安信通數(shù)據(jù)庫審計(jì)系統(tǒng)

1、 北 京 安 信 通 Beijing Anxintong Network Technology, Co.,Ltd數(shù)據(jù)庫文本結(jié)構(gòu)一一. . 審計(jì)系統(tǒng)的重要性審計(jì)系統(tǒng)的重要性二. 產(chǎn)品簡(jiǎn)介產(chǎn)品簡(jiǎn)介文本結(jié)構(gòu)文本結(jié)構(gòu)三三. . 產(chǎn)品特點(diǎn)產(chǎn)品特點(diǎn)四.產(chǎn)品功能產(chǎn)品功能五. 產(chǎn)品性能參數(shù)產(chǎn)品性能參數(shù)六. 典型部署典型部署七. 結(jié)束語結(jié)束語一審計(jì)系統(tǒng)的重要性為什么需要數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫自身日志審計(jì)的缺陷數(shù)據(jù)庫自身日志審計(jì)的缺陷法律法規(guī)和企業(yè)自身要求法律法規(guī)和企業(yè)自身要求威懾、取證的需要威懾、取證的需要等級(jí)保護(hù)和分級(jí)保護(hù)明確要求具有數(shù)據(jù)庫審計(jì)。信息技術(shù)通用評(píng)估準(zhǔn)則要求安全審計(jì)。工作中，企業(yè)更關(guān)注信息安全。數(shù)據(jù)庫審

2、計(jì)能夠保護(hù)其經(jīng)濟(jì)利益和核心信息的安全。法律法規(guī)和企業(yè)自身要求法律法規(guī)和企業(yè)自身要求存在風(fēng)險(xiǎn)：自身審計(jì)采用明文存儲(chǔ)，授權(quán)用戶可以隨意修改和刪除影響性能：開啟自身審計(jì)后影響應(yīng)用系統(tǒng)性能，降低10%左右的性能，影響到正常業(yè)務(wù)檢索費(fèi)時(shí)費(fèi)力：在安全事故發(fā)生后，查詢和分析極為困難，難以幫助管理員發(fā)現(xiàn)和定位問題。數(shù)據(jù)庫自身日志審計(jì)的不足數(shù)據(jù)庫自身日志審計(jì)的不足取證需要：發(fā)生安全事故后能夠快速定位，追查到事故責(zé)任人威懾作用：有了數(shù)據(jù)庫審計(jì)系統(tǒng)，不法分子不敢輕舉妄動(dòng)威懾、取證的需要威懾、取證的需要二產(chǎn)品簡(jiǎn)介軟件研發(fā) 數(shù)據(jù)庫應(yīng)用 安全技術(shù)研究 北京安信通網(wǎng)絡(luò)技術(shù)有限公司基于近十年的網(wǎng)絡(luò)安全技術(shù)研究、尤其是數(shù)據(jù)庫安

3、全產(chǎn)品研發(fā)、安全集成等積累 核核 心心研發(fā)團(tuán)隊(duì)研發(fā)團(tuán)隊(duì)二產(chǎn)品簡(jiǎn)介安信通數(shù)據(jù)庫審計(jì)系統(tǒng)設(shè)計(jì)結(jié)構(gòu)二產(chǎn)品簡(jiǎn)介旁路方式接入，不旁路方式接入，不影響數(shù)據(jù)庫性能影響數(shù)據(jù)庫性能。1三層網(wǎng)絡(luò)結(jié)構(gòu)智能三層網(wǎng)絡(luò)結(jié)構(gòu)智能匹配匹配2全面的審計(jì)內(nèi)容全面的審計(jì)內(nèi)容 。3靈活的審計(jì)規(guī)則設(shè)靈活的審計(jì)規(guī)則設(shè)置置 。4（一）產(chǎn)品功能概述（一）產(chǎn)品功能概述精確定位精確定位 。5卓越的審計(jì)性能卓越的審計(jì)性能 。6獨(dú)特的分組管理功獨(dú)特的分組管理功能能 。7獨(dú)有的語句轉(zhuǎn)換接獨(dú)有的語句轉(zhuǎn)換接口和業(yè)務(wù)數(shù)據(jù)回放口和業(yè)務(wù)數(shù)據(jù)回放功能功能 。8獨(dú)特的安全管理平臺(tái)9二產(chǎn)品簡(jiǎn)介不影響數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)性能不影響數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)性能。1系統(tǒng)采用旁路方式接

