的安全審計(jì)4）業(yè)務(wù)操作實(shí)時(shí)監(jiān)控、過(guò)程回放5）快速響應(yīng)和跨設(shè)備協(xié)同防御6）事后分析、調(diào)查取證7）安全審計(jì)報(bào)表報(bào)告8）內(nèi)置防攻擊策略1.1旁路偵聽(tīng)的工作模式和簡(jiǎn)潔的部署方式SecFox-NBA （業(yè)務(wù)審計(jì)型）采用旁路偵聽(tīng)的方式進(jìn)行工作，對(duì)業(yè)務(wù)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行應(yīng)用 層協(xié)議和流量分析與審計(jì)，就像真實(shí)世界的攝像機(jī)。利用網(wǎng)御神州先進(jìn)的業(yè)務(wù)協(xié)議檢測(cè)技術(shù)（Busi ness Protocol In spection Tech no logy ）， SecFox-NBA （業(yè)務(wù)審計(jì)型

7、）能夠識(shí)別各類數(shù)據(jù)庫(kù)的訪問(wèn)協(xié)議、FTP協(xié)議、TELNET協(xié)議、VNC協(xié)議、文件共享協(xié)議，以及其它20多種應(yīng)用層協(xié)議，經(jīng)過(guò)審計(jì)系統(tǒng)的智能分析，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和操作違規(guī)行為。同時(shí)，借助網(wǎng)御神州先進(jìn)的業(yè)務(wù)流量監(jiān)測(cè)技術(shù)（Busi ness Flow In spection Tech no logy）， SecFox-NBA （業(yè)務(wù)審計(jì)型）識(shí)別網(wǎng)絡(luò)中各種應(yīng) 用層協(xié)議的流量，及時(shí)發(fā)現(xiàn)流量違規(guī)和異常。SecFox-NBA （業(yè)務(wù)審計(jì)型）部署十分方便，即插即用，不必對(duì)業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)做任何更改，對(duì) 業(yè)務(wù)網(wǎng)絡(luò)沒(méi)有任何影響。SecFox-NBA （業(yè)務(wù)審計(jì)型）可以同時(shí)審計(jì)多個(gè)不同的網(wǎng)段；多個(gè)系統(tǒng)可以級(jí)聯(lián)，實(shí)現(xiàn)分布式部署

8、，實(shí)現(xiàn)對(duì)大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)的審計(jì)。系統(tǒng)部署后立竿見(jiàn)影，當(dāng)即可自動(dòng)發(fā)現(xiàn)所偵聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)訪問(wèn)行為。1.2全方位的數(shù)據(jù)庫(kù)審計(jì)SecFox-NBA （業(yè)務(wù)審計(jì)型）產(chǎn)品能夠?qū)Χ喾N操作系統(tǒng)平臺(tái)（Windows、Linux、HP-UX、Solaris、AIX ）下各個(gè)版本的 SQL Server、Oracle、DB2、Sybase、MySQL 等數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。審計(jì)的行為 包括DDL、DML、DCL，以及其它操作等行為；審計(jì)的內(nèi)容可以細(xì)化到庫(kù)、表、記錄、用戶、存儲(chǔ)過(guò)程、函數(shù)、調(diào)用參數(shù)，等等。FTP/TELNETWEE應(yīng)用ODBC/JDBC OLEDB/ADO1聲戶琳強(qiáng)序FTPriELNET操作行為內(nèi)容和描述

9、用戶認(rèn)證:數(shù)據(jù)庫(kù)用戶的登錄、注銷庫(kù)表操作CREATE , ALTER，DROP等創(chuàng)建、修改或者刪除數(shù)據(jù)庫(kù)對(duì)象 （表、 索引、視圖、存儲(chǔ)過(guò)程、觸發(fā)器、域，等等）的SQL指令記錄操作SELECT，DELETE，UPDATE，INSERT等用于檢索或者修改數(shù) 據(jù)的SQL指令權(quán)限管理GRANT，REVOKE等定義數(shù)據(jù)庫(kù)用戶的權(quán)限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事務(wù)操作指令SecFox-NBA （業(yè)務(wù)審計(jì)型）能夠?qū)Ω鞣N訪問(wèn)數(shù)據(jù)庫(kù)的途徑進(jìn)行監(jiān)控和審計(jì)。如上圖Oracle數(shù)據(jù)庫(kù)審計(jì)所示，無(wú)論用戶通過(guò) Oracle自帶的企業(yè)管理控制臺(tái)、PL/SQL命令 行、SQL*PL

10、US 進(jìn)行訪問(wèn)，還是通過(guò)第三方的 Quest TOAD( Tool for Oracle Application Developers )工具訪問(wèn)，抑或通過(guò)中間件、瀏覽器、客戶端程序/代理方式訪問(wèn)，等等，SecFox-NBA （業(yè)務(wù)審計(jì)型）都能夠進(jìn)行審計(jì)。特別地，如果被審計(jì)的數(shù)據(jù)庫(kù)網(wǎng)絡(luò)數(shù)據(jù)被加密處理了，SecFox-NBA （業(yè)務(wù)審計(jì)型）為用戶提供了一個(gè)通用日志采集器模塊，借助該模塊，系統(tǒng)能夠自動(dòng)的采集被審計(jì)數(shù)據(jù)庫(kù)的日志信息，并 在審計(jì)中心對(duì)其進(jìn)行歸一化和關(guān)聯(lián)分析。此外，SecFox-NBA （業(yè)務(wù)審計(jì)型）還能夠監(jiān)測(cè)數(shù)據(jù)庫(kù)系統(tǒng)所在主機(jī)的網(wǎng)絡(luò)通訊，對(duì)該主機(jī)的FTP、文件共享等協(xié)議進(jìn)行審計(jì)，確保數(shù)

11、據(jù)庫(kù)系統(tǒng)上的數(shù)據(jù)安全。1.3面向業(yè)務(wù)的安全審計(jì)對(duì)于用戶而言，要保護(hù)核心數(shù)據(jù)，僅僅依靠對(duì)數(shù)據(jù)庫(kù)的審計(jì)是不夠的。內(nèi)部人員違規(guī)操作的 途徑有很多，有的是直接違規(guī)訪問(wèn)數(shù)據(jù)庫(kù)，有的是登錄到數(shù)據(jù)庫(kù)所在的主機(jī)服務(wù)器上，有的是透 過(guò)FTP去下載數(shù)據(jù)庫(kù)所在主機(jī)的重要數(shù)據(jù)文件，還有的是透過(guò)其他程序或者中間件系統(tǒng)訪問(wèn)數(shù)據(jù) 庫(kù)。所以，必須對(duì)數(shù)據(jù)庫(kù)、主機(jī)、 HTTP協(xié)議、TELNET、FTP協(xié)議，網(wǎng)絡(luò)流量、中間件系統(tǒng)都進(jìn) 行審計(jì)，才能更加全面的發(fā)現(xiàn)違規(guī)、防止信息泄漏。這就是面向業(yè)務(wù)的安全審計(jì)。業(yè)務(wù)系統(tǒng)是由包括主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等在內(nèi)的多種IT資源有機(jī)組合而成的。因此，面向業(yè)務(wù)的審計(jì)就要對(duì)構(gòu)成

