H3CSecPath數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)產(chǎn)品概述V1

1、H3CSecPath數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)產(chǎn)品概述HBCHBCCopyrightCopyright?2015?2015 杭州華三通信技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部,并不得以任何形式傳播。本文檔中的信息可能變動(dòng)，恕不另行通知。目錄1 1 產(chǎn)品簡(jiǎn)介 1-11-12 2 產(chǎn)品特點(diǎn) 2-12-12.1部署靈活簡(jiǎn)單零影響2-12.2多核、多線程并行處理技術(shù)2-12.3豐富的協(xié)議支持2-12.4細(xì)粒度審計(jì)策略2-12.5極高的處理性能2-12.6極具領(lǐng)先的數(shù)據(jù)建模及海量數(shù)據(jù)挖掘分析2-13 3 特性參數(shù) 3-13-13.13.1.系統(tǒng)

2、配置表3-13.23.2.接口屬性表3-23.2.1.配置口屬性3-23.2.2千兆以太網(wǎng)電口屬性3-23.2.3千兆以太網(wǎng)光口屬性3-33.2.4萬(wàn)兆以太網(wǎng)光口屬性3-33.33.3.功能特性列表3-34 4 典型應(yīng)用 4-64-6987eb-Numbered_434f7cb6-37a2-4640-ac69-cbdc529c4037-N.某某小型中小企業(yè)用戶數(shù)據(jù)庫(kù)審計(jì)部署場(chǎng)景4-6987eb-Numbered_434f7cb6-37a2-4640-ac69-cbdc529c4037-N.某某大客戶數(shù)據(jù)庫(kù)審計(jì)分布式部署場(chǎng)景4-15 5 選購(gòu)指南 5-15-15.1主機(jī)選購(gòu)5-11 1產(chǎn)品簡(jiǎn)介數(shù)

3、據(jù)庫(kù)是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的商業(yè)伙伴和客戶信息，這些信息需要被保護(hù)起來(lái)，以防止競(jìng)爭(zhēng)者和其他非法者獲取?；ヂ?lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫(kù)信息的價(jià)值及可訪問(wèn)性得到了提升，同時(shí)，也致使數(shù)據(jù)庫(kù)信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，概括起來(lái)主要表現(xiàn)在以下三個(gè)層面：管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無(wú)法追溯并定位真實(shí)的操作者。技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫(kù)內(nèi)部操作不明，無(wú)法通過(guò)外部的任何安全工具（比如：防火墻、IDSIDS、IPSIPS 等）來(lái)阻止內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機(jī)密信息等行為。

4、審計(jì)層面：現(xiàn)有的依賴于數(shù)據(jù)庫(kù)日志文件的審計(jì)方法，存在諸多的弊端，比如:數(shù)據(jù)庫(kù)審計(jì)功能的開啟會(huì)影響數(shù)據(jù)庫(kù)本身的性能、數(shù)據(jù)庫(kù)日志文件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息的真實(shí)性。伴隨著數(shù)據(jù)庫(kù)信息價(jià)值以及可訪問(wèn)性提升，使得數(shù)據(jù)庫(kù)面對(duì)來(lái)自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無(wú)法有效追溯和審計(jì)。為了解決數(shù)據(jù)庫(kù)信息安全領(lǐng)域的深層次、應(yīng)用及業(yè)務(wù)邏輯層面的安全問(wèn)題及審計(jì)需求，華三公司在多年數(shù)據(jù)庫(kù)安全的理論和實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上，成功推出了業(yè)界首創(chuàng)的、面向政府、企業(yè)核心數(shù)據(jù)庫(kù)的安全產(chǎn)品-華三數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，該產(chǎn)品重點(diǎn)實(shí)現(xiàn)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制

5、，為您的核心數(shù)據(jù)庫(kù)提供全方位、細(xì)粒度的保護(hù)功能，可幫助用戶帶來(lái)如下價(jià)值點(diǎn)：全面記錄數(shù)據(jù)庫(kù)訪問(wèn)行為，識(shí)別越權(quán)操作等違規(guī)行為，并完成追蹤溯源跟蹤敏感數(shù)據(jù)訪問(wèn)行為軌跡，建立訪問(wèn)行為模型，及時(shí)發(fā)現(xiàn)敏感數(shù)據(jù)泄漏檢測(cè)數(shù)據(jù)庫(kù)配置弱點(diǎn)、發(fā)現(xiàn) SQLSQL 注入等漏洞、提供解決建議為數(shù)據(jù)庫(kù)安全管理與性能優(yōu)化提供決策依據(jù)提供符合法律法規(guī)的報(bào)告，滿足等級(jí)保護(hù)、企業(yè)內(nèi)控等審計(jì)要求圖 1-1SecPathD20201-1SecPathD2020 產(chǎn)品外觀圖圖 1-2SecPathD20501-2SecPathD2050 產(chǎn)品外觀圖2 2產(chǎn)品特點(diǎn)部署靈活簡(jiǎn)單零影響使用旁路鏡像流量部署模式，不影響客戶業(yè)務(wù)系統(tǒng)的正常使用，也

