數(shù)據(jù)庫審計(jì)系統(tǒng)_技術(shù)白皮書V0

1、止匕處是Logo數(shù)據(jù)庫審計(jì)系統(tǒng)技術(shù)白皮書地址:電話:傳真:郵編:版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬北京所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)北京的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何內(nèi)容。版本變更記錄時(shí)間版本說明修改人2016.04.05V1.0初建適用性聲明文檔用于撰寫XX公司產(chǎn)品介紹、項(xiàng)目方案、解決方案、商業(yè)計(jì)劃書等。1 .產(chǎn)品概述12 .應(yīng)用背景12.1 現(xiàn)狀與問題12.1.1 現(xiàn)狀12.1.2 問題22.2 需求分析32.2.1 政策需求 信息系統(tǒng)安全等級(jí)保護(hù)基本要求

2、 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引32.2.2 技術(shù)需求42.2.3 管理需求42.2.4 性能需求42.2.5 環(huán)境與兼容性需求52.2.6 需求匯總53 .產(chǎn)品介紹63.1 目標(biāo)63.2 產(chǎn)品功能63.2.1 數(shù)據(jù)庫訪問行為記錄63.2.2 違規(guī)操作告警響應(yīng)63.2.3 集中存儲(chǔ)訪問記錄73.2.4 訪問記錄查詢73.2.5 數(shù)據(jù)庫安全審計(jì)報(bào)表73.3 產(chǎn)品部署73.3.1 旁路部署73.3.2 分布式部署83.4 產(chǎn)品特性93.4.1 安全便捷的部署方式93.4.2 日志檢索能力93.4.3 靈活的日志查詢條件103.4.4 靈活的數(shù)據(jù)庫審計(jì)配置策略103.4.5 數(shù)據(jù)庫入侵檢測(cè)能力103.

3、4.6 符合審計(jì)需求設(shè)計(jì)114 .用戶收益114.1 對(duì)企業(yè)帶來的價(jià)值114.2 全生命周期日志管理124.3 日常安全運(yùn)維工作的有力工具121 .產(chǎn)品概述數(shù)據(jù)庫審計(jì)系統(tǒng)（以下簡(jiǎn)稱XXX）是一款專業(yè)、主動(dòng)、實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫安全的審計(jì)產(chǎn)品。本系統(tǒng)采用有效的對(duì)數(shù)據(jù)庫監(jiān)控與審計(jì)方式，針對(duì)數(shù)據(jù)庫漏洞攻擊、SQl注入、風(fēng)險(xiǎn)操作等數(shù)據(jù)庫風(fēng)險(xiǎn)操作行為發(fā)生記錄與告警。能對(duì)不同的場(chǎng)景定制審計(jì)策略，如：信任，敏感模糊化和行為告警等策略。本系統(tǒng)可以有效的評(píng)估數(shù)據(jù)庫潛在風(fēng)險(xiǎn)；實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫用戶的訪問行為；它通過對(duì)用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報(bào)，用來幫助用戶事后生成合規(guī)報(bào)告、事故追根溯源，同時(shí)加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為記錄

4、，提高數(shù)據(jù)資產(chǎn)安全。2 .應(yīng)用背景在高速信息化的今天，數(shù)據(jù)安全問題已涉及到各行各業(yè)中，數(shù)據(jù)泄漏所引發(fā)的社會(huì)問題持續(xù)高漲。信息安全成為國(guó)家安全戰(zhàn)略的重要部分。2.1 現(xiàn)狀與問題數(shù)據(jù)庫安全問題是亟待解決的安全核心痛點(diǎn)。2.1.1 現(xiàn)狀數(shù)據(jù)庫是數(shù)據(jù)信息存儲(chǔ)的最主要形式，而當(dāng)前信息泄露案例的90%Z上與數(shù)據(jù)庫相關(guān)80%勺數(shù)據(jù)庫沒有任何防護(hù)措施，面對(duì)數(shù)據(jù)篡改、數(shù)據(jù)破壞、數(shù)據(jù)泄漏等問題，追蹤、定責(zé)、挽回?fù)p失等方式顯得極為疲軟在傳統(tǒng)IT架構(gòu)向云計(jì)算模式遷移過程中，數(shù)據(jù)安全成為客戶關(guān)注的核心問題2.1.2 問題互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)的數(shù)據(jù)庫信息價(jià)值及可訪問性得到了提升，同時(shí)，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑

