網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(數(shù)據(jù)庫(kù)審計(jì))解決方案

1、 數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)審審計(jì)計(jì)系系統(tǒng)統(tǒng) 技術(shù)建議書(shū)技術(shù)建議書(shū) 目目 次次 1.綜述 .1 2.需求分析 .2 2.1.內(nèi)部人員面臨的安全隱患.2 2.2.第三方維護(hù)人員的威脅.2 2.3.最高權(quán)限濫用風(fēng)險(xiǎn).2 2.4.違規(guī)行為無(wú)法控制的風(fēng)險(xiǎn).3 2.5.系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患.3 2.6.系統(tǒng)崩潰帶來(lái)審計(jì)結(jié)果的丟失.3 3.審計(jì)系統(tǒng)設(shè)計(jì)方案 .3 3.1.設(shè)計(jì)思路和原則.3 3.2.系統(tǒng)設(shè)計(jì)原理.5 3.3.設(shè)計(jì)方案及系統(tǒng)配置.6 3.4.主要功能介紹.7 3.4.1.數(shù)據(jù)庫(kù)審計(jì) .7 3.4.2.網(wǎng)絡(luò)運(yùn)維審計(jì) .8 3.4.3.OA 審計(jì).9 3.4.4.數(shù)據(jù)庫(kù)響應(yīng)時(shí)間及返回碼的審計(jì) .9 3.

2、4.5.業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián) .9 3.4.6.合規(guī)性規(guī)則和響應(yīng) .10 3.4.7.審計(jì)報(bào)告輸出 .12 3.4.8.自身管理 .13 3.4.9.系統(tǒng)安全性設(shè)計(jì) .13 3.5.負(fù)面影響評(píng)價(jià).14 3.6.交換機(jī)性能影響評(píng)價(jià).15 4.資質(zhì)證書(shū) .16 1. 綜述 隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展，信息系統(tǒng)的應(yīng)用越來(lái)越廣泛。數(shù)據(jù)庫(kù)做 為信息技術(shù)的核心和基礎(chǔ)，承載著越來(lái)越多的關(guān)鍵業(yè)務(wù)系統(tǒng)，漸漸成為商 業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，數(shù)據(jù)庫(kù)的安全穩(wěn)定運(yùn)行也直接決定 著業(yè)務(wù)系統(tǒng)能否正常使用。 圍繞數(shù)據(jù)庫(kù)的業(yè)務(wù)系統(tǒng)安全隱患如何得到有效解決，一直以來(lái)是 IT 治 理人員和 DBA 們關(guān)注的焦點(diǎn)。做為資深信息安

3、全廠商，結(jié)合多年的安全 研究經(jīng)驗(yàn)，提出如下解決思路： 管理層面管理層面：完善現(xiàn)有業(yè)務(wù)流程制度，明細(xì)人員職責(zé)和分工，規(guī)范內(nèi)部員 工的日常操作，嚴(yán)格監(jiān)控第三方維護(hù)人員的操作。 技術(shù)層面技術(shù)層面：除了在業(yè)務(wù)網(wǎng)絡(luò)部署相關(guān)的信息安全防護(hù)產(chǎn)品（如 FW、IPS 等） ，還需要專(zhuān)門(mén)針對(duì)數(shù)據(jù)庫(kù)部署獨(dú)立安全審計(jì)產(chǎn)品，對(duì)關(guān)鍵的 數(shù)據(jù)庫(kù)操作行為進(jìn)行審計(jì)，做到違規(guī)行為發(fā)生時(shí)及時(shí)告警，事故發(fā)生后精 確溯源。 不過(guò)，審計(jì)關(guān)鍵應(yīng)用程序和數(shù)據(jù)庫(kù)不是一項(xiàng)簡(jiǎn)單工作。特別是數(shù)據(jù)庫(kù)系 統(tǒng)，服務(wù)于各有不同權(quán)限的大量用戶(hù)，支持高并發(fā)的事務(wù)處理，還必須滿(mǎn) 足苛刻的服務(wù)水平要求。商業(yè)數(shù)據(jù)庫(kù)軟件內(nèi)置的審計(jì)功能無(wú)法滿(mǎn)足審計(jì)獨(dú) 立性的基本要求，還

4、會(huì)降低數(shù)據(jù)庫(kù)性能并增加管理費(fèi)用。 2. 需求分析 隨著信息技術(shù)的發(fā)展，XXX 已經(jīng)建立了比較完善的信息系統(tǒng)，數(shù)據(jù)庫(kù) 中承載的信息越來(lái)越受到公司相關(guān)部門(mén)、領(lǐng)導(dǎo)的重視。同時(shí)數(shù)據(jù)庫(kù)中儲(chǔ)存 著諸如 XXX 等極其重要和敏感的信息。這些信息一旦被篡改或者泄露，輕 則造成企業(yè)或者社會(huì)的經(jīng)濟(jì)損失，重則影響企業(yè)形象甚至社會(huì)安全。 通過(guò)對(duì) XXX 的深入調(diào)研，XXX 面臨的安全隱患?xì)w納如下： 2.1.內(nèi)部人員面臨的安全隱患 隨著企業(yè)信息化進(jìn)程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由內(nèi) 部員工違規(guī)操作導(dǎo)致的安全問(wèn)題變得日益突出起來(lái)。防火墻、防病毒、入 侵檢測(cè)系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問(wèn)題，但對(duì)于內(nèi)部人

5、員 的違規(guī)操作卻無(wú)能為力。 2.2.第三方維護(hù)人員的威脅 企業(yè)在發(fā)展的過(guò)程中，因?yàn)閼?zhàn)略定位和人力等諸多原因，越來(lái)越多的 會(huì)將非核心業(yè)務(wù)外包給設(shè)備商或者其他專(zhuān)業(yè)代維公司。如何有效地管控設(shè) 備廠商和代維人員的操作行為，并進(jìn)行嚴(yán)格的審計(jì)是企業(yè)面臨的一個(gè)關(guān)鍵 問(wèn)題。 2.3.最高權(quán)限濫用風(fēng)險(xiǎn) 因?yàn)榉N種歷史遺留問(wèn)題，并不是所有的信息系統(tǒng)都有嚴(yán)格的身份認(rèn)證和 權(quán)限劃分，權(quán)限劃分混亂，高權(quán)限賬號(hào)（比如 DBA 賬號(hào)）共用等問(wèn)題一 直困擾著網(wǎng)絡(luò)管理人員，高權(quán)限賬號(hào)往往掌握著數(shù)據(jù)庫(kù)和業(yè)務(wù)系統(tǒng)的命脈， 任何一個(gè)操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露，最高權(quán)限的濫用，讓數(shù)據(jù)安 全變得更加脆弱，也讓責(zé)任劃分和威脅追蹤變得更加

