數(shù)據(jù)庫審計與風(fēng)險控制解決方案

數(shù)據(jù)庫審計與風(fēng)險控制解決方案

1概述

1.1數(shù)據(jù)庫面臨的安全挑戰(zhàn)

數(shù)據(jù)庫是企業(yè)核心業(yè)務(wù)開展過程中最具有戰(zhàn)略性的資產(chǎn)，通

常都保存著重要的商業(yè)伙伴和客戶信息，這些信息需要被保護起

來，以防止競爭者和其他非法者獲取?；ヂ?lián)網(wǎng)的急速發(fā)展使得企

業(yè)的數(shù)據(jù)庫信息價值及可訪問性得到了提升，同時，也致使數(shù)據(jù)

庫信息資產(chǎn)面臨嚴峻的挑戰(zhàn)，概括起來主要表現(xiàn)在以下三個層

面：

管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員

工的日常操作有待規(guī)范，第三方維護人員的操作監(jiān)控失效等等，

致使安全事件發(fā)生時，無法追溯并定位真實的操作者。

技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任

何安全工具（比如：防火墻、IDS、IPS等）來阻止內(nèi)部用戶的惡

意操作、濫用資源和泄露企業(yè)機密信息等行為。

審計層面：現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審

計方法，存在諸多的弊端，比如:數(shù)據(jù)庫審計功能

的開啟會影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文

件本身存在被篡改的風(fēng)險，難于體現(xiàn)審計信息的

真實性。

伴隨著數(shù)據(jù)庫信息價值以及可訪問性提升，使

得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風(fēng)險大大

增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機密信息

竊取泄漏，但事后卻無法有效追溯和審計。

1.2數(shù)據(jù)庫審計的客觀需求

數(shù)據(jù)庫審計與風(fēng)險控制的目的概括來說主要

是三個方面：一是確保數(shù)據(jù)的完整性;二是讓管

理者全面了解數(shù)據(jù)庫實際發(fā)生的情況;三是在可

疑行為發(fā)生時可以自動啟動預(yù)先設(shè)置的告警流

程，防范數(shù)據(jù)庫風(fēng)險的發(fā)生。因此，如何采取一

種可信賴的綜合途徑，確保數(shù)據(jù)庫活動記錄的

100%捕獲是極為重要的，任何一種遺漏關(guān)鍵活

動的行為，都會導(dǎo)致數(shù)據(jù)庫安全上的錯誤判斷，

并且干擾數(shù)據(jù)庫在運行時的性能。只有充分理解

企業(yè)對數(shù)據(jù)庫安全審計的客觀需求，才能夠給出

行之有效的解決方案：

捕捉數(shù)據(jù)訪問：不論在什么時間、以什么方式、只要數(shù)據(jù)被

修改或查看了就需要自動對其進行追蹤；

捕捉數(shù)據(jù)庫配置變化：當(dāng)”數(shù)據(jù)庫表結(jié)構(gòu)、控制數(shù)據(jù)訪問的

權(quán)限和數(shù)據(jù)庫配置模式”等發(fā)生變化時，需要進行自動追蹤；

自動防御：當(dāng)探測到值得注意的情況時，需要自動啟動事先

設(shè)置的告警策略，以便數(shù)據(jù)庫安全管理員及時采取有效應(yīng)對措

施，對于嚴重影響業(yè)務(wù)運行的高風(fēng)險行為甚至可以立即阻斷；

審計策略的靈活配置和管理：提供一種直截了當(dāng)?shù)姆椒▉砼?/p>

置所有目標(biāo)服務(wù)器的審計形式、具體說明關(guān)注的活動以及風(fēng)險來

臨時采取的動作；

審計記錄的管理：將從多個層面追蹤到的信息自動整合到一

個便于管理的，長期通用的數(shù)據(jù)存儲中，且這些數(shù)據(jù)需要獨立于

被審計數(shù)據(jù)庫本身；

靈活的報告生成：臨時和周期性地以各種格式輸出審計分析

結(jié)果，用于顯示、打印和傳輸；

1.3現(xiàn)有的數(shù)據(jù)庫審計解決方案的不足

傳統(tǒng)的審計方案，或多或少存在一些缺陷，主要表現(xiàn)在以下

幾個方面：

傳統(tǒng)網(wǎng)絡(luò)安全方案：依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護系統(tǒng)

