數(shù)據(jù)庫審計(jì)方案(共17頁)

1、數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制解決方案1 概述1.1 數(shù)據(jù)庫面臨的安全挑戰(zhàn)數(shù)據(jù)庫是企業(yè)核心業(yè)務(wù)開展過程中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的商業(yè)伙伴和客戶信息，這些信息需要被保護(hù)起來，以防止競爭者和其他非法者獲取。互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)的數(shù)據(jù)庫信息價(jià)值及可訪問性得到了提升，同時(shí)，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，概括起來主要表現(xiàn)在以下三個(gè)層面：管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無法追溯并定位真實(shí)的操作者。技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任何安全工具(比如：防火墻、IDS、IPS等)來阻止

2、內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機(jī)密信息等行為。審計(jì)層面：現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計(jì)方法，存在諸多的弊端,比如:數(shù)據(jù)庫審計(jì)功能的開啟會(huì)影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息的真實(shí)性。伴隨著數(shù)據(jù)庫信息價(jià)值以及可訪問性提升，使得數(shù)據(jù)庫面對(duì)來自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無法有效追溯和審計(jì)。1.2 數(shù)據(jù)庫審計(jì)的客觀需求數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制的目的概括來說主要是三個(gè)方面：一是確保數(shù)據(jù)的完整性;二是讓管理者全面了解數(shù)據(jù)庫實(shí)際發(fā)生的情況;三是在可疑行為發(fā)生時(shí)可以自動(dòng)啟動(dòng)預(yù)先設(shè)置的告警流程，防范數(shù)據(jù)庫風(fēng)險(xiǎn)的

3、發(fā)生。因此，如何采取一種可信賴的綜合途徑，確保數(shù)據(jù)庫活動(dòng)記錄的100%捕獲是極為重要的，任何一種遺漏關(guān)鍵活動(dòng)的行為，都會(huì)導(dǎo)致數(shù)據(jù)庫安全上的錯(cuò)誤判斷，并且干擾數(shù)據(jù)庫在運(yùn)行時(shí)的性能。只有充分理解企業(yè)對(duì)數(shù)據(jù)庫安全審計(jì)的客觀需求，才能夠給出行之有效的解決方案：捕捉數(shù)據(jù)訪問：不論在什么時(shí)間、以什么方式、只要數(shù)據(jù)被修改或查看了就需要自動(dòng)對(duì)其進(jìn)行追蹤;捕捉數(shù)據(jù)庫配置變化：當(dāng)“數(shù)據(jù)庫表結(jié)構(gòu)、控制數(shù)據(jù)訪問的權(quán)限和數(shù)據(jù)庫配置模式”等發(fā)生變化時(shí)，需要進(jìn)行自動(dòng)追蹤;自動(dòng)防御：當(dāng)探測到值得注意的情況時(shí)，需要自動(dòng)啟動(dòng)事先設(shè)置的告警策略，以便數(shù)據(jù)庫安全管理員及時(shí)采取有效應(yīng)對(duì)措施，對(duì)于嚴(yán)重影響業(yè)務(wù)運(yùn)行的高風(fēng)險(xiǎn)行為甚至可以立即

4、阻斷;審計(jì)策略的靈活配置和管理：提供一種直截了當(dāng)?shù)姆椒▉砼渲盟心繕?biāo)服務(wù)器的審計(jì)形式、具體說明關(guān)注的活動(dòng)以及風(fēng)險(xiǎn)來臨時(shí)采取的動(dòng)作;審計(jì)記錄的管理：將從多個(gè)層面追蹤到的信息自動(dòng)整合到一個(gè)便于管理的，長期通用的數(shù)據(jù)存儲(chǔ)中，且這些數(shù)據(jù)需要獨(dú)立于被審計(jì)數(shù)據(jù)庫本身;靈活的報(bào)告生成：臨時(shí)和周期性地以各種格式輸出審計(jì)分析結(jié)果，用于顯示、打印和傳輸;1.3 現(xiàn)有的數(shù)據(jù)庫審計(jì)解決方案的不足傳統(tǒng)的審計(jì)方案，或多或少存在一些缺陷，主要表現(xiàn)在以下幾個(gè)方面：傳統(tǒng)網(wǎng)絡(luò)安全方案：依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)(IPS)，在網(wǎng)絡(luò)中檢查并實(shí)施數(shù)據(jù)庫訪問控制策略。但是網(wǎng)絡(luò)防火墻只能實(shí)現(xiàn)對(duì)IP地址、端口及協(xié)議的訪問控制，無法識(shí)

