數(shù)據(jù)庫審計(jì)系統(tǒng)_技術(shù)白皮書V10

1、此處是Logo數(shù)據(jù)庫審計(jì)系統(tǒng)技術(shù)白皮書地址：電話：傳真：郵編：網(wǎng)站：版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬北京所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)北京的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何內(nèi)容。版本變更記錄時(shí)間版本說明修改人2016.04.05V1.0初建適用性聲明文檔用于撰寫XX公司產(chǎn)品介紹、項(xiàng)目方案、解決方案、商業(yè)計(jì)劃書等。目 錄一.產(chǎn)品概述1二.應(yīng)用背景12.1現(xiàn)狀與問題12.1.1現(xiàn)狀12.1.2問題22.2需求分析22.2.1政策需求信息系統(tǒng)安全等級(jí)保護(hù)基本要求商業(yè)銀

2、行信息科技風(fēng)險(xiǎn)管理指引32.2.2技術(shù)需求42.2.3管理需求42.2.4性能需求42.2.5環(huán)境與兼容性需求42.2.6需求匯總5三.產(chǎn)品介紹53.1目標(biāo)53.2產(chǎn)品功能63.2.1數(shù)據(jù)庫訪問行為記錄63.2.2違規(guī)操作告警響應(yīng)63.2.3集中存儲(chǔ)訪問記錄63.2.4訪問記錄查詢63.2.5數(shù)據(jù)庫安全審計(jì)報(bào)表73.3產(chǎn)品部署73.3.1旁路部署73.3.2分布式部署83.4產(chǎn)品特性93.4.1安全便捷的部署方式93.4.2日志檢索能力93.4.3靈活的日志查詢條件103.4.4靈活的數(shù)據(jù)庫審計(jì)配置策略103.4.5數(shù)據(jù)庫入侵檢測能力103.4.6符合審計(jì)需求設(shè)計(jì)11四.用戶收益124.1對企

3、業(yè)帶來的價(jià)值124.2全生命周期日志管理124.3日常安全運(yùn)維工作的有力工具13數(shù)據(jù)庫審計(jì)系統(tǒng)-技術(shù)白皮書© 2016XXXXXXXXXX公司第 13 頁 共 13 頁密級(jí)：完全公開一. 產(chǎn)品概述數(shù)據(jù)庫審計(jì)系統(tǒng)（以下簡稱 XXX）是一款專業(yè)、主動(dòng)、實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫安全的審計(jì)產(chǎn)品。本系統(tǒng)采用有效的對數(shù)據(jù)庫監(jiān)控與審計(jì)方式，針對數(shù)據(jù)庫漏洞攻擊、SQl注入、風(fēng)險(xiǎn)操作等數(shù)據(jù)庫風(fēng)險(xiǎn)操作行為發(fā)生記錄與告警。能對不同的場景定制審計(jì)策略，如：信任，敏感模糊化和行為告警等策略。本系統(tǒng)可以有效的評估數(shù)據(jù)庫潛在風(fēng)險(xiǎn)；實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫用戶的訪問行為；它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報(bào)，用來幫助用戶事后生

4、成合規(guī)報(bào)告、事故追根溯源，同時(shí)加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為記錄，提高數(shù)據(jù)資產(chǎn)安全。二. 應(yīng)用背景在高速信息化的今天，數(shù)據(jù)安全問題已涉及到各行各業(yè)中，數(shù)據(jù)泄漏所引發(fā)的社會(huì)問題持續(xù)高漲。信息安全成為國家安全戰(zhàn)略的重要部分。2.1 現(xiàn)狀與問題數(shù)據(jù)庫安全問題是亟待解決的安全核心痛點(diǎn)。2.1.1 現(xiàn)狀n 數(shù)據(jù)庫是數(shù)據(jù)信息存儲(chǔ)的最主要形式，而當(dāng)前信息泄露案例的90%以上與數(shù)據(jù)庫相關(guān)n 80%的數(shù)據(jù)庫沒有任何防護(hù)措施，面對數(shù)據(jù)篡改、數(shù)據(jù)破壞、數(shù)據(jù)泄漏等問題，追蹤、定責(zé)、挽回?fù)p失等方式顯得極為疲軟n 在傳統(tǒng)IT架構(gòu)向云計(jì)算模式遷移過程中，數(shù)據(jù)安全成為客戶關(guān)注的核心問題2.1.2 問題互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)的數(shù)據(jù)庫信息