(IPS),在網(wǎng)絡(luò)中檢查并實施數(shù)據(jù)庫訪問控制策略。但是網(wǎng)絡(luò)防

火墻只能實現(xiàn)對IP地址、端口及協(xié)議的訪問控制，無法識別特

定用戶的具體數(shù)據(jù)庫活動（比如：某個用戶使用數(shù)據(jù)庫客戶端刪

除某張數(shù)據(jù)庫表）；而IPS雖然可以依賴特征庫有限阻止數(shù)據(jù)庫

軟件已知漏洞的攻擊，但他同樣無法判別具體的數(shù)據(jù)庫用戶活

動，更談不上細粒度的審計。因此，無論是防火墻，還是IPS都

不能解決數(shù)據(jù)庫特權(quán)濫用等問題。

基于日志收集方案：需要數(shù)據(jù)庫軟件本身開啟審計功能，通

過采集數(shù)據(jù)庫系統(tǒng)日志信息的方法形成審計報告，這樣的審計方

案受限于數(shù)據(jù)庫的審計日志功能和訪問控制功能，在審計深度、

審計響應(yīng)的實時性方面都難以獲得很好的審計效果。同時，開啟

數(shù)據(jù)庫審計功能，一方面會增加數(shù)據(jù)庫服務(wù)器的資源消耗，嚴重

影響數(shù)據(jù)庫性能；另一方面審計信息的真實性、完整性也無法保

證。

其他諸如應(yīng)用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認證系統(tǒng)授權(quán)

等等方式，均只能記錄有限的信息，更加無法提供細料度的數(shù)據(jù)

庫操作審計。

1.4本方案解決的數(shù)據(jù)庫安全問題

為了解決企業(yè)數(shù)據(jù)庫安全領(lǐng)域的深層次、應(yīng)用及業(yè)務(wù)邏輯層

面的安全問題及審計需求，杭州安恒信息技術(shù)有限公司依靠其對

入侵檢測技術(shù)的深入研究及安全服務(wù)團隊積累的數(shù)據(jù)庫安全知

識，研制并成功推出了全球領(lǐng)先的、面向企業(yè)核心數(shù)據(jù)庫的、集

“全方位的風(fēng)險評估、多視角的訪問控制、深層次的審計報告”

于一體的數(shù)據(jù)庫審計與風(fēng)險控制設(shè)備，即明御數(shù)據(jù)庫審計與風(fēng)險

控制系統(tǒng)，為企業(yè)核心數(shù)據(jù)庫提供全方位安全防護。

在企業(yè)業(yè)務(wù)支撐網(wǎng)絡(luò)中部署了明御數(shù)據(jù)庫審計與風(fēng)險控制系

統(tǒng)，可以實現(xiàn)企業(yè)核心數(shù)據(jù)庫的“系統(tǒng)運行可視化、日常操作可

跟蹤、安全事件可鑒定”目標(biāo)，解決企業(yè)數(shù)據(jù)庫所面臨的管理層

面、技術(shù)層面、審計層面的三大風(fēng)險，以滿足企業(yè)的不斷增長的

業(yè)務(wù)需要。明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)對于企業(yè)數(shù)據(jù)庫的安