6、不會(huì)對(duì)被審計(jì)系統(tǒng)造成任何壓力；支持分布式部署，管理中心可實(shí)現(xiàn)統(tǒng)一配置、統(tǒng)一報(bào)表、統(tǒng)一查詢。多核、多線程并行處理技術(shù)采用多核、多線程并行處理及 CPUCPU 綁定技術(shù)，采集、處理、入庫(kù)、查詢、統(tǒng)計(jì)等性能都遙遙領(lǐng)先選用國(guó)際領(lǐng)先的、最適合審計(jì)產(chǎn)品特性的定制化工控機(jī)硬件平臺(tái)采集流量使用零拷貝技術(shù)，極大的提高了采集性能，避免采集階段一些無(wú)故的丟包豐富的協(xié)議支持支持主流的所有關(guān)系型數(shù)據(jù)庫(kù)議審計(jì)；同時(shí)支持 webhttpwebhttp 協(xié)議的審計(jì)。細(xì)粒度審計(jì)策略基于數(shù)據(jù)庫(kù)協(xié)議的完整解析，支持解析協(xié)議的所有 1717 個(gè)字段支持正常請(qǐng)求信息的解析，同時(shí)支持對(duì)返回結(jié)果等信息進(jìn)行解析支持根據(jù) 1717 個(gè)字段任意

7、自定義審計(jì)規(guī)則，對(duì)審計(jì)日志進(jìn)行三維一體的條件審計(jì)支持綁定變量名、變量值進(jìn)行自定義的審計(jì)支持超長(zhǎng) SQLSQL 的審計(jì)極高的處理性能單臺(tái)設(shè)備最高可以達(dá)到每秒處理 4 4 萬(wàn)條 SQLSQL 語(yǔ)句審計(jì)；單臺(tái)設(shè)備檢索性能高達(dá) 500-1000500-1000 萬(wàn) TPS/sTPS/s 的任意條件檢索性能。單臺(tái)設(shè)備最高可以存儲(chǔ) 100100 億條以上審計(jì)日志極具領(lǐng)先的數(shù)據(jù)建模及海量數(shù)據(jù)挖掘分析業(yè)界領(lǐng)先的數(shù)據(jù)行為基線建模及智能告警功能，自動(dòng)建立數(shù)據(jù)庫(kù)訪問(wèn)行為基線，并依據(jù)行為基線自動(dòng)智能識(shí)別可疑行為進(jìn)行告警；靈活的海量審計(jì)數(shù)據(jù)對(duì)比分析工具，從不同的空間、時(shí)間對(duì)各個(gè)維度進(jìn)行對(duì)比分析極具動(dòng)態(tài)可視化的審計(jì)行為軌

8、跡分析，將海量的審計(jì)數(shù)據(jù)通過(guò)行為軌跡圖方式展示便于審計(jì)員全局了解數(shù)據(jù)庫(kù)訪問(wèn)行為。內(nèi)置的 3030 多種不同維度的報(bào)表，從不同角度分析數(shù)據(jù)庫(kù)行為，便于審計(jì)員進(jìn)行合規(guī)審計(jì)。數(shù)據(jù)庫(kù)安全配置分析和漏洞評(píng)估H3CSecPathH3CSecPath 數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)繼承了華三數(shù)據(jù)庫(kù)安全漏洞掃描技術(shù)優(yōu)勢(shì)，形成了從漏洞掃描、安全審計(jì)為一體的解決方案可通過(guò)定制化任務(wù)方式實(shí)現(xiàn)周期性的自動(dòng)掃描，發(fā)現(xiàn)數(shù)據(jù)庫(kù)的配置不合理項(xiàng)、弱口令、安全漏洞?？筛鶕?jù)漏洞情況提供合理的安全建議和審計(jì)規(guī)則，生成安全漏洞掃描報(bào)告3 3特性參數(shù)系統(tǒng)配置表表 3-1D20203-1D2020 設(shè)備系統(tǒng)配置表項(xiàng)目描述接口1 個(gè)配置口(CON)2 個(gè)千

