網(wǎng)絡(luò)安全安全審計系統(tǒng)數(shù)據(jù)庫審計解決方案

1、PAGE20 數(shù)據(jù)庫審計系統(tǒng)技術(shù)建議書目 次 TOC o 1-4 h z u HYPERLINK l _Toc2 1.綜述 PAGEREF _Toc2 h 1 HYPERLINK l _Toc3 2.需求分析 PAGEREF _Toc3 h 2 HYPERLINK l _Toc4 .內(nèi)部人員面臨的安全隱患 PAGEREF _Toc4 h 2 HYPERLINK l _Toc5 .第三方維護人員的威脅 PAGEREF _Toc5 h 2 HYPERLINK l _Toc6 .最高權(quán)限濫用風(fēng)險 PAGEREF _Toc6 h 2 HYPERLINK l _Toc7 .違規(guī)行為無法控制的風(fēng)險 PAG

2、EREF _Toc7 h 3 HYPERLINK l _Toc8 .系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患 PAGEREF _Toc8 h 3 HYPERLINK l _Toc9 .系統(tǒng)崩潰帶來審計結(jié)果的丟失 PAGEREF _Toc9 h 3 HYPERLINK l _Toc0 3.審計系統(tǒng)設(shè)計方案 PAGEREF _Toc0 h 3 HYPERLINK l _Toc1 .設(shè)計思路和原則 PAGEREF _Toc1 h 3 HYPERLINK l _Toc2 .系統(tǒng)設(shè)計原理 PAGEREF _Toc2 h 5 HYPERLINK l _Toc3 .設(shè)計方案及系統(tǒng)配置 PAGEREF _Toc3 h 6

3、HYPERLINK l _Toc4 .主要功能介紹 PAGEREF _Toc4 h 7 HYPERLINK l _Toc5 數(shù)據(jù)庫審計 PAGEREF _Toc5 h 7 HYPERLINK l _Toc6 網(wǎng)絡(luò)運維審計 PAGEREF _Toc6 h 8 HYPERLINK l _Toc7 OA審計 PAGEREF _Toc7 h 9 HYPERLINK l _Toc8 數(shù)據(jù)庫響應(yīng)時間及返回碼的審計 PAGEREF _Toc8 h 9 HYPERLINK l _Toc9 業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián) PAGEREF _Toc9 h 9 HYPERLINK l _Toc0 合規(guī)性規(guī)則和響應(yīng) PAGEREF

4、 _Toc0 h 10 HYPERLINK l _Toc1 審計報告輸出 PAGEREF _Toc1 h 12 HYPERLINK l _Toc2 自身管理 PAGEREF _Toc2 h 13 HYPERLINK l _Toc3 系統(tǒng)安全性設(shè)計 PAGEREF _Toc3 h 13 HYPERLINK l _Toc4 .負(fù)面影響評價 PAGEREF _Toc4 h 14 HYPERLINK l _Toc5 .交換機性能影響評價 PAGEREF _Toc5 h 15 HYPERLINK l _Toc6 4.資質(zhì)證書 PAGEREF _Toc6 h 16綜述隨著計算機和網(wǎng)絡(luò)技術(shù)發(fā)展，信息系統(tǒng)的應(yīng)

5、用越來越廣泛。數(shù)據(jù)庫做為信息技術(shù)的核心和基礎(chǔ)，承載著越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)，漸漸成為商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，數(shù)據(jù)庫的安全穩(wěn)定運行也直接決定著業(yè)務(wù)系統(tǒng)能否正常使用。圍繞數(shù)據(jù)庫的業(yè)務(wù)系統(tǒng)安全隱患如何得到有效解決，一直以來是IT治理人員和DBA們關(guān)注的焦點。做為資深信息安全廠商，結(jié)合多年的安全研究經(jīng)驗，提出如下解決思路：管理層面：完善現(xiàn)有業(yè)務(wù)流程制度，明細人員職責(zé)和分工，規(guī)范內(nèi)部員工的日常操作，嚴(yán)格監(jiān)控第三方維護人員的操作。技術(shù)層面：除了在業(yè)務(wù)網(wǎng)絡(luò)部署相關(guān)的信息安全防護產(chǎn)品（如FW、IPS等），還需要專門針對數(shù)據(jù)庫部署獨立安全審計產(chǎn)品，對關(guān)鍵的數(shù)據(jù)庫操作行為進行審計，做到違規(guī)行為發(fā)生時及

6、時告警，事故發(fā)生后精確溯源。不過，審計關(guān)鍵應(yīng)用程序和數(shù)據(jù)庫不是一項簡單工作。特別是數(shù)據(jù)庫系統(tǒng)，服務(wù)于各有不同權(quán)限的大量用戶，支持高并發(fā)的事務(wù)處理，還必須滿足苛刻的服務(wù)水平要求。商業(yè)數(shù)據(jù)庫軟件內(nèi)置的審計功能無法滿足審計獨立性的基本要求，還會降低數(shù)據(jù)庫性能并增加管理費用。需求分析隨著信息技術(shù)的發(fā)展，XXX已經(jīng)建立了比較完善的信息系統(tǒng)，數(shù)據(jù)庫中承載的信息越來越受到公司相關(guān)部門、領(lǐng)導(dǎo)的重視。同時數(shù)據(jù)庫中儲存著諸如XXX等極其重要和敏感的信息。這些信息一旦被篡改或者泄露，輕則造成企業(yè)或者社會的經(jīng)濟損失，重則影響企業(yè)形象甚至社會安全。通過對XXX的深入調(diào)研，XXX面臨的安全隱患歸納如下：內(nèi)部人員面臨的安全

