數(shù)據(jù)庫(kù)審計(jì)專(zhuān)項(xiàng)方案

數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制處理方案1概述1.1數(shù)據(jù)庫(kù)面臨安全挑戰(zhàn)數(shù)據(jù)庫(kù)是企業(yè)關(guān)鍵業(yè)務(wù)開(kāi)展過(guò)程中最含有戰(zhàn)略性資產(chǎn)，通常全部保留著關(guān)鍵商業(yè)伙伴和用戶信息，這些信息需要被保護(hù)起來(lái)，以預(yù)防競(jìng)爭(zhēng)者和其它非法者獲取?；ヂ?lián)網(wǎng)急速發(fā)展使得企業(yè)數(shù)據(jù)庫(kù)信息價(jià)值及可訪問(wèn)性得到了提升，同時(shí)，也致使數(shù)據(jù)庫(kù)信息資產(chǎn)面臨嚴(yán)峻挑戰(zhàn)，概括起來(lái)關(guān)鍵表現(xiàn)在以下三個(gè)層面：管理層面：關(guān)鍵表現(xiàn)為人員職責(zé)、步驟有待完善，內(nèi)部職員日常操作有待規(guī)范，第三方維護(hù)人員操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無(wú)法追溯并定位真實(shí)操作者。技術(shù)層面：現(xiàn)有數(shù)據(jù)庫(kù)內(nèi)部操作不明，無(wú)法經(jīng)過(guò)外部任何安全工具(比如：防火墻、IDS、IPS等)來(lái)阻止內(nèi)部用戶惡意操作、濫用資源和泄露企業(yè)機(jī)密信息等行為。審計(jì)層面：現(xiàn)有依靠于數(shù)據(jù)庫(kù)日志文件審計(jì)方法，存在很多弊端,比如:數(shù)據(jù)庫(kù)審計(jì)功效開(kāi)啟會(huì)影響數(shù)據(jù)庫(kù)本身性能、數(shù)據(jù)庫(kù)日志文件本身存在被篡改風(fēng)險(xiǎn)，難于表現(xiàn)審計(jì)信息真實(shí)性。伴伴隨數(shù)據(jù)庫(kù)信息價(jià)值和可訪問(wèn)性提升，使得數(shù)據(jù)庫(kù)面對(duì)來(lái)自內(nèi)部和外部安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵造成機(jī)密信息竊取泄漏，但事后卻無(wú)法有效追溯和審計(jì)。1.2數(shù)據(jù)庫(kù)審計(jì)客觀需求數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制目標(biāo)概括來(lái)說(shuō)關(guān)鍵是三個(gè)方面：一是確保數(shù)據(jù)完整性;二是讓管理者全方面了解數(shù)據(jù)庫(kù)實(shí)際發(fā)生情況;三是在可疑行為發(fā)生時(shí)能夠自動(dòng)開(kāi)啟預(yù)先設(shè)置告警步驟，防范數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)發(fā)生。所以，怎樣采取一個(gè)可信賴綜合路徑，確保數(shù)據(jù)庫(kù)活動(dòng)統(tǒng)計(jì)100%捕捉是極為關(guān)鍵，任何一個(gè)遺漏關(guān)鍵活動(dòng)行為，全部會(huì)造成數(shù)據(jù)庫(kù)安全上錯(cuò)誤判定，而且干擾數(shù)據(jù)庫(kù)在運(yùn)行時(shí)性能。