5、別特定用戶的具體數(shù)據(jù)庫活動(dòng)(比如：某個(gè)用戶使用數(shù)據(jù)庫客戶端刪除某張數(shù)據(jù)庫表);而IPS雖然可以依賴特征庫有限阻止數(shù)據(jù)庫軟件已知漏洞的攻擊，但他同樣無法判別具體的數(shù)據(jù)庫用戶活動(dòng)，更談不上細(xì)粒度的審計(jì)。因此，無論是防火墻，還是IPS都不能解決數(shù)據(jù)庫特權(quán)濫用等問題。基于日志收集方案：需要數(shù)據(jù)庫軟件本身開啟審計(jì)功能，通過采集數(shù)據(jù)庫系統(tǒng)日志信息的方法形成審計(jì)報(bào)告，這樣的審計(jì)方案受限于數(shù)據(jù)庫的審計(jì)日志功能和訪問控制功能，在審計(jì)深度、審計(jì)響應(yīng)的實(shí)時(shí)性方面都難以獲得很好的審計(jì)效果。同時(shí)，開啟數(shù)據(jù)庫審計(jì)功能，一方面會(huì)增加數(shù)據(jù)庫服務(wù)器的資源消耗，嚴(yán)重影響數(shù)據(jù)庫性能;另一方面審計(jì)信息的真實(shí)性、完整性也無法保證。其他

6、諸如應(yīng)用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認(rèn)證系統(tǒng)授權(quán)等等方式，均只能記錄有限的信息，更加無法提供細(xì)料度的數(shù)據(jù)庫操作審計(jì)。1.4 本方案解決的數(shù)據(jù)庫安全問題為了解決企業(yè)數(shù)據(jù)庫安全領(lǐng)域的深層次、應(yīng)用及業(yè)務(wù)邏輯層面的安全問題及審計(jì)需求，杭州安恒信息技術(shù)有限公司依靠其對(duì)入侵檢測技術(shù)的深入研究及安全服務(wù)團(tuán)隊(duì)積累的數(shù)據(jù)庫安全知識(shí)，研制并成功推出了全球領(lǐng)先的、面向企業(yè)核心數(shù)據(jù)庫的、集“全方位的風(fēng)險(xiǎn)評(píng)估、多視角的訪問控制、深層次的審計(jì)報(bào)告”于一體的數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制設(shè)備，即明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)，為企業(yè)核心數(shù)據(jù)庫提供全方位安全防護(hù)。在企業(yè)業(yè)務(wù)支撐網(wǎng)絡(luò)中部署了明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)，可以實(shí)現(xiàn)企業(yè)核心數(shù)

7、據(jù)庫的“系統(tǒng)運(yùn)行可視化、日常操作可跟蹤、安全事件可鑒定”目標(biāo)，解決企業(yè)數(shù)據(jù)庫所面臨的管理層面、技術(shù)層面、審計(jì)層面的三大風(fēng)險(xiǎn),以滿足企業(yè)的不斷增長的業(yè)務(wù)需要。明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)對(duì)于企業(yè)數(shù)據(jù)庫的安全防護(hù)功能，概括起來體現(xiàn)在以下三個(gè)方面：首先：明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)采用“網(wǎng)絡(luò)抓包、本地操作審計(jì)”組合工作模式，結(jié)合安恒專用的硬件加速卡，確保數(shù)據(jù)庫訪問的100%完整記錄，為后續(xù)的日常操作跟蹤、安全事件鑒定奠定了基礎(chǔ)。其次：明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)通過專利級(jí)的雙引擎技術(shù)，一方面利用數(shù)據(jù)庫安全研究團(tuán)隊(duì)多年積累的安全知識(shí)庫，防止無意的危險(xiǎn)誤操作，阻止數(shù)據(jù)庫軟件漏洞引起的惡意攻擊;另一方面，