7、隱患隨著企業(yè)信息化進程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于內(nèi)部人員的違規(guī)操作卻無能為力。第三方維護人員的威脅企業(yè)在發(fā)展的過程中，因為戰(zhàn)略定位和人力等諸多原因，越來越多的會將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司。如何有效地管控設(shè)備廠商和代維人員的操作行為，并進行嚴(yán)格的審計是企業(yè)面臨的一個關(guān)鍵問題。最高權(quán)限濫用風(fēng)險因為種種歷史遺留問題，并不是所有的信息系統(tǒng)都有嚴(yán)格的身份認(rèn)證和權(quán)限劃分，權(quán)限劃分混亂，高權(quán)限賬號（比如DBA賬號）共用等問題一直困擾著網(wǎng)絡(luò)管理人員，高權(quán)限賬

8、號往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈，任何一個操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露，最高權(quán)限的濫用，讓數(shù)據(jù)安全變得更加脆弱，也讓責(zé)任劃分和威脅追蹤變得更加困難。違規(guī)行為無法控制的風(fēng)險管理人員總是試圖定義各種操作條例，來規(guī)范內(nèi)部員工的訪問行為，但是除了在造成惡性后果后追查責(zé)任人，沒有更好的方式來限制員工的合規(guī)操作。而事后追查，只能是亡羊補牢，損失已經(jīng)造成。系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患我們經(jīng)常從各種系統(tǒng)日志里面去發(fā)現(xiàn)是否有入侵后留下來的“蛛絲馬跡”來判斷是否發(fā)生過安全事件。但是，系統(tǒng)往往是在經(jīng)歷了大量的操作和變化后，才逐漸變得不安全。另外的情況是，用戶通過登錄業(yè)務(wù)服務(wù)器來訪問數(shù)據(jù)庫等核心資產(chǎn)，單純的分析業(yè)務(wù)

9、系統(tǒng)或者數(shù)據(jù)庫系統(tǒng)的日志，都無法對整個訪問過程是否存在風(fēng)險進行判斷。從系統(tǒng)變更和應(yīng)用的角度來看，網(wǎng)絡(luò)審計日志比系統(tǒng)日志在定位系統(tǒng)安全問題上更可信。系統(tǒng)崩潰帶來審計結(jié)果的丟失一般來說，數(shù)據(jù)庫系統(tǒng)都會存儲操作日志，也能開啟審計模塊對訪問進行審計，但是一旦有意外發(fā)生導(dǎo)致系統(tǒng)的崩潰，這些審計日志也隨之消失，管理人員無法得知系統(tǒng)到底發(fā)生了什么。審計系統(tǒng)設(shè)計方案設(shè)計思路和原則需要部署一款數(shù)據(jù)庫審計系統(tǒng)，既能獨立審計針對數(shù)據(jù)庫的各種訪問行為，又不影響數(shù)據(jù)庫的高效穩(wěn)定運行。該系統(tǒng)主要從以下8個方面進行設(shè)計考慮：實用性:由于業(yè)務(wù)系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫中進行集中存儲，故對于數(shù)據(jù)庫的操作審計需要細化到數(shù)據(jù)庫指令、表名、視

10、圖、字段等，同時能夠?qū)徲嫈?shù)據(jù)庫返回的信息，包括錯誤碼和數(shù)據(jù)庫響應(yīng)時長，這樣能夠在數(shù)據(jù)庫出現(xiàn)關(guān)鍵錯誤時及時響應(yīng)，避免由于數(shù)據(jù)庫故障帶來的業(yè)務(wù)損失； 靈活性:審計系統(tǒng)可提供缺省的審計策略及自定義策略，可結(jié)合用戶業(yè)務(wù)特點，對關(guān)鍵業(yè)務(wù)用戶、操作途徑、重要操作、重要表、重要字段進行過濾審計，并可指定操作事件發(fā)生時，系統(tǒng)的響應(yīng)方式。兼容性：審計系統(tǒng)應(yīng)適應(yīng)不同的數(shù)據(jù)庫類型和應(yīng)用環(huán)境，對于主流商業(yè)數(shù)據(jù)庫、國產(chǎn)數(shù)據(jù)庫的各種版本均能進行審計。且對于不同數(shù)據(jù)庫的審計策略編輯方法、日志展現(xiàn)能做到統(tǒng)一。獨立性：審計系統(tǒng)應(yīng)獨立于數(shù)據(jù)庫系統(tǒng)存在，即使數(shù)據(jù)庫或者操作系統(tǒng)遭到破壞，仍然要保證審計日志的準(zhǔn)確性和完整性。同時，審計