5、價(jià)值及可訪問性得到了提升，同時(shí)，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，概括起來主要表現(xiàn)在以下三個(gè)層面：政策層面：數(shù)據(jù)庫里保存著客戶信息和各類資金數(shù)據(jù)，數(shù)據(jù)庫的安全不僅關(guān)系到用戶自身的利益和品牌，還關(guān)系到公共秩序甚至國家利益。在國家等級(jí)保護(hù)、中國人民銀行及銀監(jiān)會(huì)信息安全規(guī)范以及國際支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)等都有著明確的要求。技術(shù)層面：Ø 數(shù)據(jù)庫自身存在重大安全缺陷（訪問控制缺陷、數(shù)據(jù)庫管理系統(tǒng)漏洞、明文存儲(chǔ)）Ø 更為復(fù)雜的數(shù)據(jù)庫應(yīng)用環(huán)境（B/S架構(gòu)的應(yīng)用使數(shù)據(jù)庫間接暴露到互聯(lián)網(wǎng)、各種類型的外包工作人員直接訪問數(shù)據(jù)庫、數(shù)據(jù)庫共享使各種應(yīng)用系統(tǒng)程序直連到數(shù)據(jù)庫）Ø 傳統(tǒng)防護(hù)

6、方案具有局限性（網(wǎng)絡(luò)防火墻產(chǎn)品不對數(shù)據(jù)庫通訊協(xié)議進(jìn)行控制、IPS/IDS/網(wǎng)絡(luò)審計(jì)并不能防范那些看起來合法的數(shù)據(jù)訪問、繞過WAF系統(tǒng)的刷庫行為屢見不鮮、無法解決來自于業(yè)務(wù)系統(tǒng)本身的安全威脅、忽略了內(nèi)部人員的管控）Ø 運(yùn)維管控存在泄密途徑（測試數(shù)據(jù)泄密、導(dǎo)出明文備份數(shù)據(jù)導(dǎo)致泄密、圖形化操作無法控制、無法控制返回結(jié)果集、惡意程序惡意訪問）Ø 內(nèi)部信息泄漏（利用數(shù)據(jù)庫的漏洞攻擊、應(yīng)用數(shù)據(jù)庫賬戶泄露、敏感信息以明文存儲(chǔ)、DBA用戶操作無法監(jiān)管）管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無法追溯并定

7、位真實(shí)的操作者。伴隨著數(shù)據(jù)庫信息價(jià)值以及可訪問性提升，使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無法有效追溯和審計(jì)。2.2 需求分析2.2.1 政策需求 信息系統(tǒng)安全等級(jí)保護(hù)基本要求依據(jù)信息安全等級(jí)保護(hù)要求，XXXX應(yīng)用系統(tǒng)被定義為三級(jí)，在安全審計(jì)方面均有與數(shù)據(jù)安全相關(guān)的要求，以下為等保關(guān)于數(shù)據(jù)安全的內(nèi)容。安全審計(jì)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄。審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；應(yīng)提供對審

8、計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能安全審計(jì) 數(shù)據(jù)庫管理系統(tǒng)的安全審計(jì)應(yīng)： Ø 建立獨(dú)立的安全審計(jì)系統(tǒng)； Ø 定義與數(shù)據(jù)庫安全相關(guān)的審計(jì)事件； Ø 設(shè)置專門的安全審計(jì)員； Ø 設(shè)置專門用于存儲(chǔ)數(shù)據(jù)庫系統(tǒng)審計(jì)數(shù)據(jù)的安全審計(jì)庫； Ø 提供適用于數(shù)據(jù)庫系統(tǒng)的安全審計(jì)設(shè)置、分析和查閱的工具。 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引第二十六條 商業(yè)銀行應(yīng)通過以下措施，確保所有信息系統(tǒng)的安全：（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。 （七）以書面或電子格式保存審計(jì)痕跡。（八）要求用戶管理員監(jiān)控和審查未成功

9、的登錄和用戶賬戶的修改。第二十七條 商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大類：（一） 交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。交易日志應(yīng)按照國家會(huì)計(jì)準(zhǔn)則要求予以保存。（二） 系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險(xiǎn)等級(jí)確定，但不能少于一年。商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，