只有充足了解企業(yè)對(duì)數(shù)據(jù)庫(kù)安全審計(jì)客觀需求，才能夠給出行之有效處理方案：捕捉數(shù)據(jù)訪問(wèn)：不管在什么時(shí)間、以什么方法、只要數(shù)據(jù)被修改或查看了就需要自動(dòng)對(duì)其進(jìn)行追蹤;捕捉數(shù)據(jù)庫(kù)配置改變：當(dāng)“數(shù)據(jù)庫(kù)表結(jié)構(gòu)、控制數(shù)據(jù)訪問(wèn)權(quán)限和數(shù)據(jù)庫(kù)配置模式”等發(fā)生改變時(shí)，需要進(jìn)行自動(dòng)追蹤;自動(dòng)防御：當(dāng)探測(cè)到值得注意情況時(shí)，需要自動(dòng)開(kāi)啟事先設(shè)置告警策略，方便數(shù)據(jù)庫(kù)安全管理員立即采取有效應(yīng)對(duì)方法，對(duì)于嚴(yán)重影響業(yè)務(wù)運(yùn)行高風(fēng)險(xiǎn)行為甚至能夠立即阻斷;審計(jì)策略靈活配置和管理：提供一個(gè)直截了當(dāng)方法來(lái)配置全部目標(biāo)服務(wù)器審計(jì)形式、具體說(shuō)明關(guān)注活動(dòng)和風(fēng)險(xiǎn)來(lái)臨時(shí)采取動(dòng)作;審計(jì)統(tǒng)計(jì)管理：將從多個(gè)層面追蹤到信息自動(dòng)整合到一個(gè)便于管理，長(zhǎng)久通用數(shù)據(jù)存放中，且這些數(shù)據(jù)需要獨(dú)立于被審計(jì)數(shù)據(jù)庫(kù)本身;靈活匯報(bào)生成：臨時(shí)和周期性地以多種格式輸出審計(jì)分析結(jié)果，用于顯示、打印和傳輸;1.3現(xiàn)有數(shù)據(jù)庫(kù)審計(jì)處理方案不足傳統(tǒng)審計(jì)方案，或多或少存在部分缺點(diǎn)，關(guān)鍵表現(xiàn)在以下多個(gè)方面：傳統(tǒng)網(wǎng)絡(luò)安全方案：依靠傳統(tǒng)網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)(IPS)，在網(wǎng)絡(luò)中檢驗(yàn)并實(shí)施數(shù)據(jù)庫(kù)訪問(wèn)控制策略。不過(guò)網(wǎng)絡(luò)防火墻只能實(shí)現(xiàn)對(duì)IP地址、端口及協(xié)議訪問(wèn)控制，無(wú)法識(shí)別特定用戶具體數(shù)據(jù)庫(kù)活動(dòng)(比如：某個(gè)用戶使用數(shù)據(jù)庫(kù)用戶端刪除某張數(shù)據(jù)庫(kù)表);而IPS即使能夠依靠特征庫(kù)有限阻止數(shù)據(jù)庫(kù)軟件已知漏洞攻擊，但她一樣無(wú)法判別具體數(shù)據(jù)庫(kù)用戶活動(dòng)，更談不上細(xì)粒度審計(jì)。所以，不管是防火墻，還是IPS全部不能處理數(shù)據(jù)庫(kù)特權(quán)濫用等問(wèn)題?；谌罩舅鸭桨福盒枰獢?shù)據(jù)庫(kù)軟件本身開(kāi)啟審計(jì)功效，經(jīng)過(guò)采集數(shù)據(jù)庫(kù)系統(tǒng)日志信息方法形成審計(jì)匯報(bào)，這么審計(jì)方案受限于數(shù)據(jù)庫(kù)審計(jì)日志功效和訪問(wèn)控制功效，在審計(jì)深度、審計(jì)響應(yīng)實(shí)時(shí)性方面全部難以取得很好審計(jì)效果。同時(shí)，開(kāi)啟數(shù)據(jù)庫(kù)審計(jì)功效，首先會(huì)增加數(shù)據(jù)庫(kù)服務(wù)器資源消耗，嚴(yán)重影響數(shù)據(jù)庫(kù)性能;其次審計(jì)信息真實(shí)性、完整性也無(wú)法確保。其它諸如應(yīng)用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認(rèn)證系統(tǒng)授權(quán)等等方法，均只能統(tǒng)計(jì)有限信息，愈加無(wú)法提供細(xì)料度數(shù)據(jù)庫(kù)操作審計(jì)。