12、業(yè)務(wù)系統(tǒng)的各個(gè)IT資源之間的訪問(wèn)行為以及業(yè)務(wù)系統(tǒng)之間的操作的審計(jì)，這樣才能真正反映出業(yè)務(wù)系統(tǒng)的安全狀態(tài)。網(wǎng)神SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)（業(yè)務(wù)審計(jì)型）就是這樣一個(gè)集成了數(shù)據(jù)庫(kù)審計(jì)、主機(jī)審計(jì)、應(yīng)用審計(jì)和網(wǎng)絡(luò)流量 審計(jì)的面向業(yè)務(wù)的綜合安全審計(jì)系統(tǒng)。1.3.1以業(yè)務(wù)系統(tǒng)的數(shù)據(jù)保護(hù)和操作合規(guī)為目標(biāo)SecFox-NBA （業(yè)務(wù)審計(jì)型）產(chǎn)品的核心目標(biāo)就是保障客戶業(yè)務(wù)信息系統(tǒng)網(wǎng)絡(luò)中數(shù)據(jù)安全和操 作合規(guī)，具體包括：1）數(shù)據(jù)訪問(wèn)審計(jì)：記錄所有對(duì)保護(hù)數(shù)據(jù)的訪問(wèn)信息，包括主機(jī)訪問(wèn)，文件操作，數(shù)據(jù)庫(kù)執(zhí) 行SQL語(yǔ)句或存儲(chǔ)過(guò)程等。系統(tǒng)審計(jì)所有用戶對(duì)關(guān)鍵數(shù)據(jù)的訪問(wèn)行為，防止外部黑客入 侵訪問(wèn)和內(nèi)部人員非法獲取敏感

13、信息。2）數(shù)據(jù)變更審計(jì)： 審計(jì)和查詢所有被保護(hù)數(shù)據(jù)的變更記錄，包括核心業(yè)務(wù)數(shù)據(jù)庫(kù)表結(jié)構(gòu)、 關(guān)鍵數(shù)據(jù)文件的修改操作，等等，防止外部和內(nèi)部人員非法篡改重要的業(yè)務(wù)數(shù)據(jù)。3）用戶操作審計(jì)：統(tǒng)計(jì)和查詢所有用戶的主機(jī)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)的登錄成功記錄和登錄 失敗嘗試記錄，記錄所有用戶的訪問(wèn)操作和用戶配置信息及其權(quán)限變更情況，可以用于 事故和故障的追蹤和診斷。4）違規(guī)訪問(wèn)行為審計(jì)：記錄和發(fā)現(xiàn)用戶違規(guī)訪問(wèn)。系統(tǒng)可以設(shè)定用戶黑白名單，以及定義復(fù)雜的合規(guī)規(guī)則（例如定義合法的訪問(wèn)時(shí)間段、合法的源IP地址庫(kù)、合法的用戶賬號(hào)庫(kù)），可以設(shè)置合理的審計(jì)策略進(jìn)行告警和阻斷。5）惡意攻擊審計(jì)： 記錄和發(fā)現(xiàn)利用主機(jī)，數(shù)據(jù)庫(kù)的漏洞對(duì)

14、資源的攻擊行為，例如主機(jī)掃描、 DoS/DDoS攻擊、ARP欺騙和攻擊等，并可以對(duì)攻擊行為進(jìn)行告警和阻斷。1.3.2以業(yè)務(wù)系統(tǒng)為審計(jì)對(duì)象SecFox-NBA （業(yè)務(wù)審計(jì)型）產(chǎn)品采用多種方式來(lái)更深入具體地分析業(yè)務(wù)系統(tǒng)：1）多業(yè)務(wù)網(wǎng)絡(luò)：根據(jù)實(shí)際網(wǎng)絡(luò)情況，系統(tǒng)管理員可以定義多個(gè)業(yè)務(wù)網(wǎng)絡(luò)。2） 業(yè)務(wù)網(wǎng)絡(luò)拓?fù)洌合到y(tǒng)能夠記錄客戶業(yè)務(wù)網(wǎng)絡(luò)中各種數(shù)據(jù)庫(kù)、主機(jī)、web應(yīng)用系統(tǒng)相互的關(guān)聯(lián)性，根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的變化可以快速查看業(yè)務(wù)網(wǎng)絡(luò)中各個(gè)設(shè)備和整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的事件 和告警信息。3）行為分析：通過(guò)可視化的行為分析，可以清晰地定位訪問(wèn)源、訪問(wèn)目標(biāo)服務(wù)器、應(yīng)用協(xié) 議及其操作內(nèi)容。4） 業(yè)務(wù)流量分析： 系統(tǒng)能夠展示出業(yè)務(wù)網(wǎng)絡(luò)中

15、各個(gè)節(jié)點(diǎn)（包括主機(jī)、無(wú)IP設(shè)備）在網(wǎng)絡(luò)中 的應(yīng)用層的流量分布情況，管理員可以根據(jù)業(yè)務(wù)網(wǎng)絡(luò)流量?jī)?yōu)化業(yè)務(wù)網(wǎng)絡(luò)。5） 三層架構(gòu)的業(yè)務(wù)審計(jì)：現(xiàn)行的很多業(yè)務(wù)系統(tǒng)都是基于客戶端/瀏覽器、應(yīng)用服務(wù)器和數(shù)據(jù) 庫(kù)的三層架構(gòu)。單純審計(jì)數(shù)據(jù)庫(kù)，可能獲取的用戶名稱和訪問(wèn)地址都是中間件的用戶和地址，難于定位訪問(wèn)源。采用基于業(yè)務(wù)的審計(jì)就可能化解這個(gè)問(wèn)題，系統(tǒng)可以將客戶端 訪問(wèn)的服務(wù)，中間件，數(shù)據(jù)庫(kù)建立一個(gè)審計(jì)的業(yè)務(wù)，利用訪問(wèn)時(shí)間作為關(guān)聯(lián)條件，將客 戶端訪問(wèn)和數(shù)據(jù)庫(kù)訪問(wèn)關(guān)聯(lián)，通過(guò)可視化的行為分析，定位訪問(wèn)源。1.3.3面向業(yè)務(wù)的審計(jì)策略網(wǎng)神SecFox-NBA （業(yè)務(wù)審計(jì)型）是一個(gè)策略驅(qū)動(dòng)的審計(jì)系統(tǒng)。借助網(wǎng)御神州獨(dú)有的面向

