啟明星辰天玥網(wǎng)絡(luò)安全審計系統(tǒng)數(shù)據(jù)庫審計

1、xxX目數(shù)據(jù)庫審計系統(tǒng)技術(shù)建議書北京啟明星辰信息技術(shù)有限公司VenusInformationTechnology(Beijing)二零一零年十月1. 綜述12. 需求分析22.1. 內(nèi)部人員面臨的安全隱患22.2. 第三方維護人員的威脅22.3. 最高權(quán)限濫用風(fēng)險22.4. 違規(guī)行為無法控制的風(fēng)險32.5. 系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患32.6. 系統(tǒng)崩潰帶來審計結(jié)果的丟失33. 審計系統(tǒng)設(shè)計方案33.1. 設(shè)計思路和原則33.2. 系統(tǒng)設(shè)計原理53.3. 設(shè)計方案及系統(tǒng)配置63.4. 主要功能介紹73.4.1. 數(shù)據(jù)庫審計73.4.2. 網(wǎng)絡(luò)運維審計83.4.3. O仲計93.4.4. 數(shù)據(jù)庫

2、響應(yīng)時間及返回碼的審計93.4.5. 業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián)93.4.6. 合規(guī)性規(guī)則和響應(yīng)103.4.7. 審計報告輸出123.4.8. 自身管理133.4.9. 系統(tǒng)安全性設(shè)計133.5. 負面影響評價143.6. 交換機性能影響評價154. 資質(zhì)證書161.綜述隨著計算機和網(wǎng)絡(luò)技術(shù)發(fā)展，信息系統(tǒng)的應(yīng)用越來越廣泛。數(shù)據(jù)庫做為信息技術(shù)的核心和基礎(chǔ)，承載著越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)，漸漸成為商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，數(shù)據(jù)庫的安全穩(wěn)定運行也直接決定著業(yè)務(wù)系統(tǒng)能否正常使用。另外，隨著計算機技術(shù)的飛速發(fā)展，計算機技術(shù)也越來越廣泛地被應(yīng)用在醫(yī)院管理的各個方面。在國家對醫(yī)療衛(wèi)生行業(yè)投入不斷增加的大背景下

3、，以“金衛(wèi)工程”為代表的醫(yī)療衛(wèi)生行業(yè)信息化工程得到了快速發(fā)展，HIS系統(tǒng)也在全國各大醫(yī)院廣泛應(yīng)用。但是，隨著信息技術(shù)在各類醫(yī)療機構(gòu)大行其道之時，也給各醫(yī)療機構(gòu)各信息系統(tǒng)的技術(shù)管理提出了更高的要求。雖然各醫(yī)院采取了許多措施加強對醫(yī)院信息系統(tǒng)的管理，但由于多方面的原因，醫(yī)院信息中心已成為醫(yī)藥購銷領(lǐng)域商業(yè)賄賂的重點科室。特別是在醫(yī)療衛(wèi)生行業(yè)的藥品、器械銷售競爭日益激烈的大背景下，采用不正當?shù)募夹g(shù)手段滲透到醫(yī)療衛(wèi)生行業(yè)中來，一些醫(yī)院內(nèi)部工作人員與醫(yī)藥營銷人員內(nèi)外勾結(jié)，私自進行處方統(tǒng)計的行為，阻礙了醫(yī)療衛(wèi)生事業(yè)的改革和發(fā)展。醫(yī)院的用藥信息泄漏給醫(yī)藥營銷人員以此來獲取經(jīng)濟利益的商業(yè)賄賂行為，這種行為的存在

4、不僅嚴重干擾了正常的醫(yī)療秩序，而且也增加了患者的經(jīng)濟負擔(dān)，不利于和諧醫(yī)患關(guān)系的建設(shè)。從已發(fā)生的商業(yè)賄賂案件來看，醫(yī)藥代表通過醫(yī)院信息中心工作人員的“統(tǒng)方”來掌握某個藥品醫(yī)生每個月的實際處方量，是“統(tǒng)方”主要渠道。同時，衛(wèi)生部、中醫(yī)藥管理局針對部分醫(yī)務(wù)人員開單提成、收受“紅包”、藥品回扣等消極腐敗現(xiàn)象和不正之風(fēng)，發(fā)布了關(guān)于建立健全防控醫(yī)藥購銷領(lǐng)域商業(yè)賄賂長效機制的工作方案、關(guān)于開展醫(yī)藥購銷領(lǐng)域不正當交易行為自查自糾工作的指導(dǎo)意見，并成立了治理商業(yè)賄賂領(lǐng)導(dǎo)小組在全國范圍內(nèi)開展治理商業(yè)賄賂專項工作。為此，一場醫(yī)療行業(yè)的反商業(yè)賄賂風(fēng)暴，已經(jīng)逐步深入開展。在信息化條件下，部署數(shù)據(jù)庫審計產(chǎn)品，防范醫(yī)藥衛(wèi)生