8、依賴智能自學(xué)習(xí)過程中動(dòng)態(tài)創(chuàng)建的安全模型與異常引擎相結(jié)合，有效控制越權(quán)操作、違規(guī)操作等異常操作行為。再者：明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng) 依賴其獨(dú)特的數(shù)據(jù)庫安全策略庫，可以深入到應(yīng)用層協(xié)議(如操作命令、數(shù)據(jù)庫對(duì)象、業(yè)務(wù)操作過程)實(shí)現(xiàn)細(xì)料度的安全審計(jì)，并根據(jù)事先設(shè)置的安全策略采取諸如產(chǎn)生告警記錄、發(fā)送告警郵件(或短信)、提升風(fēng)險(xiǎn)等級(jí)、加入黑名單、立即阻斷等響應(yīng)。同時(shí)，明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)可以提供多視角的審計(jì)報(bào)告，即根據(jù)實(shí)時(shí)記錄的網(wǎng)絡(luò)訪問情況，提供多種安全審計(jì)報(bào)告，更清晰地了解系統(tǒng)的使用情況以及安全事件的發(fā)生情況，并可根據(jù)這些安全審計(jì)報(bào)告進(jìn)一步修改和完善數(shù)據(jù)庫安全策略庫。2 方案總體結(jié)構(gòu)2.1

9、 主要功能如下圖所示，數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)主要的功能模塊包括“靜態(tài)審計(jì)、實(shí)時(shí)監(jiān)控與風(fēng)險(xiǎn)控制、動(dòng)態(tài)審計(jì)(全方位、細(xì)粒度)、審計(jì)報(bào)表、安全事件回放、審計(jì)對(duì)象管理、系統(tǒng)配置管理管理”幾個(gè)部分。2.1.1 數(shù)據(jù)庫靜態(tài)審計(jì)數(shù)據(jù)庫靜態(tài)審計(jì)的目的是代替繁瑣的手工檢查,預(yù)防安全事件的發(fā)生。數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)依托其權(quán)威性的數(shù)據(jù)庫安全規(guī)則庫，自動(dòng)完成對(duì)幾百種不當(dāng)?shù)臄?shù)據(jù)庫不安全配置、潛在弱點(diǎn)、數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補(bǔ)丁、數(shù)據(jù)庫潛藏木馬等等靜態(tài)審計(jì)，通過靜態(tài)審計(jì)，可以為后續(xù)的動(dòng)態(tài)防護(hù)與審計(jì)的安全策略設(shè)置提供有力的依據(jù)。2.1.2 實(shí)時(shí)監(jiān)控與風(fēng)險(xiǎn)控制數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)可保護(hù)業(yè)界主流的數(shù)據(jù)庫系統(tǒng)，防

10、止受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等的侵害。當(dāng)用戶與數(shù)據(jù)庫進(jìn)行交互時(shí)，數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)會(huì)自動(dòng)根據(jù)預(yù)設(shè)置的風(fēng)險(xiǎn)控制策略，結(jié)合對(duì)數(shù)據(jù)庫活動(dòng)的實(shí)時(shí)監(jiān)控信息，進(jìn)行特征檢測及審計(jì)規(guī)則檢測，任何嘗試的攻擊或違反審計(jì)規(guī)則的操作都會(huì)被檢測到并實(shí)時(shí)阻斷或告警。2.1.3 數(shù)據(jù)庫動(dòng)態(tài)審計(jì)數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)基于“數(shù)據(jù)捕獲應(yīng)用層數(shù)據(jù)分析監(jiān)控、審計(jì)和響應(yīng)” 的模式提供各項(xiàng)安全功能，使得它的審計(jì)功能大大優(yōu)于基于日志收集的審計(jì)系統(tǒng)，通過收集一系列極其豐富的審計(jì)數(shù)據(jù)，結(jié)合細(xì)粒度的審計(jì)規(guī)則、以滿足對(duì)敏感信息的特殊保護(hù)需求。數(shù)據(jù)庫動(dòng)態(tài)審計(jì)可以徹底擺脫數(shù)據(jù)庫的黑匣子狀態(tài)，提供4W(who/when/where/