10、以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)。2.2.2 技術(shù)需求u 審計(jì)系統(tǒng)應(yīng)能在保護(hù)數(shù)據(jù)庫安全的前提下，針對運(yùn)維人員對數(shù)據(jù)庫的訪問行為進(jìn)行審計(jì)，審計(jì)的內(nèi)容包括了訪問的時(shí)間、地址、目標(biāo)資源以及詳細(xì)的操作內(nèi)容呈現(xiàn)。u 審計(jì)系統(tǒng)應(yīng)對各類數(shù)據(jù)庫進(jìn)行實(shí)時(shí)的監(jiān)控管理，監(jiān)控?cái)?shù)據(jù)庫的運(yùn)行狀態(tài)，保證數(shù)據(jù)的不中斷。能夠?qū)Ω黝惖臄?shù)據(jù)庫進(jìn)行安全掃描，在發(fā)現(xiàn)配置或安全漏洞時(shí)提供有限的解決建議，保證數(shù)據(jù)庫的可靠性。u 審

11、計(jì)系統(tǒng)應(yīng)對重要數(shù)據(jù)庫操作進(jìn)行審計(jì)，審計(jì)范圍包括數(shù)據(jù)庫維護(hù)人員、超級(jí)用戶以及應(yīng)用用戶行為。u 審計(jì)系統(tǒng)應(yīng)能夠?qū)徲?jì)上來的日志有一定的保護(hù)能力，不能隨意修改和刪除日志。日志的存儲(chǔ)應(yīng)采用加密形式進(jìn)行保存。2.2.3 管理需求應(yīng)對第三方數(shù)據(jù)庫廠家以及超級(jí)權(quán)限用戶進(jìn)行控制，能夠控制其訪問數(shù)據(jù)庫的操作，對其所做的操作進(jìn)行全面的審計(jì)，保證重要數(shù)據(jù)的不丟失不泄密。2.2.4 性能需求為了保證系統(tǒng)的不間斷運(yùn)行需對審計(jì)系統(tǒng)的性能有一定要求。在數(shù)據(jù)正常的情況下應(yīng)保證：u 峰值處理能力（SQL語句、條/秒）：18000u 吞吐量（Mb/sec）：2000Mbpsu 一萬條審計(jì)日志搜索時(shí)間小于5秒2.2.5 環(huán)境與兼容

12、性需求審計(jì)系統(tǒng)支持以下審計(jì)資源以及交換機(jī)類型，保證系統(tǒng)的正常上線和后續(xù)的使用。審計(jì)資源數(shù)據(jù)庫類型版本端口OracleSybaseDB2Mysql網(wǎng)絡(luò)連接交換機(jī)類型版本鏡像端口2.2.6 需求匯總通過對于用戶的環(huán)境的了解以及所提出問題的了解分析，具備需求體現(xiàn)在如下幾個(gè)方面：u 能夠滿足等級(jí)保護(hù)以及行業(yè)規(guī)定對于數(shù)據(jù)庫安全方面的要求。u 對登錄數(shù)據(jù)庫和操作數(shù)據(jù)庫的人員進(jìn)行詳細(xì)的操作審計(jì)。u 能夠?qū)τ脩艟W(wǎng)絡(luò)內(nèi)的數(shù)據(jù)庫系統(tǒng)進(jìn)行監(jiān)控與漏洞的掃描。u 對現(xiàn)有業(yè)務(wù)和系統(tǒng)不產(chǎn)生任何影響。u 整體審計(jì)系統(tǒng)具備一定的保密性，確保審計(jì)數(shù)據(jù)的安全性。u 維護(hù)簡單、具備專業(yè)的審計(jì)功能，節(jié)約人力，減少維護(hù)費(fèi)用。三. 產(chǎn)品介

13、紹3.1 目標(biāo)u 保護(hù)數(shù)據(jù)庫以及核心數(shù)據(jù)安全；u 提供靈活、便利的策略定制；u 通過事后的合規(guī)性分析，幫助您發(fā)現(xiàn)針對數(shù)據(jù)庫攻擊行為和安全隱患；u 幫助您從多角度了解數(shù)據(jù)庫活動(dòng)現(xiàn)狀；u 幫助您滿足合規(guī)/審計(jì)的要求；u 簡化您審計(jì)的工作。3.2 產(chǎn)品功能3.2.1 數(shù)據(jù)庫訪問行為記錄數(shù)據(jù)庫審計(jì)系統(tǒng)支持對多種類數(shù)據(jù)庫的操作行為進(jìn)行采集記錄，探測器通過旁路接入，在相應(yīng)的交換機(jī)上配置端口鏡像，對用戶訪問數(shù)據(jù)庫的數(shù)據(jù)流進(jìn)行鏡像采集并保存信息日志。數(shù)據(jù)庫審計(jì)系統(tǒng)能夠詳細(xì)記錄每次操作的發(fā)生時(shí)間、數(shù)據(jù)庫類型、源MAC地址、目的MAC地址、源端口、目標(biāo)端口、數(shù)據(jù)庫名、用戶名、客戶端IP、服務(wù)器端IP、操作指令、操