16、業(yè)務(wù)的審計(jì)策略（Bus in ess-orie nted Audit Policy，簡(jiǎn)稱BAP）技術(shù)，用戶可以在一個(gè)策略中對(duì)某業(yè)務(wù)所包含的主機(jī)，數(shù)據(jù)庫(kù)，主機(jī)進(jìn)行綜合設(shè)定，實(shí)現(xiàn)對(duì)該業(yè)務(wù)的精確審計(jì)，從而及時(shí)發(fā)現(xiàn)該業(yè)務(wù)的安 全隱患。例如，用戶下發(fā)一條審計(jì)策略就能夠?qū)徲?jì)出哪些非法主機(jī)在嘗試訪問(wèn)業(yè)務(wù)系統(tǒng)，哪些主 機(jī)在非法的時(shí)間段訪問(wèn)業(yè)務(wù)，哪些用戶在業(yè)務(wù)中執(zhí)行非法數(shù)據(jù)庫(kù)操作，評(píng)估業(yè)務(wù)中各個(gè)主機(jī)和數(shù) 據(jù)庫(kù)的訪問(wèn)量，通過(guò)關(guān)鍵字審計(jì)被保護(hù)業(yè)務(wù)系統(tǒng)中的重要數(shù)據(jù)和敏感數(shù)據(jù)，等等。用戶通過(guò)操作SecFox-NBA （業(yè)務(wù)審計(jì)型）的 web管理頁(yè)面能夠?qū)崟r(shí)地配置符合業(yè)務(wù)保護(hù)要 求的審計(jì)策略，無(wú)須重啟設(shè)備、中斷網(wǎng)絡(luò)會(huì)話采

17、集，策略下發(fā)成功后，立即生效。用戶在制定審計(jì)策略的時(shí)候可以按照審計(jì)要求隨意設(shè)置審計(jì)時(shí)間段。用戶可以按照業(yè)務(wù)要求設(shè)置一個(gè)或者多個(gè)保護(hù)對(duì)象；對(duì)符合業(yè)審計(jì)務(wù)策略要求的事件可以阻 斷和記錄。1.3.4二次審計(jì)與實(shí)時(shí)關(guān)聯(lián)分析傳統(tǒng)的單純數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品都只能做基于審計(jì)策略的分析，用戶在指定審計(jì)策略的時(shí)候，可以指定審計(jì)對(duì)象的五元組（源地址、時(shí)間、途徑、目的地址、操作），以及觸發(fā)策略后的響應(yīng)動(dòng)作。這種審計(jì)稱作“操作審計(jì)”（Record Audit），即審計(jì)用戶的違規(guī)數(shù)據(jù)庫(kù)操作。傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品會(huì)將所有符合審計(jì)策略的操作信息都記錄到自帶的數(shù)據(jù)庫(kù)系統(tǒng)中，供審計(jì)人員進(jìn)行查找。此時(shí)， 對(duì)于審計(jì)人員而言，操作審計(jì)就意

18、味著通過(guò)輸入基于SQL的查詢條件從大量的操作信息中去篩選出真正違規(guī)的信息。面對(duì)大量的操作記錄，審計(jì)員的工作無(wú)異于大海撈針，效率十分低下。SecFox-NBA （業(yè)務(wù)審計(jì)型）產(chǎn)品在“操作審計(jì)”的基礎(chǔ)上還提供了二次審計(jì)功能：將數(shù)據(jù)庫(kù)審計(jì)記錄與主機(jī)、服務(wù)和應(yīng)用的審計(jì)記錄整合到一起，通過(guò)網(wǎng)御神州獲得發(fā)明專利的實(shí)時(shí)關(guān)聯(lián)分 析引擎進(jìn)行跨事件關(guān)聯(lián)分析，進(jìn)一步幫助用戶進(jìn)行違規(guī)行為的定位。這種二次審計(jì)稱作“行為審 計(jì)”（Behavior Audit），即審計(jì)用戶的違規(guī)行為。通過(guò)關(guān)聯(lián)規(guī)則，系統(tǒng)能夠?qū)崟r(shí)、自動(dòng)地將違規(guī)行 為以告警的形式發(fā)送出來(lái)，主動(dòng)提醒審計(jì)人員，并能夠采取多種方式進(jìn)行自動(dòng)響應(yīng)。需要指出的是，二次關(guān)聯(lián)

19、審計(jì)是在內(nèi)存中進(jìn)行中，不依賴于數(shù)據(jù)庫(kù)存儲(chǔ)系統(tǒng)。數(shù)據(jù)抓包（幀聽(tīng)乘集）正是由于網(wǎng)御神州 SecFox-NBA （業(yè)務(wù)審計(jì)型）產(chǎn)品業(yè)界獨(dú)有的二次關(guān)聯(lián)分析技術(shù)，使得其真 正成為一塊面向業(yè)務(wù)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。因?yàn)?，只有通過(guò)關(guān)聯(lián)分析技術(shù)，才能夠?qū)⑴c業(yè)務(wù)相關(guān) 的數(shù)據(jù)庫(kù)操作事件、主機(jī)訪問(wèn)事件、中間件訪問(wèn)事件等有機(jī)地聯(lián)系起來(lái)。1.3.5可視化的業(yè)務(wù)審計(jì)SecFox-NBA （業(yè)務(wù)審計(jì)型）系統(tǒng)為用戶提供了簡(jiǎn)介易用的操作界面，使得普通管理員就能夠 對(duì)復(fù)雜的業(yè)務(wù)系統(tǒng)進(jìn)行審計(jì)。系統(tǒng)提供了多種可視化的審計(jì)手段，包括：1. 智能監(jiān)控頻道智能監(jiān)控頻道為用戶提供了一個(gè)從總體上把握企業(yè)和組織整體安全情況的界面。每個(gè)頻道包 括多