1.4本方案處理數(shù)據(jù)庫(kù)安全問(wèn)題為了處理企業(yè)數(shù)據(jù)庫(kù)安全領(lǐng)域深層次、應(yīng)用及業(yè)務(wù)邏輯層面安全問(wèn)題及審計(jì)需求，杭州安恒信息技術(shù)依靠其對(duì)入侵檢測(cè)技術(shù)深入研究及安全服務(wù)團(tuán)體積累數(shù)據(jù)庫(kù)安全知識(shí)，研制并成功推出了全球領(lǐng)先、面向企業(yè)關(guān)鍵數(shù)據(jù)庫(kù)、集“全方位風(fēng)險(xiǎn)評(píng)定、多視角訪問(wèn)控制、深層次審計(jì)匯報(bào)”于一體數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制設(shè)備，即明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)，為企業(yè)關(guān)鍵數(shù)據(jù)庫(kù)提供全方位安全防護(hù)。在企業(yè)業(yè)務(wù)支撐網(wǎng)絡(luò)中布署了明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)，能夠?qū)崿F(xiàn)企業(yè)關(guān)鍵數(shù)據(jù)庫(kù)“系統(tǒng)運(yùn)行可視化、日常操作可跟蹤、安全事件可判定”目標(biāo)，處理企業(yè)數(shù)據(jù)庫(kù)所面臨管理層面、技術(shù)層面、審計(jì)層面三大風(fēng)險(xiǎn),以滿足企業(yè)不停增加業(yè)務(wù)需要。明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)對(duì)于企業(yè)數(shù)據(jù)庫(kù)安全防護(hù)功效，概括起來(lái)表現(xiàn)在以下三個(gè)方面：首先：明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)采取“網(wǎng)絡(luò)抓包、當(dāng)?shù)夭僮鲗徲?jì)”組合工作模式，結(jié)合安恒專(zhuān)用硬件加速卡，確保數(shù)據(jù)庫(kù)訪問(wèn)100%完整統(tǒng)計(jì)，為后續(xù)日常操作跟蹤、安全事件判定奠定了基礎(chǔ)。其次：明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)經(jīng)過(guò)專(zhuān)利級(jí)雙引擎技術(shù)，首先利用數(shù)據(jù)庫(kù)安全研究團(tuán)體多年積累安全知識(shí)庫(kù)，預(yù)防無(wú)意危險(xiǎn)誤操作，阻止數(shù)據(jù)庫(kù)軟件漏洞引發(fā)惡意攻擊;其次，依靠智能自學(xué)習(xí)過(guò)程中動(dòng)態(tài)創(chuàng)建安全模型和異常引擎相結(jié)合，有效控制越權(quán)操作、違規(guī)操作等異常操作行為。再者：明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)依靠其獨(dú)特?cái)?shù)據(jù)庫(kù)安全策略庫(kù)，能夠深入到應(yīng)用層協(xié)議(如操作命令、數(shù)據(jù)庫(kù)對(duì)象、業(yè)務(wù)操作過(guò)程)實(shí)現(xiàn)細(xì)料度安全審計(jì)，并依據(jù)事先設(shè)置安全策略采取諸如產(chǎn)生告警統(tǒng)計(jì)、發(fā)送告警郵件(或短信)、提升風(fēng)險(xiǎn)等級(jí)、加入黑名單、立即阻斷等響應(yīng)。同時(shí)，明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)能夠提供多視角審計(jì)匯報(bào)，即依據(jù)實(shí)時(shí)統(tǒng)計(jì)網(wǎng)絡(luò)訪問(wèn)情況，提供多個(gè)安全審計(jì)匯報(bào)，更清楚地了解系統(tǒng)使用情況和安全事件發(fā)生情況，并可依據(jù)這些安全審計(jì)匯報(bào)深入修改和完善數(shù)據(jù)庫(kù)安全策略庫(kù)。