14、作返回狀態(tài)值。數(shù)據(jù)庫審計(jì)系統(tǒng)支持記錄的行為包括： Ø u 數(shù)據(jù)操作類（如select、insert、delete、update等）u 結(jié)構(gòu)操作類（如create、drop、alter等）u 事務(wù)操作類（如Begin Transaction、Commit Transaction、Rollback Transaction 等）u 用戶管理類以及其它輔助類（如視圖、索引、過程等操作）等數(shù)據(jù)庫訪問行 為，并對違規(guī)操作行為產(chǎn)生報(bào)警事件。3.2.2 違規(guī)操作告警響應(yīng)數(shù)據(jù)庫審計(jì)系統(tǒng)可通過規(guī)則設(shè)置對各類數(shù)據(jù)庫操作訪問行為進(jìn)行實(shí)時(shí)監(jiān)測，對網(wǎng)絡(luò)中的異常數(shù)據(jù)庫操作行為及時(shí)進(jìn)行告警響應(yīng)，實(shí)時(shí)顯示告警信息并記

15、錄存儲(chǔ)。告警信息可通過郵件或短信等方式通知管理員，以確保管理員在第一時(shí)間發(fā)現(xiàn)用戶對數(shù)據(jù)庫的違規(guī)操作。3.2.3 集中存儲(chǔ)訪問記錄通過數(shù)據(jù)庫審計(jì)系統(tǒng)可以將分布在網(wǎng)絡(luò)不同位置、不同類型的數(shù)據(jù)庫的訪問信息集中到統(tǒng)一的安全審計(jì)系統(tǒng)中進(jìn)行存儲(chǔ)，便于對記錄數(shù)據(jù)進(jìn)行分析。3.2.4 訪問記錄查詢數(shù)據(jù)庫審計(jì)系統(tǒng)采用專有的特殊文件系統(tǒng)對規(guī)范化的日志進(jìn)行存儲(chǔ)，同時(shí)也支持Mysql等標(biāo)準(zhǔn)數(shù)據(jù)庫存儲(chǔ)，文件存儲(chǔ)機(jī)制是根據(jù)日志系統(tǒng)的特殊性進(jìn)行專門研發(fā)，為海量日志的存儲(chǔ)及檢索進(jìn)行了優(yōu)化設(shè)計(jì)。產(chǎn)品內(nèi)置高容量的硬盤存儲(chǔ)空間，采用Raid硬盤陣列，可有效防止由于硬盤硬件問題而帶來的數(shù)據(jù)丟失，同時(shí)數(shù)據(jù)庫審計(jì)系統(tǒng)還支持外掛存儲(chǔ)系統(tǒng)，

16、從而實(shí)現(xiàn)存儲(chǔ)空間的海量擴(kuò)充。3.2.5 數(shù)據(jù)庫安全審計(jì)報(bào)表數(shù)據(jù)庫審計(jì)系統(tǒng)通過動(dòng)態(tài)報(bào)表的方式對數(shù)據(jù)庫操作行為審計(jì)結(jié)果進(jìn)行統(tǒng)計(jì)分析。系統(tǒng)默認(rèn)內(nèi)置豐富的報(bào)表模板，其中大部分報(bào)表均符合SOX法案、等級(jí)保護(hù)等法規(guī)、標(biāo)準(zhǔn)對信息系統(tǒng)的審計(jì)需求，同時(shí)，用戶也可以根據(jù)自身的實(shí)際需求自定義報(bào)表內(nèi)容，生成審計(jì)報(bào)表，審計(jì)報(bào)表可以以HTTP和EXCEL格式導(dǎo)出。3.3 產(chǎn)品部署3.3.1 旁路部署設(shè)備旁路在數(shù)據(jù)庫前端交換機(jī)，通過接收交換機(jī)端口鏡像數(shù)據(jù)流對數(shù)據(jù)庫進(jìn)行審計(jì)，該拓?fù)浞桨笩o需更改任何現(xiàn)有拓?fù)浣Y(jié)構(gòu)，同時(shí)也不會(huì)對現(xiàn)網(wǎng)造成任何影響。 圖 1 旁路部署拓?fù)鋱D3.3.2 分布式部署和單一部署類似，設(shè)備旁路在數(shù)據(jù)庫前端交換