11、what)審計(jì)數(shù)據(jù)。通過實(shí)時(shí)監(jiān)測并智能地分析、還原各種數(shù)據(jù)庫操作，解析數(shù)據(jù)庫的登錄、注銷、插入、刪除、存儲(chǔ)過程的執(zhí)行等操作，還原SQL操作語句;跟蹤數(shù)據(jù)庫訪問過程中的所有細(xì)節(jié)，包括用戶名、數(shù)據(jù)庫操作類型、所訪問的數(shù)據(jù)庫表名、字段名、操作執(zhí)行結(jié)果、數(shù)據(jù)庫操作的內(nèi)容取值等。全方位的數(shù)據(jù)庫活動(dòng)審計(jì)：實(shí)時(shí)監(jiān)控來自各個(gè)層面的所有數(shù)據(jù)庫活動(dòng)。如：來自應(yīng)用程序發(fā)起的數(shù)據(jù)庫操作請(qǐng)求、來自數(shù)據(jù)庫客戶端工具的操作請(qǐng)求、來自數(shù)據(jù)庫管理人員遠(yuǎn)程登錄數(shù)據(jù)庫服務(wù)器產(chǎn)生的操作請(qǐng)求等。完整的雙向?qū)徲?jì)：除可實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫的請(qǐng)求操作以外，還可以實(shí)時(shí)監(jiān)控所有請(qǐng)求操作后數(shù)據(jù)庫的回應(yīng)信息，如命令執(zhí)行情況，錯(cuò)誤信息等。潛在危險(xiǎn)活動(dòng)重要審

12、計(jì)：提供對(duì)DDL類操作、DML類操作的重要審計(jì)功能，重要審計(jì)規(guī)則的審計(jì)要素可以包括：用戶、源IP地址、操作時(shí)間(任意天、一天中的時(shí)間、星期中的天數(shù)、月中的天數(shù))、使用的SQL操作類型(Select/Delete/Drop/Insert/Update)。當(dāng)某個(gè)數(shù)據(jù)庫活動(dòng)匹配了事先定義的重要審計(jì)規(guī)則時(shí)，一條報(bào)警將被記錄以進(jìn)行審計(jì)。重要審計(jì)規(guī)則設(shè)置：重要審計(jì)結(jié)果展示：敏感信息細(xì)粒度審計(jì)：對(duì)業(yè)務(wù)系統(tǒng)的重要信息，提供完全自定義的、精確到字段及記錄內(nèi)容的細(xì)粒度審計(jì)功能。自定義的審計(jì)要素包括登錄用戶、源IP地址、數(shù)據(jù)庫對(duì)象(分為數(shù)據(jù)庫用戶、表、字段)、操作時(shí)間段(本日、本周、本月、最近三小時(shí)、最近十二小時(shí)、