全防護功能，概括起來體現(xiàn)在以下三個方面：

首先：明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)采用“網(wǎng)絡(luò)抓包、本

地操作審計”組合工作模式，結(jié)合安恒專用的硬件加速卡，確保

數(shù)據(jù)庫訪問的100%完整記錄，為后續(xù)的日常操作跟蹤、安全事

件鑒定奠定了基礎(chǔ)。

其次：明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)通過專利級的雙引擎

技術(shù)，一方面利用數(shù)據(jù)庫安全研究團隊多年積累的安全知識庫，

防止無意的危險誤操作，阻止數(shù)據(jù)庫軟件漏洞引起的惡意攻擊；

另一方面，依賴智能自學(xué)習(xí)過程中動態(tài)創(chuàng)建的安全模型與異常引

擎相結(jié)合，有效控制越權(quán)操作、違規(guī)操作等異常操作行為。

再者：明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)依賴其獨特的數(shù)據(jù)庫

安全策略庫，可以深入到應(yīng)用層協(xié)議（如操作命令、數(shù)據(jù)庫對象、

業(yè)務(wù)操作過程）實現(xiàn)細料度的安全審計，并根據(jù)事先設(shè)置的安全

策略采取諸如產(chǎn)生告警記錄、發(fā)送告警郵件（或短信）、提升風(fēng)險

等級、加入黑名單、立即阻斷等響應(yīng)。同時，明御數(shù)據(jù)庫審計與

風(fēng)險控制系統(tǒng)可以提供多視角的審計報告，即根據(jù)實時記錄的網(wǎng)

絡(luò)訪問情況，提供多種安全審計報告，更清晰地了解系統(tǒng)的使用

情況以及安全事件的發(fā)生情況，并可根據(jù)這些安全審計報告進一

步修改和完善數(shù)據(jù)庫安全策略庫。

2方案總體結(jié)構(gòu)

2.1主要功能

如下圖所示，數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)主要的功能模塊包

括“靜態(tài)審計、實時監(jiān)控與風(fēng)險控制、動態(tài)審計（全方位、細粒

度）、審計報表、安全事件回放、審計對象管理、系統(tǒng)配置管理

管理”幾個部分。

2.1.1數(shù)據(jù)庫靜態(tài)審計

數(shù)據(jù)庫靜態(tài)審計的目的是代替繁瑣的手工檢查，預(yù)防安全事

件的發(fā)生。數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)依托其權(quán)威性的數(shù)據(jù)庫安

全規(guī)則庫，自動完成對幾百種不當(dāng)?shù)臄?shù)據(jù)庫不安全配置、潛在弱

點、數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補丁、數(shù)據(jù)庫潛藏木馬等等

靜態(tài)審計，通過靜態(tài)審計，可以為后續(xù)的動態(tài)防護與審計的安全

策略設(shè)置提供有力的依據(jù)。

2.1.2實時監(jiān)控與風(fēng)險控制

數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)可保護業(yè)界主流的數(shù)據(jù)庫系統(tǒng)，

防止受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等的侵害。當(dāng)用

戶與數(shù)據(jù)庫進行交互時，數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)會自動根據(jù)

預(yù)設(shè)置的風(fēng)險控制策略，結(jié)合對數(shù)據(jù)庫活動的實時監(jiān)控信息，進

行特征檢測及審計規(guī)則檢測，任何嘗試的攻擊或違反審計規(guī)則的

操作都會被檢測到并實時阻斷或告警。

三上啰t

饗*電**ta技+風(fēng)險掛圖

2.1.3數(shù)據(jù)庫動態(tài)審計

數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)基于“數(shù)據(jù)捕獲f應(yīng)用層數(shù)據(jù)分

析f監(jiān)控、審計和響應(yīng)”的模式提供各項安全功能，使得它的

審計功能大大優(yōu)于基于日志收集的審計系統(tǒng)，通過收集一系列極

其豐富的審計數(shù)據(jù)，結(jié)合細粒度的審計規(guī)則、以滿足對敏感信息

的特殊保護需求。

數(shù)據(jù)庫動態(tài)審計可以徹底擺脫數(shù)據(jù)庫的黑匣子狀態(tài)，提供

4W(who/when/where/what)審計數(shù)據(jù)。通過實時監(jiān)測并智能地分

析、還原各種數(shù)據(jù)庫操作，解析數(shù)據(jù)庫的登錄、注銷、插入、刪

除、存儲過程的執(zhí)行等操作，還原SQL操作語句；跟蹤數(shù)據(jù)庫訪

問過程中的所有細節(jié)，包括用戶名、數(shù)據(jù)庫操作類型、所訪問的

數(shù)據(jù)庫表名、字段名、操作執(zhí)行結(jié)果、數(shù)據(jù)庫操作的內(nèi)容取值等。

全方位的數(shù)據(jù)庫活動審計：實時監(jiān)控來自各個層面的所有數(shù)

據(jù)庫活動。如：來自應(yīng)用程序發(fā)起的數(shù)據(jù)庫操作請求、來自數(shù)據(jù)