5、行業(yè)中各從業(yè)人員利用計算機進行職務(wù)犯罪的問題，解決行業(yè)中審計手段隱蔽、不易取證等困難，成為醫(yī)療衛(wèi)生行業(yè)信息化工程中必不可少的組成部分。2 .需求分析隨著信息技術(shù)的發(fā)展，XXXB經(jīng)建立了比較完善的信息系統(tǒng)，數(shù)據(jù)庫中承載的信息越來越受到公司相關(guān)部門、領(lǐng)導(dǎo)的重視。同時數(shù)據(jù)庫中儲存著諸如XXX等極其重要和敏感的信息。這些信息一旦被篡改或者泄露，輕則造成企業(yè)或者社會的經(jīng)濟損失，重則影響企業(yè)形象甚至社會安全。通過對XXX勺深入調(diào)研，XXX面臨的安全隱患歸納如下：2.1. 內(nèi)部人員面臨的安全隱患隨著企業(yè)信息化進程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的安全問題變得日益突出起來。防火墻、

6、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于內(nèi)部人員的違規(guī)操作卻無能為力。2.2. 第三方維護人員的威脅企業(yè)在發(fā)展的過程中，因為戰(zhàn)略定位和人力等諸多原因，越來越多的會將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司。如何有效地管控設(shè)備廠商和代維人員的操作行為，并進行嚴格的審計是企業(yè)面臨的一個關(guān)鍵問題。2.3. 最高權(quán)限濫用風(fēng)險因為種種歷史遺留問題，并不是所有的信息系統(tǒng)都有嚴格的身份認證和權(quán)限劃分，權(quán)限劃分混亂，高權(quán)限賬號（比如DBA1號）共用等問題一直困擾著網(wǎng)絡(luò)管理人員，高權(quán)限賬號往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈，任何一個操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露，最高權(quán)限的濫用，讓數(shù)據(jù)

7、安全變得更加脆弱，也讓責(zé)任劃分和威脅追蹤變得更加困難。2.4. 違規(guī)行為無法控制的風(fēng)險管理人員總是試圖定義各種操作條例，來規(guī)范內(nèi)部員工的訪問行為，但是除了在造成惡性后果后追查責(zé)任人，沒有更好的方式來限制員工的合規(guī)操作。而事后追查，只能是亡羊補牢，損失已經(jīng)造成。2.5. 系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患我們經(jīng)常從各種系統(tǒng)日志里面去發(fā)現(xiàn)是否有入侵后留下來的“蛛絲馬跡”來判斷是否發(fā)生過安全事件。但是，系統(tǒng)往往是在經(jīng)歷了大量的操作和變化后，才逐漸變得不安全。另外的情況是，用戶通過登錄業(yè)務(wù)服務(wù)器來訪問數(shù)據(jù)庫等核心資產(chǎn)，單純的分析業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)庫系統(tǒng)的日志，都無法對整個訪問過程是否存在風(fēng)險進行判斷。從系統(tǒng)變更

8、和應(yīng)用的角度來看，網(wǎng)絡(luò)審計日志比系統(tǒng)日志在定位系統(tǒng)安全問題上更可信。2.6. 系統(tǒng)崩潰帶來審計結(jié)果的丟失一般來說，數(shù)據(jù)庫系統(tǒng)都會存儲操作日志，也能開啟審計模塊對訪問進行審計，但是一旦有意外發(fā)生導(dǎo)致系統(tǒng)的崩潰，這些審計日志也隨之消失，管理人員無法得知系統(tǒng)到底發(fā)生了什么。3 .審計系統(tǒng)設(shè)計方案3.1. 設(shè)計思路和原則圍繞數(shù)據(jù)庫的業(yè)務(wù)系統(tǒng)安全隱患如何得到有效解決，一直以來是IT治理人員和DBAf門關(guān)注的焦點。啟明星辰做為資深信息安全廠商，結(jié)合多年的安全研究經(jīng)驗，提出如下解決思路：管理層面：完善現(xiàn)有業(yè)務(wù)流程制度，明細人員職責(zé)和分工，規(guī)范內(nèi)部員工的日常操作，嚴格監(jiān)控第三方維護人員的操作。技術(shù)層面：除了在