20、個(gè)監(jiān)控窗口，可以顯示多方面的安全信息，窗口可以縮放、可以移動(dòng)換位、可以更換布局、可以調(diào)臺(tái)，顯示管理員想看的內(nèi)容。SecFox-NBA （業(yè)務(wù)審計(jì)型）提供豐富的頻道切換器，用戶可以在不同的頻道間切換。同時(shí)，用戶也可以自定義頻道，包括自定義布局和展示內(nèi)容。2. 業(yè)務(wù)拓?fù)鋱D通過(guò)網(wǎng)御神州獨(dú)有的業(yè)務(wù)拓?fù)涔δ?，可將業(yè)務(wù)系統(tǒng)中相關(guān)的數(shù)據(jù)庫(kù)、主機(jī)、服務(wù)等對(duì)象以拓?fù)鋱D的方式展現(xiàn)出來(lái)。通過(guò)業(yè)務(wù)拓?fù)?，用戶能夠直觀地看到該業(yè)務(wù)系統(tǒng)的組成，并方便地查看業(yè)務(wù)系統(tǒng)的告警信息和流量信息。SecFaxNBA3. 行為分析圖用戶可以對(duì)一段歷史事件進(jìn)行事件行為分析（Eve nt Behavior An alysis，簡(jiǎn)稱EBA ）

21、。EBA將一段時(shí)間內(nèi)的事件按照不同的屬性進(jìn)行排列和連接，形象地展示在坐標(biāo)軸上，讓管理員一目了然的看到事件所代表的用戶（IP）行為。兮 SccFas-NBAu+ zwe業(yè)_杯 綁JB；+憚J：K 出空空* + > #*i.t ：-»+ as >：?GM折:出勺畳HI HlctitqSzCWOX_1.4業(yè)務(wù)操作實(shí)時(shí)監(jiān)控、過(guò)程回放SecFox-NBA （業(yè)務(wù)審計(jì)型）對(duì)訪問(wèn)數(shù)據(jù)庫(kù)、FTP、網(wǎng)絡(luò)主機(jī)的各種操作進(jìn)行實(shí)時(shí)、詳細(xì)的監(jiān)控和審計(jì)，包括各種登錄命令、數(shù)據(jù)操作指令、網(wǎng)絡(luò)操作指令，并審計(jì)操作結(jié)果，支持過(guò)程回放， 真實(shí)地展現(xiàn)用戶的操作。傳統(tǒng)的數(shù)據(jù)庫(kù)或者網(wǎng)絡(luò)審計(jì)系統(tǒng)都采用基于指令的操作

22、分析（Comma nd-based Record Analysis）技術(shù)，可以顯示出所有與數(shù)據(jù)庫(kù)主機(jī)相關(guān)的操作，但是這些操作都是一條條孤立的指令，無(wú)法體現(xiàn)這些操作之間的關(guān)聯(lián)，例如是否是同一用戶的操作、以及操作的時(shí)間先后，審計(jì)員被迫 從大量的操作記錄中自行尋找蛛絲馬跡，效率低下。借助網(wǎng)御神州獨(dú)有的基于會(huì)話的行為分析（Session-based Behavior Analysis ）技術(shù)，審計(jì)員可以對(duì)當(dāng)前網(wǎng)絡(luò)中所有訪問(wèn)者進(jìn)行基于時(shí)間的審 查，了解每個(gè)訪問(wèn)者任意一段時(shí)間內(nèi)先后進(jìn)行了什么操作，并支持訪問(wèn)過(guò)程回放。SecFox-NBA （業(yè)務(wù)審計(jì)型）真正實(shí)現(xiàn)了對(duì)“誰(shuí)、什么時(shí)間段內(nèi)、對(duì)什么（數(shù)據(jù)）、進(jìn)行了

23、哪些操作、結(jié)果如何” 的全程審計(jì)。1.5快速響應(yīng)和跨設(shè)備協(xié)同防御SecFox-NBA （業(yè)務(wù)審計(jì)型）在識(shí)別出安全事故后，能夠自動(dòng)或者用戶手工的對(duì)威脅進(jìn)行響 應(yīng)，采取安全對(duì)策，從而形成安全審計(jì)的閉環(huán)。SecFox-NBA （業(yè)務(wù)審計(jì)型）能夠?qū)I(yè)務(wù)網(wǎng)中所有IP的流量進(jìn)行分析，因而能夠更為精確地定位安全威脅，并對(duì)符合策略的告警事件進(jìn)行阻斷，實(shí)時(shí)自動(dòng)阻止可疑行為。在發(fā)生告警后，SecFox-NBA （業(yè)務(wù)審計(jì)型）可以通過(guò)電子郵件、SNMP Trap等方式對(duì)外發(fā)出 通告，能夠執(zhí)行預(yù)定義命令行程序，并將事件屬性作為參數(shù)傳遞給該命令行程序。a «V > UJMI > iMNW:'

24、; JflPJI»U Ata jte# its ft* 綁 3ktf1KMHK；S 1腎町在尊冃上呵幽 Q訂,翻-HI怎13曹齋辛丹一* HVKJbL StiMI 錚渥鞅誌n aiKsWTr O *aaa爲(wèi)主審 Hits 樂(lè)計(jì)=.W 邑氏JlHt 砂甲 雖擇<>SECWOSSecFox-NBA （業(yè)務(wù)審計(jì)型）可通過(guò)與網(wǎng)絡(luò)設(shè)備或安全設(shè)備共同協(xié)作來(lái)關(guān)閉威脅通信，以阻止 正在進(jìn)行的攻擊。SecFox-NBA （業(yè)務(wù)審計(jì)型）可以與眾多第三方網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行聯(lián)動(dòng)。例如，在發(fā)現(xiàn)攻擊后，阻斷網(wǎng)絡(luò)交換機(jī)的端口，或者更改防火墻和入侵檢測(cè)系統(tǒng)的安全規(guī)則，阻 止攻擊的擴(kuò)散和惡化。SecF

25、ox-NBA （業(yè)務(wù)審計(jì)型）支持與市場(chǎng)上大部分安全設(shè)備和網(wǎng)絡(luò)設(shè)備之間 的策略聯(lián)動(dòng)。此外，通過(guò)SecFox-NBA （業(yè)務(wù)審計(jì)型）與網(wǎng)御神州其他 SecFox安全管理產(chǎn)品的綜合使用, 可以實(shí)現(xiàn)完整的從安全風(fēng)險(xiǎn)監(jiān)控、分析到?jīng)Q策的安全管理流程的閉環(huán)。1.6事后分析、調(diào)查取證SecFox-NBA （業(yè)務(wù)審計(jì)型）可以將采集到的所有數(shù)據(jù)包和告警信息統(tǒng)一存儲(chǔ)起來(lái)，建立一個(gè) 企業(yè)和組織的集中事件存儲(chǔ)系統(tǒng)，實(shí)現(xiàn)了國(guó)家標(biāo)準(zhǔn)和法律法規(guī)中對(duì)于事件存儲(chǔ)的強(qiáng)制性要求，為 日后出現(xiàn)安全事故的時(shí)候增加了一個(gè)追查取證的信息來(lái)源和依據(jù)。SecFox-NBA （業(yè)務(wù)審計(jì)型）具有海量事件處理和存儲(chǔ)的能力。單個(gè)SecFox-NBA （