11、系統(tǒng)的運行，對數(shù)據(jù)庫系統(tǒng)和業(yè)務(wù)操作不應(yīng)造成影響。擴展性:當(dāng)業(yè)務(wù)系統(tǒng)進行擴容時，審計系統(tǒng)可以平滑擴容。系統(tǒng)支持向第三方平臺提供記錄的審計信息。可靠性：審計系統(tǒng)能連續(xù)穩(wěn)定運行，且提供足夠的存儲空間來存儲審計日志，滿足在線存儲至少6個月的要求；審計系統(tǒng)能夠保證審計記錄的時間的一致性，避免錯誤時間記錄給追蹤溯源帶來的影響。安全性：分權(quán)限管理，具有權(quán)限管理功能，可以對用戶分級，提供不同的操作權(quán)限和不同的網(wǎng)絡(luò)數(shù)據(jù)操作范圍限制，用戶只能在其權(quán)限內(nèi)對網(wǎng)絡(luò)數(shù)據(jù)進行審計和相關(guān)操作，具有自身安全審計功能。易用性:審計系統(tǒng)應(yīng)能夠基于操作進行分析，能夠提供主體標(biāo)識（即用戶）、操作（行為）、客體標(biāo)識（設(shè)備、操作系統(tǒng)、數(shù)據(jù)

12、庫系統(tǒng)、應(yīng)用系統(tǒng)）的分析和靈活可編輯的審計報表。系統(tǒng)設(shè)計原理審計系統(tǒng)基于“網(wǎng)絡(luò)數(shù)據(jù)流俘獲應(yīng)用層數(shù)據(jù)分析審計和響應(yīng)”的基本流程實現(xiàn)各項功能，采用旁路接入的工作模式，使得審計系統(tǒng)在實現(xiàn)各種安全功能的同時，對數(shù)據(jù)庫系統(tǒng)無任何影響。審計系統(tǒng)主要實現(xiàn)以下安全功能：針對不同的數(shù)據(jù)庫協(xié)議，提供基于應(yīng)用操作的審計；提供數(shù)據(jù)庫操作語義解析審計，實現(xiàn)對違規(guī)行為的及時監(jiān)視和告警；提供缺省的多種合規(guī)操作規(guī)則，支持自定義規(guī)則（包括正則表達式等），實現(xiàn)靈活多樣的策略和響應(yīng)；提供基于硬件令牌、靜態(tài)口令、Radius支持的強身份認(rèn)證；根據(jù)設(shè)定輸出不同的安全審計報告；網(wǎng)絡(luò)安全審計系統(tǒng)介紹經(jīng)過調(diào)研，網(wǎng)絡(luò)安全審計系統(tǒng)（簡稱“系統(tǒng)”

13、或者“”）是針對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進行細粒度審計的合規(guī)性管理系統(tǒng)。它通過對業(yè)務(wù)人員訪問系統(tǒng)的行為進行解析、分析、記錄、匯報，用來幫助用戶事前規(guī)劃預(yù)防，事中實時監(jiān)視、違規(guī)行為響應(yīng)，事后合規(guī)報告、事故追蹤溯源，同時加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進核心資產(chǎn)（數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）的正常運營。對于業(yè)務(wù)系統(tǒng)的核心數(shù)據(jù)庫的審計能力表現(xiàn)尤其出色，是國內(nèi)審計數(shù)據(jù)庫類型最全，解析粒度最細的審計產(chǎn)品。其設(shè)計思路和產(chǎn)品功能滿足我單位數(shù)據(jù)庫審計系統(tǒng)的設(shè)計思路和功能要求。網(wǎng)絡(luò)安全審計系統(tǒng)能夠監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，實時、智能的解析對數(shù)據(jù)庫服務(wù)器的各種操作，一般操作行為如數(shù)據(jù)庫的登錄，數(shù)據(jù)的導(dǎo)入導(dǎo)

14、出、特定的SQL操作如對數(shù)據(jù)庫表的插入、刪除、修改，執(zhí)行特定的存貯過程等，都能夠被記錄和分析，分析的內(nèi)容可以精確到操作類型、操作對象（庫、表、字段）。可記錄操作的用戶名、機器IP地址、客戶端程序名、操作時間等重要信息，對于關(guān)鍵操作的數(shù)據(jù)庫返回信息，包括操作結(jié)果、響應(yīng)時長、select操作返回內(nèi)容也可進行記錄。同時，提供日志報表系統(tǒng)進行事后的分析、取證和生成審計報告。審計系統(tǒng)功能1.支持HA部署，產(chǎn)品支持主備方式2.支持審計引擎統(tǒng)一管理、至少支持2個以上的引擎同時管理，審計數(shù)據(jù)統(tǒng)一存儲、查詢、分析、統(tǒng)計3.支持各類數(shù)據(jù)庫的審計，如Oracle、SQL-Server、DB2、Informix、Sy

15、base、MySQL、PostgreSQL、Teradata、Cache數(shù)據(jù)庫，同時包括國產(chǎn)數(shù)據(jù)庫人大金倉(Kingbase)、達夢(DM)、南大通用(Gbase)、神通(shentong)等數(shù)據(jù)庫4.支持oracle數(shù)據(jù)庫審計，并具有審計oracle中綁定變量的SQL語句的功能與技術(shù)5.支持對Oracle數(shù)據(jù)庫狀態(tài)的自動監(jiān)控，可監(jiān)控會話數(shù)、連接進程、CPU和內(nèi)存占用率等信息6.提供對數(shù)據(jù)庫返回碼的知識庫和實時說明，幫助管理員快速對返回錯誤碼進行識別7.系統(tǒng)能提出數(shù)據(jù)庫錯誤信息，方便審計以及運維8.支持?jǐn)?shù)據(jù)庫賬號登陸成功、失敗的審計，數(shù)據(jù)庫綁定變量方式訪問的審計，Select操作返回行數(shù)和返回