17、機(jī)，通過接收交換機(jī)端口鏡像數(shù)據(jù)流對數(shù)據(jù)庫進(jìn)行審計(jì)，該拓?fù)浞桨笩o需更改任何現(xiàn)有拓?fù)浣Y(jié)構(gòu)，不會(huì)對現(xiàn)網(wǎng)造成任何影響；多臺(tái)設(shè)備通過管理口通訊級(jí)聯(lián)對規(guī)則策略進(jìn)行同步。圖 2 分布式部署拓?fù)鋱D3.4 產(chǎn)品特性3.4.1 安全便捷的部署方式數(shù)據(jù)庫審計(jì)系統(tǒng)對數(shù)據(jù)庫操作訪問行為采用全旁路方式進(jìn)行審計(jì)，無需串聯(lián)在網(wǎng)絡(luò)設(shè)備中；不在數(shù)據(jù)庫主機(jī)上安裝客戶端軟件；不改變客戶原有的任何登錄方式；部署便捷，不會(huì)破壞本身網(wǎng)絡(luò)結(jié)構(gòu)，不影響數(shù)據(jù)庫系統(tǒng)的性能，實(shí)施成本較低。數(shù)據(jù)庫審計(jì)系統(tǒng)進(jìn)行維護(hù)、升級(jí)時(shí)不會(huì)影響到正常業(yè)務(wù)的運(yùn)行，也不會(huì)影響到網(wǎng)絡(luò)性能。3.4.2 日志檢索能力數(shù)據(jù)庫審計(jì)系統(tǒng)采用了公司自主開發(fā)的基于海量日志索引的日志檢索

18、引擎，避免了采用關(guān)系型數(shù)據(jù)庫在處理海量日志數(shù)據(jù)時(shí)的低效率問題，采用“基于預(yù)測的動(dòng)態(tài)索引技術(shù)”、“數(shù)據(jù)正交分組技術(shù)”及“適應(yīng)磁盤的索引存儲(chǔ)”“即時(shí)結(jié)果反饋技術(shù)”等核心技術(shù)手段，實(shí)現(xiàn)了對日志的高速檢索能力。數(shù)據(jù)庫審計(jì)系統(tǒng)對于在緩存中的日志（最近入庫的日志），以四重以內(nèi)組合條件查詢，能夠在5秒內(nèi)即返回完整的檢索結(jié)果。對于任意時(shí)間段內(nèi)的歷史數(shù)據(jù)查詢，數(shù)據(jù)庫審計(jì)系統(tǒng)也能夠在數(shù)秒鐘內(nèi)即反饋符合要求的檢索結(jié)果。3.4.3 靈活的日志查詢條件數(shù)據(jù)庫審計(jì)系統(tǒng)支持不限次數(shù)的多重條件查詢規(guī)則設(shè)定，管理員可根據(jù)日志的類型、發(fā)生時(shí)間、不同字段內(nèi)容等條件組合進(jìn)行精細(xì)匹配。數(shù)據(jù)庫審計(jì)系統(tǒng)支持：>、<、=、不等于

19、、包含、時(shí)間區(qū)間、或、與等十多種常見邏輯符號(hào)，支持跨日志查詢，管理員能夠通過設(shè)定規(guī)則條件，對日志進(jìn)行精確定位。3.4.4 靈活的數(shù)據(jù)庫審計(jì)配置策略數(shù)據(jù)庫審計(jì)系統(tǒng)提供了靈活和易于操作的策略配置管理。策略配置為高效而全面地實(shí)現(xiàn)數(shù)據(jù)庫安全審計(jì)起到了決定性的作用。數(shù)據(jù)庫審計(jì)系統(tǒng)有以下多種配置策略：u 全面審計(jì)策略：所有的數(shù)據(jù)庫請求都會(huì)被審計(jì)，保證審計(jì)的全面性；u 審計(jì)過濾策略：在某些高吞吐量場景，過高的負(fù)載將使實(shí)時(shí)處理和存儲(chǔ)壓力過大，通過系統(tǒng)提供的白名單過濾、白名單規(guī)則可以對常規(guī)安全語句、安全來源實(shí)現(xiàn)審計(jì)過濾，使系統(tǒng)能夠在過載的情況下，集中在危險(xiǎn)或異常的 SQL 語句審計(jì)上；u 重點(diǎn)語句告警策略：無論