13、最近二十四小時(shí)、最近七天、最近三十天、任意時(shí)間段)、使用的SQL操作類型(select/delete/drop/insert/update/create/turncate)、記錄內(nèi)容。根據(jù)操作類型及記錄內(nèi)容進(jìn)行細(xì)粒度審計(jì)：細(xì)粒度審計(jì)結(jié)果展示：遠(yuǎn)程ftp操作審計(jì)與回放：對(duì)發(fā)生在數(shù)據(jù)庫服務(wù)器上的ftp命令進(jìn)行實(shí)時(shí)監(jiān)控、審計(jì)及回放。審計(jì)的要素包括：ftp用戶、ftp客戶端IP地址、命令執(zhí)行時(shí)間段(本日、本周、本月、最近三小時(shí)、最近十二小時(shí)、最近二十四小時(shí)、最近七天、最近三十天、任意時(shí)間段)、執(zhí)行的ftp命令(get/put/ls等等)。自定義ftp操作審計(jì)：ftp審計(jì)結(jié)果展示：ftp回放：遠(yuǎn)程tel

14、net操作審計(jì)與回放：對(duì)發(fā)生在數(shù)據(jù)庫服務(wù)器上的Telnet命令進(jìn)行實(shí)時(shí)監(jiān)控、審計(jì)及回放。審計(jì)的要素包括：telnet用戶、telnet客戶端IP地址、命令執(zhí)行時(shí)間段(本日、本周、本月、最近三小時(shí)、最近十二小時(shí)、最近二十四小時(shí)、最近七天、最近三十天、任意時(shí)間段)、telnet登錄后執(zhí)行的系統(tǒng)命令(login/pwd/root等等)。自定義telnet操作審計(jì)：telnet操作審計(jì)結(jié)果展示：會(huì)話分析與查看：單個(gè)離散的操作(Sql操作、ftp命令、telnet命令)還不足于了解用戶的真實(shí)意圖，一連串的操作所組成的一個(gè)完整會(huì)話展現(xiàn)，可以更加清晰地判斷用戶的意圖(違規(guī)的粗心的惡意的)。Telent操作審

15、計(jì)會(huì)話查看：2.1.4 審計(jì)報(bào)表數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)內(nèi)嵌了功能強(qiáng)大的報(bào)表模塊，除了按安全經(jīng)驗(yàn)、行業(yè)需求分類的預(yù)定義固定格式報(bào)表外，管理員還可以利用報(bào)表自定義功能生成定制化的報(bào)告。報(bào)告模塊同時(shí)支持Word、Excel、PowerPoint、Pdf格式的數(shù)據(jù)導(dǎo)出。系統(tǒng)缺省提供以下報(bào)表：數(shù)據(jù)庫攻擊源統(tǒng)計(jì)示意圖：數(shù)據(jù)庫操作審計(jì)示意：同時(shí)提供靈活的格式報(bào)表功能，可以方便的根據(jù)業(yè)務(wù)邏輯來動(dòng)態(tài)格式化報(bào)表元素，提供強(qiáng)大的樣式定義，對(duì)于熟悉CSS的設(shè)計(jì)人員來說，可以設(shè)計(jì)出相當(dāng)出色的報(bào)表樣式。2.1.5 安全事件回放允許安全管理員提取歷史數(shù)據(jù)，對(duì)過去某一時(shí)段的事件進(jìn)行回放，真實(shí)展現(xiàn)當(dāng)時(shí)的完整操作過程，便于分析

16、和追溯系統(tǒng)安全問題。很多安全事件或者與之關(guān)聯(lián)的事件在發(fā)生一段時(shí)間后才引發(fā)相應(yīng)的人工處理, 這個(gè)時(shí)候, 作為獨(dú)立審計(jì)的數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)就發(fā)揮特別的作用. 因?yàn)樗械腇TP、telnet、客戶端連接等事件都保存后臺(tái)(包括相關(guān)的告警), 對(duì)相關(guān)的事件做定位查詢，縮小范圍，使得追溯變得容易;同時(shí)由于這是獨(dú)立監(jiān)控審計(jì)模式, 使得相關(guān)的證據(jù)更具有公證性。Sql操作回放示意圖：telnet命令回放示意圖：2.1.6 綜合管理數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)提供WEB-base的管理頁面，數(shù)據(jù)庫安全管理員在不需要安裝任何客戶端軟件的情況下，基于標(biāo)準(zhǔn)的瀏覽器即可完成對(duì)數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)的相關(guān)配置管理，主要