16、內(nèi)容的審計；9.支持訪問數(shù)據(jù)庫的源主機名、源主機用戶、SQL操作響應(yīng)時間、數(shù)據(jù)庫操作成功、失敗的審計；支持?jǐn)?shù)據(jù)庫操作類、表、視圖、索引、觸發(fā)器、存儲過程、游標(biāo)、事物等各種對象的SQL操作審計。10.支持?jǐn)?shù)據(jù)庫存儲過程自動獲取及內(nèi)容審計。11.支持Telnet協(xié)議的審計，能夠?qū)徲嬘脩裘⒉僮髅?、命令響?yīng)時間、返回碼等；支持對FTP協(xié)議的審計，能夠?qū)徲嬘脩裘⒚?、文件、命令響?yīng)時間、返回碼等12.支持審計網(wǎng)絡(luò)鄰居（NetBIOS）的用戶名、讀寫操作、文件名等，支持審計NFS協(xié)議的用戶名、文件名等13.支持審計Radius協(xié)議的認(rèn)證用戶MAC、認(rèn)證用戶名、認(rèn)證IP、NAS服務(wù)器IP14.支持審計

17、HTTP/HTTPS協(xié)議的URL、訪問模式、cookie、Post數(shù)據(jù)和內(nèi)容15.支持IP-MAC綁定變化情況的審計16.支持可對SQL注入、XSS跨站腳本攻擊行為的發(fā)現(xiàn)17.系統(tǒng)應(yīng)自帶不少于100個缺省的審計規(guī)則庫，方便用戶選擇使用18.用戶可自定義審計策略，審計策略支持時間、源IP、目的IP、協(xié)議、端口、登陸賬號、命令作為響應(yīng)條件19.數(shù)據(jù)庫審計策略支持?jǐn)?shù)據(jù)庫客戶端軟件名稱、數(shù)據(jù)庫名、數(shù)據(jù)庫表名、數(shù)據(jù)庫字段名、數(shù)據(jù)庫返回碼作為響應(yīng)條件20.審計策略支持字段名稱和字段值作為分項響應(yīng)條件21.支持記錄審計日志22.支持界面告警、Syslog告警、SNMP trap告警、短信告警、郵件告警23.

18、支持按時間、級別、源目的IP、源目的MAC、協(xié)議名、源目的端口為條件進行查詢24.支持查詢、統(tǒng)計的條件模板編輯與應(yīng)用25.數(shù)據(jù)庫訪問日志，支持按數(shù)據(jù)庫名、數(shù)據(jù)庫表名、字段值、數(shù)據(jù)庫登陸賬號、數(shù)據(jù)庫操作命令、數(shù)據(jù)庫返回碼、SQL響應(yīng)時間、數(shù)據(jù)庫返回行數(shù)作為查詢和統(tǒng)計條件26.系統(tǒng)能精確定位，支持在多源信息系統(tǒng)中搜索信息27.web訪問日志，支持按URL、訪問模式、cookie、頁面內(nèi)容、Post內(nèi)容等作為查詢和統(tǒng)計條件28.管理員登陸支持靜態(tài)口令認(rèn)證，支持密碼的復(fù)雜性管理，比如大小寫、數(shù)字、特殊字符、長度等29.管理員登陸支持硬件令牌認(rèn)證30.提供審計數(shù)據(jù)管理功能，能夠?qū)崿F(xiàn)對審計日志、審計報告的

19、自動備份31.提供磁盤存儲容量不足、磁盤Raid故障等自動郵件報警32.支持SNMP方式，提供系統(tǒng)運行狀態(tài)給第三方網(wǎng)管系統(tǒng)，支持、syslog、SNMP Trap向外發(fā)送審計日志33.支持Syslog方式接收第三方審計日志34.支持連接外置存儲，以擴展日志存儲能力各類數(shù)據(jù)庫操作審計目前，網(wǎng)絡(luò)安全審計系統(tǒng)支持以下數(shù)據(jù)庫系統(tǒng)的審計，是業(yè)界支持?jǐn)?shù)據(jù)庫種類最多的審計系統(tǒng)，能夠滿足不同用戶、不同發(fā)展階段情況下的數(shù)據(jù)庫審計需求：OracleSQL-ServerDB2InformixSybaseTeradataMysqlPostgreSQLCache人大金倉Kingbase數(shù)據(jù)庫達夢DM數(shù)據(jù)庫南大通用GBa

20、se數(shù)據(jù)庫神通Oscar數(shù)據(jù)庫對于支持SQL92語法的數(shù)據(jù)庫操作均能精確審計，包括以下內(nèi)容：DDL：Create ,Drop,Grant,RevokeDML：Update,Insert,DeleteDCL：Commit,Rollback,Savapoint其他：Alter System,Connect,Allocate數(shù)據(jù)的導(dǎo)入、導(dǎo)出操作登錄操作和登錄失敗操作多編碼環(huán)境支持：系統(tǒng)能夠?qū)Σ捎肙DBC、JDBC、OLE-DB、命令行等各種方式對數(shù)據(jù)庫的訪問進行審計和響應(yīng)。適用于多種應(yīng)用環(huán)境，特別是在異構(gòu)環(huán)境中，比如IBM AS/400通常采用EBCDIC編碼方式實現(xiàn)telnet協(xié)議的傳輸、某些數(shù)據(jù)

