如何建立行之有效的Web安全防护策略转.doc

如何建立行之有效的Web安全防护策略 转第一部分现状1.概述随着互联网技术的迅猛发展，许多用户的关键业务越来越多地基于WEB应用，在通过浏览器方式实现展现与交互的同时，用户的业务系统所受到的威胁也随之而来，并且随着业务系统的复杂化及互联网环境的变化，所受威胁也在飞速增长。主要表现在如下几个方面：1.1 WEB安全受到的挑战最权威的RSA大会研究显示，Web应用安全已超过所有以前网络层安全(如：DDoS)，逐渐成为最严重、最广泛、危害性最大的安全问题。WEB安全的挑战主要来自以下几个方面：XSS跨站攻击SQL注入网络钓鱼恶意代码伪造ARP报文RootKit隐身技术等等1.2黑客攻击由网络层转向应用层随着互联网技术的迅猛发展，许多政府和企业的关键业务活动越来越多地依赖于WEB应用，在向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击(如：针对WEB应用的SQL注入攻击、跨站脚本攻击等)发生时，传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。据统计75%的网络攻击和互联网安全侵害源于应用软件，网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识；应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治，仅仅靠打补丁和安装防火墙是远远不够的。据CNCERT(国家互联网应急中心)发布的2008年4月网络安全工作报告显示，08年4月份大陆被篡改的.网站所占比例较上月又有所上升，仍明显高于我国.cn域名下的政府网站所占的1.4%比例。1.3面向应用层新型攻击特点简析隐蔽性强：利用Web漏洞发起对WEB应用的攻击纷繁复杂，包括SQL注入，跨站脚本攻击等等，一个共同特点是隐蔽性强，不易发觉。攻击时间短：可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制，以至于非常困难做出人为反应。危害性大：目前几乎所有银行，证券，电信，移动，政府以及电子商务企业都提供在线交易，查询和交互服务。用户的机密信息包括账户，个人私密信息(如身份证)，交易信息等等，都是通过Web存储于后台数据库中，这样，在线服务器一旦瘫痪，或虽在正常运行，但后台数据已被篡改或者窃取，都将造成企业或个人巨大的损失。据权威部门统计，目前身份失窃(identity theft)已成为全球最严重的问题之一。造成非常严重的有形和无形损失：目前，很多大型企业都是在国内外上市的企业，一旦发生这类安全事件，必将造成人心惶惶，名誉扫地，以致于造成经济和声誉上的巨大损失，即便不上市，其影响和损失也是不可估量的。1.4现有的网络层防护产品面对应用层攻击束手无策传统的防火墙或IDS产品存在以下不足：防火墙：通过端口限制实现访问控制，但对于WEB应用而言，其HTTP/HTTPS端口是开放的。因此，防火墙无法检测到WEB应用攻击的发生，更谈不上阻止攻击。IDS：依靠特征库检测已知攻击，而对于WEB应用攻击，变形非常多(比如：SQL注入、跨站脚本、恶意文件包含等)，IDS无法穷尽所有的特征，当然，更加不可能预知未来的变形。2.Web应用安全现状分析2.1网站及在线Web应用(B/S)的重要性据CNCERT/CC(国家互联网应急中心)发布的2008年网络安全工作报告显示，我国网站的安全问题十分严峻，大量网站被黑客入侵和篡改，甚至被植入木马攻击程序，成为黑客的得力工具。利用网站操作系统的漏洞和WEB服务程序的SQL注入漏洞等，黑客能够得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码(俗称网页挂马)，使得更多网站访问者受到侵害。网页挂马是黑客最喜欢的木马散播方式。很多用户的网站或基于Web的在线应用系统(B/S架构)承担着对外交流、公开信息、网上办事、在线业务等重要职能，是服务于和谐社会的窗口。