17、包括“審計(jì)對(duì)象管理、系統(tǒng)管理、用戶管理、功能配置、風(fēng)險(xiǎn)查詢”等。下圖為審計(jì)對(duì)象配置示意圖：下圖為系統(tǒng)配置示意圖：下圖為風(fēng)險(xiǎn)查詢示意圖：2.2 審計(jì)流程明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)數(shù)據(jù)庫審計(jì)流程如下圖所示：2.2.1 審計(jì)數(shù)據(jù)采集明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)審計(jì)數(shù)據(jù)采集的方式包括：網(wǎng)絡(luò)抓包、本地操作審計(jì)，采集的內(nèi)容主要包括：賬號(hào)登錄行為數(shù)據(jù)：采集對(duì)賬號(hào)登錄動(dòng)作的審計(jì)。具體包括：賬號(hào)名稱、登錄成功或登錄失敗、用戶終端IP/ID、登錄時(shí)間等;對(duì)異常動(dòng)作的審計(jì)記錄，應(yīng)記錄越權(quán)企圖、用戶終端IP/ID、登錄時(shí)間等;賬號(hào)登錄后各種操作記錄，記錄各種操作的操作人員、操作時(shí)間、操作內(nèi)容，具體包括：對(duì)數(shù)據(jù)庫的一

18、般操作記錄;對(duì)關(guān)鍵數(shù)據(jù)的操作記錄;數(shù)據(jù)庫特殊命令的操作記錄明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)對(duì)審計(jì)數(shù)據(jù)的采集大多數(shù)情況下是通過網(wǎng)絡(luò)獲取，由于其采用了專用硬件加速接口卡，可以在千兆環(huán)境下線速捕獲，因此保證了明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)具備交換機(jī)一樣的高吞吐量和低延時(shí)、并且確保了審計(jì)信息的不會(huì)丟失。2.2.2 審計(jì)數(shù)據(jù)標(biāo)準(zhǔn)化審計(jì)數(shù)據(jù)來源自多種方式采集的數(shù)據(jù)，而這些數(shù)據(jù)定義的格式不盡相同。所以，審計(jì)數(shù)據(jù)的標(biāo)準(zhǔn)化就必須把這些不同格式的事件轉(zhuǎn)化成標(biāo)準(zhǔn)格式，然后寫入審計(jì)數(shù)據(jù)庫。在標(biāo)準(zhǔn)化的過程中，也需要對(duì)多種方式采集的數(shù)據(jù)進(jìn)行排重處理。2.2.3 審計(jì)數(shù)據(jù)歸并對(duì)于標(biāo)準(zhǔn)化處理后的審計(jì)數(shù)據(jù)必須對(duì)某些數(shù)據(jù)進(jìn)行歸并(會(huì)聚

19、)。歸并規(guī)則，就是在什么情況下，滿足什么條件，對(duì)哪些字段進(jìn)行歸并。事件歸并功能可以對(duì)海量的審計(jì)數(shù)據(jù)依據(jù)歸并條件進(jìn)行歸并，達(dá)到簡化審計(jì)數(shù)據(jù)，提高審計(jì)數(shù)據(jù)準(zhǔn)確率。審計(jì)數(shù)據(jù)歸并規(guī)則包含以下屬性：歸并字段：歸并處理的審計(jì)數(shù)據(jù)字段，所列字段內(nèi)容相同的審計(jì)數(shù)據(jù)才進(jìn)行歸并;歸并時(shí)間：歸并審計(jì)數(shù)據(jù)的時(shí)間窗口，指多長時(shí)間進(jìn)行一次歸并;歸并數(shù)目：需要?dú)w并事件的數(shù)量，指多少事件進(jìn)行一次歸并;對(duì)被歸并審計(jì)數(shù)據(jù)的處理方式：被歸并的審計(jì)數(shù)據(jù)以何種方式進(jìn)行處理;被歸并審計(jì)數(shù)據(jù)的處理方式：丟棄：直接將被歸并審計(jì)數(shù)據(jù)全部丟棄，不寫入數(shù)據(jù)庫;寫入數(shù)據(jù)庫：將被歸并審計(jì)數(shù)據(jù)全部寫入數(shù)據(jù)庫;通過預(yù)設(shè)歸并規(guī)則的模板，方便對(duì)海量審計(jì)數(shù)據(jù)的