21、庫同時采用幾種編碼與客戶端進行通訊，若系統(tǒng)不能識別多種編碼，會導(dǎo)致審計數(shù)據(jù)出現(xiàn)亂碼，對多編碼的支持是衡量審計系統(tǒng)環(huán)境適應(yīng)性的重要指標(biāo)之一，目前網(wǎng)絡(luò)安全審計系統(tǒng)支持如下編碼格式ASCIIUnicodeUTF-8UTF-16GB2312EBCDIC。數(shù)據(jù)庫運維審計在審計數(shù)據(jù)庫操作的同時，系統(tǒng)也支持常用的運維協(xié)議及文件傳輸協(xié)議審計，能夠全程記錄用戶在數(shù)據(jù)庫服務(wù)器上的各種運維操作?？芍С值倪\維協(xié)議如下：TelnetRloginFTPSCPSFTPX11NFSNetbiosHTTP、HTTPS數(shù)據(jù)庫返回信息審計網(wǎng)絡(luò)安全審計系統(tǒng)支持對SQL Server、DB2、Oracle、Informix等數(shù)據(jù)庫系統(tǒng)

22、的SQL操作響應(yīng)時間、返回碼和返回內(nèi)容的審計。通過對響應(yīng)時間和返回碼的審計，可以幫助用戶對數(shù)據(jù)庫的使用狀態(tài)全面掌握、及時響應(yīng)故障信息，特別是當(dāng)新業(yè)務(wù)系統(tǒng)上線、業(yè)務(wù)繁忙、業(yè)務(wù)模塊更新時，通過網(wǎng)絡(luò)安全審計系統(tǒng)對超長時間和關(guān)鍵返回碼進行審計并實時報警有助于提高業(yè)務(wù)系統(tǒng)的運營水平，降低數(shù)據(jù)庫故障等帶來的運維風(fēng)險。目前網(wǎng)絡(luò)安全審計系統(tǒng)支持上述數(shù)據(jù)庫系統(tǒng)共計13000多種返回碼的知識庫供用戶快速查詢和定位問題。業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián)當(dāng)前業(yè)務(wù)系統(tǒng)普遍采用三層結(jié)構(gòu)：瀏覽器客戶端、Web服務(wù)器/中間件、數(shù)據(jù)庫服務(wù)器。通常的流程是：用戶通過瀏覽器客戶端，利用自己的帳戶登錄Web服務(wù)器，向服務(wù)器提交訪問數(shù)據(jù)；Web服務(wù)器

23、根據(jù)用戶提交的數(shù)據(jù)構(gòu)造SQL語句，并利用唯一的帳戶訪問數(shù)據(jù)庫服務(wù)器，提交SQL語句，接收數(shù)據(jù)庫服務(wù)器返回結(jié)果并返回給用戶。在這種基于Web的業(yè)務(wù)行為訪問模式下，傳統(tǒng)的信息安全審計產(chǎn)品一般可審計從瀏覽器到Web服務(wù)器的前臺訪問事件，以及從Web服務(wù)器到數(shù)據(jù)庫服務(wù)器的后臺訪問事件。但由于后臺訪問事件采用的是唯一的帳戶，對每個后臺訪問事件，難以確定是哪個前臺訪問事件觸發(fā)了該事件。如果在后臺訪問事件中出現(xiàn)了越權(quán)訪問、惡意訪問等行為，難以定位到具體的前臺用戶上。舉一個一個典型的例子，內(nèi)部違規(guī)操作人員利用前臺的業(yè)務(wù)系統(tǒng)，以此作為跳板對后臺數(shù)據(jù)庫內(nèi)容進行了篡改和竊取，這種情況下，通常審計產(chǎn)品只能發(fā)現(xiàn)來自某個

24、數(shù)據(jù)庫賬號，而無法判斷最終的發(fā)起源頭。研究人員實現(xiàn)HTTP操作和數(shù)據(jù)庫操作之間的關(guān)聯(lián)計算，目前已經(jīng)申請專利。專利名稱為“一種Web服務(wù)器前后臺關(guān)聯(lián)審計方法和系統(tǒng)”，專利受理號碼：。三層關(guān)聯(lián)邏輯部署圖通過這種關(guān)聯(lián)分析技術(shù)，能夠?qū)徲嫯a(chǎn)品從基于事件的審計，逐漸升級為基于用戶業(yè)務(wù)行為的審計，在關(guān)聯(lián)分析過程中采用自動建模技術(shù)，可以將前臺Web業(yè)務(wù)操作和后臺數(shù)據(jù)庫操作行為進行對應(yīng)，并形成業(yè)務(wù)訪問行為模式庫，同時，在該技術(shù)的基礎(chǔ)上還可以進一步分析，發(fā)現(xiàn)可能的業(yè)務(wù)異常及SQL異常。細粒度審計策略網(wǎng)絡(luò)安全審計系統(tǒng)的審計和響應(yīng)功能可以簡單地描述為：“某個特定的服務(wù)（如FTP、Telnet、SQL等）可以（或不可