如此重要的网站和系统，一旦受到黑客攻击，不仅影响用户的正常工作，降低网站的公信力，严重的情况下会导致重要信息的泄密，危及其形象。2.2常见WEB应用攻击影响分析网页木马：直接控制网站主机或者借此攻击访问者客户端SQL注入漏洞：数据库信息窃取、篡改、删除Cookie注入：数据库信息窃取、篡改、删除，控制服务器跨站脚本漏洞：用户证书、网站信息、用户信息被盗缓冲区溢出：攻陷和控制服务器表单绕过漏洞：攻击者访问禁止访问的目录文件上传漏洞：主页篡改、数据损坏和传播木马文件包含：服务器信息窃取、攻陷和控制服务器如果存在上述安全隐患，若不及时修复有可能导致网站页面被篡改、网页木马传播、后台数据库信息被篡改或盗窃，严重影响用户的正常业务运营，有损其形象。3.行业及用户需求分析3.1整体而言(行业)在上文的概述部分已经针对当前Web安全受到的挑战进行了阐述，并且明析了黑客从网络层攻击向应用层攻击的一个转化过程，以及把面向应用层新型攻击的特点作了分析。事实上，这些内容都是相对于从整体的角度来进行说明的。整个行业的Web安全都面临各式各样的新型攻击的威胁，包括：跨站XSS，SQL注入等，而直接影响又是巨大的，使其在线应用系统面临被挂马和信息泄露的风险。然而我们所依赖的现有安全防护措施和产品，都是网络层面的防护。比如：防火墙或IPS(入侵防御系统)对于基于应用层的攻击是没有任何防护效果的。因此，威胁和风险值则在此基础上又提高了一个等级。从目前看来，几乎没有一个行业不受影响的。Web攻击其危害之大、速度之快、影响之广，是前所未有的，造成了非常大的有形和无形损失。3.2单一用户而言对整体而言是上面这种情况，那么对单一用户而言，又是怎样一个状态呢?实际上，许多用户的关键业务越来越多地基于Web应用，在通过浏览器方式实现展现与交互的同时，用户的业务系统所受到的威胁也随之而来，并且随着业务系统的复杂化及互联网环境的变化，所受威胁也在飞速增长，上文已进行了详细分析。但这些所谓的威胁和风险相对于单一的用户而言，也就是说从用户自身理解的角度出发，用户是不知道的或许应该说用户不了解、不明白才对。也或许有少部分的用户多少明白一些，但对此也无能为力，只能依靠专业的安全厂商和技术人员解决问题。更何况这些专业的技术和问题本来也都不应该属于用户所关心的范围。用户只关心：问题能否解决和什么时候解决。因此，我们可以说上述黑客针对Web应用的攻击手段等有关技术方面的内容，对于用户来说，其自身是不关心的，因为从对专业技术掌握的角度分析，用户的自身技术条件也会带来对此类安全问题在理解上或程度上的一定影响和限制，特别是政府性质的用户单位。所以对于用户来说，最终只会关心一件事，那就是：既然存在这样的风险和威胁，那么是否有一套能够解决问题和针对应用层安全的解决方案?！这才是核心关键点的所在。第二部分方案4.解决方案建议4.1传统基础解决方案当然，我们在说现有网络层安全防护措施对于Web应用类安全问题的防护无效和束手无策的问题的同时，并不是告诉大家原来的网络层和基础型安全防护措施、体系/产品不好或没用。如果这样理解的话，用户肯定会跳起来说：那按照这样的情况，是不是我对于用来建设网络层安全防护体系的投资和钱就白花了?！所以这样的理解是错误的。而正确的则是：之所以现在黑客的攻击方式已经从网络层转向应用层，原因就是基础型网络层安全防护措施作的很完善，人们的安全意识提高了，包括系统级的漏洞和0day的挖掘也越来越难，官方补丁更新的也越来越快，这些都会给黑客带来不小的麻烦。使黑客依靠传统的攻击手段面对这些严密的防护体系和产品已无效，因此黑客才会转移技术研究和攻击方向。所以，基础型网络层安全防护是相当重要的，也是必要的。而我们所提倡的应用层安全防护的概念是在肯定了用户的前期投资的前提下，以及建立在完善的网络层安全防御体系的基础之上或同时，再配合建设基于Web应用的安全防护措施。双管齐下才能从根本意义上全面和有效的保障用户系统和业务的安全性。因此，鉴于以上内容，我们对传统基础解决方案的建议和描述如下：由于安全建设是一项动态的、整体的系统工程。从技术上来说，一个安全的系统所应采用的安全技术主要包括：防火墙、入侵检测、漏洞扫描、防病毒、实时监控与恢复、安全事件紧急响应体系等。