5、戰(zhàn)，概括起來主要表現(xiàn)在以下三個(gè)層面：政策層面：數(shù)據(jù)庫里保存著客戶信息和各類資金數(shù)據(jù)，數(shù)據(jù)庫的安全不僅關(guān)系到用戶自身的利益和品牌，還關(guān)系到公共秩序甚至國(guó)家利益。在國(guó)家等級(jí)保護(hù)、中國(guó)人民銀行及銀監(jiān)會(huì)信息安全規(guī)范以及國(guó)際支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)等都有著明確的要求。技術(shù)層面：?數(shù)據(jù)庫自身存在重大安全缺陷（訪問控制缺陷、數(shù)據(jù)庫管理系統(tǒng)漏洞、明文存儲(chǔ)）?更為復(fù)雜的數(shù)據(jù)庫應(yīng)用環(huán)境（B/S架構(gòu)的應(yīng)用使數(shù)據(jù)庫間接暴露到互聯(lián)網(wǎng)、各種類型的外包工作人員直接訪問數(shù)據(jù)庫、數(shù)據(jù)庫共享使各種應(yīng)用系統(tǒng)程序直連到數(shù)據(jù)庫）?傳統(tǒng)防護(hù)方案具有局限性（網(wǎng)絡(luò)防火墻產(chǎn)品不對(duì)數(shù)據(jù)庫通訊協(xié)議進(jìn)行控制、IPS/IDS/網(wǎng)絡(luò)審計(jì)并不能防范那些看起

6、來合法的數(shù)據(jù)訪問、繞過WA朦統(tǒng)的刷庫行為屢見不鮮、無法解決來自于業(yè)務(wù)系統(tǒng)本身的安全威脅、忽略了內(nèi)部人員的管控）?運(yùn)維管控存在泄密途徑（測(cè)試數(shù)據(jù)泄密、導(dǎo)出明文備份數(shù)據(jù)導(dǎo)致泄密、圖形化操作無法控制、無法控制返回結(jié)果集、惡意程序惡意訪問）?內(nèi)部信息泄漏（利用數(shù)據(jù)庫的漏洞攻擊、應(yīng)用數(shù)據(jù)庫賬戶泄露、敏感信息以明文存儲(chǔ)、DBA用戶操作無法監(jiān)管）管理層面:主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無法追溯并定位真實(shí)的操作者。伴隨著數(shù)據(jù)庫信息價(jià)值以及可訪問性提升，使得數(shù)據(jù)庫面對(duì)來自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵

7、導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無法有效追溯和審計(jì)。2.2 需求分析2.2.1 政策需求 信息系統(tǒng)安全等級(jí)保護(hù)基本要求依據(jù)信息安全等級(jí)保護(hù)要求，XXXXS用系統(tǒng)被定義為三級(jí)，在安全審計(jì)方面均有與數(shù)據(jù)安全相關(guān)的要求，以下為等保關(guān)于數(shù)據(jù)安全的內(nèi)容。安全審計(jì)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄。審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能安全審計(jì)數(shù)據(jù)庫管理系統(tǒng)的安全審計(jì)應(yīng)：?建立獨(dú)立的安全審計(jì)系統(tǒng)；?定義與數(shù)據(jù)庫

8、安全相關(guān)的審計(jì)事件；?設(shè)置專門的安全審計(jì)員；?設(shè)置專門用于存儲(chǔ)數(shù)據(jù)庫系統(tǒng)審計(jì)數(shù)據(jù)的安全審計(jì)庫；?提供適用于數(shù)據(jù)庫系統(tǒng)的安全審計(jì)設(shè)置、分析和查閱的工具 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引第二十六條商業(yè)銀行應(yīng)通過以下措施，確保所有信息系統(tǒng)的安全：（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。（七）以書面或電子格式保存審計(jì)痕跡。（八）要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。第二十七條商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大

9、類：（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。交易日志應(yīng)按照國(guó)家會(huì)計(jì)準(zhǔn)則要求予以保存。（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險(xiǎn)等級(jí)確定，但不能少于一年。商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共