9、業(yè)務(wù)網(wǎng)絡(luò)部署相關(guān)的信息安全防護產(chǎn)品（如FWIPS等），還需要專門針對數(shù)據(jù)庫部署獨立安全審計產(chǎn)品，對關(guān)鍵的數(shù)據(jù)庫操作行為進行審計，對統(tǒng)方行為進行審計，做到違規(guī)行為發(fā)生時及時告警，事故發(fā)生后精確溯源。不過，審計關(guān)鍵應(yīng)用程序和數(shù)據(jù)庫不是一項簡單工作。特別是數(shù)據(jù)庫系統(tǒng)，服務(wù)于各有不同權(quán)限的大量用戶，支持高事務(wù)處理率，還必須滿足苛刻的服務(wù)水平要求。商業(yè)數(shù)據(jù)庫軟件內(nèi)建的審計能力不能滿足獨立性的基本要求，還會降低數(shù)據(jù)庫性能并增加管理費用。啟明星辰天陰網(wǎng)絡(luò)安全審計系統(tǒng)，既能獨立審計針對數(shù)據(jù)庫的各種訪問行為，又不影響數(shù)據(jù)庫的高效穩(wěn)定運行。是專業(yè)的、有針對性的數(shù)據(jù)庫審計系統(tǒng)。該系統(tǒng)主要從以下7個方面進行設(shè)計考慮：

10、?實用性：由于業(yè)務(wù)系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫中進行集中存儲，故對于數(shù)據(jù)庫的操作審計需要細化到數(shù)據(jù)庫指令、表名、視圖、字段等，同時能夠?qū)徲嫈?shù)據(jù)庫返回的錯誤代碼，這樣能夠在數(shù)據(jù)庫出現(xiàn)關(guān)鍵錯誤時及時響應(yīng)，避免由于數(shù)據(jù)庫故障帶來的業(yè)務(wù)損失；能夠?qū)⒔y(tǒng)方所涉及到的藥品表、用戶賬號等進行翻譯，能夠直觀的給審計人員發(fā)現(xiàn)統(tǒng)方行為?獨立性：審計系統(tǒng)應(yīng)具備統(tǒng)一的策略、集中的審計，適用于不同的設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的審計要求，并對這些系統(tǒng)不造成影響.?靈活性：審計系統(tǒng)應(yīng)提供缺省的審計策略及自定義策略，能夠?qū)χ匾僮?、重要表、重要字段進行定義并審計，能夠根據(jù)用戶的業(yè)務(wù)特點進行策略的編輯。?易用性：審計系統(tǒng)應(yīng)能夠基于

11、操作進行分析，能夠提供主體標識（即用戶）、操作（行為）、客體標識（設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)）的分析和審計報表?擴展性：當業(yè)務(wù)系統(tǒng)進行擴容時，審計系統(tǒng)可以平滑擴容。系統(tǒng)支持向第三方平臺提供記錄的審計信息。?可靠性：審計系統(tǒng)能提供足夠的存儲空間（1000G以上），滿足在線存儲至少6個月的要求；審計系統(tǒng)能夠保證審計記錄的時間的一致性，避免錯誤時間記錄給追蹤溯源帶來的影響。?安全性：分權(quán)限管理，具有權(quán)限管理功能，可以對用戶分級，提供不同的操作權(quán)限和不同的網(wǎng)絡(luò)數(shù)據(jù)操作范圍限制，用戶只能在其權(quán)限內(nèi)對網(wǎng)絡(luò)數(shù)據(jù)進行審計和相關(guān)操作，具有自身安全審計功能。3.2. 系統(tǒng)設(shè)計原理天陰網(wǎng)絡(luò)安全審計系統(tǒng)基于

12、“IP數(shù)據(jù)俘獲一應(yīng)用層數(shù)據(jù)分析一審計和響應(yīng)”實現(xiàn)各項功能，設(shè)計中充分貫徹了平臺化的思路；由于采用旁路接入的工作模式，使得天陰系統(tǒng)在實現(xiàn)各種安全功能的同時，對原系統(tǒng)的影響降到最低。天陰網(wǎng)絡(luò)安全審計系統(tǒng)主要實現(xiàn)以下安全功能：?針對不同的應(yīng)用協(xié)議，提供基于應(yīng)用操作的審計；?提供數(shù)據(jù)庫操作語義解析審計，實現(xiàn)對違規(guī)行為的及時監(jiān)視和告警；?提供上百種合規(guī)規(guī)則，支持自定義規(guī)則（包括正則表達式等），實現(xiàn)靈活多樣的策略和響應(yīng)；?提供基于硬件令牌、靜態(tài)口令、Radius支持的強身份認證；?根據(jù)設(shè)定輸出不同的安全審計報告；3.3. 設(shè)計方案及系統(tǒng)配置核心數(shù)據(jù)庫Oracle系統(tǒng)通過主備方式接入網(wǎng)絡(luò)，設(shè)計采用配置一臺大