26、業(yè)務(wù)審計(jì)型）系統(tǒng)能夠以每秒 2000個(gè)事務(wù)事務(wù)的定義：一個(gè)事務(wù)是指一次針對(duì)業(yè)務(wù)系統(tǒng)的FTP指令操作，一次TELNET下的命令行語(yǔ)句的執(zhí)行操作，或者一次SQL語(yǔ)句操作。SecFox-NBA （業(yè)務(wù)審計(jì)型）對(duì)每個(gè)事務(wù)記錄一條事件（ Event）。到6000個(gè)事務(wù)的規(guī)模接收數(shù)據(jù)包，能夠在線存儲(chǔ)10億到40億條事件記錄。加上系統(tǒng)的數(shù)據(jù)歸檔與離線存儲(chǔ)功能，SecFox-NBA （業(yè)務(wù)審計(jì)型）能夠存儲(chǔ)的數(shù)據(jù)量大小僅取決于服務(wù)器磁盤存儲(chǔ)空間的大小。SecFox-NBA （業(yè)務(wù)審計(jì)型）具有極強(qiáng)的存儲(chǔ)擴(kuò)展能力，產(chǎn)品自帶500GB2TB的存儲(chǔ)空間，用戶亦可以在后期通過(guò)熱插入硬盤的方式進(jìn)行容量擴(kuò)展，或者直接外接存儲(chǔ)

27、設(shè)備。SecFox-NBA （業(yè)務(wù)審計(jì)型）在進(jìn)行數(shù)據(jù)管理的時(shí)候，對(duì)數(shù)據(jù)存儲(chǔ)算法進(jìn)行了充分優(yōu)化，使得 使用小型數(shù)據(jù)庫(kù)的情況下就達(dá)到了上述性能。此外，用戶在使用本系統(tǒng)的時(shí)候，無(wú)需購(gòu)買額外的數(shù)據(jù)庫(kù)管理系統(tǒng)和許可，也不必花費(fèi)專門的精力去維護(hù)數(shù)據(jù)庫(kù)，這些都大大降低了用戶的總擁有成本。SecFox-NBA （業(yè)務(wù)審計(jì)型）提供多種事件存儲(chǔ)策略，能夠方便地進(jìn)行事件備份和恢復(fù)。SecFox-NBA （業(yè)務(wù)審計(jì)型）為管理員提供了強(qiáng)大的事后分析工具，使得管理員能夠最大限度 地對(duì)這些事件進(jìn)行深度挖掘，尋找潛在的安全威脅。事后分析和實(shí)時(shí)分析相對(duì)。實(shí)時(shí)分析強(qiáng)調(diào)安全事件的事中處理，針對(duì)較短的一段時(shí)間內(nèi)的事 件進(jìn)行審計(jì)；而事

28、后分析則注重對(duì)大規(guī)模歷史事件的審計(jì)。一方面，事后分析可以幫助安全管理 員找到造成違規(guī)操作，獲得檢測(cè)和預(yù)防同類事故再犯的手段和措施，作為下一輪安全防御的預(yù)警； 另一方面，通過(guò)對(duì)海量事件的數(shù)據(jù)挖掘，尤其是基于較長(zhǎng)時(shí)間段的數(shù)據(jù)分析，可以幫助管理員發(fā) 現(xiàn)IT計(jì)算環(huán)境中存在的安全隱患。此外，SecFox-NBA （業(yè)務(wù)審計(jì)型）的事后分析功能可以協(xié)助管理員進(jìn)行計(jì)算機(jī)取證分析，收 集外部入侵或者內(nèi)部違規(guī)的證據(jù)。1.7安全審計(jì)報(bào)表報(bào)告SecFox- NBA （業(yè)務(wù)審計(jì)型）具有強(qiáng)大的報(bào)表分析功能。系統(tǒng)的報(bào)表分析引擎能從多種角度多種維度對(duì)數(shù)據(jù)進(jìn)行分析；能提供實(shí)時(shí)分析、歷史分析等分析手段；能對(duì)比統(tǒng)計(jì)的結(jié)果，分析數(shù)據(jù)

29、 的發(fā)展趨勢(shì)；能將結(jié)果以圖形方式 （柱圖、餅圖、曲線圖等）顯示、打??；報(bào)告可用PDF、HTML、 Excel或RTF等格式存檔。SecFox- NBA （業(yè)務(wù)審計(jì)型）的報(bào)表報(bào)告生成系統(tǒng)靈活易用。它提供大量預(yù)定義的報(bào)表模板，用戶可使用預(yù)定義的報(bào)表模板生成報(bào)表。SecFox- NBA （業(yè)務(wù)審計(jì)型）具備強(qiáng)大的自定義報(bào)表功能。用戶可以通過(guò)報(bào)表編輯器，只需4步，即可方便地自己定義各種復(fù)雜的報(bào)表，包括報(bào)表的內(nèi)容、布局，以及運(yùn)行調(diào)度設(shè)置，滿足企 業(yè)和組織自身不斷業(yè)務(wù)發(fā)展的需要。SecFox- NBA （業(yè)務(wù)審計(jì)型）允許用戶對(duì)報(bào)表生成進(jìn)行日程規(guī)劃，定期自動(dòng)生成審計(jì)報(bào)表，提 供打印、導(dǎo)出以及郵件送達(dá)等服務(wù)，并

30、根據(jù)計(jì)劃歸檔報(bào)告，歸檔之后發(fā)送郵件通知。呂L3| ”暫I創(chuàng)1仿問(wèn)蟲(chóng)據(jù)庫(kù)出敷場(chǎng)爭(zhēng)的1葉用戶為m: zwm審月s日工曲：閒 ssftp： jrfhwiH 4 b H 口皀J | 卯 |；題匸更tflAh-在!（工吉逢叭富跑冊(cè)kli7；活円竝冊(cè)企|愛(ài)百童RT lflF77 »FH#:lf«r；.asfcfl戶仃.卻!4張事!«FTFKIE iraJC- v/slam Bi haSecFox-NBA （業(yè)務(wù)審計(jì)型）支持審計(jì)主機(jī)用戶和數(shù)據(jù)庫(kù)用戶的行為趨勢(shì)報(bào)表，可以生成指定 時(shí)間段用戶行為趨勢(shì)報(bào)表，包含用戶的操作行為曲線，可以審計(jì)和分析用戶的行為特點(diǎn)，為決策 分析和調(diào)查取證提