6、困難。 2.4.違規(guī)行為無(wú)法控制的風(fēng)險(xiǎn) 管理人員總是試圖定義各種操作條例，來(lái)規(guī)范內(nèi)部員工的訪問(wèn)行為，但 是除了在造成惡性后果后追查責(zé)任人，沒(méi)有更好的方式來(lái)限制員工的合規(guī) 操作。而事后追查，只能是亡羊補(bǔ)牢，損失已經(jīng)造成。 2.5.系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患 我們經(jīng)常從各種系統(tǒng)日志里面去發(fā)現(xiàn)是否有入侵后留下來(lái)的“蛛絲馬跡” 來(lái)判斷是否發(fā)生過(guò)安全事件。但是，系統(tǒng)往往是在經(jīng)歷了大量的操作和變 化后，才逐漸變得不安全。另外的情況是，用戶(hù)通過(guò)登錄業(yè)務(wù)服務(wù)器來(lái)訪 問(wèn)數(shù)據(jù)庫(kù)等核心資產(chǎn)，單純的分析業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)庫(kù)系統(tǒng)的日志，都無(wú) 法對(duì)整個(gè)訪問(wèn)過(guò)程是否存在風(fēng)險(xiǎn)進(jìn)行判斷。從系統(tǒng)變更和應(yīng)用的角度來(lái)看， 網(wǎng)絡(luò)審計(jì)日志

7、比系統(tǒng)日志在定位系統(tǒng)安全問(wèn)題上更可信。 2.6.系統(tǒng)崩潰帶來(lái)審計(jì)結(jié)果的丟失 一般來(lái)說(shuō)，數(shù)據(jù)庫(kù)系統(tǒng)都會(huì)存儲(chǔ)操作日志，也能開(kāi)啟審計(jì)模塊對(duì)訪問(wèn) 進(jìn)行審計(jì)，但是一旦有意外發(fā)生導(dǎo)致系統(tǒng)的崩潰，這些審計(jì)日志也隨之消 失，管理人員無(wú)法得知系統(tǒng)到底發(fā)生了什么。 3. 審計(jì)系統(tǒng)設(shè)計(jì)方案 3.1.設(shè)計(jì)思路和原則 需要部署一款數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，既能獨(dú)立審計(jì)針對(duì)數(shù)據(jù)庫(kù)的各種訪問(wèn) 行為，又不影響數(shù)據(jù)庫(kù)的高效穩(wěn)定運(yùn)行。該系統(tǒng)主要從以下 8 個(gè)方面進(jìn)行 設(shè)計(jì)考慮： 實(shí)用性:由于業(yè)務(wù)系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫(kù)中進(jìn)行集中存儲(chǔ)，故對(duì)于數(shù)據(jù)庫(kù) 的操作審計(jì)需要細(xì)化到數(shù)據(jù)庫(kù)指令、表名、視圖、字段等，同時(shí)能 夠?qū)徲?jì)數(shù)據(jù)庫(kù)返回的信息，包括錯(cuò)誤碼和數(shù)據(jù)

8、庫(kù)響應(yīng)時(shí)長(zhǎng)，這樣能 夠在數(shù)據(jù)庫(kù)出現(xiàn)關(guān)鍵錯(cuò)誤時(shí)及時(shí)響應(yīng)，避免由于數(shù)據(jù)庫(kù)故障帶來(lái)的 業(yè)務(wù)損失； 靈活性:審計(jì)系統(tǒng)可提供缺省的審計(jì)策略及自定義策略，可結(jié)合用戶(hù) 業(yè)務(wù)特點(diǎn)，對(duì)關(guān)鍵業(yè)務(wù)用戶(hù)、操作途徑、重要操作、重要表、重要 字段進(jìn)行過(guò)濾審計(jì)，并可指定操作事件發(fā)生時(shí)，系統(tǒng)的響應(yīng)方式。 兼容性：審計(jì)系統(tǒng)應(yīng)適應(yīng)不同的數(shù)據(jù)庫(kù)類(lèi)型和應(yīng)用環(huán)境，對(duì)于主流 商業(yè)數(shù)據(jù)庫(kù)、國(guó)產(chǎn)數(shù)據(jù)庫(kù)的各種版本均能進(jìn)行審計(jì)。且對(duì)于不同數(shù) 據(jù)庫(kù)的審計(jì)策略編輯方法、日志展現(xiàn)能做到統(tǒng)一。 獨(dú)立性：審計(jì)系統(tǒng)應(yīng)獨(dú)立于數(shù)據(jù)庫(kù)系統(tǒng)存在，即使數(shù)據(jù)庫(kù)或者操作 系統(tǒng)遭到破壞，仍然要保證審計(jì)日志的準(zhǔn)確性和完整性。同時(shí)，審 計(jì)系統(tǒng)的運(yùn)行，對(duì)數(shù)據(jù)庫(kù)系統(tǒng)和業(yè)務(wù)操作不應(yīng)

9、造成影響。 擴(kuò)展性:當(dāng)業(yè)務(wù)系統(tǒng)進(jìn)行擴(kuò)容時(shí)，審計(jì)系統(tǒng)可以平滑擴(kuò)容。系統(tǒng)支持 向第三方平臺(tái)提供記錄的審計(jì)信息。 可靠性：審計(jì)系統(tǒng)能連續(xù)穩(wěn)定運(yùn)行，且提供足夠的存儲(chǔ)空間來(lái)存儲(chǔ) 審計(jì)日志，滿(mǎn)足在線存儲(chǔ)至少 6 個(gè)月的要求；審計(jì)系統(tǒng)能夠保證審 計(jì)記錄的時(shí)間的一致性，避免錯(cuò)誤時(shí)間記錄給追蹤溯源帶來(lái)的影響。 安全性：分權(quán)限管理，具有權(quán)限管理功能，可以對(duì)用戶(hù)分級(jí)，提供 不同的操作權(quán)限和不同的網(wǎng)絡(luò)數(shù)據(jù)操作范圍限制，用戶(hù)只能在其權(quán) 限內(nèi)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行審計(jì)和相關(guān)操作，具有自身安全審計(jì)功能。 易用性:審計(jì)系統(tǒng)應(yīng)能夠基于操作進(jìn)行分析，能夠提供主體標(biāo)識(shí)（即 用戶(hù)） 、操作（行為） 、客體標(biāo)識(shí)（設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、