10、同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)。2.2.2 技術(shù)需求審計(jì)系統(tǒng)應(yīng)能在保護(hù)數(shù)據(jù)庫安全的前提下，針對(duì)運(yùn)維人員對(duì)數(shù)據(jù)庫的訪問行為進(jìn)行審計(jì)，審計(jì)的內(nèi)容包括了訪問的時(shí)間、地址、目標(biāo)資源以及詳細(xì)的操作內(nèi)容呈現(xiàn)。審計(jì)系統(tǒng)應(yīng)對(duì)各類數(shù)據(jù)庫進(jìn)行實(shí)時(shí)的監(jiān)控管理，監(jiān)控?cái)?shù)據(jù)庫的運(yùn)行狀態(tài)，保證數(shù)據(jù)的不中斷。能夠?qū)Ω黝惖臄?shù)據(jù)庫進(jìn)行安全掃描，在發(fā)現(xiàn)配置或安全漏洞時(shí)提供有限的解決建議，保證數(shù)據(jù)庫的可靠性。審計(jì)系統(tǒng)應(yīng)對(duì)重要數(shù)據(jù)庫操作進(jìn)行審計(jì)，審計(jì)范圍包括數(shù)據(jù)庫維護(hù)人員、超級(jí)用戶以及應(yīng)用用戶行為。審計(jì)系統(tǒng)應(yīng)能夠?qū)徲?jì)上來的日志有一定的保護(hù)能力，不能隨意修改和刪除日志。日志的存儲(chǔ)應(yīng)采用加密形式進(jìn)行保存。2.2.3 管理需求應(yīng)對(duì)第三

11、方數(shù)據(jù)庫廠家以及超級(jí)權(quán)限用戶進(jìn)行控制，能夠控制其訪問數(shù)據(jù)庫的操作，對(duì)其所做的操作進(jìn)行全面的審計(jì)，保證重要數(shù)據(jù)的不丟失不泄密。2.2.4 性能需求為了保證系統(tǒng)的不間斷運(yùn)行需對(duì)審計(jì)系統(tǒng)的性能有一定要求在數(shù)據(jù)正常的情況下應(yīng)保證:峰值處理能力（SQL語句、條/秒）：18000吞吐量（Mb/sec）:2000Mbps一萬條審計(jì)日志搜索時(shí)間小于5秒2.2.5 環(huán)境與兼容性需求審計(jì)系統(tǒng)支持以下審計(jì)資源以及交換機(jī)類型，保證系統(tǒng)的正常上線和后續(xù)的使用審計(jì)資源數(shù)據(jù)庫類型版本端口OracleSybaseDB2Mysql網(wǎng)絡(luò)連接交換機(jī)類型版本鏡像端口2.2.6 需求匯總通過對(duì)于用戶的環(huán)境的了解以及所提出問題的了解分析

12、，具備需求體現(xiàn)在如下幾個(gè)方面：能夠滿足等級(jí)保護(hù)以及行業(yè)規(guī)定對(duì)于數(shù)據(jù)庫安全方面的要求。對(duì)登錄數(shù)據(jù)庫和操作數(shù)據(jù)庫的人員進(jìn)行詳細(xì)的操作審計(jì)。能夠?qū)τ脩艟W(wǎng)絡(luò)內(nèi)的數(shù)據(jù)庫系統(tǒng)進(jìn)行監(jiān)控與漏洞的掃描。對(duì)現(xiàn)有業(yè)務(wù)和系統(tǒng)不產(chǎn)生任何影響。整體審計(jì)系統(tǒng)具備一定的保密性，確保審計(jì)數(shù)據(jù)的安全性。維護(hù)簡(jiǎn)單、具備專業(yè)的審計(jì)功能，節(jié)約人力，減少維護(hù)費(fèi)用。產(chǎn)品介紹3.1 目標(biāo)保護(hù)數(shù)據(jù)庫以及核心數(shù)據(jù)安全；提供靈活、便利的策略定制；通過事后的合規(guī)性分析，幫助您發(fā)現(xiàn)針對(duì)數(shù)據(jù)庫攻擊行為和安全隱患；幫助您從多角度了解數(shù)據(jù)庫活動(dòng)現(xiàn)狀；幫助您滿足合規(guī)/審計(jì)的要求；簡(jiǎn)化您審計(jì)的工作。3.2 產(chǎn)品功能3.2.1 數(shù)據(jù)庫訪問行為記錄數(shù)據(jù)庫審計(jì)系統(tǒng)支