13、明審計數(shù)據(jù)中心，一臺天陰旁路審計引擎，一臺天明在線審計引擎。具體部署如下圖所示：天陰系統(tǒng)部署圖大明審計數(shù)據(jù)中心：部署一臺大明審計數(shù)據(jù)中心，該服務(wù)器具備一個2T的內(nèi)置RAID5存儲器，對大明網(wǎng)絡(luò)審計引擎進行管理和控制，實現(xiàn)對審計數(shù)據(jù)的存儲和分析。天明審計數(shù)據(jù)中心的管理端口需要接入網(wǎng)絡(luò)中，并分配一個合法的IP地址，以接收天陰管理控制臺的管理。大明審計數(shù)據(jù)中心的“管理端口”需要通過網(wǎng)絡(luò)方式與大明網(wǎng)絡(luò)審計引擎的“管理端口”進行連接。天明旁路審計引擎：部署一臺大明網(wǎng)絡(luò)審計引擎對核心交換機上的Oracle流量進行監(jiān)控和審計。天明網(wǎng)絡(luò)審計引擎配置兩個信息監(jiān)聽端口，該端口需要連接到被監(jiān)控交換機的“鏡像目的端口

14、”上，以獲取原始的通信信息，從而實現(xiàn)各種審計和控制功能。天陰網(wǎng)絡(luò)審計引擎需要設(shè)置一個“管理端口”，這個端口需要接入網(wǎng)絡(luò)，并分配一個合法的IP地址，以接收天明管理控制臺的管理。天明在線審計引擎：部署一臺天明旁路審計引擎，實現(xiàn)對運維區(qū)域的各種運維操作進行監(jiān)控、審計和阻斷，該引擎自帶Bypass支持，通常采用透明方式進行接入，對服務(wù)器端和終端用戶無影響。天明管理控制臺：在網(wǎng)絡(luò)中的任何一臺Windows計算機上采用瀏覽器進行管理。在本方案中同時部署了旁路審計引擎與在線審計引擎，這是因為這兩種引擎屬于互補關(guān)系，旁路審計引擎解決了在線審計引擎被繞過的風(fēng)險，在線審計引擎解決了旁路引擎無法實現(xiàn)加密協(xié)議審計和事

15、前阻斷的風(fēng)險，二者的關(guān)系如下：在線審計實現(xiàn)的基礎(chǔ)為“建立唯一訪問路徑，一切的行為均通過該路徑進行訪問”，也就是說需要將所有被審計運維訪問流量都要通過在線引擎才可以進行審計，這就牽涉到網(wǎng)絡(luò)結(jié)構(gòu)的變化或ACL的調(diào)整，在實際部署中，在線審計依賴外部設(shè)備的ACLS制（比如交換機或FW,一旦這些訪問控制設(shè)備出現(xiàn)問題或ACL不夠充分，就會存在繞過堡壘主機的操作行為，而此時這些繞過堡壘主機的行為是沒有被審計的，由于惡意攻擊者往往具備較高的技術(shù)水平，同時善于尋找安全系統(tǒng)的漏洞，故不完善的ACL控制會讓在線審計存在較大的部署風(fēng)險。而旁路審計實現(xiàn)的基礎(chǔ)為“一切網(wǎng)絡(luò)訪問行為均不可信”進行部署的，故所有可識別的操作均

16、被審計，這兩種審計部署方式存在著很強的互補性，通常都會一起部署，從而實現(xiàn)控制與審計的完美結(jié)合。3.4. 主要功能介紹3.4.1. 數(shù)據(jù)庫審計天明網(wǎng)絡(luò)安全審計系統(tǒng)能夠監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，實時地、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作，一般操作行為如數(shù)據(jù)庫的登錄，特定的操作如對數(shù)據(jù)庫表的插入、刪除、修改，執(zhí)行特定的存貯過程等，都能夠被記錄和分析，分析的內(nèi)容要求可以精確到SQLB作語句一級。并記錄這些操作的用戶名、機器IP地址、操作時間等重要信息。系統(tǒng)能夠?qū)Σ捎肙DBCJDBCOLE-DB命令行嵌入方式對數(shù)據(jù)庫的訪問進行審計和響應(yīng)。SQL®句的支持SQL9加法，主要包括以下