20、是否執(zhí)行全面審計(jì)的策略，系統(tǒng)都可以對需要重點(diǎn)監(jiān)視的語句進(jìn)行特殊對待，可以通過黑名單、正則表達(dá)、重點(diǎn)用戶、重點(diǎn)IP、返回行數(shù)等策略完成對重點(diǎn)關(guān)注對象和行為的定義，對這些重點(diǎn)對象和行為的語句可以將其放入到告警審計(jì)中，可以通過syslog、snmp、郵件或短信等多種途徑對這些語句進(jìn)行告警。3.4.5 數(shù)據(jù)庫入侵檢測能力數(shù)據(jù)庫審計(jì)系統(tǒng)提供了強(qiáng)大的數(shù)據(jù)庫入侵檢測能力，對入侵行為進(jìn)行重點(diǎn)告警；數(shù)據(jù)庫審計(jì)系統(tǒng)對數(shù)據(jù)庫的入侵檢測行為提供了大量的檢測策略定義方法，包括：u 危險(xiǎn)客戶端登錄：通過IP、用戶、數(shù)據(jù)庫客戶端工具、時(shí)間等多維定義可能具有入侵風(fēng)險(xiǎn)的登錄；u 危險(xiǎn)訪問行為：通過用戶、敏感對象、時(shí)間、返回行數(shù)

21、、操作是否有Where、是否使用了系統(tǒng)對象、高危操作子等多種方式定義了危險(xiǎn)訪問行為；u SQL 注入：系統(tǒng)提供了系統(tǒng)性的SQL注入庫，以及基于正則表達(dá)式或語法抽象的SQL注入描述擴(kuò)展；u 漏洞攻擊庫：系統(tǒng)提供了針對數(shù)據(jù)庫漏洞進(jìn)行攻擊的描述模型，使對這些典型的數(shù)據(jù)庫攻擊行為被迅速發(fā)現(xiàn)；u 黑名單：提供準(zhǔn)確而抽象的方式，對系統(tǒng)中的特定訪問SQL語句進(jìn)行描述，使這些SQL語句出現(xiàn)時(shí)能夠迅速報(bào)警。3.4.6 符合審計(jì)需求設(shè)計(jì)數(shù)據(jù)庫審計(jì)系統(tǒng)對數(shù)據(jù)庫操作行為日志的采集分析及審計(jì)報(bào)表均根據(jù)各行業(yè)審計(jì)需求、國家法規(guī)需求進(jìn)行專門設(shè)計(jì)，如：u 國家保密標(biāo)準(zhǔn)BMZ2-2001涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案

22、設(shè)計(jì)指南u 國家保密標(biāo)準(zhǔn)BMZ1-2000，涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求u 國家保密標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定（國保發(fā)19981號(hào)）u 國家標(biāo)準(zhǔn)GB17859-1999，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則u 國家標(biāo)準(zhǔn)GB/T18336.2-2001，信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第2部分: 安全功能要求u ISO27001/ISO17799:2005/BS7799,信息安全管理技術(shù)規(guī)范u 國家標(biāo)準(zhǔn)GB/T22239信息系統(tǒng)安全等級(jí)保護(hù)基本要求四. 用戶收益4.1 對企業(yè)帶來的價(jià)值數(shù)據(jù)庫審計(jì)系統(tǒng)從不同層面為企業(yè)和組織的用戶帶來價(jià)值回報(bào)。1) 對于安全管理員、安全分析員、安全運(yùn)維人員：l 明確工作職責(zé)，各類安全管理人員各司其職，協(xié)同合作l 提高工作效率，更加快速準(zhǔn)確的識(shí)別安全告警，發(fā)現(xiàn)違規(guī)行為，進(jìn)行應(yīng)急響應(yīng)l 發(fā)生安全問題，事后調(diào)查有據(jù)可循2) 對于安全負(fù)責(zé)人，負(fù)責(zé)安全的高管：l 有助于建立一套可行的安全策略的執(zhí)行方針，并通過數(shù)據(jù)庫審計(jì)系統(tǒng)真正落實(shí)l 通過持續(xù)有效的