13、持對(duì)多種類數(shù)據(jù)庫的操作行為進(jìn)行采集記錄，探測(cè)器通過旁路接入，在相應(yīng)的交換機(jī)上配置端口鏡像，對(duì)用戶訪問數(shù)據(jù)庫的數(shù)據(jù)流進(jìn)行鏡像采集并保存信息日志。數(shù)據(jù)庫審計(jì)系統(tǒng)能夠詳細(xì)記錄每次操作的發(fā)生時(shí)間、數(shù)據(jù)庫類型、源MA04址、目的MAC*址、源端口、目標(biāo)端口、數(shù)據(jù)庫名、用戶名、客戶端IP、服務(wù)器端IP、操作指令、操作返回狀態(tài)值。數(shù)據(jù)庫審計(jì)系統(tǒng)支持記錄的行為包括：數(shù)據(jù)操作類（如select、insert、delete、update等）結(jié)構(gòu)操作類（如create、drop、alter等）事務(wù)操作類（如BeginTransaction、CommitTransaction、RollbackTransaction等

14、）用戶管理類以及其它輔助類（如視圖、索引、過程等操作）等數(shù)據(jù)庫訪問行為,并對(duì)違規(guī)操作行為產(chǎn)生報(bào)警事件。3.2.2 違規(guī)操作告警響應(yīng)數(shù)據(jù)庫審計(jì)系統(tǒng)可通過規(guī)則設(shè)置對(duì)各類數(shù)據(jù)庫操作訪問行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)，對(duì)網(wǎng)絡(luò)中的異常數(shù)據(jù)庫操作行為及時(shí)進(jìn)行告警響應(yīng)，實(shí)時(shí)顯示告警信息并記錄存儲(chǔ)。告警信息可通過郵件或短信等方式通知管理員，以確保管理員在第一時(shí)間發(fā)現(xiàn)用戶對(duì)數(shù)據(jù)庫的違規(guī)操作。3.2.3 集中存儲(chǔ)訪問記錄通過數(shù)據(jù)庫審計(jì)系統(tǒng)可以將分布在網(wǎng)絡(luò)不同位置、不同類型的數(shù)據(jù)庫的訪問信息集中到統(tǒng)一的安全審計(jì)系統(tǒng)中進(jìn)行存儲(chǔ)，便于對(duì)記錄數(shù)據(jù)進(jìn)行分析。3.2.4 訪問記錄查詢數(shù)據(jù)庫審計(jì)系統(tǒng)采用專有的特殊文件系統(tǒng)對(duì)規(guī)范化的日志進(jìn)行存

15、儲(chǔ)，同時(shí)也支持Mysql等標(biāo)準(zhǔn)數(shù)據(jù)庫存儲(chǔ)，文件存儲(chǔ)機(jī)制是根據(jù)日志系統(tǒng)的特殊性進(jìn)行專門研發(fā)，為海量日志的存儲(chǔ)及檢索進(jìn)行了優(yōu)化設(shè)計(jì)。產(chǎn)品內(nèi)置高容量的硬盤存儲(chǔ)空間，采用Raid硬盤陣列，可有效防止由于硬盤硬件問題而帶來的數(shù)據(jù)丟失，同時(shí)數(shù)據(jù)庫審計(jì)系統(tǒng)還支持外掛存儲(chǔ)系統(tǒng)，從而實(shí)現(xiàn)存儲(chǔ)空間的海量擴(kuò)充。3.2.5 數(shù)據(jù)庫安全審計(jì)報(bào)表數(shù)據(jù)庫審計(jì)系統(tǒng)通過動(dòng)態(tài)報(bào)表的方式對(duì)數(shù)據(jù)庫操作行為審計(jì)結(jié)果進(jìn)行統(tǒng)計(jì)分析。系統(tǒng)默認(rèn)內(nèi)置豐富的報(bào)表模板，其中大部分報(bào)表均符合SOXt案、等級(jí)保護(hù)等法規(guī)、標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的審計(jì)需求，同時(shí)，用戶也可以根據(jù)自身的實(shí)際需求自定義報(bào)表內(nèi)容，生成審計(jì)報(bào)表，審計(jì)報(bào)表可以以HTTPf口EXCE咯式導(dǎo)出。