9、兆以太電管理口2 個(gè)千兆以太電業(yè)務(wù)口2 個(gè)千兆以太光業(yè)務(wù)口擴(kuò)展槽1內(nèi)存配置8G磁盤1T*1(非 RAID)外型尺寸(WXHXD)440mmC570mrW88mm環(huán)境溫度工作：540c非工作：070c重量12kg電源1+1 冗余電源350W 功率防護(hù)站點(diǎn)不限性能每秒處理的數(shù)據(jù)庫(kù) TPS 數(shù)，18000 條/s設(shè)備的硬件吞吐性能：2000Mbs純數(shù)據(jù)庫(kù)流量處理性能：200Mbs環(huán)境濕度工作：2090%,無(wú)冷凝非工作：595%,無(wú)冷凝表 3-2D20503-2D2050 設(shè)備系統(tǒng)配置表項(xiàng)目描述接口1 個(gè)配置口(CON)2 個(gè)千兆以太電管理口4 個(gè)千兆以太電業(yè)務(wù)口4 個(gè)千兆以太光業(yè)務(wù)口擴(kuò)展槽2內(nèi)存配置

10、16G磁盤2T*2(RAID1)外型尺寸(WXHXD)440mm:580mrW88mm環(huán)境溫度工作：540c非工作：070c重量18kg|電源1+1 冗余電源460W 功率防護(hù)站點(diǎn)不限二|每秒處理的數(shù)據(jù)庫(kù) TPS 數(shù)，40000 條/s性能設(shè)備的硬件吞吐性能：4000Mbs純數(shù)據(jù)庫(kù)流量處理性能：400Mbs環(huán)境濕度工作：2090%,無(wú)冷凝非工作：595%,無(wú)冷凝接口屬性表配置口屬性表 3-33-3 設(shè)備配置口屬性屬性描述接頭RJ-45接口標(biāo)準(zhǔn)RS-232波特率115200bps支持服務(wù)與字符終端相連與本地 PC 的串口相連并在 PC 上運(yùn)行終端仿真程序命令行接口線纜類型普通異步串行口線纜傳輸距

11、離mysql、db2、Informix協(xié)議支持審計(jì)內(nèi)容數(shù)據(jù)庫(kù)協(xié)議審計(jì)日志包括賬號(hào)、SQL 語(yǔ)句、表、字段、存儲(chǔ)過(guò)程、客戶端工具、IP、MAC、實(shí)例名、主機(jī)名等條件支持雙向?qū)徲?jì)，特別是返回字段和結(jié)果、執(zhí)行狀態(tài)、返回行數(shù)、執(zhí)行時(shí)長(zhǎng)等內(nèi)容，并能夠根據(jù)返回結(jié)果設(shè)置審計(jì)策略支持對(duì)返回結(jié)果集審計(jì)大小的控制，支持根據(jù)返回行數(shù)和返回總內(nèi)容大小進(jìn)行控制。支持審計(jì)超長(zhǎng) SQL 語(yǔ)句，最長(zhǎng)支持 64K支持對(duì)協(xié)議解析自動(dòng)進(jìn)行解碼，并且支持手工指定常見(jiàn)解碼方式支持 DDL 語(yǔ)句的審計(jì)支持 DCL 語(yǔ)句的審計(jì)支持 DML 語(yǔ)句的審計(jì)Web 協(xié)議：http 協(xié)議屬性說(shuō)明支持存儲(chǔ)過(guò)程、觸發(fā)器、函數(shù)的審計(jì)支持綁定變量的審計(jì)，并

12、支持記錄變量名及變量值，且可以自定義配置。支持 IPV6 環(huán)境各種數(shù)據(jù)庫(kù)協(xié)議的審計(jì)支持對(duì)敏感數(shù)據(jù)類型進(jìn)行掩碼處理，掩碼規(guī)則支持自定義。Web 協(xié)議支持對(duì) http 協(xié)議的審計(jì)支持對(duì) http 協(xié)議的 get、post 內(nèi)容進(jìn)行完整記錄支持 http 協(xié)議的 cookie、操作系統(tǒng)類型、瀏覽器類型、原始客戶端 IP、MAC 地址、提交參數(shù)等支持關(guān)聯(lián) web 用戶名配置支持對(duì) http 協(xié)議返回內(nèi)容的記錄智能發(fā)現(xiàn)與評(píng)估支持定期自動(dòng)掃描發(fā)現(xiàn)網(wǎng)絡(luò)中存在的數(shù)據(jù)庫(kù)，發(fā)現(xiàn)新增數(shù)據(jù)庫(kù)可郵件、短信告警；支持從鏡像流量中自動(dòng)發(fā)現(xiàn)流量中存在的數(shù)據(jù)庫(kù)目標(biāo) IP 及版本；支持定期數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)評(píng)估，自動(dòng)掃描數(shù)據(jù)庫(kù)漏洞和不安