2方案總體結(jié)構(gòu)2.1關(guān)鍵功效以下圖所表示，數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)關(guān)鍵功效模塊包含“靜態(tài)審計(jì)、實(shí)時(shí)監(jiān)控和風(fēng)險(xiǎn)控制、動(dòng)態(tài)審計(jì)(全方位、細(xì)粒度)、審計(jì)報(bào)表、安全事件回放、審計(jì)對(duì)象管理、系統(tǒng)配置管理管理”多個(gè)部分。2.1.1數(shù)據(jù)庫(kù)靜態(tài)審計(jì)數(shù)據(jù)庫(kù)靜態(tài)審計(jì)目標(biāo)是替換繁瑣手工檢驗(yàn),預(yù)防安全事件發(fā)生。數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)依靠其權(quán)威性數(shù)據(jù)庫(kù)安全規(guī)則庫(kù)，自動(dòng)完成對(duì)幾百種不妥數(shù)據(jù)庫(kù)不安全配置、潛在弱點(diǎn)、數(shù)據(jù)庫(kù)用戶弱口令、數(shù)據(jù)庫(kù)軟件補(bǔ)丁、數(shù)據(jù)庫(kù)潛藏木馬等等靜態(tài)審計(jì)，經(jīng)過(guò)靜態(tài)審計(jì)，能夠?yàn)楹罄m(xù)動(dòng)態(tài)防護(hù)和審計(jì)安全策略設(shè)置提供有力依據(jù)。2.1.2實(shí)時(shí)監(jiān)控和風(fēng)險(xiǎn)控制數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)可保護(hù)業(yè)界主流數(shù)據(jù)庫(kù)系統(tǒng)，預(yù)防受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等侵害。當(dāng)用戶和數(shù)據(jù)庫(kù)進(jìn)行交互時(shí)，數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)會(huì)自動(dòng)依據(jù)預(yù)設(shè)置風(fēng)險(xiǎn)控制策略，結(jié)合對(duì)數(shù)據(jù)庫(kù)活動(dòng)實(shí)時(shí)監(jiān)控信息，進(jìn)行特征檢測(cè)及審計(jì)規(guī)則檢測(cè)，任何嘗試攻擊或違反審計(jì)規(guī)則操作全部會(huì)被檢測(cè)到并實(shí)時(shí)阻斷或告警。2.1.3數(shù)據(jù)庫(kù)動(dòng)態(tài)審計(jì)數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)基于“數(shù)據(jù)捕捉→應(yīng)用層數(shù)據(jù)分析→監(jiān)控、審計(jì)和響應(yīng)”模式提供各項(xiàng)安全功效，使得它審計(jì)功效大大優(yōu)于基于日志搜集審計(jì)系統(tǒng)，經(jīng)過(guò)搜集一系列極其豐富審計(jì)數(shù)據(jù)，結(jié)合細(xì)粒度審計(jì)規(guī)則、以滿足對(duì)敏感信息特殊保護(hù)需求。數(shù)據(jù)庫(kù)動(dòng)態(tài)審計(jì)能夠根本擺脫數(shù)據(jù)庫(kù)黑匣子狀態(tài)，提供4W(who/when/where/what)審計(jì)數(shù)據(jù)。