庫客戶端工具的操作請求、來自數(shù)據(jù)庫管理人員遠程登錄數(shù)據(jù)庫

服務(wù)器產(chǎn)生的操作請求等。

完整的雙向?qū)徲嫞撼蓪崟r監(jiān)控數(shù)據(jù)庫的請求操作以外，還

可以實時監(jiān)控所有請求操作后數(shù)據(jù)庫的回應(yīng)信息，如命令執(zhí)行情

況，錯誤信息等。

潛在危險活動重要審計：提供對DDL類操作、DML類操作的重

要審計功能，重要審計規(guī)則的審計要素可以包括：用戶、源IP

地址、操作時間(任意天、一天中的時間、星期中的天數(shù)、月中

的天數(shù)）、使用的SQL操作類型

（Select/Delete/Drop/Insert/Update）o當(dāng)某個數(shù)據(jù)庫活動匹配

了事先定義的重要審計規(guī)則時，一條報警將被記錄以進行審計。

重要審計規(guī)則設(shè)置:

重要審計結(jié)果展示:

敏感信息細粒度審計：對業(yè)務(wù)系統(tǒng)的重要信息，提供完全自

定義的、精確到字段及記錄內(nèi)容的細粒度審計功能。自定義的審

計要素包括登錄用戶、源IP地址、數(shù)據(jù)庫對象（分為數(shù)據(jù)庫用戶、

表、字段）、操作時間段（本日、本周、本月、最近三小時、最近

十二小時、最近二十四小時、最近七天、最近三十天、任意時間

段）、使用的SQL操作類型

(select/delete/drop/insert/update/create/turncate)、記錄

內(nèi)容。

根據(jù)操作類型及記錄內(nèi)容進行細粒度審計:

明周及計蒙&qfn

—g1”…■一HI、

??9?

Mfl—r-?)*??.g4V*R?

。e?y??.：?C*士■

■OtnjnMt?oMBC~?nti：-0***<MB*C*'

■MP

?A4B*10^9.IOX*

口

E?0fjffj

tOilSKlfttfl1AUV±￡

。.*4MnMI?*uVWflOS

ngge.iuat

■?1*caw(&*?Om*

細粒度審計結(jié)果展示:

義3—301—ITin

-??fi.?

FtJnUJM________________________________________________________wiiiRiMwrt

■■■“?.?■?*????.xMb.

MXMB-：；“t?，???：，_、.??:??11?_；--??t

~~25~|MSWM*9,愴1tXMVttMC!??????（

,

?atm*0nMV?M>4，■“S”3?X

f?sttlUMMIMLOWCKSrirv'OV?C

?t22WMk）Xtt?la?MtoM>??，a<?MM-IM9M23U

|W0MH?|>M1tHMCMJ^ffAlOO'KT-QWC1

遠程ftp操作審計與回放：對發(fā)生在數(shù)據(jù)庫服務(wù)器上的ftp

命令進行實時監(jiān)控、審計及回放。審計的要素包括：ftp用戶、

ftp客戶端IP地址、命令執(zhí)行時間段（本日、本周、本月、最近

三小時、最近十二小時、最近二十四小時、最近七天、最近三十

天、任意時間段）、執(zhí)行的ftp命令（get/put/ls等等）。

自定義ftp操作審計:

明即“應(yīng)用及數(shù)據(jù)蟀防御審計系統(tǒng)ftp134.97.9.16^

?丫Ise1t|依9|utgaat]

wa

甌希?IP

?務(wù)■?11.97916:21

時而段至回朝初

■?三4守!?二4,修二十m.量七務(wù)?設(shè)三十天

，法：?KU,lt*量6七語的榮H)

Jtxif.O1*◎■遇。金?

ftp審計結(jié)果展示:

(x*7?n

o*p?n

>8,,內(nèi)

U4(MriMfTaM

w，,”，XS，R

?M?aH

rwifantMVFMN

mrm

iMtrtM

iMtranO4?T??4

3"Z

f>F?n

fMircH?M*TIM

fMV*tntMtraw

(Mv??n<M*Tm

tMP?n

txwirIMVTBM

tMtf**?也?，■?