17、幾種類型的審計：DDLCreate,Drop,Grant,RevokeDMLUpdate,Insert,DeleteDCLCommit,Rollback,Savapoint其他：AlterSystem,Connect,Allocate存儲過程目前，天明網(wǎng)絡(luò)安全審計系統(tǒng)支持以下數(shù)據(jù)庫系統(tǒng)的審計，是業(yè)界支持數(shù)據(jù)庫種類最多的審計系統(tǒng)，能夠滿足不同用戶、不同發(fā)展階段情況下的數(shù)據(jù)庫審計需求：OracleSQL-ServerDB2InformixSybaseTeradataMysqlPostgreSQLCache人大金倉Kingbase數(shù)據(jù)庫達夢DMB據(jù)庫南大通用GBase數(shù)據(jù)庫3.4.2. 網(wǎng)絡(luò)運維審計

18、天明網(wǎng)絡(luò)安全審計系統(tǒng)支持常用的運維協(xié)議及文件傳輸協(xié)議，能夠全程記錄用戶在服務(wù)器上的各種操作。TelnetRloginFTPSCPSFTPX11NFS3.4.3. OA審計天明網(wǎng)絡(luò)安全審計系統(tǒng)支持HTTRPOP3SMTPNetbios的審計，能夠記錄網(wǎng)頁URL內(nèi)容、發(fā)件人、收件人、郵件內(nèi)容、網(wǎng)絡(luò)鄰居的各種操作等信息。3.4.4. 數(shù)據(jù)庫響應(yīng)時間及返回碼的審計天明網(wǎng)絡(luò)安全審計系統(tǒng)支持對SQLServer>DB2Oracle>Informix等數(shù)據(jù)庫系統(tǒng)的SQLB作響應(yīng)時間和返回碼的審計。通過對響應(yīng)時間和返回碼的審計，可以幫助用戶對數(shù)據(jù)庫的使用狀態(tài)全面掌握、及時響應(yīng)故障信息，特別是當新業(yè)

19、務(wù)系統(tǒng)上線、業(yè)務(wù)繁忙、業(yè)務(wù)模塊更新時，通過大明網(wǎng)絡(luò)安全審計系統(tǒng)對超長時間和關(guān)鍵返回碼進行審計并實時報警有助于提高業(yè)務(wù)系統(tǒng)的運營水平，降低數(shù)據(jù)庫故障等帶來的運維風(fēng)險。目前大陰網(wǎng)絡(luò)安全審計系統(tǒng)支持上述數(shù)據(jù)庫系統(tǒng)共計13000多種返回碼的知識庫供用戶快速查詢和定位問題。3.4.5. 業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián)當前業(yè)務(wù)系統(tǒng)普遍采用三層結(jié)構(gòu)：瀏覽器客戶端、Wet®務(wù)器/中間件、數(shù)據(jù)庫服務(wù)器。通常的流程是：用戶通過瀏覽器客戶端，利用自己的帳戶登錄Wet®務(wù)器，向服務(wù)器提交訪問數(shù)據(jù)；Web服務(wù)器根據(jù)用戶提交的數(shù)據(jù)構(gòu)造SQL語句，并利用唯一的帳戶訪問數(shù)據(jù)庫服務(wù)器，提交SQL語句，接收數(shù)據(jù)庫服務(wù)器返回

20、結(jié)果并返回給用戶。在這種基于Web勺業(yè)務(wù)行為訪問模式下，傳統(tǒng)的信息安全審計產(chǎn)品一般可審計從瀏覽器到Wet®務(wù)器的前臺訪問事件，以及從Wet®務(wù)器到數(shù)據(jù)庫服務(wù)器的后臺訪問事件。但由于后臺訪問事件采用的是唯一的帳戶，對每個后臺訪問事件，難以確定是哪個前臺訪問事件觸發(fā)了該事件。如果在后臺訪問事件中出現(xiàn)了越權(quán)訪問、惡意訪問等行為，難以定位到具體的前臺用戶上。舉一個一個典型的例子，內(nèi)部違規(guī)操作人員利用前臺的業(yè)務(wù)系統(tǒng)，以此作為跳板對后臺數(shù)據(jù)庫內(nèi)容進行了篡改和竊取，這種情況下，通常審計產(chǎn)品只能發(fā)現(xiàn)來自某個數(shù)據(jù)庫賬號，而無法判斷最終的發(fā)起源頭。啟明星辰研究人員實現(xiàn)HTTP操作和數(shù)據(jù)庫操作之