經(jīng)過(guò)實(shí)時(shí)監(jiān)測(cè)并智能地分析、還原多種數(shù)據(jù)庫(kù)操作，解析數(shù)據(jù)庫(kù)登錄、注銷(xiāo)、插入、刪除、存放過(guò)程實(shí)施等操作，還原SQL操作語(yǔ)句;跟蹤數(shù)據(jù)庫(kù)訪問(wèn)過(guò)程中全部細(xì)節(jié)，包含用戶名、數(shù)據(jù)庫(kù)操作類(lèi)型、所訪問(wèn)數(shù)據(jù)庫(kù)表名、字段名、操作實(shí)施結(jié)果、數(shù)據(jù)庫(kù)操作內(nèi)容取值等。全方位數(shù)據(jù)庫(kù)活動(dòng)審計(jì)：實(shí)時(shí)監(jiān)控來(lái)自各個(gè)層面全部數(shù)據(jù)庫(kù)活動(dòng)。如：來(lái)自應(yīng)用程序提議數(shù)據(jù)庫(kù)操作請(qǐng)求、來(lái)自數(shù)據(jù)庫(kù)用戶端工具操作請(qǐng)求、來(lái)自數(shù)據(jù)庫(kù)管理人員遠(yuǎn)程登錄數(shù)據(jù)庫(kù)服務(wù)器產(chǎn)生操作請(qǐng)求等。完整雙向?qū)徲?jì)：除可實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)請(qǐng)求操作以外，還能夠?qū)崟r(shí)監(jiān)控全部請(qǐng)求操作后數(shù)據(jù)庫(kù)回應(yīng)信息，如命令實(shí)施情況，錯(cuò)誤信息等。潛在危險(xiǎn)活動(dòng)關(guān)鍵審計(jì)：提供對(duì)DDL類(lèi)操作、DML類(lèi)操作關(guān)鍵審計(jì)功效，關(guān)鍵審計(jì)規(guī)則審計(jì)要素能夠包含：用戶、源IP地址、操作時(shí)間(任意天、一天中時(shí)間、星期中天數(shù)、月中天數(shù))、使用SQL操作類(lèi)型(Select/Delete/Drop/Insert/Update)。當(dāng)某個(gè)數(shù)據(jù)庫(kù)活動(dòng)匹配了事先定義關(guān)鍵審計(jì)規(guī)則時(shí)，一條報(bào)警將被統(tǒng)計(jì)以進(jìn)行審計(jì)。關(guān)鍵審計(jì)規(guī)則設(shè)置：關(guān)鍵審計(jì)結(jié)果展示：敏感信息細(xì)粒度審計(jì)：對(duì)業(yè)務(wù)系統(tǒng)關(guān)鍵信息，提供完全自定義、正確到字段及統(tǒng)計(jì)內(nèi)容細(xì)粒度審計(jì)功效。自定義審計(jì)要素包含登錄用戶、源IP地址、數(shù)據(jù)庫(kù)對(duì)象(分為數(shù)據(jù)庫(kù)用戶、表、字段)、操作時(shí)間段(本日、本周、本月、最近三小時(shí)、最近十二小時(shí)、最近二十四小時(shí)、最近七天、最近三十天、任意時(shí)間段)、使用SQL操作類(lèi)型(select/delete/drop/insert/update/create/turncate)、統(tǒng)計(jì)內(nèi)容。依據(jù)操作類(lèi)型及統(tǒng)計(jì)內(nèi)容進(jìn)行細(xì)粒度審計(jì)：細(xì)粒度審計(jì)結(jié)果展示：遠(yuǎn)程ftp操作審計(jì)和回放：對(duì)發(fā)生在數(shù)據(jù)庫(kù)服務(wù)器上ftp命令進(jìn)行實(shí)時(shí)監(jiān)控、審計(jì)及回放。審計(jì)要素包含：ftp用戶、ftp用戶端IP地址、命令實(shí)施時(shí)間段(本日、本周、本月、最近三小時(shí)、最近十二小時(shí)、最近二十四小時(shí)、最近七天、最近三十天、任意時(shí)間段)、實(shí)施ftp命令(get/put/ls等等)。自定義ftp操作審計(jì)：ftp審計(jì)結(jié)果展示：ftp回放：遠(yuǎn)程telnet操作審計(jì)和回放：對(duì)發(fā)生在數(shù)據(jù)庫(kù)服務(wù)器上Telnet命令進(jìn)行實(shí)時(shí)監(jiān)控、審計(jì)及回放。