4、入用戶網(wǎng)絡(luò)中，通過交換機(jī)鏡像端口采集數(shù)據(jù)，不需要改變現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)，不占用數(shù)據(jù)庫服務(wù)器的資源，不影響數(shù)據(jù)庫性能。旁路二產(chǎn)品簡(jiǎn)介三層網(wǎng)絡(luò)結(jié)構(gòu)智能匹配2系統(tǒng)將用戶對(duì)應(yīng)用服務(wù)器的會(huì)話與應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器之間的會(huì)話進(jìn)行智能匹配分析。將用戶對(duì)應(yīng)用系統(tǒng)的操作解析為用戶對(duì)數(shù)據(jù)庫服務(wù)器的操作。三層二產(chǎn)品簡(jiǎn)介全面的審計(jì)內(nèi)容全面的審計(jì)內(nèi)容 。3系統(tǒng)可提供數(shù)據(jù)庫多方面的審計(jì)內(nèi)容，具有豐富的審計(jì)記錄項(xiàng)，包括：內(nèi)容審計(jì)、行為審計(jì)、流量審計(jì)和其它審計(jì)項(xiàng)。全面二產(chǎn)品簡(jiǎn)介靈活的審計(jì)規(guī)則設(shè)置靈活的審計(jì)規(guī)則設(shè)置 。4系統(tǒng)能夠很靈活地定義審計(jì)策略，更能通過個(gè)性化分析設(shè)定策略，實(shí)現(xiàn)更細(xì)粒度的審計(jì)，更容易滿足不同數(shù)據(jù)庫系統(tǒng)的

5、不同審計(jì)需求。規(guī)則二產(chǎn)品簡(jiǎn)介精確定位精確定位 。5審計(jì)產(chǎn)品的技術(shù)意義在于：一旦發(fā)生安全事件時(shí)，可取得確鑿的“證據(jù)”，安信通數(shù)據(jù)庫審計(jì)系統(tǒng)能夠提供詳細(xì)的記錄內(nèi)容記錄內(nèi)容以供溯源定位，包括：誰做了操作、在什么時(shí)候做的操作、做過哪些操作、做過多少次操作、是什么操作類型、以什么身份進(jìn)行的操作、操作是否成功等。 定位二產(chǎn)品簡(jiǎn)介卓越的審計(jì)性能卓越的審計(jì)性能 。6自主設(shè)計(jì)的審計(jì)日志存儲(chǔ)數(shù)據(jù)庫和數(shù)據(jù)管理、查詢系統(tǒng)在峰值處理能力、高峰抗壓能力、平均處理能力以及大數(shù)據(jù)量級(jí)下的查詢能力具有卓越的性能。安信通數(shù)據(jù)庫審計(jì)系統(tǒng)的數(shù)據(jù)吞吐能力是依托傳統(tǒng)數(shù)據(jù)庫為存儲(chǔ)環(huán)境的審計(jì)產(chǎn)品10倍以上。性能二產(chǎn)品簡(jiǎn)介獨(dú)特的分組管理功能獨(dú)

6、特的分組管理功能 。7系統(tǒng)提供根據(jù)登錄主機(jī)或客戶端IP進(jìn)行分組劃分的功能，可分組同類項(xiàng)用戶，并提供用戶主機(jī)、用戶登錄名、IP綁定功能；在查詢時(shí)可以根據(jù)分組用戶進(jìn)行篩選。分組二產(chǎn)品簡(jiǎn)介獨(dú)有的語句轉(zhuǎn)換接口和業(yè)務(wù)數(shù)獨(dú)有的語句轉(zhuǎn)換接口和業(yè)務(wù)數(shù)據(jù)回放功能據(jù)回放功能 。8本系統(tǒng)能模擬用戶實(shí)際的業(yè)務(wù)操作流程，根據(jù)用戶的需求，回放實(shí)際的業(yè)務(wù)操作。系統(tǒng)預(yù)留語句轉(zhuǎn)換接口，可將原始的SQL語句轉(zhuǎn)換成用戶一目了然的業(yè)務(wù)操作。回放二產(chǎn)品簡(jiǎn)介獨(dú)特的安全管理平臺(tái)9本系統(tǒng)中的數(shù)據(jù)庫安全管理平臺(tái)可以對(duì)整個(gè)IT框架中的多個(gè)審計(jì)系統(tǒng)或?qū)徲?jì)引擎進(jìn)行審計(jì)管理及權(quán)限管理。使管理人員方便了解框架中每個(gè)節(jié)點(diǎn)的實(shí)時(shí)使用狀態(tài)。檢查高效的存高效的