31、供數(shù)據(jù)支持。1.8內(nèi)置防攻擊策略SecFox-NBA （業(yè)務(wù)審計(jì)型）內(nèi)置抗攻擊策略，在識(shí)別出對(duì)業(yè)務(wù)網(wǎng)中的數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行攻擊 時(shí)記錄相關(guān)操作。用戶可以手動(dòng)設(shè)置報(bào)警，以便及時(shí)進(jìn)行相應(yīng)。典型的內(nèi)置防攻擊策略包括：SQL insert注入攻擊SQL exec注入攻擊SQL update注入攻擊IBM DB2數(shù)據(jù)庫(kù)xmlquery緩沖區(qū)溢出嘗試Oracle安全備份命令 exec_qr注入攻擊Oracle BEA WebLogic Apache 連接器HTTP版本拒絕服務(wù)攻擊Oracle安全備份 POST exec_qr注入攻擊Oracle安全備份msgid 0x901用戶名字段緩沖區(qū)溢出嘗試2產(chǎn)品簡(jiǎn)介

32、2.1產(chǎn)品組成SecFox-NBA （業(yè)務(wù)審計(jì)型）產(chǎn)品僅包括硬件形態(tài)的審計(jì)器和可選的日志采集器兩個(gè)部分。產(chǎn) 品采用B/S架構(gòu)，管理員無(wú)需安裝任何客戶端軟件，通過(guò)IE瀏覽器登錄審計(jì)器即可進(jìn)行各種操作。管理員也可以將分布在網(wǎng)絡(luò)上的多個(gè)審計(jì)器的信息統(tǒng)一發(fā)送到SecFox安全管理中心，通過(guò) IE瀏覽器登錄SecFox安全管理中心進(jìn)行集中審計(jì)。SecFox-NBA （業(yè)務(wù)審計(jì)型）審計(jì)器通用日志采集器（可選）通用日志采集器運(yùn)行在安裝了Windows系列操作系統(tǒng)的主機(jī)和服務(wù)器上，能夠主動(dòng)的收集數(shù)據(jù)庫(kù)管理系統(tǒng)產(chǎn)生的日志和告警信息，例如Oracle、SQL Server等數(shù)據(jù)庫(kù)日志，等等。Web控制臺(tái)平臺(tái)支持的

33、操作系統(tǒng)系統(tǒng)需求WindowsMicrosoft Windows 2000 系列Microsoft Windows 2003 系列Microsoft Windows XP 系列-最低 Pentium III 1.1GHz CPU-至少512M內(nèi)存-16位真彩，建議分辨率為1024 X 768以上-Internet Explorer 7.02.2功能列表功能點(diǎn)說(shuō)明管理范圍支持對(duì)包括 MSSQLServer、Oracle、DB2 Sybase、MySQl在內(nèi)的多種數(shù)據(jù)庫(kù)， 包括 Windows Unix、Linux、AIX在內(nèi)的各種操作系統(tǒng)，包括WebShpere WebLogic在內(nèi)的中間件，以

34、及VNC FTP、HTTP SMTP POP3 NETBIOS TELNET Web Service 等各種網(wǎng)絡(luò)通訊和數(shù)據(jù)訪 問(wèn)協(xié)議進(jìn)行審計(jì)數(shù)據(jù)庫(kù)審計(jì)可審計(jì)數(shù)據(jù)庫(kù)的DDL，DML DCL和其它操作等行為。審計(jì)內(nèi)容可以細(xì)化到庫(kù)、表、記錄、 用戶、存儲(chǔ)過(guò)程、函數(shù)主機(jī)審計(jì)可審計(jì)VNG Telnet、網(wǎng)上鄰居和定制的主機(jī)協(xié)議的登錄、注銷和一般操作等行為FTP審計(jì)可審計(jì)FTP協(xié)議的登錄、注銷和一般操作等行為，可以審計(jì)FTP操作的文件/目錄名稱HTTP審計(jì)可審計(jì)HTTP協(xié)議的訪問(wèn)行為，并可以對(duì)URL進(jìn)行基于正則表達(dá)式的關(guān)鍵字匹配審計(jì)Email審計(jì)可審計(jì)SMTP/POP協(xié)、議的訪問(wèn)行為，包括發(fā)件人、收件人、

35、郵件主題等內(nèi)容流量審計(jì)審計(jì)從三層到七層協(xié)議的流量，能夠?qū)徲?jì)20種以上的應(yīng)用層協(xié)議，包括IM、P2P、HTTPPOP3 SMTP DNS等。流量審計(jì)的內(nèi)容包括數(shù)據(jù)包分布審計(jì)、流量分布審計(jì)、應(yīng)用協(xié)議流量審計(jì)、端口流量審計(jì)，用戶可以進(jìn)行協(xié)議分析、會(huì)話分析、節(jié)點(diǎn)分析業(yè)務(wù)審計(jì)管理員可以根據(jù)實(shí)際網(wǎng)絡(luò)情況定義多個(gè)業(yè)務(wù)，并建立可視化的業(yè)務(wù)拓?fù)湟晥D，快速查看業(yè) 務(wù)網(wǎng)絡(luò)中各個(gè)設(shè)備和整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的事件和告警信息。用戶對(duì)業(yè)務(wù)拓?fù)溥M(jìn)行編輯、拖放、 連接等操作實(shí)時(shí)統(tǒng)計(jì)可以通過(guò)實(shí)時(shí)統(tǒng)計(jì)功能清楚看到業(yè)務(wù)網(wǎng)內(nèi)部告警事件、活動(dòng)會(huì)話、活動(dòng)會(huì)話的事件列表、 被保護(hù)對(duì)象的訪問(wèn)情況，統(tǒng)計(jì)最近60分鐘的數(shù)據(jù)事件查詢事件查詢?yōu)橛脩籼峁┝藲v史

36、事件查詢的手段，用戶可以指定復(fù)雜的查詢條件，快速檢索到 需要的事件信息，從而協(xié)助管理員進(jìn)行計(jì)算機(jī)取證分析，收集外部訪問(wèn)或者內(nèi)部違規(guī)的證 據(jù)趨勢(shì)分析能夠進(jìn)行事件訪問(wèn)的趨勢(shì)分析。通過(guò)統(tǒng)計(jì)分析，對(duì)最近一段時(shí)間的事件進(jìn)行統(tǒng)計(jì)分析，并 描繪趨勢(shì)曲線、行為分析可視化圖形審計(jì)策略管理審計(jì)策略是系統(tǒng)的核心，它為系統(tǒng)的數(shù)據(jù)采集和分析引擎提供輸入。系統(tǒng)對(duì)通過(guò)引擎的數(shù) 據(jù)包根據(jù)策略進(jìn)行過(guò)濾，將符合策略的數(shù)據(jù)包供審計(jì)功能使用。用戶可以自由定義審計(jì)策 略，系統(tǒng)提供便捷的添加、修改、刪除、導(dǎo)入、導(dǎo)岀、啟用和禁用等策略管理功能告警與響應(yīng)管理告警規(guī)則包括系統(tǒng)預(yù)定義規(guī)則和用戶自定義規(guī)則兩大類，用戶在制定規(guī)則的時(shí)候，既可以 設(shè)定