13、全配置，提供單獨(dú)漏洞掃描報(bào)告風(fēng)險(xiǎn)評(píng)估功能支持主流數(shù)據(jù)庫(kù) Oracle、SQlServer、Sybase、mysql、db2、informix模型分析支持智能學(xué)習(xí)數(shù)據(jù)庫(kù)的訪問(wèn)行為建立模型；支持通過(guò)行為軌跡圖方式展示數(shù)據(jù)庫(kù)訪問(wèn)行為（提供功能截圖）支持可基于賬號(hào)、IP 地址、訪問(wèn)權(quán)限、客戶端工具等維度對(duì)行為模型做鉆取分析、變更分析，支持對(duì)學(xué)習(xí)的安全基線以外的行為自動(dòng)智能的進(jìn)行告警支持自動(dòng)對(duì)比不同時(shí)期的行為模型，以區(qū)分其審計(jì)日志數(shù)趨勢(shì)、用戶、IP 地址、工具、訪問(wèn)權(quán)限的差異情況審計(jì)規(guī)則支持全審計(jì)策略及滿足條件審計(jì)策略支持自定義業(yè)務(wù)審計(jì)及告警規(guī)則告警規(guī)則支持高、中、低、關(guān)注、不審計(jì)、一般五種類型，可供用

14、戶靈活配置支持根據(jù)賬號(hào)、IP 地址、MAC 地址、操作類型、返回行數(shù)、執(zhí)行時(shí)間、表、字段、主機(jī)名、操作系統(tǒng)名、關(guān)聯(lián)表數(shù)設(shè)定規(guī)則；支持基于返回結(jié)果集大小、返回內(nèi)容、具體報(bào)文內(nèi)容的細(xì)粒度審計(jì)規(guī)則內(nèi)置高危 SQL 查詢和注入、遠(yuǎn)程命令執(zhí)行、跨站腳本攻擊、FTP 和 telnet 高危指令等審計(jì)規(guī)則大于 300 種；支持業(yè)務(wù)規(guī)則設(shè)置，包括業(yè)務(wù)請(qǐng)求類型、url、http 版本、請(qǐng)求頭、請(qǐng)求參數(shù)、請(qǐng)求文件類型等條件設(shè)置規(guī)則；支持規(guī)則導(dǎo)入、導(dǎo)出支持規(guī)則優(yōu)先級(jí)調(diào)整、分組支持規(guī)則的批量加載；支持規(guī)則白名單，對(duì)某些滿足告警規(guī)則要求，但是無(wú)需告警的可以添加到白名單，避免后續(xù)告警支持白名單自定義，任意應(yīng)用到某個(gè)規(guī)則白

15、名單支持用戶名、操作類型、IP 地址、客戶端工具、操作系統(tǒng)用戶名、主機(jī)名、MAC 地址、SQL 語(yǔ)句等條件支持從風(fēng)險(xiǎn)告警直接獲取白名單條件，一鍵添加白名單；屬性說(shuō)明告警通知支持郵件告警通知方式支持短信告警通知方式支持 syslog 告警通知方式支持 snmp 告警通知方式支持 ftp 告警通知方式支持告警通知靈活配置，不同級(jí)別的告警通知可以以不同的方式發(fā)送不通的管理員或者日志服務(wù)器支持告警通知聚合發(fā)送、單條發(fā)送、重發(fā)、發(fā)生統(tǒng)計(jì)等分析報(bào)表內(nèi)置多于 30 多種不同類型的報(bào)表支持自定義報(bào)表，可以根據(jù)客戶需求自定義更多有實(shí)際意義的報(bào)表，自定義報(bào)表的數(shù)據(jù)維度大于 20 個(gè)支持報(bào)表的自動(dòng)生成及自動(dòng)發(fā)送支持