mviniMtraw

ftp回放:

明?”盛用及CUR?S0?it蒙慌np

_________________皿1，標(biāo)

遠程telnet操作審計與回放：對發(fā)生在數(shù)據(jù)庫服務(wù)器上的

Telnet命令進行實時監(jiān)控、審計及回放。審計的要素包括：telnet

用戶、telnet客戶端IP地址、命令執(zhí)行時間段（本日、本周、

本月、最近三小時、最近十二小時、最近二十四小時、最近七天、

最近三十天、任意時間段）、telnet登錄后執(zhí)行的系統(tǒng)命令

（login/pwd/root等等）。

自定義telnet操作審計:

明6"應(yīng)用及數(shù)據(jù)除防御串計系統(tǒng)Mne<鑰.

9-十一三一IaiLijll一■i

□歐文?，IMP

?SPmtP

VMIIP1349791?：23

彩旺4制十=1重二夕$10%&匕*M三日

ig?]

HX"OtffOtV

telnet操作審計結(jié)果展示:

會話分析與查看：單個離散的操作（Sql操作、ftp命令、telnet

命令）還不足于了解用戶的真實意圖，一連串的操作所組成的一

個完整會話展現(xiàn)，可以更加清晰地判斷用戶的意圖（違規(guī)的'粗心

的、惡意的）。

Telent操作審計會話查看:

■父

1MIT9M)ogrM

txt/trtmiVfMa.陽1*09

Q4R9ftoe>ii>o$i3ss<n

mmOM，61SMO

1)4978T5049T9tf?11O5UM43

iwrriHMWtfW-H-M11M43

ii4*raKraft

ixntrswm”E，1田

小?？?2Ml-13S*43

2.1.4審計報表

數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)內(nèi)嵌了功能強大的報表模塊，除

了按安全經(jīng)驗、行業(yè)需求分類的預(yù)定義固定格式報表外，管理員

還可以利用報表自定義功能生成定制化的報告。報告模塊同時支

持Word、Excel、PowerPoint、Pdf格式的數(shù)據(jù)導(dǎo)出。系統(tǒng)缺省

提供以下報表：

DB第fit安全觀計報表

數(shù)據(jù)庫攻擊源統(tǒng)計

DB安全審計報表

DBA表訪問審計

系統(tǒng)表訪問審計

數(shù)據(jù)庫操作審計

數(shù)據(jù)庫特權(quán)操作審計

數(shù)據(jù)庫用戶訪問審計

數(shù)據(jù)庫攻擊源統(tǒng)計示意圖：

攻擊來源TOP10

⑼麗迎

1921a318

192axi

1921^3209

192IO3I2

1921683103

1921A3J0

192160224

192168322

數(shù)據(jù)庫操作審計示意:

/IKW?作審計據(jù)計分析

同時提供靈活的格式報表功能，可以方便的根據(jù)業(yè)務(wù)邏輯來

動態(tài)格式化報表元素，提供強大的樣式定義，對于熟悉CSS的設(shè)

計人員來說，可以設(shè)計出相當(dāng)出色的報表樣式。

2.1.5安全事件回放

允許安全管理員提取歷史數(shù)據(jù)，對過去某一時段的事件進行

回放，真實展現(xiàn)當(dāng)時的完整操作過程，便于分析和追溯系統(tǒng)安全

問題。

很多安全事件或者與之關(guān)聯(lián)的事件在發(fā)生一段時間后才引發(fā)

相應(yīng)的人工處理，這個時候，作為獨立審計的數(shù)據(jù)庫審計與風(fēng)

險控制系統(tǒng)就發(fā)揮特別的作用.因為所有的FTP、telnet、客戶

端連接等事件都保存后臺（包括相關(guān)的告警），對相關(guān)的事件做

定位查詢，縮小范圍，使得追溯變得容易；同時由于這是獨立監(jiān)

控審計模式，使得相關(guān)的證據(jù)更具有公證性。

Sql操作回放示意圖:

VIMitorMXmtMvz*

telnet命令回放示意圖:

.111■一?.—■■???O

2.1.6綜合管理

數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)提供WEB-base的管理頁面，數(shù)據(jù)