20、歸并，明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)提供以下預(yù)設(shè)模板：根據(jù)審計(jì)數(shù)據(jù)名稱進(jìn)行歸并分析;根據(jù)審計(jì)數(shù)據(jù)的類型進(jìn)行歸并分析;根據(jù)審計(jì)數(shù)據(jù)的原始時(shí)間進(jìn)行歸并分析;根據(jù)受審計(jì)的設(shè)備類型進(jìn)行歸并分析;2.2.4 安全事件關(guān)聯(lián)通過安全事件關(guān)聯(lián)功能，來深度挖掘安全隱患、判斷審計(jì)數(shù)據(jù)的嚴(yán)重程度，包括關(guān)聯(lián)分析的類型和關(guān)聯(lián)分析規(guī)則的內(nèi)容?；跁r(shí)序關(guān)聯(lián)規(guī)則：將賬號(hào)的登錄行為和賬號(hào)各種業(yè)務(wù)操作行為根據(jù)時(shí)序進(jìn)行關(guān)聯(lián)。通過時(shí)序關(guān)聯(lián)，形成某一個(gè)賬號(hào)連續(xù)的登錄行為和操作行為，根據(jù)制定審計(jì)策略判斷其是否業(yè)務(wù)操作習(xí)慣;根據(jù)時(shí)序關(guān)聯(lián)判斷執(zhí)行每個(gè)業(yè)務(wù)操作的賬號(hào)是否具有正常的登錄記錄等;基于賬號(hào)與重要操作行為的關(guān)聯(lián)：將對(duì)數(shù)據(jù)庫系統(tǒng)的重要業(yè)務(wù)

21、操作時(shí)所使用的賬號(hào)信息進(jìn)行關(guān)聯(lián)，用來判斷該賬號(hào)是否正常使用;判斷該賬號(hào)是否具有該項(xiàng)權(quán)限所對(duì)應(yīng)的權(quán)限范圍，是否為合法用戶等等?；谫~號(hào)與權(quán)限關(guān)聯(lián)：將賬號(hào)應(yīng)該對(duì)應(yīng)的權(quán)限與實(shí)際系統(tǒng)中賦予的權(quán)限進(jìn)行關(guān)聯(lián)，用來審計(jì)賬號(hào)的訪問權(quán)限是否合理;查詢資源的授權(quán)訪問者，權(quán)限的分配時(shí)間、分配者等是否和審批的一致。2.2.5 審計(jì)結(jié)果呈現(xiàn)審計(jì)數(shù)據(jù)的呈現(xiàn)與安全風(fēng)險(xiǎn)管理是密切相關(guān)的。明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)提供對(duì)審計(jì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控和實(shí)時(shí)展現(xiàn)。在審計(jì)數(shù)據(jù)的展現(xiàn)或響應(yīng)中，可以支持郵件、彈出窗口、syslog、SNMP Trap、手機(jī)信息、聲音報(bào)警等多種方式。2.2.6 靈活的報(bào)告展現(xiàn)明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)內(nèi)嵌了功能強(qiáng)大的報(bào)表模塊，除了按安全經(jīng)驗(yàn)、行業(yè)需求分類的預(yù)定義固定格式報(bào)表外，管理員還可以利用報(bào)表自定義功能生成定制化的報(bào)告。報(bào)告模塊同時(shí)支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式的數(shù)據(jù)導(dǎo)出。支持兩種報(bào)表生成模式，即預(yù)