16、按月、周、天定期自動(dòng)發(fā)送指定報(bào)表到管理員支持報(bào)表導(dǎo)出 word、pdf、ppt 等格式支持根據(jù)單個(gè)庫(kù)、數(shù)據(jù)庫(kù)組生成報(bào)表支持嚴(yán)格按照塞班斯（SOX）法案、等級(jí)保護(hù)標(biāo)準(zhǔn)要求生成多維度綜合報(bào)告；支持按照源 IP 地址、客戶端工具、帳號(hào)、告警數(shù)等源信息生成報(bào)表；支持按照數(shù)據(jù)庫(kù)訪問(wèn)行為生成報(bào)表，智能識(shí)別帳號(hào)的增刪、權(quán)限變更、密碼修改、特權(quán)操作等行為；支持按照時(shí)間曲線統(tǒng)計(jì)流量、在線用戶數(shù)、并發(fā)會(huì)話、DDL 操作數(shù)、DML 操作數(shù)、執(zhí)行量最多的 SQL 語(yǔ)句等報(bào)表；支持根據(jù) SQL 語(yǔ)句執(zhí)行頻率和執(zhí)行時(shí)間生成性能分析報(bào)表；支持根據(jù) web 行為生成 web 審計(jì)報(bào)表追蹤溯源支持 C/S、B/S 業(yè)務(wù)系統(tǒng)的真

17、實(shí)應(yīng)用用戶名、IP 關(guān)聯(lián)支持自定義 web 用戶名的提取方法，以適用不同業(yè)務(wù)系統(tǒng)的用戶追蹤；支持 C/S 業(yè)務(wù)系統(tǒng)應(yīng)用用戶名的提取配置，以適用不同業(yè)務(wù)系統(tǒng)的用戶追蹤支持三層審計(jì)支持自動(dòng)關(guān)聯(lián)和手動(dòng)關(guān)聯(lián)；三層審計(jì)支持 agent 插件方式部署，保證 100%的準(zhǔn)確關(guān)聯(lián)日志管理支持系統(tǒng)配置數(shù)據(jù)備份和還原支持審計(jì)數(shù)據(jù)的自動(dòng)備份和恢復(fù)，支持自動(dòng)備份到遠(yuǎn)端 ftp 服務(wù)器審計(jì)數(shù)據(jù)恢復(fù)支持從本地和遠(yuǎn)端 ftp 服務(wù)器恢復(fù)審計(jì)數(shù)據(jù)保留策略應(yīng)至少滿足天數(shù)和百分比兩個(gè)控制參數(shù)，且支持 web 界面可配置，且恢復(fù)數(shù)據(jù)不影響正常的審計(jì)功能支持自動(dòng)備份審計(jì)日志，備份完后通過(guò) FTP 方式外送到外部設(shè)備；支持備份文件加密

18、技術(shù)，避免非授權(quán)的查看備份日志文件，備份數(shù)據(jù)必須導(dǎo)入設(shè)備才能夠進(jìn)行恢復(fù)查看；當(dāng)磁盤空間達(dá)到一定的閥值，支持自動(dòng)清理最早的數(shù)據(jù)釋放空間分布式部署管理支持?jǐn)?shù)據(jù)中心的統(tǒng)一管理、配置及規(guī)則策略下發(fā)支持?jǐn)?shù)據(jù)中心的統(tǒng)一審計(jì)日志查看支持?jǐn)?shù)據(jù)中心的統(tǒng)一報(bào)表查看支持管理中心的統(tǒng)一告警通知支持各采集器同管理中心上傳速率、時(shí)間、端口的控制，避免數(shù)據(jù)中心單點(diǎn)業(yè)屬性說(shuō)明務(wù)壓力支持設(shè)備配置為不同的角色：數(shù)據(jù)中心、采集器、數(shù)據(jù)中心+采集器自審計(jì)支持記錄審計(jì)系統(tǒng)所有人員對(duì)設(shè)備的訪問(wèn)行為自審計(jì)日志包含用戶、登陸 IP、時(shí)間、動(dòng)作、結(jié)果、描述、操作等內(nèi)容自審計(jì)日志設(shè)備管理監(jiān)控管理通過(guò) Console 口進(jìn)行本地配置配置變更時(shí)不影響在線業(yè)務(wù)設(shè)備管理采用管理員與審計(jì)員三權(quán)分離操作界面支持全中文支持集中管理，對(duì)多臺(tái)數(shù)據(jù)庫(kù)進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)日志收集、策略分發(fā)等功能支持設(shè)備自身狀態(tài)查看：系統(tǒng) cpu、內(nèi)存、硬盤等使用率信息查看支持手工升級(jí)到最新版本系統(tǒng)管理支持 Web 方式進(jìn)行遠(yuǎn)程配置管理支持標(biāo)準(zhǔn)網(wǎng)管 SNMPv3,并且兼容 SNMPv1 和 v2c支持 NTP