10、應(yīng)用系統(tǒng)）的分析和靈活可編輯的審計(jì)報(bào)表。 3.2.系統(tǒng)設(shè)計(jì)原理 審計(jì)系統(tǒng)基于“網(wǎng)絡(luò)數(shù)據(jù)流俘獲應(yīng)用層數(shù)據(jù)分析審計(jì)和響應(yīng)”的 基本流程實(shí)現(xiàn)各項(xiàng)功能，采用旁路接入的工作模式，使得審計(jì)系統(tǒng)在實(shí)現(xiàn) 各種安全功能的同時(shí)，對(duì)數(shù)據(jù)庫(kù)系統(tǒng)無(wú)任何影響。 審計(jì)系統(tǒng)主要實(shí)現(xiàn)以下安全功能： 針對(duì)不同的數(shù)據(jù)庫(kù)協(xié)議，提供基于應(yīng)用操作的審計(jì)； 提供數(shù)據(jù)庫(kù)操作語(yǔ)義解析審計(jì)，實(shí)現(xiàn)對(duì)違規(guī)行為的及時(shí)監(jiān)視和告警； 提供缺省的多種合規(guī)操作規(guī)則，支持自定義規(guī)則（包括正則表達(dá)式等） ，實(shí)現(xiàn)靈活多樣的策略和響應(yīng)； 提供基于硬件令牌、靜態(tài)口令、Radius 支持的強(qiáng)身份認(rèn)證； 根據(jù)設(shè)定輸出不同的安全審計(jì)報(bào)告； 3.3.網(wǎng)絡(luò)安全審計(jì)系統(tǒng)介紹 經(jīng)過(guò)

11、調(diào)研，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)（簡(jiǎn)稱(chēng)“系統(tǒng)”或者“” ）是針對(duì)業(yè)務(wù)環(huán) 境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。它通過(guò)對(duì)業(yè)務(wù)人 員訪問(wèn)系統(tǒng)的行為進(jìn)行解析、分析、記錄、匯報(bào)，用來(lái)幫助用戶(hù)事前規(guī)劃 預(yù)防，事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)，事后合規(guī)報(bào)告、事故追蹤溯源，同 時(shí)加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)（數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備 等）的正常運(yùn)營(yíng)。對(duì)于業(yè)務(wù)系統(tǒng)的核心數(shù)據(jù)庫(kù)的審計(jì)能力表現(xiàn)尤其出 色，是國(guó)內(nèi)審計(jì)數(shù)據(jù)庫(kù)類(lèi)型最全，解析粒度最細(xì)的審計(jì)產(chǎn)品。其設(shè)計(jì)思路 和產(chǎn)品功能滿(mǎn)足我單位數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的設(shè)計(jì)思路和功能要求。 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能夠監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類(lèi)操作行為，實(shí) 時(shí)、智能的解析對(duì)數(shù)據(jù)庫(kù)服

12、務(wù)器的各種操作，一般操作行為如數(shù)據(jù)庫(kù)的登 錄，數(shù)據(jù)的導(dǎo)入導(dǎo)出、特定的 SQL 操作如對(duì)數(shù)據(jù)庫(kù)表的插入、刪除、修改， 執(zhí)行特定的存貯過(guò)程等，都能夠被記錄和分析，分析的內(nèi)容可以精確到操 作類(lèi)型、操作對(duì)象（庫(kù)、表、字段） 。可記錄操作的用戶(hù)名、機(jī)器 IP 地址、 客戶(hù)端程序名、操作時(shí)間等重要信息，對(duì)于關(guān)鍵操作的數(shù)據(jù)庫(kù)返回信息， 包括操作結(jié)果、響應(yīng)時(shí)長(zhǎng)、select 操作返回內(nèi)容也可進(jìn)行記錄。同時(shí)，提供 日志報(bào)表系統(tǒng)進(jìn)行事后的分析、取證和生成審計(jì)報(bào)告。 3.3.1.審計(jì)系統(tǒng)功能 1. 支持 HA 部署，產(chǎn)品支持主備方式 2. 支持審計(jì)引擎統(tǒng)一管理、至少支持 2 個(gè)以上的引擎同時(shí)管理，審計(jì) 數(shù)據(jù)統(tǒng)一存儲(chǔ)

13、、查詢(xún)、分析、統(tǒng)計(jì) 3. 支持各類(lèi)數(shù)據(jù)庫(kù)的審計(jì)，如 Oracle、SQL- Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache 數(shù)據(jù)庫(kù)，同時(shí)包括國(guó)產(chǎn)數(shù)據(jù)庫(kù)人大金倉(cāng)(Kingbase)、達(dá)夢(mèng)(DM)、南大通用 (Gbase)、神通(shentong)等數(shù)據(jù)庫(kù) 4. 支持 oracle 數(shù)據(jù)庫(kù)審計(jì)，并具有審計(jì) oracle 中綁定變量的 SQL 語(yǔ)句 的功能與技術(shù) 5. 支持對(duì) Oracle 數(shù)據(jù)庫(kù)狀態(tài)的自動(dòng)監(jiān)控，可監(jiān)控會(huì)話數(shù)、連接進(jìn)程、 CPU 和內(nèi)存占用率等信息 6. 提供對(duì)數(shù)據(jù)庫(kù)返回碼的知識(shí)庫(kù)和實(shí)時(shí)說(shuō)明，幫助管理員快速對(duì)返回

14、錯(cuò)誤碼進(jìn)行識(shí)別 7. 系統(tǒng)能提出數(shù)據(jù)庫(kù)錯(cuò)誤信息，方便審計(jì)以及運(yùn)維 8. 支持?jǐn)?shù)據(jù)庫(kù)賬號(hào)登陸成功、失敗的審計(jì)，數(shù)據(jù)庫(kù)綁定變量方式訪問(wèn) 的審計(jì)，Select 操作返回行數(shù)和返回內(nèi)容的審計(jì)； 9. 支持訪問(wèn)數(shù)據(jù)庫(kù)的源主機(jī)名、源主機(jī)用戶(hù)、SQL 操作響應(yīng)時(shí)間、數(shù) 據(jù)庫(kù)操作成功、失敗的審計(jì)；支持?jǐn)?shù)據(jù)庫(kù)操作類(lèi)、表、視圖、索引、觸發(fā) 器、存儲(chǔ)過(guò)程、游標(biāo)、事物等各種對(duì)象的 SQL 操作審計(jì)。 10. 支持?jǐn)?shù)據(jù)庫(kù)存儲(chǔ)過(guò)程自動(dòng)獲取及內(nèi)容審計(jì)。 11. 支持 Telnet 協(xié)議的審計(jì)，能夠?qū)徲?jì)用戶(hù)名、操作命令、命令響應(yīng)時(shí) 間、返回碼等；支持對(duì) FTP 協(xié)議的審計(jì)，能夠?qū)徲?jì)用戶(hù)名、命令、文件、 命令響應(yīng)時(shí)間、返回碼等