7、存儲(chǔ)和查詢儲(chǔ)和查詢 個(gè)性化智個(gè)性化智能分析能分析獨(dú)有的語獨(dú)有的語句轉(zhuǎn)換接句轉(zhuǎn)換接口功能口功能 實(shí)際業(yè)務(wù)實(shí)際業(yè)務(wù)的回放功的回放功能能分布部署，分布部署，集中管理集中管理三產(chǎn)品特點(diǎn)三層結(jié)構(gòu)三層結(jié)構(gòu)智能審計(jì)智能審計(jì)三產(chǎn)品特點(diǎn)本系統(tǒng)采用自主研發(fā)的數(shù)據(jù)庫查詢系統(tǒng)。其查詢速度效率極高，是傳統(tǒng)方法的10倍以上，即使存儲(chǔ)的數(shù)據(jù)量達(dá)到數(shù)億條，查詢速度受影響也極小，實(shí)現(xiàn)了用戶快速查詢的目的?？焖俚目焖俚牟樵儾樵?本系統(tǒng)針對(duì)審計(jì)系統(tǒng)的實(shí)際需要，自主開發(fā)審計(jì)日志數(shù)據(jù)庫。數(shù)據(jù)處理能力是傳統(tǒng)數(shù)據(jù)庫的10倍以上。高效的高效的存儲(chǔ)存儲(chǔ) （一）（一）實(shí)現(xiàn)高效的實(shí)現(xiàn)高效的存儲(chǔ)和查詢存儲(chǔ)和查詢 三產(chǎn)品特點(diǎn)本系統(tǒng)通過自主研發(fā)的智能算

8、法，將用戶對(duì)應(yīng)用服務(wù)器的會(huì)話與應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器之間的會(huì)話進(jìn)行智能匹配分析。把用戶對(duì)應(yīng)用服務(wù)器的操作解析為用戶對(duì)數(shù)據(jù)庫的直接操作進(jìn)行記錄，并可同時(shí)記錄數(shù)據(jù)庫客戶端對(duì)數(shù)據(jù)庫的直接訪問。從而達(dá)到將責(zé)任細(xì)分到每個(gè)用戶的目的。三層結(jié)三層結(jié)構(gòu)智能構(gòu)智能審計(jì)審計(jì)（二）（二）三層結(jié)構(gòu)智三層結(jié)構(gòu)智能審計(jì)能審計(jì)三產(chǎn)品特點(diǎn)系統(tǒng)通過獨(dú)特開發(fā)的算法，對(duì)一段周期內(nèi)指定數(shù)據(jù)庫的操作、流量、使用情況進(jìn)行歸并、分析，生成以周、日、小時(shí)為時(shí)間單位的可視化操作、流量報(bào)表，自動(dòng)挖掘用戶IT系統(tǒng)中各客戶端的合理使用狀況。使用戶掌握單位時(shí)間內(nèi)數(shù)據(jù)庫的安全狀況及使用狀況，用戶可根據(jù)分析結(jié)果快速定制非正常訪問、操作、流量等報(bào)警規(guī)則。

9、 智能分智能分析析（三）（三）個(gè)性化智能分個(gè)性化智能分析自動(dòng)生成規(guī)則析自動(dòng)生成規(guī)則三產(chǎn)品特點(diǎn)語句轉(zhuǎn)換接口功能，可將原始的SQL語句轉(zhuǎn)換成用戶一目了然的業(yè)務(wù)操作流程，以中文方式顯示審計(jì)內(nèi)容。語句轉(zhuǎn)語句轉(zhuǎn)換換（四）（四）獨(dú)有的語句獨(dú)有的語句轉(zhuǎn)換接口功能轉(zhuǎn)換接口功能 三產(chǎn)品特點(diǎn)（五）（五）實(shí)際業(yè)務(wù)的實(shí)際業(yè)務(wù)的回放功能回放功能完全模擬用戶實(shí)際業(yè)務(wù)操作，真實(shí)的回放用戶的操作流程。業(yè)務(wù)回業(yè)務(wù)回放放三產(chǎn)品特點(diǎn)本系統(tǒng)中的數(shù)據(jù)庫安全管理平臺(tái)可以對(duì)整個(gè)IT框架中的多個(gè)審計(jì)系統(tǒng)或?qū)徲?jì)引擎進(jìn)行審計(jì)管理及權(quán)限管理。使管理人員方便了解框架中每個(gè)節(jié)點(diǎn)的實(shí)時(shí)使用狀態(tài)。安全管安全管理平臺(tái)理平臺(tái)（六）分布部署、（六）分布部署、集