25、以）被某個特定的用戶（主機）怎樣地訪問”，這使得它提供的審計和響應(yīng)具有很強的針對性和準(zhǔn)確性。強大的數(shù)據(jù)庫規(guī)則系統(tǒng)能夠根據(jù)訪問數(shù)據(jù)庫的源程序名、登陸數(shù)據(jù)庫的賬號、數(shù)據(jù)庫命令、數(shù)據(jù)庫名、數(shù)據(jù)庫表名、數(shù)據(jù)庫字段名、數(shù)據(jù)庫字段值、數(shù)據(jù)庫返回碼等作為條件，對用戶關(guān)心的違規(guī)行為進行響應(yīng)，特別是針對重要表、重要字段的各種操作，能夠通過簡單的規(guī)則定義，實現(xiàn)精確審計，降低過多審計數(shù)據(jù)給管理員帶來的信息爆炸。定制審計事件規(guī)則網(wǎng)絡(luò)安全審計系統(tǒng)提供了事件規(guī)則用戶自定義模塊，允許用戶自行設(shè)定和調(diào)整各種安全審計事件的觸發(fā)條件與響應(yīng)策略。例如，用戶特別關(guān)注在telnet過程中出現(xiàn)rm、passwd、shutdown等命令的

26、行為，那么用戶就可以利用網(wǎng)絡(luò)安全審計系統(tǒng)定義相應(yīng)的審計事件規(guī)則。這樣，網(wǎng)絡(luò)安全審計系統(tǒng)就可以針對網(wǎng)絡(luò)中發(fā)生的這些行為進行響應(yīng)。基于業(yè)務(wù)特征的規(guī)則庫系統(tǒng)可以將審計員制定的多個符合業(yè)務(wù)特征的規(guī)則進行匯總、編輯和命名，形成具備某種業(yè)務(wù)特征的規(guī)則寫入用戶自定義的規(guī)則庫。這樣，審計員在針對某個特定業(yè)務(wù)用戶制定審計策略時，可以直觀地使用自命名的規(guī)則進行設(shè)置，方便了各種策略的制定和查詢。特定賬號行為跟蹤系統(tǒng)能夠?qū)崿F(xiàn)對“用戶網(wǎng)絡(luò)環(huán)境中出現(xiàn)的特定賬號或特定賬號執(zhí)行某種操作后”的場景進行賬號跟蹤，提供對后繼會話和事件的審計。這樣，管理員能夠?qū)Τ霈F(xiàn)在網(wǎng)絡(luò)中的特權(quán)賬號，比如root、DBA等，進行重點的監(jiān)控，特別是哪

27、些本不應(yīng)出現(xiàn)在網(wǎng)絡(luò)上的特權(quán)賬號突然出現(xiàn)的事件。多種響應(yīng)方式網(wǎng)絡(luò)安全審計系統(tǒng)提供了多種響應(yīng)方式，包括：在審計服務(wù)器中記錄相應(yīng)的操作過程；在日常審計報告中標(biāo)注；向管理控制臺發(fā)出告警信息；實時阻斷會話連接；管理人員通過本系統(tǒng)手工RST阻斷會話連接；通過Syslog方式進行告警通過SNMP Trap方式進行告警通過郵件方式進行告警實時跟蹤和回放管理員可以通過審計顯示中心實時地跟蹤一個或多個網(wǎng)絡(luò)連接，通過系統(tǒng)提供的“時標(biāo)”清晰地顯示不同網(wǎng)絡(luò)連接中每個操作的先后順序及操作結(jié)果，當(dāng)發(fā)現(xiàn)可疑的操作或訪問時，可以實時阻斷當(dāng)前的訪問。管理員也可以從審計數(shù)據(jù)中心中提取審計數(shù)據(jù)對通信過程進行回放，便于分析和查找系統(tǒng)安

28、全問題，并以次為依據(jù)制定更符合業(yè)務(wù)特征和系統(tǒng)安全需求的安全規(guī)則和策略。審計報告輸出審計系統(tǒng)從安全管理的角度出發(fā)，設(shè)計一套完善的審計報告輸出機制。多種篩選條件網(wǎng)絡(luò)安全審計系統(tǒng)提供了強大、靈活的篩選條件設(shè)置機制。在設(shè)置篩選條件時，審計員可基于以下要素的組合進行設(shè)置：時間、客戶端IP、客戶端端口號、服務(wù)端IP、服務(wù)端端口、關(guān)鍵字、事件級別、引擎名、業(yè)務(wù)用戶身份、資源賬號等條件。審計員可根據(jù)需要靈活地設(shè)置審計報表的各種要素，迅速生成自己希望看到的審計內(nèi)容。同時系統(tǒng)提供了報表模板功能，審計員無需重復(fù)輸入，只需要設(shè)置模板后，即可按模板進行報表生成。命令及字段智能分析系統(tǒng)能夠根據(jù)審計協(xié)議的類型進行命令和字段