15、 12. 支持審計(jì)網(wǎng)絡(luò)鄰居（NetBIOS）的用戶(hù)名、讀寫(xiě)操作、文件名等， 支持審計(jì) NFS 協(xié)議的用戶(hù)名、文件名等 13. 支持審計(jì) Radius 協(xié)議的認(rèn)證用戶(hù) MAC、認(rèn)證用戶(hù)名、認(rèn)證 IP、NAS 服務(wù)器 IP 14. 支持審計(jì) HTTP/HTTPS 協(xié)議的 URL、訪問(wèn)模式、cookie、Post 數(shù)據(jù) 和內(nèi)容 15. 支持 IP-MAC 綁定變化情況的審計(jì) 16. 支持可對(duì) SQL 注入、XSS 跨站腳本攻擊行為的發(fā)現(xiàn) 17. 系統(tǒng)應(yīng)自帶不少于 100 個(gè)缺省的審計(jì)規(guī)則庫(kù)，方便用戶(hù)選擇使用 18. 用戶(hù)可自定義審計(jì)策略，審計(jì)策略支持時(shí)間、源 IP、目的 IP、協(xié)議、 端口、登陸賬號(hào)

16、、命令作為響應(yīng)條件 19. 數(shù)據(jù)庫(kù)審計(jì)策略支持?jǐn)?shù)據(jù)庫(kù)客戶(hù)端軟件名稱(chēng)、數(shù)據(jù)庫(kù)名、數(shù)據(jù)庫(kù)表 名、數(shù)據(jù)庫(kù)字段名、數(shù)據(jù)庫(kù)返回碼作為響應(yīng)條件 20. 審計(jì)策略支持字段名稱(chēng)和字段值作為分項(xiàng)響應(yīng)條件 21. 支持記錄審計(jì)日志 22. 支持界面告警、Syslog 告警、SNMP trap 告警、短信告警、郵件告 警 23. 支持按時(shí)間、級(jí)別、源目的 IP、源目的 MAC、協(xié)議名、源目的端 口為條件進(jìn)行查詢(xún) 24. 支持查詢(xún)、統(tǒng)計(jì)的條件模板編輯與應(yīng)用 25. 數(shù)據(jù)庫(kù)訪問(wèn)日志，支持按數(shù)據(jù)庫(kù)名、數(shù)據(jù)庫(kù)表名、字段值、數(shù)據(jù)庫(kù) 登陸賬號(hào)、數(shù)據(jù)庫(kù)操作命令、數(shù)據(jù)庫(kù)返回碼、SQL 響應(yīng)時(shí)間、數(shù)據(jù)庫(kù)返回 行數(shù)作為查詢(xún)和統(tǒng)計(jì)條件

17、26. 系統(tǒng)能精確定位，支持在多源信息系統(tǒng)中搜索信息 27. web 訪問(wèn)日志，支持按 URL、訪問(wèn)模式、cookie、頁(yè)面內(nèi)容、Post 內(nèi)容等作為查詢(xún)和統(tǒng)計(jì)條件 28. 管理員登陸支持靜態(tài)口令認(rèn)證，支持密碼的復(fù)雜性管理，比如大小 寫(xiě)、數(shù)字、特殊字符、長(zhǎng)度等 29. 管理員登陸支持硬件令牌認(rèn)證 30. 提供審計(jì)數(shù)據(jù)管理功能，能夠?qū)崿F(xiàn)對(duì)審計(jì)日志、審計(jì)報(bào)告的自動(dòng)備 份 31. 提供磁盤(pán)存儲(chǔ)容量不足、磁盤(pán) Raid 故障等自動(dòng)郵件報(bào)警 32. 支持 SNMP 方式，提供系統(tǒng)運(yùn)行狀態(tài)給第三方網(wǎng)管系統(tǒng)，支持、 syslog、SNMP Trap 向外發(fā)送審計(jì)日志 33. 支持 Syslog 方式接收第三

18、方審計(jì)日志 34. 支持連接外置存儲(chǔ)，以擴(kuò)展日志存儲(chǔ)能力 3.3.2. 各類(lèi)數(shù)據(jù)庫(kù)操作審計(jì)各類(lèi)數(shù)據(jù)庫(kù)操作審計(jì) 目前，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持以下數(shù)據(jù)庫(kù)系統(tǒng)的審計(jì)，是業(yè)界支持?jǐn)?shù)據(jù)庫(kù)種類(lèi)最多 的審計(jì)系統(tǒng)，能夠滿(mǎn)足不同用戶(hù)、不同發(fā)展階段情況下的數(shù)據(jù)庫(kù)審計(jì)需求： Oracle SQL-Server DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 人大金倉(cāng) Kingbase 數(shù)據(jù)庫(kù) 達(dá)夢(mèng) DM 數(shù)據(jù)庫(kù) 南大通用 GBase 數(shù)據(jù)庫(kù) 神通 Oscar 數(shù)據(jù)庫(kù) 對(duì)于支持 SQL92 語(yǔ)法的數(shù)據(jù)庫(kù)操作均能精確審計(jì)，包括以下內(nèi)容： DDL：Create ,Dr

19、op,Grant,Revoke DML：Update,Insert,Delete DCL：Commit,Rollback,Savapoint 其他：Alter System,Connect,Allocate 數(shù)據(jù)的導(dǎo)入、導(dǎo)出操作 登錄操作和登錄失敗操作 多編碼環(huán)境支持： 系統(tǒng)能夠?qū)Σ捎?ODBC、JDBC、OLE-DB、命令行等各種方式對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)進(jìn) 行審計(jì)和響應(yīng)。適用于多種應(yīng)用環(huán)境，特別是在異構(gòu)環(huán)境中，比如 IBM AS/400 通常采 用 EBCDIC 編碼方式實(shí)現(xiàn) telnet 協(xié)議的傳輸、某些數(shù)據(jù)庫(kù)同時(shí)采用幾種編碼與客戶(hù)端進(jìn) 行通訊，若系統(tǒng)不能識(shí)別多種編碼，會(huì)導(dǎo)致審計(jì)數(shù)據(jù)出現(xiàn)亂碼，對(duì)