審計(jì)要素包含：telnet用戶、telnet用戶端IP地址、命令實(shí)施時(shí)間段(本日、本周、本月、最近三小時(shí)、最近十二小時(shí)、最近二十四小時(shí)、最近七天、最近三十天、任意時(shí)間段)、telnet登錄后實(shí)施系統(tǒng)命令(login/pwd/root等等)。自定義telnet操作審計(jì)：telnet操作審計(jì)結(jié)果展示：會(huì)話分析和查看：?jiǎn)蝹€(gè)離散操作(Sql操作、ftp命令、telnet命令)還不足于了解用戶真實(shí)意圖，一連串操作所組成一個(gè)完整會(huì)話展現(xiàn)，能夠愈加清楚地判定用戶意圖(違規(guī)\粗心\惡意)。Telent操作審計(jì)會(huì)話查看：2.1.4審計(jì)報(bào)表數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)內(nèi)嵌了功效強(qiáng)大報(bào)表模塊，除了按安全經(jīng)驗(yàn)、行業(yè)需求分類(lèi)預(yù)定義固定格式報(bào)表外，管理員還能夠利用報(bào)表自定義功效生成定制化匯報(bào)。匯報(bào)模塊同時(shí)支持Word、Excel、PowerPoint、Pdf格式數(shù)據(jù)導(dǎo)出。系統(tǒng)缺省提供以下報(bào)表：數(shù)據(jù)庫(kù)攻擊源統(tǒng)計(jì)示意圖：數(shù)據(jù)庫(kù)操作審計(jì)示意：同時(shí)提供靈活格式報(bào)表功效，能夠方便依據(jù)業(yè)務(wù)邏輯來(lái)動(dòng)態(tài)格式化報(bào)表元素，提供強(qiáng)大樣式定義，對(duì)于熟悉CSS設(shè)計(jì)人員來(lái)說(shuō)，能夠設(shè)計(jì)出相當(dāng)出色報(bào)表樣式。2.1.5安全事件回放許可安全管理員提取歷史數(shù)據(jù)，對(duì)過(guò)去某一時(shí)段事件進(jìn)行回放，真實(shí)展現(xiàn)當(dāng)初完整操作過(guò)程，便于分析和追溯系統(tǒng)安全問(wèn)題。很多安全事件或和之關(guān)聯(lián)事件在發(fā)生一段時(shí)間后才引發(fā)對(duì)應(yīng)人工處理,這個(gè)時(shí)候,作為獨(dú)立審計(jì)數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)就發(fā)揮尤其作用.因?yàn)槿縁TP、telnet、用戶端連接等事件全部保留后臺(tái)(包含相關(guān)告警),對(duì)相關(guān)事件做定位查詢，縮小范圍，使得追溯變得輕易;同時(shí)因?yàn)檫@是獨(dú)立監(jiān)控審計(jì)模式,使得相關(guān)證據(jù)更含有公證性。Sql操作回放示意圖：telnet命令回放示意圖：2.1.6綜合管理數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)提供WEB-base管理頁(yè)面，數(shù)據(jù)庫(kù)安全管理員在不需要安裝任何用戶端軟件情況下，基于標(biāo)準(zhǔn)瀏覽器即可完成對(duì)數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)相關(guān)配置管理，關(guān)鍵包含“審計(jì)對(duì)象管理、系統(tǒng)管理、用戶管理、功效配置、風(fēng)險(xiǎn)查詢”等。