21、間的關(guān)聯(lián)計算，目前已經(jīng)申請專利。專利名稱為“一種Web服務(wù)器前后臺關(guān)聯(lián)審計方法和系統(tǒng)”，專利受理號碼：200710121669.6。三層關(guān)聯(lián)邏輯部署圖通過這種關(guān)聯(lián)分析技術(shù)，能夠?qū)徲嫯a(chǎn)品從基于事件的審計，逐漸升級為基于用戶業(yè)務(wù)行為的審計，在關(guān)聯(lián)分析過程中采用自動建模技術(shù)，可以將前臺Web#務(wù)操作和后臺數(shù)據(jù)庫操作行為進行對應(yīng)，并形成業(yè)務(wù)訪問行為模式庫，同時，在該技術(shù)的基礎(chǔ)上還可以進一步分析，發(fā)現(xiàn)可能的業(yè)務(wù)異常及SQL異常。3.4.6. 合規(guī)性規(guī)則和響應(yīng)天明網(wǎng)絡(luò)安全審計系統(tǒng)的審計和響應(yīng)功能可以簡單地描述為：“某個特定的服務(wù)（如FTRTelnet、SQL等）可以（或不可以）被某個特定的用戶（主機）怎

22、樣地訪問”,這使得它提供的審計和響應(yīng)具有很強的針對性和準確性。強大的數(shù)據(jù)庫規(guī)則系統(tǒng)能夠根據(jù)訪問數(shù)據(jù)庫的源程序名、登陸數(shù)據(jù)庫的賬號、數(shù)據(jù)庫命令、數(shù)據(jù)庫名、數(shù)據(jù)庫表名、數(shù)據(jù)庫字段名、數(shù)據(jù)庫字段值、數(shù)據(jù)庫返回碼等作為條件，對用戶關(guān)心的違規(guī)行為進行響應(yīng)，特別是針對重要表、重要字段的各種操作，能夠通過簡單的規(guī)則定義，實現(xiàn)精確審計，降低過多審計數(shù)據(jù)給管理員帶來的信息爆炸。定制審計事件規(guī)則天明網(wǎng)絡(luò)安全審計系統(tǒng)提供了事件規(guī)則用戶自定義模塊，允許用戶自行設(shè)定和調(diào)整各種安全審計事件的觸發(fā)條件與響應(yīng)策略。例如，用戶特別關(guān)注在telnet過程中出現(xiàn)rm、passwckshutdown等命令的行為，那么用戶就可以利用大

23、明網(wǎng)絡(luò)安全審計系統(tǒng)定義相應(yīng)的審計事件規(guī)則。這樣，天明網(wǎng)絡(luò)安全審計系統(tǒng)就可以針對網(wǎng)絡(luò)中發(fā)生的這些行為進行響應(yīng)?；跇I(yè)務(wù)特征的規(guī)則庫系統(tǒng)可以將審計員制定的多個符合業(yè)務(wù)特征的規(guī)則進行匯總、編輯和命名，形成具備某種業(yè)務(wù)特征的規(guī)則寫入用戶自定義的規(guī)則庫。這樣，審計員在針對某個特定業(yè)務(wù)用戶制定審計策略時，可以直觀地使用自命名的規(guī)則進行設(shè)置，方便了各種策略的制定和查詢。特定賬號行為跟蹤系統(tǒng)能夠?qū)崿F(xiàn)對“用戶網(wǎng)絡(luò)環(huán)境中出現(xiàn)的特定賬號或特定賬號執(zhí)行某種操作后”的場景進行賬號跟蹤，提供對后繼會話和事件的審計。這樣，管理員能夠?qū)Τ霈F(xiàn)在網(wǎng)絡(luò)中的特權(quán)賬號，比如root、DBA等，進行重點的監(jiān)控，特別是哪些本不應(yīng)出現(xiàn)在網(wǎng)絡(luò)

24、上的特權(quán)賬號突然出現(xiàn)的事件。多編碼環(huán)境支持天明網(wǎng)絡(luò)安全審計系統(tǒng)適用于多種應(yīng)用環(huán)境，特別是在異構(gòu)環(huán)境中，比如舊MAS/400通常采用EBCDI編碼方式實現(xiàn)telnet協(xié)議的傳輸、某些數(shù)據(jù)庫同時采用幾種編碼與客戶端進行通訊，若系統(tǒng)不能識別多種編碼，會導(dǎo)致審計數(shù)據(jù)出現(xiàn)亂碼，對多編碼的支持是衡量審計系統(tǒng)環(huán)境適應(yīng)性的重要指標之一，目前大陰網(wǎng)絡(luò)安全審計系統(tǒng)支持如下編碼格式ASCIIUnicodeUTF-8UTF-16GB2312EBCDIC多種響應(yīng)方式天明網(wǎng)絡(luò)安全審計系統(tǒng)提供了多種響應(yīng)方式，包括：在大明審計服務(wù)器中記錄相應(yīng)的操作過程；在日常審計報告中標注；向大明管理控制臺發(fā)出告警信息；實時阻斷會話連接；管