庫安全管理員在不需要安裝任何客戶端軟件的情況下，基于標(biāo)準

的瀏覽器即可完成對數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)的相關(guān)配置管

理，主要包括“審計對象管理、系統(tǒng)管理、用戶管理、功能配置、

風(fēng)險查詢”等。

下圖為審計對象配置示意圖:

下圖為系統(tǒng)配置示意圖:

?AmtJEkJfiar

下圖為風(fēng)險查詢示意圖:

2.2審計流程

明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)數(shù)據(jù)庫審計流程如下圖所

示:

知信

2.2.1審計數(shù)據(jù)采集

明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)審計數(shù)據(jù)采集的方式包括：

網(wǎng)絡(luò)抓包、本地操作審計，采集的內(nèi)容主要包括：

賬號登錄行為數(shù)據(jù)：采集對賬號登錄動作的審計。具體包括:

賬號名稱、登錄成功或登錄失敗、用戶終端IP/ID、登錄時間

等;

對異常動作的審計記錄，應(yīng)記錄越權(quán)企圖、用戶終端IP/ID、

登錄時間等；

賬號登錄后各種操作記錄，記錄各種操作的操作人員、操作

時間、操作內(nèi)容，具體包括：

對數(shù)據(jù)庫的一般操作記錄；

對關(guān)鍵數(shù)據(jù)的操作記錄；

數(shù)據(jù)庫特殊命令的操作記錄

明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)對審計數(shù)據(jù)的采集大多數(shù)情

況下是通過網(wǎng)絡(luò)獲取，由于其采用了專用硬件加速接口卡，可以

在千兆環(huán)境下線速捕獲，因此保證了明御數(shù)據(jù)庫審計與風(fēng)險控制

系統(tǒng)具備交換機一樣的高吞吐量和低延時、并且確保了審計信息

的不會丟失。

2.2.2審計數(shù)據(jù)標(biāo)準化

審計數(shù)據(jù)來源自多種方式采集的數(shù)據(jù)，而這些數(shù)據(jù)定義的格

式不盡相同。所以，審計數(shù)據(jù)的標(biāo)準化就必須把這些不同格式的

事件轉(zhuǎn)化成標(biāo)準格式，然后寫入審計數(shù)據(jù)庫。在標(biāo)準化的過程中，

也需要對多種方式采集的數(shù)據(jù)進行排重處理。

2.2.3審計數(shù)據(jù)歸并

對于標(biāo)準化處理后的審計數(shù)據(jù)必須對某些數(shù)據(jù)進行歸并（會

聚）。歸并規(guī)則，就是在什么情況下，滿足什么條件，對哪些字

段進行歸并。事件歸并功能可以對海量的審計數(shù)據(jù)依據(jù)歸并條件

進行歸并，達到簡化審計數(shù)據(jù)，提高審計數(shù)據(jù)準確率。

審計數(shù)據(jù)歸并規(guī)則包含以下屬性：

歸并字段：歸并處理的審計數(shù)據(jù)字段，所列字段內(nèi)容相同的

審計數(shù)據(jù)才進行歸并；

歸并時間：歸并審計數(shù)據(jù)的時間窗口，指多長時間進行一次

歸并；

歸并數(shù)目：需要歸并事件的數(shù)量，指多少事件進行一次歸并;

對被歸并審計數(shù)據(jù)的處理方式：被歸并的審計數(shù)據(jù)以何種方

式進行處理；

被歸并審計數(shù)據(jù)的處理方式：

丟棄：直接將被歸并審計數(shù)據(jù)全部丟棄，不寫入數(shù)據(jù)庫；

寫入數(shù)據(jù)庫：將被歸并審計數(shù)據(jù)全部寫入數(shù)據(jù)庫；

通過預(yù)設(shè)歸并規(guī)則的模板，方便對海量審計數(shù)據(jù)的歸并，明

御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)提供以下預(yù)設(shè)模板：

根據(jù)審計數(shù)據(jù)名稱進行歸并分析；

根據(jù)審計數(shù)據(jù)的類型進行歸并分析；

根據(jù)審計數(shù)據(jù)的原始時間進行歸并分析；

根據(jù)受審計的設(shè)備類型進行歸并分析;