下圖為審計(jì)對(duì)象配置示意圖：下圖為系統(tǒng)配置示意圖：下圖為風(fēng)險(xiǎn)查詢示意圖：2.2審計(jì)步驟明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)步驟以下圖所表示：2.2.1審計(jì)數(shù)據(jù)采集明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)審計(jì)數(shù)據(jù)采集方法包含：網(wǎng)絡(luò)抓包、當(dāng)?shù)夭僮鲗徲?jì)，采集內(nèi)容關(guān)鍵包含：賬號(hào)登錄行為數(shù)據(jù)：采集對(duì)賬號(hào)登錄動(dòng)作審計(jì)。具體包含：賬號(hào)名稱(chēng)、登錄成功或登錄失敗、用戶終端IP/ID、登錄時(shí)間等;對(duì)異常動(dòng)作審計(jì)統(tǒng)計(jì)，應(yīng)統(tǒng)計(jì)越權(quán)企圖、用戶終端IP/ID、登錄時(shí)間等;賬號(hào)登錄后多種操作統(tǒng)計(jì)，統(tǒng)計(jì)多種操作操作人員、操作時(shí)間、操作內(nèi)容，具體包含：對(duì)數(shù)據(jù)庫(kù)通常操作統(tǒng)計(jì);對(duì)關(guān)鍵數(shù)據(jù)操作統(tǒng)計(jì);數(shù)據(jù)庫(kù)特殊命令操作統(tǒng)計(jì)明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)對(duì)審計(jì)數(shù)據(jù)采集大多數(shù)情況下是經(jīng)過(guò)網(wǎng)絡(luò)獲取，因?yàn)槠洳扇×藢?zhuān)用硬件加速接口卡，能夠在千兆環(huán)境下線速捕捉，所以確保了明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)含有交換機(jī)一樣高吞吐量和低延時(shí)、而且確保了審計(jì)信息不會(huì)丟失。2.2.2審計(jì)數(shù)據(jù)標(biāo)準(zhǔn)化審計(jì)數(shù)據(jù)起源自多個(gè)方法采集數(shù)據(jù)，而這些數(shù)據(jù)定義格式不盡相同。所以，審計(jì)數(shù)據(jù)標(biāo)準(zhǔn)化就必需把這些不一樣格式事件轉(zhuǎn)化成標(biāo)準(zhǔn)格式，然后寫(xiě)入審計(jì)數(shù)據(jù)庫(kù)。在標(biāo)準(zhǔn)化過(guò)程中，也需要對(duì)多個(gè)方法采集數(shù)據(jù)進(jìn)行排重處理。2.2.3審計(jì)數(shù)據(jù)歸并對(duì)于標(biāo)準(zhǔn)化處理后審計(jì)數(shù)據(jù)必需對(duì)一些數(shù)據(jù)進(jìn)行歸并(會(huì)聚)。歸并規(guī)則，就是在什么情況下，滿足什么條件，對(duì)哪些字段進(jìn)行歸并。事件歸并功效能夠?qū)Ａ繉徲?jì)數(shù)據(jù)依據(jù)歸并條件進(jìn)行歸并，達(dá)成簡(jiǎn)化審計(jì)數(shù)據(jù)，提升審計(jì)數(shù)據(jù)正確率。審計(jì)數(shù)據(jù)歸并規(guī)則包含以下屬性：歸并字段：歸并處理審計(jì)數(shù)據(jù)字段，所列字段內(nèi)容相同審計(jì)數(shù)據(jù)才進(jìn)行歸并;歸并時(shí)間：歸并審計(jì)數(shù)據(jù)時(shí)間窗口，指多長(zhǎng)時(shí)間進(jìn)行一次歸并;歸并數(shù)目：需要?dú)w并事件數(shù)量，指多少事件進(jìn)行一次歸并;對(duì)被歸并審計(jì)數(shù)據(jù)處理方法：被歸并審計(jì)數(shù)據(jù)以何種方法進(jìn)行處理;被歸并審計(jì)數(shù)據(jù)處理方法：丟棄：直接將被歸并審計(jì)數(shù)據(jù)全部丟棄，不寫(xiě)入數(shù)據(jù)庫(kù);寫(xiě)入數(shù)據(jù)庫(kù)：將被歸并審計(jì)數(shù)據(jù)全部寫(xiě)入數(shù)據(jù)庫(kù);經(jīng)過(guò)預(yù)設(shè)歸并規(guī)則