29、的自動提取，用戶可以選擇提取后的命令或字段作為重點對象進行分析。針對數(shù)據(jù)庫類協(xié)議，可分析并形成數(shù)據(jù)庫名、表名、命令等列表；針對運維類協(xié)議，可分析并形成命令等列表；針對文件操作類協(xié)議，可分析并形成文件名、操作命令等列表；通過該功能，可以簡化用戶對審計數(shù)據(jù)的分析過程，大大提高分析的效率。宏觀事件到微觀事件鉆取網(wǎng)絡(luò)安全審計系統(tǒng)提供了從宏觀報表到微觀事件的關(guān)聯(lián)，審計員可以在統(tǒng)計報表、取證報表中查看宏觀的審計數(shù)據(jù)統(tǒng)計信息，通過點擊相應(yīng)鏈接即可逐步下探到具體的審計事件。自動任務(wù)支持網(wǎng)絡(luò)安全系統(tǒng)提供報表任務(wù)功能，審計員可根據(jù)實際情況定制報表生成任務(wù)；系統(tǒng)支持HTML、EXCEL、CSV、PDF、Word等多

30、種文檔格式的報表輸出，可以通過郵件方式自動發(fā)送給審計員。 數(shù)據(jù)和報表備份網(wǎng)絡(luò)安全審計系統(tǒng)提供了審計數(shù)據(jù)和報表的手動和自動備份功能，可以將壓縮后的數(shù)據(jù)自動傳輸?shù)街付ǖ腇TP服務(wù)器，提供每天、每周、每月、時刻的定義方式。自身管理安全管理網(wǎng)絡(luò)安全審計系統(tǒng)的管理控制中心提供了集中的管理控制界面，審計員通過管理控制臺就能管理和綜合分析所有審計引擎的審計信息和狀態(tài)信息，并形成審計報表。網(wǎng)絡(luò)安全審計系統(tǒng)支持權(quán)限分級管理模式，可對不同的角色設(shè)定不同的管理權(quán)限。例如，超級管理員擁有所有的管理權(quán)限；而某些普通管理員則可能僅擁有查看審計報表的權(quán)限，某些管理員可以擁有設(shè)置審計策略或安全規(guī)則的權(quán)限。系統(tǒng)提供專門的自身審

31、計日志，記錄所有人員對系統(tǒng)的操作，方便審計員對日志進行分析和查看。狀態(tài)管理網(wǎng)絡(luò)安全審計系統(tǒng)提供CPU、內(nèi)存、磁盤狀態(tài)、網(wǎng)口等運行信息，管理員可以很輕松的通過GUI界面實現(xiàn)對審計數(shù)據(jù)中心、審計引擎的工作狀態(tài)進行查看。當(dāng)出現(xiàn)錯誤信息時，比如Raid故障、磁盤空間不足、引擎連接問題，系統(tǒng)可自動郵件通知相關(guān)管理人員。時間同步管理網(wǎng)絡(luò)安全審計系統(tǒng)提供手工和NTP兩種時間同步方式，通過對全系統(tǒng)自身的時間同步，保證了審計數(shù)據(jù)時間戳的精確性，避免了審計事件時間誤差給事后審計分析工作帶來的影響，提升了工作效率。多級分布式部署為了方便大型網(wǎng)絡(luò)客戶的使用，適應(yīng)不同的網(wǎng)絡(luò)管理結(jié)構(gòu)，系統(tǒng)實現(xiàn)了多級和分布式管理。系統(tǒng)多級

32、管理適用于多層次網(wǎng)絡(luò)管理架構(gòu)，在滿足各級網(wǎng)絡(luò)自身的審計要求基礎(chǔ)上，總部可以對二級公司的審計系統(tǒng)進行管理，并對下級的審計報表進行查看，方便總部管理人員了解下級網(wǎng)絡(luò)的安全狀態(tài)。同時，的數(shù)據(jù)中心可以管理多個引擎（包括旁路引擎和在線引擎），對多個引擎進行統(tǒng)一管理和維護，對審計日志進行統(tǒng)一的收集和分析。系統(tǒng)安全性在系統(tǒng)的設(shè)計中采用了嚴(yán)密的系統(tǒng)安全性設(shè)計，主要體系在以下幾個方面：操作系統(tǒng)安全性設(shè)計：系統(tǒng)采用經(jīng)裁減、加固的Linux操作系統(tǒng)。在設(shè)計過程中，結(jié)合系統(tǒng)的功能要求和我公司在操作系統(tǒng)安全方面的技術(shù)和經(jīng)驗，對Linux進行了精心的裁減和加固，包括補丁修補，取消危險的、無用的服務(wù)等。數(shù)據(jù)庫安全性設(shè)計：審

33、計數(shù)據(jù)中心審計服務(wù)器的數(shù)據(jù)庫是根據(jù)系統(tǒng)的功能要求自行設(shè)計的，在設(shè)計時已經(jīng)充分考慮了安全性方面的問題。模塊間的通信：各功能模塊之間的通信均采用專門設(shè)計的通信協(xié)議，這些通信協(xié)議在設(shè)計時均采用了諸如CA認(rèn)證、編碼、簽名、加密等安全技術(shù)。對于遠程維護，則采用了SSH加密傳輸協(xié)議。在產(chǎn)品出廠測試階段，還將進行諸如漏洞掃描之類的安全性測試，因此，我們認(rèn)為系統(tǒng)具有很高的安全性。業(yè)內(nèi)領(lǐng)先的處理性能一般來說，用戶總是希望盡可能多的記錄審計到的操作行為，這樣也會帶來一個后果，每天都要處理海量的審計日志。系統(tǒng)首先解決日志完整入庫的問題。審計引擎的處理速度再高，如果審計日志不能及時錄入數(shù)據(jù)庫，都會給后續(xù)的追蹤溯源帶來