这些安全措施是保障网络基础和结构的，也就是传统意义上的网络层安全防护。除了以上防护措施外，还应该设计出一个安全防护体系结构，划分为若干层次的一种多层次、多方面、立体的安全构架。如：安全体系涉及的各个环节：安全策略指导、安全标准规范、安全防范技术、安全管理保障、安全服务支持体系等几部分。如下图所示：另外，安全也是一个动态的概念，在原有建设的基础上，开发有针对性的系列解决方案、技术框架和应用工具，并结合用户的现状，制定出适合用户的合理安全机制，建立动态安全模型，从而真正实现：风险分析+制订策略+系统防护+实时监测+实时响应+恢复。而且各个部分之间的关系都是动态的和相互依赖的。即：AP2DR2的动态安全公式，如下图所示：再有就是从安全功能技术体系的角度来建议，要考虑遵循纵深防御思想。纵深防御思想的目的是保障安全系统设计的广度和深度，促进建立全面综合、高效安全的网络安全保障体系。纵深防御思想在广度上要求从网络架构、网络设备、操作系统、应用系统、数据库系统等各个层面考虑安全系统建设。纵深防御思想在深度上要求分层次的、由外而内的，从网络边界、内部网络、核心服务器乃至网管维护用的终端PC各个层面考虑安全防御功能的建设。如：边界网络：加强访问控制、加强安全事件监控、加强抗强力攻击防护、加强WEB应用系统安全运行状态监控等；内部网络：加强网络行为监控、操作监控、加强安全事件监控等；核心服务器主机：加强对核心主机安全监控和检查，加强系统脆弱性及安全漏洞的扫描和发现等；网管维护终端系统(桌面PC)：加强统一的桌面管理，加强补丁升级管理，加强日常的安全管理和终端防病毒管理等。如下图所示：还有就是要进行合理的安全域划分，实现安全事件影响范围的有效控制。比如：即使某个低安全级别的安全域内的用户感染病毒，也能有效地控制在其所在的安全域中，不会影响整网的安全。最后就是动态信息安全体系思想了。动态信息安全体系思想的根本目的是要保障安全系统的设计和建设具备良好的动态适应性、安全可扩展性以及合理的体系建设过程，促进建立一套高扩展性、高可靠性的动态信息安全保障体系。动态信息安全保障体系的建设过程如下图所示：通过以上对于传统及基础解决方案的描述和建议，我们可以总结一下，最终要达到的目标，那就是如下图所示：人+技术+流程，使得用户的IT服务水平得到一致的有效提高。如下图所示：但，我们可以思考一下，光靠以众多网络层防护产品为基础所建立的，看似严密的安全防御体系就能完全保障用户的业务系统的安全性吗?答案肯定是否定的，不能！而且本节在开始的时候也论述了为什么必须是网络层+应用层，双管齐下才能实现业务安全的全保障。下面我们就来针对应用层安全方面的问题具体分析一下。4.2应用安全解决方案4.2.1现有安全防御技术虽然上文也提到了采用种种传统基于网络层安全防护措施和产品所建立的安全防御体系和安全模型，如：目前很多企业采用网络防火墙、IDS/IPS、补丁安全管理、升级软件等措施实现纵深防御，然而这些方法难以有效的阻止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。我们来分析下原因。首先来看传统网络防火墙设备。网络防火墙可以控制对网络的访问，管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。但传统的防火墙无法阻止Web攻击，不论这些攻击来自防火墙内部的还是外部，因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。为了保障对应用的访问，防火墙会开放应用的80端口，这意味着Internet上的任意IP都能直接访问应用，因此web及其应用服务器事实上是无安全检测和防范的。状态检测防火墙是防火墙技术的重大进步，这种防火墙在网络层的ACLs基础上增加了状态检测方式，它监视每一个连接状态，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。