16、3.3 產(chǎn)品部署3.3.1 旁路部署設(shè)備旁路在數(shù)據(jù)庫前端交換機(jī)，通過接收交換機(jī)端口鏡像數(shù)據(jù)流對(duì)數(shù)據(jù)庫進(jìn)行審計(jì)，該拓?fù)浞桨笩o需更改任何現(xiàn)有拓?fù)浣Y(jié)構(gòu)，同時(shí)也不會(huì)對(duì)現(xiàn)網(wǎng)造成任何影響。筆記本PC終端圖1旁路部署拓?fù)鋱D3.3.2 分布式部署和單一部署類似，設(shè)備旁路在數(shù)據(jù)庫前端交換機(jī)，通過接收交換機(jī)端口鏡像數(shù)據(jù)流對(duì)數(shù)據(jù)庫進(jìn)行審計(jì)，該拓?fù)浞桨笩o需更改任何現(xiàn)有拓?fù)浣Y(jié)構(gòu)，不會(huì)對(duì)現(xiàn)網(wǎng)造成任何影響；多臺(tái)設(shè)備通過管理口通訊級(jí)聯(lián)對(duì)規(guī)則策略進(jìn)行同步。圖2分布式部署拓?fù)鋱D3.4 產(chǎn)品特性3.4.1 安全便捷的部署方式數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)數(shù)據(jù)庫操作訪問行為采用全旁路方式進(jìn)行審計(jì)，無需串聯(lián)在網(wǎng)絡(luò)設(shè)備中；不在數(shù)據(jù)庫主機(jī)上安裝客戶端軟

17、件；不改變客戶原有的任何登錄方式；部署便捷，不會(huì)破壞本身網(wǎng)絡(luò)結(jié)構(gòu)，不影響數(shù)據(jù)庫系統(tǒng)的性能，實(shí)施成本較低。數(shù)據(jù)庫審計(jì)系統(tǒng)進(jìn)行維護(hù)、升級(jí)時(shí)不會(huì)影響到正常業(yè)務(wù)的運(yùn)行，也不會(huì)影響到網(wǎng)絡(luò)性能。3.4.2 日志檢索能力數(shù)據(jù)庫審計(jì)系統(tǒng)采用了公司自主開發(fā)的基于海量日志索引的日志檢索引擎，避免了采用關(guān)系型數(shù)據(jù)庫在處理海量日志數(shù)據(jù)時(shí)的低效率問題，采用“基于預(yù)測(cè)的動(dòng)態(tài)索引技術(shù)”、“數(shù)據(jù)正交分組技術(shù)”及“適應(yīng)磁盤的索引存儲(chǔ)”“即時(shí)結(jié)果反饋技術(shù)”等核心技術(shù)手段，實(shí)現(xiàn)了對(duì)日志的高速檢索能力0數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)于在緩存中的日志（最近入庫的日志）,以四重以內(nèi)組合條件查詢，能夠在5秒內(nèi)即返回完整的檢索結(jié)果。對(duì)于任意時(shí)間段內(nèi)的歷史

18、數(shù)據(jù)查詢，數(shù)據(jù)庫審計(jì)系統(tǒng)也能夠在數(shù)秒鐘內(nèi)即反饋符合要求的檢索結(jié)果。3.4.3 靈活的日志查詢條件數(shù)據(jù)庫審計(jì)系統(tǒng)支持不限次數(shù)的多重條件查詢規(guī)則設(shè)定，管理員可根據(jù)日志的類型、發(fā)生時(shí)間、不同字段內(nèi)容等條件組合進(jìn)行精細(xì)匹配。數(shù)據(jù)庫審計(jì)系統(tǒng)支持：、=、不等于、包含、時(shí)間區(qū)間、或、與等十多種常見邏輯符號(hào)，支持跨日志查詢，管理員能夠通過設(shè)定規(guī)則條件，對(duì)日志進(jìn)行精確定位。3.4.4 靈活的數(shù)據(jù)庫審計(jì)配置策略數(shù)據(jù)庫審計(jì)系統(tǒng)提供了靈活和易于操作的策略配置管理。策略配置為高效而全面地實(shí)現(xiàn)數(shù)據(jù)庫安全審計(jì)起到了決定性的作用。數(shù)據(jù)庫審計(jì)系統(tǒng)有以下多種配置策略：全面審計(jì)策略：所有的數(shù)據(jù)庫請(qǐng)求都會(huì)被審計(jì)，保證審計(jì)的全面性；審