25、理人員通過本系統(tǒng)手工RST®斷會話連接；通過Syslog方式進行告警通過SNMPTrap方式進行告警通過郵件方式進行告警實時跟蹤和回放管理員可以通過審計顯示中心實時地跟蹤一個或多個網(wǎng)絡(luò)連接，通過系統(tǒng)提供的“時標”清晰地顯示不同網(wǎng)絡(luò)連接中每個操作的先后順序及操作結(jié)果，當發(fā)現(xiàn)可疑的操作或訪問時，可以實時阻斷當前的訪問。管理員也可以從審計數(shù)據(jù)中心中提取審計數(shù)據(jù)對通信過程進行回放，便于分析和查找系統(tǒng)安全問題，并以次為依據(jù)制定更符合業(yè)務(wù)特征和系統(tǒng)安全需求的安全規(guī)則和策略。3.4.7. 審計報告輸出天明審計系統(tǒng)從安全管理的角度出發(fā)，設(shè)計一套完善的審計報告輸出機制。多種篩選條件天明網(wǎng)絡(luò)安全審計系統(tǒng)

26、提供了強大、靈活的篩選條件設(shè)置機制。在設(shè)置篩選條件時，審計員可基于以下要素的組合進行設(shè)置：時間、客戶端IP、客戶端端口號、服務(wù)端IP、服務(wù)端端口、關(guān)鍵字、事件級別、引擎名、業(yè)務(wù)用戶身份、資源賬號等條件。審計員可根據(jù)需要靈活地設(shè)置審計報表的各種要素，迅速生成自己希望看到的審計內(nèi)容。同時系統(tǒng)提供了報表模板功能，審計員無需重復(fù)輸入，只需要設(shè)置模板后，即可按模板進行報表生成。命令及字段智能分析系統(tǒng)能夠根據(jù)審計協(xié)議的類型進行命令和字段的自動提取，用戶可以選擇提取后的命令或字段作為重點對象進行分析。針對數(shù)據(jù)庫類協(xié)議，可分析并形成數(shù)據(jù)庫名、表名、命令等列表；針對運維類協(xié)議，可分析并形成命令等列表；針對文件操

27、作類協(xié)議，可分析并形成文件名、操作命令等列表；通過該功能，可以簡化用戶對審計數(shù)據(jù)的分析過程，大大提高分析的效率。宏觀事件到微觀事件鉆取天明網(wǎng)絡(luò)安全審計系統(tǒng)提供了從宏觀報表到微觀事件的關(guān)聯(lián)，審計員可以在統(tǒng)計報表、取證報表中查看宏觀的審計數(shù)據(jù)統(tǒng)計信息，通過點擊相應(yīng)鏈接即可逐步下探到具體的審計事件。自動任務(wù)支持天陰網(wǎng)絡(luò)安全系統(tǒng)提供報表任務(wù)功能，審計員可根據(jù)實際情況定制報表生成任務(wù)；系統(tǒng)支持HTMLEXCELCSVPDFWord等多種文檔格式的報表輸出，可以通過郵件方式自動發(fā)送給審計員。數(shù)據(jù)和報表備份天明網(wǎng)絡(luò)安全審計系統(tǒng)提供了審計數(shù)據(jù)和報表的手動和自動備份功能，可以將壓縮后的數(shù)據(jù)自動傳輸?shù)街付ǖ腇TP

28、服務(wù)器，提供每天、每周、每月、時刻的定義方式。3.4.8. 自身管理安全管理天明網(wǎng)絡(luò)安全審計系統(tǒng)的管理控制中心提供了集中的管理控制界面，審計員通過管理控制臺就能管理和綜合分析所有審計引擎的審計信息和狀態(tài)信息，并形成審計報表。天明網(wǎng)絡(luò)安全審計系統(tǒng)支持權(quán)限分級管理模式，可對不同的角色設(shè)定不同的管理權(quán)限。例如，超級管理員擁有所有的管理權(quán)限；而某些普通管理員則可能僅擁有查看審計報表的權(quán)限，某些管理員可以擁有設(shè)置審計策略或安全規(guī)則的權(quán)限。系統(tǒng)提供專門的自身審計日志，記錄所有人員對天明系統(tǒng)的操作，方便審計員對日志進行分析和查看。狀態(tài)管理天明網(wǎng)絡(luò)安全審計系統(tǒng)提供CPU內(nèi)存、磁盤狀態(tài)、網(wǎng)口等運行信息，管理員可