模板，方便對(duì)海量審計(jì)數(shù)據(jù)歸并，明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)提供以下預(yù)設(shè)模板：依據(jù)審計(jì)數(shù)據(jù)名稱(chēng)進(jìn)行歸并分析;依據(jù)審計(jì)數(shù)據(jù)類(lèi)型進(jìn)行歸并分析;依據(jù)審計(jì)數(shù)據(jù)原始時(shí)間進(jìn)行歸并分析;依據(jù)受審計(jì)設(shè)備類(lèi)型進(jìn)行歸并分析;2.2.4安全事件關(guān)聯(lián)經(jīng)過(guò)安全事件關(guān)聯(lián)功效，來(lái)深度挖掘安全隱患、判定審計(jì)數(shù)據(jù)嚴(yán)重程度，包含關(guān)聯(lián)分析類(lèi)型和關(guān)聯(lián)分析規(guī)則內(nèi)容。基于時(shí)序關(guān)聯(lián)規(guī)則：將賬號(hào)登錄行為和賬號(hào)多種業(yè)務(wù)操作行為依據(jù)時(shí)序進(jìn)行關(guān)聯(lián)。經(jīng)過(guò)時(shí)序關(guān)聯(lián)，形成某一個(gè)賬號(hào)連續(xù)登錄行為和操作行為，依據(jù)制訂審計(jì)策略判定其是否業(yè)務(wù)操作習(xí)慣;依據(jù)時(shí)序關(guān)聯(lián)判定實(shí)施每個(gè)業(yè)務(wù)操作賬號(hào)是否含有正常登錄統(tǒng)計(jì)等;基于賬號(hào)和關(guān)鍵操作行為關(guān)聯(lián)：將對(duì)數(shù)據(jù)庫(kù)系統(tǒng)關(guān)鍵業(yè)務(wù)操作時(shí)所使用賬號(hào)信息進(jìn)行關(guān)聯(lián)，用來(lái)判定該賬號(hào)是否正常使用;判定該賬號(hào)是否含有該項(xiàng)權(quán)限所對(duì)應(yīng)權(quán)限范圍，是否為正當(dāng)用戶等等。基于賬號(hào)和權(quán)限關(guān)聯(lián)：將賬號(hào)應(yīng)該對(duì)應(yīng)權(quán)限和實(shí)際系統(tǒng)中給予權(quán)限進(jìn)行關(guān)聯(lián)，用來(lái)審計(jì)賬號(hào)訪問(wèn)權(quán)限是否合理;查詢資源授權(quán)訪問(wèn)者，權(quán)限分配時(shí)間、分配者等是否和審批一致。2.2.5審計(jì)結(jié)果展現(xiàn)審計(jì)數(shù)據(jù)展現(xiàn)和安全風(fēng)險(xiǎn)管理是親密相關(guān)。明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)提供對(duì)審計(jì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控和實(shí)時(shí)展現(xiàn)。在審計(jì)數(shù)據(jù)展現(xiàn)或響應(yīng)中，能夠支持郵件、彈出窗口、syslog、SNMPTrap、手機(jī)信息、聲音報(bào)警等多個(gè)方法。2.2.6靈活匯報(bào)展現(xiàn)明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)內(nèi)嵌了功效強(qiáng)大報(bào)表模塊，除了按安全經(jīng)驗(yàn)、行業(yè)需求分類(lèi)預(yù)定義固定格式報(bào)表外，管理員還能夠利用報(bào)表自定義功效生成定制化匯報(bào)。匯報(bào)模塊同時(shí)支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式數(shù)據(jù)導(dǎo)出。支持兩種報(bào)表生成模式，即預(yù)置固定格式