37、審計(jì)的觸發(fā)條件，也可以設(shè)定觸發(fā)審計(jì)后的自動(dòng)響應(yīng)動(dòng)作，告警后可進(jìn)行發(fā)送郵件、 SNMP Trap執(zhí)行程序腳本、設(shè)備聯(lián)動(dòng)等響應(yīng)動(dòng)作。系統(tǒng)可以直接阻斷可疑的網(wǎng)絡(luò)通訊審計(jì)報(bào)表內(nèi)置大量報(bào)表報(bào)告，包括數(shù)據(jù)庫(kù)報(bào)表、FTP報(bào)表、TELNET報(bào)表、主機(jī)報(bào)表、綜合報(bào)表、網(wǎng)絡(luò)流量報(bào)表，等等。生成的報(bào)表圖文并茂，報(bào)表可以按組管理，可以對(duì)報(bào)表生成進(jìn)行日程 規(guī)劃，提供打印、導(dǎo)岀以及郵件送達(dá)等服務(wù)，并根據(jù)計(jì)劃歸檔報(bào)告，歸檔之后發(fā)送郵件通 知。報(bào)告可用PDF HTML Excel、CSV或RTF等格式存檔。用戶可通過(guò)系統(tǒng)內(nèi)置的報(bào)表編 輯器自定義各類報(bào)表資源定義通過(guò)資源定義，用戶可以建立安全領(lǐng)域的知識(shí)庫(kù)，并建立業(yè)務(wù)相關(guān)的集合。

38、例如定義辦公 IP地址組、上班時(shí)間，等等。用戶可以在告警規(guī)則中任意引用這些資源，使得其各種設(shè)置 操作真正基于業(yè)務(wù)和領(lǐng)域知識(shí)，而不是基礎(chǔ)的端口、 IP、時(shí)間等原始信息權(quán)限管理采用基于角色的權(quán)限管理機(jī)制，通過(guò)角色定義支持多用戶訪問(wèn)。角色能夠從設(shè)備和功能兩 個(gè)維度進(jìn)行定義，從而達(dá)到對(duì)每一臺(tái)設(shè)備、每一項(xiàng)功能進(jìn)行操作的控制粒度系統(tǒng)配置系統(tǒng)管理員可以通過(guò)系統(tǒng)管理中的系統(tǒng)配置對(duì)系統(tǒng)自身進(jìn)行各種參數(shù)配置，包括數(shù)據(jù)的備份與恢復(fù)、系統(tǒng)自身運(yùn)行狀態(tài)的監(jiān)控、流量分析配置、SYSLOG艮務(wù)器配置、時(shí)間同步、系統(tǒng)升級(jí)，等等其他用戶使用模式無(wú)需安裝客戶端，使用IE瀏覽器訪問(wèn)管理中心部署方式可以獨(dú)立部署，也可以級(jí)聯(lián)部署、分布

39、部署，還可以與LASUMS集 成2.3性能指標(biāo)WEB控制臺(tái)登錄到審計(jì)器的用戶最大并發(fā)連接數(shù)：50個(gè)旁路監(jiān)聽(tīng)方式，事務(wù)處理性能根據(jù)硬件配置從2000TPS到6000TPS事務(wù)存儲(chǔ)量根據(jù)硬件配置從10億條到40億條2.4部署方式2.4.1 單一部署（Stand-Alone）SecFox-NBA （業(yè)務(wù)審計(jì)型）可應(yīng)用于大中小各類型企業(yè)，用于保護(hù)業(yè)務(wù)網(wǎng)中的數(shù)據(jù)庫(kù)和網(wǎng)絡(luò) 主機(jī)，一般部署于被保護(hù)數(shù)據(jù)源的附近，通過(guò)端口鏡像或者TAP方式連接到網(wǎng)絡(luò)中。典型地，SecFox-NBA （業(yè)務(wù)審計(jì)型）審計(jì)器放置在業(yè)務(wù)服務(wù)器集中的交換機(jī)上，對(duì)交換機(jī)的 端口做鏡像，接到 SecFox-NBA （業(yè)務(wù)審計(jì)型）審計(jì)器中。管

40、理員通過(guò)瀏覽器可以從任何位置登錄 SecFox-NBA （業(yè)務(wù)審計(jì)型）審計(jì)器，進(jìn)行各項(xiàng)操作，如下圖所示：用戶部署SecFox-NBA （業(yè)務(wù)審計(jì)型）系統(tǒng)無(wú)需對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)做任何改動(dòng)，用戶也不會(huì)有任 何察覺(jué)。而且 SecFox-NBA （業(yè)務(wù)審計(jì)型）設(shè)備自身的可用性也不會(huì)對(duì)整個(gè)網(wǎng)絡(luò)可用性造成任何影 響。特別地，借助 SecFox-NBA （業(yè)務(wù)審計(jì)型）產(chǎn)品獨(dú)有的多端口偵聽(tīng)（Multi-Port Detection ）技術(shù)，系統(tǒng)支持同時(shí)偵聽(tīng)多個(gè)不同網(wǎng)段的網(wǎng)絡(luò)通訊。這種部署方式適用于對(duì)分散在不同交換機(jī)上的多個(gè)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行審計(jì)，或者是對(duì)在物理或邏輯上隔離的多個(gè)網(wǎng)絡(luò)進(jìn)行審計(jì)。SecFoi-NBA f業(yè)

41、務(wù)審計(jì)型扁事0器:翡:器器需嚴(yán)器需抄2.4.2 主從部署（Master-Slave）對(duì)于多審計(jì)區(qū)域的、大型的、全國(guó)性的、分級(jí)的網(wǎng)絡(luò)環(huán)境，SecFox-NBA （業(yè)務(wù)審計(jì)型）可以進(jìn)行級(jí)聯(lián)部署，多個(gè)SecFox-NBA （業(yè)務(wù)審計(jì)型）管理分支可以統(tǒng)一接入到一個(gè)主SecFox-NBA （業(yè)務(wù)審計(jì)型）管理服務(wù)器，進(jìn)行全局的審計(jì)。2.5系統(tǒng)自身安全性保證作為一款安全管理類產(chǎn)品，SecFox-NBA產(chǎn)品自身具備完善的安全性保證，包括：產(chǎn)品內(nèi)部的各個(gè)組件之間通信都支持加密傳輸，例如瀏覽器訪問(wèn)管理中心支持HTTPS、通用日志采集器（GLC ）與審計(jì)器之間采用加密壓縮協(xié)議進(jìn)行傳輸、多級(jí)管理中心之間 采用加密協(xié)議