10、中管理。集中管理。三產(chǎn)品特點(diǎn)采樣速度采樣速度 一般數(shù)據(jù)庫審計(jì)采樣速度在3千條（SQL語句）/秒，我們的系統(tǒng)使用高效算法采樣速度可達(dá)到3萬條（SQL語句） /秒，極大的減少了丟包和系統(tǒng)宕機(jī)的風(fēng)險(xiǎn)，保證數(shù)據(jù)的完整和準(zhǔn)確。查詢查詢準(zhǔn)確快捷準(zhǔn)確快捷 審計(jì)日志采用了安信通公司自主研發(fā)的數(shù)據(jù)庫存儲(chǔ)系統(tǒng)。對(duì)審計(jì)日志分類存儲(chǔ)，建立多級(jí)索引。在10億條數(shù)據(jù)下查詢速度小于20秒獨(dú)特的語句轉(zhuǎn)化接口獨(dú)特的語句轉(zhuǎn)化接口 提供語句轉(zhuǎn)化接口，能夠自動(dòng)將原始的SQL語句轉(zhuǎn)化成用戶一目了然的業(yè)務(wù)操作流程。系統(tǒng)能夠?qū)I(yè)務(wù)操作流程進(jìn)行回放四產(chǎn)品功能行為行為 審計(jì)審計(jì)內(nèi)容內(nèi)容審計(jì)審計(jì)流量流量審計(jì)審計(jì)其它其它審計(jì)審計(jì) 可審計(jì)的內(nèi)容 包

11、括實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的全面監(jiān)測(cè)和審計(jì) 。1四產(chǎn)品功能可設(shè)置各種報(bào)警規(guī)則 。2靈活多樣的報(bào)警方式 。3四產(chǎn)品功能四產(chǎn)品功能分組管理功能 。4四產(chǎn)品功能完整全面的審計(jì)結(jié)果 。5四產(chǎn)品功能查詢快捷且方式靈活多樣 。6四產(chǎn)品功能多種統(tǒng)計(jì)和分析報(bào)表 。7四產(chǎn)品功能同時(shí)管理多個(gè)審計(jì)引擎同時(shí)管理多個(gè)審計(jì)引擎。8四產(chǎn)品功能基于角色的、嚴(yán)格的用戶授權(quán)與管理基于角色的、嚴(yán)格的用戶授權(quán)與管理. .9操作員（可創(chuàng)建） 系統(tǒng)審計(jì)員（唯一） 系統(tǒng)管理員（唯一） 審計(jì)系統(tǒng)四產(chǎn)品功能基于角色的、嚴(yán)格的用戶授權(quán)與管理基于角色的、嚴(yán)格的用戶授權(quán)與管理. .10安安 全全 系統(tǒng)硬件運(yùn)行 平臺(tái)可可 靠靠高高 效效五產(chǎn)品性能參數(shù)技術(shù)指標(biāo)技術(shù)

12、指標(biāo)AXT-AUDIT-1000AXT- AUDIT-2000體積規(guī)格體積規(guī)格2U2U日志吞吐量日志吞吐量5000條/秒10000條/秒日志總存儲(chǔ)量日志總存儲(chǔ)量3億條8億條日志檢索速度日志檢索速度20秒50000小時(shí)80000小時(shí)系統(tǒng)對(duì)比系統(tǒng)對(duì)比普通審計(jì)系統(tǒng)普通審計(jì)系統(tǒng)安信通審計(jì)系統(tǒng)安信通審計(jì)系統(tǒng)對(duì)比結(jié)果對(duì)比結(jié)果采樣速度采樣速度3千條（SQL語句）3萬條（SQL語句）10倍查詢查詢檢索檢索總記錄1億條（30s）總記錄1億條（10s） 3倍總記錄3億條（5m）總記錄3億條（30s）10多倍總記錄10億條（無法查詢）總記錄10億條（30s）很多倍針對(duì)數(shù)據(jù)庫針對(duì)數(shù)據(jù)庫系統(tǒng)優(yōu)化系統(tǒng)優(yōu)化無提供專業(yè)翻譯接口，可將審計(jì)結(jié)果翻譯成中文六典型部署數(shù)據(jù)庫審計(jì)引擎旁路接入到網(wǎng)絡(luò)中。通過審計(jì)系統(tǒng)控制端（管理端）對(duì)系統(tǒng)進(jìn)行審計(jì)。網(wǎng)絡(luò)中的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器位于同一網(wǎng)絡(luò)中。 網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)環(huán)境單點(diǎn)部署 六典型部署部署方式部署方式六典型部署多點(diǎn)部署使用多個(gè)數(shù)據(jù)庫審計(jì)引擎，采用鏡像接入各個(gè)網(wǎng)絡(luò)。通過審計(jì)系統(tǒng)控制端（管理端）對(duì)系統(tǒng)進(jìn)行審計(jì)。網(wǎng)絡(luò)中的應(yīng)用服務(wù)器包括數(shù)據(jù)庫服務(wù)器在內(nèi)位