19、計(jì)過濾策略：在某些高吞吐量場(chǎng)景，過高的負(fù)載將使實(shí)時(shí)處理和存儲(chǔ)壓力過大，通過系統(tǒng)提供的白名單過濾、白名單規(guī)則可以對(duì)常規(guī)安全語句、安全來源實(shí)現(xiàn)審計(jì)過濾，使系統(tǒng)能夠在過載的情況下，集中在危險(xiǎn)或異常的SQL語句審計(jì)上；重點(diǎn)語句告警策略：無論是否執(zhí)行全面審計(jì)的策略，系統(tǒng)都可以對(duì)需要重點(diǎn)監(jiān)視的語句進(jìn)行特殊對(duì)待，可以通過黑名單、正則表達(dá)、重點(diǎn)用戶、重點(diǎn)IP、返回行數(shù)等策略完成對(duì)重點(diǎn)關(guān)注對(duì)象和行為的定義，對(duì)這些重點(diǎn)對(duì)象和行為的語句可以將其放入到告警審計(jì)中，可以通過syslog、snmp郵件或短信等多種途徑對(duì)這些語句進(jìn)行土煞口目。3.4.5 數(shù)據(jù)庫入侵檢測(cè)能力數(shù)據(jù)庫審計(jì)系統(tǒng)提供了強(qiáng)大的數(shù)據(jù)庫入侵檢測(cè)能力，對(duì)入侵

20、行為進(jìn)行重點(diǎn)告警；數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)數(shù)據(jù)庫的入侵檢測(cè)行為提供了大量的檢測(cè)策略定義方法，包括：危險(xiǎn)客戶端登錄：通過IP、用戶、數(shù)據(jù)庫客戶端工具、時(shí)間等多維定義可能具有入侵風(fēng)險(xiǎn)的登錄；危險(xiǎn)訪問行為：通過用戶、敏感對(duì)象、時(shí)間、返回行數(shù)、操作是否有Whee是否使用了系統(tǒng)對(duì)象、高危操作子等多種方式定義了危險(xiǎn)訪問行為；SQL注入：系統(tǒng)提供了系統(tǒng)性的SQL注入庫，以及基于正則表達(dá)式或語法抽象的SQLffi入描述擴(kuò)展；漏洞攻擊庫：系統(tǒng)提供了針對(duì)數(shù)據(jù)庫漏洞進(jìn)行攻擊的描述模型，使對(duì)這些典型的數(shù)據(jù)庫攻擊行為被迅速發(fā)現(xiàn)；黑名單：提供準(zhǔn)確而抽象的方式，對(duì)系統(tǒng)中的特定訪問SQL語句進(jìn)行描述，使這些SQL®句出現(xiàn)時(shí)

21、能夠迅速報(bào)警。3.4.6 符合審計(jì)需求設(shè)計(jì)數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)數(shù)據(jù)庫操作行為日志的采集分析及審計(jì)報(bào)表均根據(jù)各行業(yè)審計(jì)需求、國(guó)家法規(guī)需求進(jìn)行專門設(shè)計(jì)，如：國(guó)家保密標(biāo)準(zhǔn)BMZ2-2001涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南國(guó)家保密標(biāo)準(zhǔn)BMZ1-2000涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求國(guó)家保密標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定（國(guó)保發(fā)19981號(hào)）國(guó)家標(biāo)準(zhǔn)GB17859-1999,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則國(guó)家標(biāo)準(zhǔn)GB/T18336.2-2001，信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分：安全功能要求ISO27001/ISO17799:2005/BS7799,信息安全管理技術(shù)規(guī)范國(guó)家標(biāo)準(zhǔn)GB/T22239信息系統(tǒng)安全等級(jí)保護(hù)基本要求四.用戶收益4.1 對(duì)企業(yè)帶來的價(jià)值數(shù)據(jù)庫審計(jì)系統(tǒng)從不同層面為企業(yè)和組織的用戶帶來價(jià)值回報(bào)。1）對(duì)于安全管理員、安全分析員、安全運(yùn)維人員:明確工作職責(zé)，各類安全管理人員各司其職，協(xié)同合作提高工作效率，更加快速準(zhǔn)確的識(shí)別安全告警，發(fā)現(xiàn)違規(guī)行為，進(jìn)行應(yīng)急響應(yīng)發(fā)生安全問題，事后調(diào)查有據(jù)可循2）對(duì)于安全負(fù)責(zé)人，負(fù)責(zé)安全的高管：有助于建立一套可行的安全策略的執(zhí)行方針，并通過數(shù)據(jù)庫審計(jì)系統(tǒng)真正落實(shí)通過持續(xù)有效的安全事件分析識(shí)別安全