20、多編碼的支持是衡量 審計(jì)系統(tǒng)環(huán)境適應(yīng)性的重要指標(biāo)之一，目前網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持如下編碼格式 ASCII Unicode UTF-8 UTF-16 GB2312 EBCDIC 。 3.3.3. 數(shù)據(jù)庫(kù)運(yùn)維審計(jì)數(shù)據(jù)庫(kù)運(yùn)維審計(jì) 在審計(jì)數(shù)據(jù)庫(kù)操作的同時(shí)，系統(tǒng)也支持常用的運(yùn)維協(xié)議及文件傳輸協(xié)議審計(jì)，能夠 全程記錄用戶(hù)在數(shù)據(jù)庫(kù)服務(wù)器上的各種運(yùn)維操作?？芍С值倪\(yùn)維協(xié)議如下： Telnet Rlogin FTP SCP SFTP X11 NFS Netbios HTTP、HTTPS 3.3.4. 數(shù)據(jù)庫(kù)返回信息審計(jì)數(shù)據(jù)庫(kù)返回信息審計(jì) 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持對(duì) SQL Server、DB2、Oracle、Info

21、rmix 等數(shù)據(jù)庫(kù)系統(tǒng)的 SQL 操作響應(yīng)時(shí)間、返回碼和返回內(nèi)容的審計(jì)。通過(guò)對(duì)響應(yīng)時(shí)間和返回碼的審計(jì)，可 以幫助用戶(hù)對(duì)數(shù)據(jù)庫(kù)的使用狀態(tài)全面掌握、及時(shí)響應(yīng)故障信息，特別是當(dāng)新業(yè)務(wù)系統(tǒng)上 線、業(yè)務(wù)繁忙、業(yè)務(wù)模塊更新時(shí)，通過(guò)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)超長(zhǎng)時(shí)間和關(guān)鍵返回碼進(jìn)行 審計(jì)并實(shí)時(shí)報(bào)警有助于提高業(yè)務(wù)系統(tǒng)的運(yùn)營(yíng)水平，降低數(shù)據(jù)庫(kù)故障等帶來(lái)的運(yùn)維風(fēng)險(xiǎn)。 目前網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持上述數(shù)據(jù)庫(kù)系統(tǒng)共計(jì) 13000 多種返回碼的知識(shí)庫(kù)供用戶(hù) 快速查詢(xún)和定位問(wèn)題。 3.3.5. 業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián)業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián) 當(dāng)前業(yè)務(wù)系統(tǒng)普遍采用三層結(jié)構(gòu)：瀏覽器客戶(hù)端、Web 服務(wù)器/中間件、數(shù)據(jù)庫(kù)服 務(wù)器。通常的流程是：用戶(hù)通過(guò)瀏

22、覽器客戶(hù)端，利用自己的帳戶(hù)登錄 Web 服務(wù)器，向 服務(wù)器提交訪問(wèn)數(shù)據(jù)；Web 服務(wù)器根據(jù)用戶(hù)提交的數(shù)據(jù)構(gòu)造 SQL 語(yǔ)句，并利用唯一的 帳戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器，提交 SQL 語(yǔ)句，接收數(shù)據(jù)庫(kù)服務(wù)器返回結(jié)果并返回給用戶(hù)。 在這種基于 Web 的業(yè)務(wù)行為訪問(wèn)模式下，傳統(tǒng)的信息安全審計(jì)產(chǎn)品一般可審計(jì)從 瀏覽器到 Web 服務(wù)器的前臺(tái)訪問(wèn)事件，以及從 Web 服務(wù)器到數(shù)據(jù)庫(kù)服務(wù)器的后臺(tái)訪問(wèn) 事件。但由于后臺(tái)訪問(wèn)事件采用的是唯一的帳戶(hù)，對(duì)每個(gè)后臺(tái)訪問(wèn)事件，難以確定是哪 個(gè)前臺(tái)訪問(wèn)事件觸發(fā)了該事件。如果在后臺(tái)訪問(wèn)事件中出現(xiàn)了越權(quán)訪問(wèn)、惡意訪問(wèn)等行 為，難以定位到具體的前臺(tái)用戶(hù)上。舉一個(gè)一個(gè)典型的例子，內(nèi)部

23、違規(guī)操作人員利用前 臺(tái)的業(yè)務(wù)系統(tǒng)，以此作為跳板對(duì)后臺(tái)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行了篡改和竊取，這種情況下，通常 審計(jì)產(chǎn)品只能發(fā)現(xiàn)來(lái)自某個(gè)數(shù)據(jù)庫(kù)賬號(hào)，而無(wú)法判斷最終的發(fā)起源頭。 研究人員實(shí)現(xiàn) HTTP 操作和數(shù)據(jù)庫(kù)操作之間的關(guān)聯(lián)計(jì)算，目前已經(jīng)申請(qǐng)專(zhuān)利。專(zhuān)利 名稱(chēng)為“一種 Web 服務(wù)器前后臺(tái)關(guān)聯(lián)審計(jì)方法和系統(tǒng)” ，專(zhuān)利受理號(hào)碼：9.6。 三層關(guān)聯(lián)邏輯部署圖 通過(guò)這種關(guān)聯(lián)分析技術(shù)，能夠?qū)徲?jì)產(chǎn)品從基于事件的審計(jì)，逐漸升級(jí)為基于用戶(hù) 業(yè)務(wù)行為的審計(jì)，在關(guān)聯(lián)分析過(guò)程中采用自動(dòng)建模技術(shù)，可以將前臺(tái) Web 業(yè)務(wù)操作和 后臺(tái)數(shù)據(jù)庫(kù)操作行為進(jìn)行對(duì)應(yīng)，并形成業(yè)務(wù)訪問(wèn)行為模式庫(kù)，同時(shí)，在該技術(shù)的基礎(chǔ)上 還可以進(jìn)一步分析，發(fā)現(xiàn)

24、可能的業(yè)務(wù)異常及 SQL 異常。 3.3.6. 細(xì)粒度審計(jì)細(xì)粒度審計(jì)策略策略 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的審計(jì)和響應(yīng)功能可以簡(jiǎn)單地描述為：“某個(gè)特定的服務(wù)（如 FTP、Telnet、SQL 等）可以（或不可以）被某個(gè)特定的用戶(hù)（主機(jī)）怎樣地訪問(wèn)” ，這 使得它提供的審計(jì)和響應(yīng)具有很強(qiáng)的針對(duì)性和準(zhǔn)確性。 強(qiáng)大的數(shù)據(jù)庫(kù)規(guī)則 系統(tǒng)能夠根據(jù)訪問(wèn)數(shù)據(jù)庫(kù)的源程序名、登陸數(shù)據(jù)庫(kù)的賬號(hào)、數(shù)據(jù)庫(kù)命令、數(shù)據(jù)庫(kù)名、 數(shù)據(jù)庫(kù)表名、數(shù)據(jù)庫(kù)字段名、數(shù)據(jù)庫(kù)字段值、數(shù)據(jù)庫(kù)返回碼等作為條件，對(duì)用戶(hù)關(guān)心的 違規(guī)行為進(jìn)行響應(yīng)，特別是針對(duì)重要表、重要字段的各種操作，能夠通過(guò)簡(jiǎn)單的規(guī)則定 義，實(shí)現(xiàn)精確審計(jì)，降低過(guò)多審計(jì)數(shù)據(jù)給管理員帶來(lái)的信息爆炸