34、麻煩，審計系統(tǒng)也就失去了存在的價值。系統(tǒng)采用專業(yè)設(shè)計的數(shù)據(jù)庫結(jié)構(gòu)，并在入庫方式上進行了大量的優(yōu)化，從而得到了最優(yōu)的入庫性能10萬條/秒以上的入庫速度。然后，解決檢索效率的問題。系統(tǒng)針對此問題進行了專門的設(shè)計，并在日志入庫的同時進行分類和統(tǒng)計，將一次數(shù)據(jù)庫查詢分布為多個預(yù)處理任務(wù)，使得日志檢索時，感覺不到明顯的等待和延時，極大的方便了用戶的使用。部署方案及系統(tǒng)配置核心數(shù)據(jù)庫Oracle系統(tǒng)通過主備方式接入網(wǎng)絡(luò)，設(shè)計采用配置一臺審計數(shù)據(jù)中心，一臺旁路審計引擎，一臺在線審計引擎。具體部署如下圖所示：系統(tǒng)部署圖審計數(shù)據(jù)中心: 部署一臺審計數(shù)據(jù)中心，該服務(wù)器具備一個2T的內(nèi)置RAID5存儲器，對網(wǎng)絡(luò)審計

35、引擎進行管理和控制，實現(xiàn)對審計數(shù)據(jù)的存儲和分析。審計數(shù)據(jù)中心的管理端口需要接入網(wǎng)絡(luò)中，并分配一個合法的IP地址，以接收管理控制臺的管理。審計數(shù)據(jù)中心的“管理端口”需要通過網(wǎng)絡(luò)方式與網(wǎng)絡(luò)審計引擎的“管理端口”進行連接。旁路審計引擎: 部署一臺網(wǎng)絡(luò)審計引擎對核心交換機上的Oracle流量進行監(jiān)控和審計。網(wǎng)絡(luò)審計引擎配置兩個信息監(jiān)聽端口，該端口需要連接到被監(jiān)控交換機的“鏡像目的端口”上，以獲取原始的通信信息，從而實現(xiàn)各種審計和控制功能。網(wǎng)絡(luò)審計引擎需要設(shè)置一個“管理端口”，這個端口需要接入網(wǎng)絡(luò)，并分配一個合法的IP地址，以接收管理控制臺的管理。在線審計引擎：部署一臺旁路審計引擎，實現(xiàn)對運維區(qū)域的各種

36、運維操作進行監(jiān)控、審計和阻斷，該引擎自帶Bypass支持，通常采用透明方式進行接入，對服務(wù)器端和終端用戶無影響。管理控制臺:在網(wǎng)絡(luò)中的任何一臺Windows計算機上采用瀏覽器進行管理。在本方案中同時部署了旁路審計引擎與在線審計引擎，這是因為這兩種引擎屬于互補關(guān)系，旁路審計引擎解決了在線審計引擎被繞過的風(fēng)險，在線審計引擎解決了旁路引擎無法實現(xiàn)加密協(xié)議審計和事前阻斷的風(fēng)險，二者的關(guān)系如下：在線審計實現(xiàn)的基礎(chǔ)為“建立唯一訪問路徑，一切的行為均通過該路徑進行訪問”，也就是說需要將所有被審計運維訪問流量都要通過在線引擎才可以進行審計，這就牽涉到網(wǎng)絡(luò)結(jié)構(gòu)的變化或ACL的調(diào)整，在實際部署中，在線審計依賴外部

37、設(shè)備的ACL控制（比如交換機或FW），一旦這些訪問控制設(shè)備出現(xiàn)問題或ACL不夠充分，就會存在繞過堡壘主機的操作行為，而此時這些繞過堡壘主機的行為是沒有被審計的，由于惡意攻擊者往往具備較高的技術(shù)水平，同時善于尋找安全系統(tǒng)的漏洞，故不完善的ACL控制會讓在線審計存在較大的部署風(fēng)險。而旁路審計實現(xiàn)的基礎(chǔ)為“一切網(wǎng)絡(luò)訪問行為均不可信”進行部署的，故所有可識別的操作均被審計，這兩種審計部署方式存在著很強的互補性，通常都會一起部署，從而實現(xiàn)控制與審計的完美結(jié)合。影響評價業(yè)務(wù)系統(tǒng)影響評價系統(tǒng)基于“網(wǎng)絡(luò)數(shù)據(jù)流俘獲應(yīng)用層數(shù)據(jù)分析審計和響應(yīng)”實現(xiàn)各項功能。在具體實現(xiàn)時，無需在網(wǎng)絡(luò)通路中“跨接”任何硬件設(shè)備，也不需要在審計對象中安裝“審計代理”，因此，系統(tǒng)的安裝使用，不會對原系統(tǒng)造成任何性能、穩(wěn)定