42、進(jìn)行傳輸，等等，保證網(wǎng)絡(luò)通訊的機(jī)密性。產(chǎn)品對(duì)采集到的信息都進(jìn)行了加密存儲(chǔ)，保證數(shù)據(jù)的完整性和機(jī)密性。產(chǎn)品具備自身運(yùn)行健康狀態(tài)監(jiān)視功能，存儲(chǔ)的數(shù)據(jù)支持自動(dòng)備份和恢復(fù)，保證系統(tǒng)的可 用性。產(chǎn)品底層的操作系統(tǒng)是安全操作系統(tǒng)。3產(chǎn)品價(jià)值和優(yōu)勢(shì)3.1產(chǎn)品價(jià)值對(duì)于業(yè)務(wù)系統(tǒng)的管理審計(jì)人員和高層管理者而言，SecFox-NBA （業(yè)務(wù)審計(jì)型）具有以下價(jià)值:保障核心業(yè)務(wù)正常運(yùn)行審計(jì)核心業(yè)務(wù)的網(wǎng)絡(luò)訪問(wèn)行為，及時(shí)發(fā)現(xiàn)誤操作、數(shù)據(jù)篡改和信息泄漏協(xié)助企業(yè)進(jìn)行合規(guī)審計(jì)，符合國(guó)家風(fēng)險(xiǎn)、內(nèi)控指引的要求3.2產(chǎn)品優(yōu)勢(shì)SecFox-NBA （業(yè)務(wù)審計(jì)型）作為一款網(wǎng)絡(luò)安全審計(jì)產(chǎn)品，與同類產(chǎn)品相比具有很強(qiáng)的優(yōu)勢(shì)：1. 真正以業(yè)務(wù)審計(jì)

43、為核心的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，超越了傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品SecFox-NBA （業(yè)務(wù)審計(jì)型）是國(guó)內(nèi)第一款真正以業(yè)務(wù)為審計(jì)對(duì)象的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。該產(chǎn) 品集成了數(shù)據(jù)庫(kù)審計(jì)、主機(jī)審計(jì)、應(yīng)用審計(jì)和流量審計(jì)等功能，并且通過(guò)形象直觀的業(yè)務(wù)視圖將 這些原本孤立的審計(jì)功能有機(jī)地融合到一起，借助業(yè)務(wù)審計(jì)策略和關(guān)聯(lián)分析引擎真正實(shí)現(xiàn)對(duì)各種 業(yè)務(wù)訪問(wèn)行為的綜合性審計(jì)。2. 部署方便、即插即用、維護(hù)簡(jiǎn)單、操作簡(jiǎn)潔SecFox-NBA （業(yè)務(wù)審計(jì)型）部署十分方便，不必對(duì)業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)做任何更改，對(duì)業(yè)務(wù)網(wǎng)絡(luò)沒(méi) 有任何影響。SecFox-NBA （業(yè)務(wù)審計(jì)型）可以同時(shí)審計(jì)多個(gè)不同的網(wǎng)段；多個(gè)系統(tǒng)可以級(jí)聯(lián)，實(shí) 現(xiàn)分布式部署，實(shí)現(xiàn)對(duì)

44、大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)的審計(jì)。系統(tǒng)即插即用，安裝完畢后運(yùn)行即可自動(dòng)發(fā)現(xiàn)所 偵聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)訪問(wèn)行為。3. 獨(dú)特的二次審計(jì)和關(guān)聯(lián)分析功能，使得審計(jì)效果更佳SecFox-NBA （業(yè)務(wù)審計(jì)型）產(chǎn)品在傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的操作審計(jì)功能的基礎(chǔ)上還提供了二 次行為審計(jì)功能：將數(shù)據(jù)庫(kù)審計(jì)記錄與主機(jī)、服務(wù)和應(yīng)用的審計(jì)記錄整合到一起，通過(guò)實(shí)時(shí)關(guān)聯(lián) 分析引擎進(jìn)行跨事件關(guān)聯(lián)分析，進(jìn)一步幫助用戶進(jìn)行違規(guī)行為的定位。通過(guò)關(guān)聯(lián)規(guī)則，系統(tǒng)能夠 實(shí)時(shí)、自動(dòng)地將違規(guī)行為以告警的形式發(fā)送出來(lái)，主動(dòng)提醒審計(jì)人員，并能夠采取多種方式進(jìn)行 自動(dòng)響應(yīng)。4關(guān)于網(wǎng)御神州網(wǎng)御神州安全管理團(tuán)隊(duì)根據(jù)長(zhǎng)期以來(lái)在安全管理領(lǐng)域的深入研究，結(jié)合來(lái)自客戶的需求與

45、市場(chǎng)的現(xiàn)狀，提出了具有完全自主知識(shí)產(chǎn)權(quán)的網(wǎng)神SecFox安全管理產(chǎn)品理念，尤其強(qiáng)調(diào)網(wǎng)絡(luò)管理、安全管理與運(yùn)維管理的一體化，為政府、軍隊(duì)、公安、稅務(wù)、電力、保險(xiǎn)、電信、金融、交通、 制造等各個(gè)領(lǐng)域的客戶提供全面的安全運(yùn)營(yíng)保障平臺(tái)。網(wǎng)御神州建立了專門的安全管理研發(fā)和實(shí)施隊(duì)伍一一SOC事業(yè)部，在國(guó)內(nèi)市場(chǎng)突飛猛進(jìn)， 取得了令人矚目的市場(chǎng)成就。在CCID2008年和2009年中國(guó)信息安全產(chǎn)品市場(chǎng)研究年度報(bào)告中網(wǎng)御神州連續(xù)兩年位居安全管理(SOC市場(chǎng)第一名，成為了中國(guó)安全管理市場(chǎng)的領(lǐng)導(dǎo)廠商之一。產(chǎn)品參數(shù)型號(hào)性能指標(biāo)（事件處理數(shù)）外觀SexFox-NBA（ 業(yè)務(wù)審計(jì) 型）G3-FGW4000事務(wù)數(shù)/秒，內(nèi)置1.5 T 硬盤，支持 RAID5，支持外 接存儲(chǔ)。2U 標(biāo)準(zhǔn)機(jī)型，4 個(gè)10/100/1000BASE-T 接口，雙電源主要功能功能點(diǎn)說(shuō)明管理范圍支持對(duì)包括 MSSQLServer、Oracle、DB2 Sybase、MySQL在 內(nèi)的多種數(shù)據(jù)庫(kù)， 包括 Windows Unix、Linux、AIX在內(nèi)的各種操作系統(tǒng)，包括WebShpere WebLogic在內(nèi)的中