25、。 定制審計(jì)事件規(guī)則 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了事件規(guī)則用戶(hù)自定義模塊，允許用戶(hù)自行設(shè)定和調(diào)整各種 安全審計(jì)事件的觸發(fā)條件與響應(yīng)策略。 例如，用戶(hù)特別關(guān)注在 telnet 過(guò)程中出現(xiàn) rm、passwd、shutdown 等命令的行為， 那么用戶(hù)就可以利用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)定義相應(yīng)的審計(jì)事件規(guī)則。這樣，網(wǎng)絡(luò)安全審計(jì) 系統(tǒng)就可以針對(duì)網(wǎng)絡(luò)中發(fā)生的這些行為進(jìn)行響應(yīng)。 基于業(yè)務(wù)特征的規(guī)則庫(kù) 系統(tǒng)可以將審計(jì)員制定的多個(gè)符合業(yè)務(wù)特征的規(guī)則進(jìn)行匯總、編輯和命名，形成具 備某種業(yè)務(wù)特征的規(guī)則寫(xiě)入用戶(hù)自定義的規(guī)則庫(kù)。這樣，審計(jì)員在針對(duì)某個(gè)特定業(yè)務(wù)用 戶(hù)制定審計(jì)策略時(shí)，可以直觀地使用自命名的規(guī)則進(jìn)行設(shè)置，方便了各種策略

26、的制定和 查詢(xún)。 特定賬號(hào)行為跟蹤 系統(tǒng)能夠?qū)崿F(xiàn)對(duì)“用戶(hù)網(wǎng)絡(luò)環(huán)境中出現(xiàn)的特定賬號(hào)或特定賬號(hào)執(zhí)行某種操作后”的 場(chǎng)景進(jìn)行賬號(hào)跟蹤，提供對(duì)后繼會(huì)話和事件的審計(jì)。這樣，管理員能夠?qū)Τ霈F(xiàn)在網(wǎng)絡(luò)中 的特權(quán)賬號(hào)，比如 root、DBA 等，進(jìn)行重點(diǎn)的監(jiān)控，特別是哪些本不應(yīng)出現(xiàn)在網(wǎng)絡(luò)上 的特權(quán)賬號(hào)突然出現(xiàn)的事件。 多種響應(yīng)方式 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了多種響應(yīng)方式，包括： 在審計(jì)服務(wù)器中記錄相應(yīng)的操作過(guò)程； 在日常審計(jì)報(bào)告中標(biāo)注； 向管理控制臺(tái)發(fā)出告警信息； 實(shí)時(shí)阻斷會(huì)話連接； 管理人員通過(guò)本系統(tǒng)手工 RST 阻斷會(huì)話連接； 通過(guò) Syslog 方式進(jìn)行告警 通過(guò) SNMP Trap 方式進(jìn)行告警 通過(guò)郵件方

27、式進(jìn)行告警 實(shí)時(shí)跟蹤和回放 管理員可以通過(guò)審計(jì)顯示中心實(shí)時(shí)地跟蹤一個(gè)或多個(gè)網(wǎng)絡(luò)連接，通過(guò)系統(tǒng)提供的 “時(shí)標(biāo)”清晰地顯示不同網(wǎng)絡(luò)連接中每個(gè)操作的先后順序及操作結(jié)果，當(dāng)發(fā)現(xiàn)可疑的操 作或訪問(wèn)時(shí)，可以實(shí)時(shí)阻斷當(dāng)前的訪問(wèn)。管理員也可以從審計(jì)數(shù)據(jù)中心中提取審計(jì)數(shù)據(jù) 對(duì)通信過(guò)程進(jìn)行回放，便于分析和查找系統(tǒng)安全問(wèn)題，并以次為依據(jù)制定更符合業(yè)務(wù)特 征和系統(tǒng)安全需求的安全規(guī)則和策略。 3.3.7. 審計(jì)報(bào)告輸出審計(jì)報(bào)告輸出 審計(jì)系統(tǒng)從安全管理的角度出發(fā)，設(shè)計(jì)一套完善的審計(jì)報(bào)告輸出機(jī)制。 多種篩選條件 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了強(qiáng)大、靈活的篩選條件設(shè)置機(jī)制。 在設(shè)置篩選條件時(shí)，審計(jì)員可基于以下要素的組合進(jìn)行設(shè)置：時(shí)間

28、、客戶(hù)端 IP、 客戶(hù)端端口號(hào)、服務(wù)端 IP、服務(wù)端端口、關(guān)鍵字、事件級(jí)別、引擎名、業(yè)務(wù)用戶(hù)身份、 資源賬號(hào)等條件。 審計(jì)員可根據(jù)需要靈活地設(shè)置審計(jì)報(bào)表的各種要素，迅速生成自己希望看到的審計(jì) 內(nèi)容。同時(shí)系統(tǒng)提供了報(bào)表模板功能，審計(jì)員無(wú)需重復(fù)輸入，只需要設(shè)置模板后，即可 按模板進(jìn)行報(bào)表生成。 命令及字段智能分析 系統(tǒng)能夠根據(jù)審計(jì)協(xié)議的類(lèi)型進(jìn)行命令和字段的自動(dòng)提取，用戶(hù)可以選擇提取后的 命令或字段作為重點(diǎn)對(duì)象進(jìn)行分析。針對(duì)數(shù)據(jù)庫(kù)類(lèi)協(xié)議，可分析并形成數(shù)據(jù)庫(kù)名、表名、 命令等列表；針對(duì)運(yùn)維類(lèi)協(xié)議，可分析并形成命令等列表；針對(duì)文件操作類(lèi)協(xié)議，可分 析并形成文件名、操作命令等列表；通過(guò)該功能，可以簡(jiǎn)化用戶(hù)

29、對(duì)審計(jì)數(shù)據(jù)的分析過(guò)程， 大大提高分析的效率。 宏觀事件到微觀事件鉆取 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了從宏觀報(bào)表到微觀事件的關(guān)聯(lián)，審計(jì)員可以在統(tǒng)計(jì)報(bào)表、 取證報(bào)表中查看宏觀的審計(jì)數(shù)據(jù)統(tǒng)計(jì)信息，通過(guò)點(diǎn)擊相應(yīng)鏈接即可逐步下探到具體的審 計(jì)事件。 自動(dòng)任務(wù)支持 網(wǎng)絡(luò)安全系統(tǒng)提供報(bào)表任務(wù)功能，審計(jì)員可根據(jù)實(shí)際情況定制報(bào)表生成任務(wù)；系統(tǒng) 支持 HTML、EXCEL、CSV、PDF、Word 等多種文檔格式的報(bào)表輸出，可以通過(guò)郵件 方式自動(dòng)發(fā)送給審計(jì)員。 數(shù)據(jù)和報(bào)表備份 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了審計(jì)數(shù)據(jù)和報(bào)表的手動(dòng)和自動(dòng)備份功能，可以將壓縮后的 數(shù)據(jù)自動(dòng)傳輸?shù)街付ǖ?FTP 服務(wù)器，提供每天、每周、每月、時(shí)刻的定義方