29、以很輕松的通過GUI界面實現(xiàn)對審計數(shù)據(jù)中心、審計引擎的工作狀態(tài)進行查看。當出現(xiàn)錯誤信息時，比如Raid故障、磁盤空間不足、引擎連接問題，系統(tǒng)可自動郵件通知相關(guān)管理人員。時間同步管理天明網(wǎng)絡(luò)安全審計系統(tǒng)提供手工和NTP兩種時間同步方式，通過對全系統(tǒng)自身的時間同步，保證了審計數(shù)據(jù)時間戳的精確性，避免了審計事件時間誤差給事后審計分析工作帶來的影響，提升了工作效率。3.4.9. 系統(tǒng)安全性設(shè)計在天陰系統(tǒng)的設(shè)計中采用了嚴密的系統(tǒng)安全性設(shè)計，主要體系在以下幾個方面:1 .操作系統(tǒng)安全性設(shè)計：天陰系統(tǒng)采用經(jīng)裁減、加固的Linux操作系統(tǒng)。在設(shè)計過程中，結(jié)合天陰系統(tǒng)的功能要求和我公司在操作系統(tǒng)安全方面的技術(shù)和

30、經(jīng)驗，對Linux進行了精心的裁減和加固，包括補丁修補，取消危險的、無用的服務(wù)等。2 .數(shù)據(jù)庫安全性設(shè)計：大明審計數(shù)據(jù)中心審計服務(wù)器的數(shù)據(jù)庫是啟明星辰根據(jù)大明系統(tǒng)的功能要求自行設(shè)計的，在設(shè)計時已經(jīng)充分考慮了安全性方面的問題。3 .模塊間的通信：各功能模塊之間的通信均采用專門設(shè)計的通信協(xié)議，這些通信協(xié)議在設(shè)計時均采用了諸如CA認證、編碼、簽名、加密等安全技術(shù)。對于遠程維護，則采用了SSHfe密傳輸協(xié)議。在產(chǎn)品出廠測試階段，還將進行諸如漏洞掃描之類的安全性測試，因此，我們認為天明系統(tǒng)具有很高的安全性。3.5. 負面影響評價天陰系統(tǒng)基于“IP數(shù)據(jù)俘獲一應(yīng)用層數(shù)據(jù)分析一審計和響應(yīng)”實現(xiàn)各項功能。在具體

31、實現(xiàn)時，無需在網(wǎng)絡(luò)通路中“跨接”任何硬件設(shè)備，也不需要在審計對象中安裝“審計代理”，因此，天陰系統(tǒng)的安裝使用，不會對原系統(tǒng)造成任何性能、穩(wěn)定性方面的影響。天陰系統(tǒng)的硬件設(shè)備由“大明審計數(shù)據(jù)中心”和“天明網(wǎng)絡(luò)審計引擎”構(gòu)成。其中，大明審計數(shù)據(jù)中心象一臺主機設(shè)備一樣安裝用戶的系統(tǒng)中,只需要為大明審計數(shù)據(jù)中心分配合法的IP地址就可以了。因此，該設(shè)備不會對原系統(tǒng)造成任何性能、功能、可靠性、安全性方面的影響。天明網(wǎng)絡(luò)審計引擎需要安裝在核心交換機的鏡像端口上，用于俘獲來往于后臺主機和前臺操作人員之間的通信數(shù)據(jù)，然后通過對這些通信數(shù)據(jù)的解析、匹配，達到審計和命令控制的目的。同時，天明網(wǎng)絡(luò)審計引擎實時地將俘獲的原始數(shù)據(jù)傳遞給進行進一步的分析處理和存儲。當天明網(wǎng)絡(luò)審計引擎發(fā)現(xiàn)違反規(guī)定的登錄或操作命令時，會同時向該TCP會話的服務(wù)器和客戶端發(fā)出“關(guān)閉TCP會話”的IP報，從而達到阻斷的目的。這種“關(guān)閉TCP會話”的IP報是由大明網(wǎng)絡(luò)審計引擎?zhèn)卧欤⒅苯酉蚍?wù)器和客戶端發(fā)送的，不需要網(wǎng)絡(luò)設(shè)備的支持；而