2.2.4安全事件關(guān)聯(lián)

通過安全事件關(guān)聯(lián)功能，來深度挖掘安全隱患、判斷審計數(shù)

據(jù)的嚴重程度，包括關(guān)聯(lián)分析的類型和關(guān)聯(lián)分析規(guī)則的內(nèi)容。

基于時序關(guān)聯(lián)規(guī)則：將賬號的登錄行為和賬號各種業(yè)務(wù)操作

行為根據(jù)時序進行關(guān)聯(lián)。通過時序關(guān)聯(lián)，形成某一個賬號連續(xù)的

登錄行為和操作行為，根據(jù)制定審計策略判斷其是否業(yè)務(wù)操作習(xí)

慣;根據(jù)時序關(guān)聯(lián)判斷執(zhí)行每個業(yè)務(wù)操作的賬號是否具有正常的

登錄記錄等；

基于賬號與重要操作行為的關(guān)聯(lián)：將對數(shù)據(jù)庫系統(tǒng)的重要業(yè)

務(wù)操作時所使用的賬號信息進行關(guān)聯(lián)，用來判斷該賬號是否正常

使用；判斷該賬號是否具有該項權(quán)限所對應(yīng)的權(quán)限范圍，是否為

合法用戶等等。

基于賬號與權(quán)限關(guān)聯(lián)：將賬號應(yīng)該對應(yīng)的權(quán)限與實際系統(tǒng)中

賦予的權(quán)限進行關(guān)聯(lián)，用來審計賬號的訪問權(quán)限是否合理；查詢

資源的授權(quán)訪問者，權(quán)限的分配時間、分配者等是否和審批的一

致。

2.2.5審計結(jié)果呈現(xiàn)

審計數(shù)據(jù)的呈現(xiàn)與安全風(fēng)險管理是密切相關(guān)的。明御數(shù)據(jù)庫

審計與風(fēng)險控制系統(tǒng)提供對審計數(shù)據(jù)進行實時監(jiān)控和實時展現(xiàn)。

在審計數(shù)據(jù)的展現(xiàn)或響應(yīng)中，可以支持郵件、彈出窗口、syslog、

SNMPTrap、手機信息、聲音報警等多種方式。

2.2.6靈活的報告展現(xiàn)

明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)內(nèi)嵌了功能強大的報表模

塊，除了按安全經(jīng)驗、行業(yè)需求分類的預(yù)定義固定格式報表外，

管理員還可以利用報表自定義功能生成定制化的報告。報告模塊

同時支持Word、Excel>PowerPointPdf、Html>Postscript

格式的數(shù)據(jù)導(dǎo)出。支持兩種報表生成模式，即預(yù)置固定格式的報

表、用戶自定義報表：

通過預(yù)置固定格式的報表：可快速查看安全告警、SOX審計、

設(shè)備性能以及應(yīng)用系統(tǒng)受攻擊情況。

靈活的條件格式定義，可以方便的根據(jù)業(yè)務(wù)邏輯來動態(tài)格式

化報表元素，同時提供強大的樣式定義，對于熟悉CSS的設(shè)計人

員來說，可以設(shè)計出相當(dāng)出色的報表樣式。

用戶名登錄時間IP操作退出時間訪問服務(wù)

dbadmin2007-7-1192168.3.106SELECTOracle

dbadmin2007-7-106UPDATEOracle

dbadmin2007-7-106SELECTOracle

cskftp2007-7-122dirFTP

cskftp2007-7-122cddocFTP

dbadmin2007-7-106SELECT2007-7-1Oracle

cskftp2007-7-122get20070701.docFTP

cskftp2007-7-122get20070701.xIsFTP

yyt2007-7-212589.3.12CREATEORREPLACEFUNOracle

cskftp2007-7-222dirFTP

yyt2007-7-2125.89.3,12EXECUTEIMMEDIATE*GRAOracle

cskftp2007-7-222cd20070630FTP

cskftp2007-7-222dirFTP

yyt2007-7-22GRANTEXECUTEONGET.Oracle

yyt2007-7-212589.312setroledbaOracle

yyt2007-7-212589.3.12DECLARE