30、式。 3.3.8. 自身管理自身管理 安全管理 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的管理控制中心提供了集中的管理控制界面，審計(jì)員通過(guò)管理控 制臺(tái)就能管理和綜合分析所有審計(jì)引擎的審計(jì)信息和狀態(tài)信息，并形成審計(jì)報(bào)表。 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持權(quán)限分級(jí)管理模式，可對(duì)不同的角色設(shè)定不同的管理權(quán)限。 例如，超級(jí)管理員擁有所有的管理權(quán)限；而某些普通管理員則可能僅擁有查看審計(jì)報(bào)表 的權(quán)限，某些管理員可以擁有設(shè)置審計(jì)策略或安全規(guī)則的權(quán)限。 系統(tǒng)提供專(zhuān)門(mén)的自身審計(jì)日志，記錄所有人員對(duì)系統(tǒng)的操作，方便審計(jì)員對(duì)日志進(jìn) 行分析和查看。 狀態(tài)管理 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供 CPU、內(nèi)存、磁盤(pán)狀態(tài)、網(wǎng)口等運(yùn)行信息，管理員可以很 輕松的通過(guò) GUI

31、 界面實(shí)現(xiàn)對(duì)審計(jì)數(shù)據(jù)中心、審計(jì)引擎的工作狀態(tài)進(jìn)行查看。當(dāng)出現(xiàn)錯(cuò) 誤信息時(shí)，比如 Raid 故障、磁盤(pán)空間不足、引擎連接問(wèn)題，系統(tǒng)可自動(dòng)郵件通知相關(guān) 管理人員。 時(shí)間同步管理 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供手工和 NTP 兩種時(shí)間同步方式，通過(guò)對(duì)全系統(tǒng)自身的時(shí) 間同步，保證了審計(jì)數(shù)據(jù)時(shí)間戳的精確性，避免了審計(jì)事件時(shí)間誤差給事后審計(jì)分析工 作帶來(lái)的影響，提升了工作效率。 3.3.9. 多級(jí)分布式多級(jí)分布式部署部署 為了方便大型網(wǎng)絡(luò)客戶(hù)的使用，適應(yīng)不同的網(wǎng)絡(luò)管理結(jié)構(gòu)，系統(tǒng)實(shí)現(xiàn)了多級(jí)和分布 式管理。 系統(tǒng)多級(jí)管理適用于多層次網(wǎng)絡(luò)管理架構(gòu)，在滿(mǎn)足各級(jí)網(wǎng)絡(luò)自身的審計(jì)要求基礎(chǔ)上， 總部可以對(duì)二級(jí)公司的審計(jì)系統(tǒng)進(jìn)行管理

32、，并對(duì)下級(jí)的審計(jì)報(bào)表進(jìn)行查看，方便總部管 理人員了解下級(jí)網(wǎng)絡(luò)的安全狀態(tài)。 同時(shí)，的數(shù)據(jù)中心可以管理多個(gè)引擎（包括旁路引擎和在線引擎） ，對(duì)多個(gè)引擎進(jìn) 行統(tǒng)一管理和維護(hù)，對(duì)審計(jì)日志進(jìn)行統(tǒng)一的收集和分析。 3.3.10. 系統(tǒng)安全性系統(tǒng)安全性 在系統(tǒng)的設(shè)計(jì)中采用了嚴(yán)密的系統(tǒng)安全性設(shè)計(jì)，主要體系在以下幾個(gè)方面： 1.操作系統(tǒng)安全性設(shè)計(jì)：系統(tǒng)采用經(jīng)裁減、加固的 Linux 操作系統(tǒng)。在設(shè)計(jì)過(guò)程 中，結(jié)合系統(tǒng)的功能要求和我公司在操作系統(tǒng)安全方面的技術(shù)和經(jīng)驗(yàn)，對(duì) Linux 進(jìn)行了精心的裁減和加固，包括補(bǔ)丁修補(bǔ)，取消危險(xiǎn)的、無(wú)用的服務(wù)等。 2.數(shù)據(jù)庫(kù)安全性設(shè)計(jì)：審計(jì)數(shù)據(jù)中心審計(jì)服務(wù)器的數(shù)據(jù)庫(kù)是根據(jù)系統(tǒng)的功

33、能要求 自行設(shè)計(jì)的，在設(shè)計(jì)時(shí)已經(jīng)充分考慮了安全性方面的問(wèn)題。 3.模塊間的通信：各功能模塊之間的通信均采用專(zhuān)門(mén)設(shè)計(jì)的通信協(xié)議，這些通信 協(xié)議在設(shè)計(jì)時(shí)均采用了諸如 CA 認(rèn)證、編碼、簽名、加密等安全技術(shù)。對(duì)于遠(yuǎn) 程維護(hù)，則采用了 SSH 加密傳輸協(xié)議。 在產(chǎn)品出廠測(cè)試階段，還將進(jìn)行諸如漏洞掃描之類(lèi)的安全性測(cè)試，因此，我們認(rèn)為 系統(tǒng)具有很高的安全性。 3.3.11. 業(yè)內(nèi)領(lǐng)先的處理性能業(yè)內(nèi)領(lǐng)先的處理性能 一般來(lái)說(shuō)，用戶(hù)總是希望盡可能多的記錄審計(jì)到的操作行為，這樣也會(huì)帶來(lái)一個(gè)后 果，每天都要處理海量的審計(jì)日志。系統(tǒng)首先解決日志完整入庫(kù)的問(wèn)題。審計(jì)引擎的處 理速度再高，如果審計(jì)日志不能及時(shí)錄入數(shù)據(jù)庫(kù)，

34、都會(huì)給后續(xù)的追蹤溯源帶來(lái)麻煩，審 計(jì)系統(tǒng)也就失去了存在的價(jià)值。系統(tǒng)采用專(zhuān)業(yè)設(shè)計(jì)的數(shù)據(jù)庫(kù)結(jié)構(gòu)，并在入庫(kù)方式上進(jìn)行 了大量的優(yōu)化，從而得到了最優(yōu)的入庫(kù)性能10 萬(wàn)條/秒以上的入庫(kù)速度。 然后，解決檢索效率的問(wèn)題。系統(tǒng)針對(duì)此問(wèn)題進(jìn)行了專(zhuān)門(mén)的設(shè)計(jì)，并在日志入庫(kù)的 同時(shí)進(jìn)行分類(lèi)和統(tǒng)計(jì)，將一次數(shù)據(jù)庫(kù)查詢(xún)分布為多個(gè)預(yù)處理任務(wù)，使得日志檢索時(shí)，感 覺(jué)不到明顯的等待和延時(shí)，極大的方便了用戶(hù)的使用。 3.4.部署方案及系統(tǒng)配置 核心數(shù)據(jù)庫(kù) Oracle 系統(tǒng)通過(guò)主備方式接入網(wǎng)絡(luò)，設(shè)計(jì)采用配置一臺(tái)審 計(jì)數(shù)據(jù)中心，一臺(tái)旁路審計(jì)引擎，一臺(tái)在線審計(jì)引擎。具體部署如下圖所 示： 系統(tǒng)部署圖 審計(jì)數(shù)據(jù)中心: 部署一臺(tái)審計(jì)數(shù)據(jù)

35、中心，該服務(wù)器具備一個(gè) 2T 的內(nèi)置 RAID5 存儲(chǔ)器，對(duì)網(wǎng)絡(luò)審計(jì)引擎進(jìn)行管理和控制，實(shí)現(xiàn)對(duì)審計(jì)數(shù)據(jù)的存儲(chǔ) 和分析。審計(jì)數(shù)據(jù)中心的管理端口需要接入網(wǎng)絡(luò)中，并分配一個(gè)合法的 IP 地址，以接收管理控制臺(tái)的管理。審計(jì)數(shù)據(jù)中心的“管理端口”需要通過(guò) 網(wǎng)絡(luò)方式與網(wǎng)絡(luò)審計(jì)引擎的“管理端口”進(jìn)行連接。 旁路審計(jì)引擎: 部署一臺(tái)網(wǎng)絡(luò)審計(jì)引擎對(duì)核心交換機(jī)上的 Oracle 流量進(jìn) 行監(jiān)控和審計(jì)。網(wǎng)絡(luò)審計(jì)引擎配置兩個(gè)信息監(jiān)聽(tīng)端口，該端口需要連接到 被監(jiān)控交換機(jī)的“鏡像目的端口”上，以獲取原始的通信信息，從而實(shí)現(xiàn) 各種審計(jì)和控制功能。網(wǎng)絡(luò)審計(jì)引擎需要設(shè)置一個(gè)“管理端口” ，這個(gè)端口 需要接入網(wǎng)絡(luò)，并分配一個(gè)合法

36、的 IP 地址，以接收管理控制臺(tái)的管理。 在線審計(jì)引擎：部署一臺(tái)旁路審計(jì)引擎，實(shí)現(xiàn)對(duì)運(yùn)維區(qū)域的各種運(yùn)維操 作進(jìn)行監(jiān)控、審計(jì)和阻斷，該引擎自帶 Bypass 支持，通常采用透明方式進(jìn) 行接入，對(duì)服務(wù)器端和終端用戶(hù)無(wú)影響。 管理控制臺(tái):在網(wǎng)絡(luò)中的任何一臺(tái) Windows 計(jì)算機(jī)上采用瀏覽器進(jìn)行管 理。 在本方案中同時(shí)部署了旁路審計(jì)引擎與在線審計(jì)引擎，這是因?yàn)檫@兩種 引擎屬于互補(bǔ)關(guān)系，旁路審計(jì)引擎解決了在線審計(jì)引擎被繞過(guò)的風(fēng)險(xiǎn)，在 線審計(jì)引擎解決了旁路引擎無(wú)法實(shí)現(xiàn)加密協(xié)議審計(jì)和事前阻斷的風(fēng)險(xiǎn)，二 者的關(guān)系如下： 在線審計(jì)實(shí)現(xiàn)的基礎(chǔ)為“建立唯一訪問(wèn)路徑，一切的行為均通過(guò)該路徑 進(jìn)行訪問(wèn)” ，也就是說(shuō)需

37、要將所有被審計(jì)運(yùn)維訪問(wèn)流量都要通過(guò)在線引擎才 可以進(jìn)行審計(jì)，這就牽涉到網(wǎng)絡(luò)結(jié)構(gòu)的變化或 ACL 的調(diào)整，在實(shí)際部署中， 在線審計(jì)依賴(lài)外部設(shè)備的 ACL 控制（比如交換機(jī)或 FW） ，一旦這些訪問(wèn) 控制設(shè)備出現(xiàn)問(wèn)題或 ACL 不夠充分，就會(huì)存在繞過(guò)堡壘主機(jī)的操作行為， 而此時(shí)這些繞過(guò)堡壘主機(jī)的行為是沒(méi)有被審計(jì)的，由于惡意攻擊者往往具 備較高的技術(shù)水平，同時(shí)善于尋找安全系統(tǒng)的漏洞，故不完善的 ACL 控制 會(huì)讓在線審計(jì)存在較大的部署風(fēng)險(xiǎn)。而旁路審計(jì)實(shí)現(xiàn)的基礎(chǔ)為“一切網(wǎng)絡(luò) 訪問(wèn)行為均不可信”進(jìn)行部署的，故所有可識(shí)別的操作均被審計(jì)，這兩種 審計(jì)部署方式存在著很強(qiáng)的互補(bǔ)性，通常都會(huì)一起部署，從而實(shí)現(xiàn)控制與 審計(jì)的完美結(jié)合。 4. 影響評(píng)價(jià) 4.1.業(yè)務(wù)系統(tǒng)影響評(píng)價(jià) 系統(tǒng)基于“網(wǎng)絡(luò)數(shù)據(jù)流俘獲應(yīng)用層數(shù)據(jù)分析審計(jì)和響應(yīng)”實(shí)現(xiàn)各 項(xiàng)功能。在具體實(shí)現(xiàn)時(shí)，無(wú)需在網(wǎng)絡(luò)通路中“跨接”任何硬件設(shè)備，也不 需要在審計(jì)對(duì)象中安裝“審計(jì)代理” ，因此，系統(tǒng)的安裝使用，不會(huì)對(duì)原系 統(tǒng)造成任何性能、穩(wěn)定性方面的影響。 系統(tǒng)的硬件設(shè)備由“審計(jì)數(shù)據(jù)中心”和“網(wǎng)絡(luò)審計(jì)引擎”構(gòu)成。其中， 審計(jì)數(shù)據(jù)中心象一臺(tái)主機(jī)設(shè)備一樣安裝用戶(hù)的系統(tǒng)中，只需