它能根据TCP会话异常及攻击特征阻止网络层的攻击，通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而，状态防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应用服务器；同样，如果某个攻击进行了加密或编码该防火墙也不能检测。其次我们再来看入侵检测/防御系统。入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。其工作模式是被动的，它不能阻止攻击，也不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击，此外，可以通过加密，TCP碎片攻击以及其他方式绕过入侵检测系统的防御。所以，综上所述，IDS和IPS系统也是对于Web应用安全防护是无效的。4.2.2结合传统网络层基础防护体系的新型应用层安全解决方案事实上，我们所讨论话题的关键点和重点在于Web应用层的防护问题。而上文也说了，传统网络层安全防护措施和防御体系同等重要。因此，在这里我们来看一下安恒信息技术有限公司所提倡的一种基于前端检测+中端防护+后端追溯的安全理念的结合传统网络层基础防护体系的新型应用层安全解决方案。应用层安全功能技术体系建设对于应用层安全解决方案建议，安恒公司认为目前行业内所流行的安全模型，如：APPDRR、WPDRRC等，实际上都是参照于PDR安全防护体系的基础上而发展和衍生出来的。如下图所示：因此，鉴于PDR安全防御体系的模型，安恒公司认为同样适用于指导应用层安全防护体系的建设。即：在Protection防护层面：可以采用Web应用防火墙，针对应用层的攻击进行有效防护；在Detection检测层面：可以采用Web应用弱点扫描器，针对在线Web业务应用系统或B/S架构的系统进行扫描和评估，从而发现其弱点和安全问题和隐患；在Response响应层面：可以采用审计系统+应急响应服务+评估加固服务的方式，针对发生的安全事件进行深度调查、取证，了解原因和问题所在。从而通过人工进行有效弥补，从根本上去除威胁和风险。另外，从用户角度考虑，应用安全需求还应满足以下要求：产品部署简便，管理集中，操作简洁，性能影响甚微；对用户现有网络拓扑结构尽量无影响；方便管理，无需进行复杂的配置；对现有WEB应用和业务系统的访问速率不能造成太大的影响；对正常业务访问不能进行错误的拦截阻断；部署后效果明显，起到关键的安全防范作用。安全服务支持体系建设同时，任何信息系统的安全保障建设不能单纯的依靠各类安全产品的部署，尽管安全产品的部署能够从大的方面对信息系统进行整体的安全功能改善，但是许多安全功能无法利用安全产品实现，需要采用专门的安全服务进行完善整体安全性能。安全服务支持体系的建设将为用户提供持续的安全动力。同时，信息系统安全保障是一个动态的安全过程，安全产品往往不能够及时的响应系统安全状态的的某些变化，而专业安全服务往往能够更及时的针对安全势态的变化做出响应。因此建议用户建设安全服务支持体系。安全策略管理体系建设不管是安全功能技术体系的建设，还是安全服务支持体系的建设，都是从技术的角度解决信息安全问题。但是安全不单纯是技术的问题，三分技术，七分管理充分说明了安全管理的重要性，突出了用户对信息安全管理的重视程度。建议在用户的安全管理体系建设主要做以下几方面的工作：安全人员和组织架构的规划需要合理的进行安全人员和组织架构的规划，包括：人员岗位与职责的划分安全组织或部门的设定与职责划分安全策略规范的建设与完善安全策略规范是指导用户进行日常信息安全运行维护的基本纲领，是用户系统信息安全工作的指导精神，安全策略需要依据用户的业务结构的变化进行动态的调整，使之服务于用户的良性发展。安全管理规范的建设与完善安全管理规范建设是安全系统建设的重要部分，指定安全管理规范的根本目的是要规范和约束业务运行维护过程的操作行为，辅助各项安全技术手段发挥正常功效，贯彻执行安全策略的各项要求。综上所述，只有通过以上结合传统网络层基础防护体系的新型应用层安全解决方案，才能实现前端检测+中端防护+后端追溯的安全核心防护理念。最终保障了核心资产的安全性，使业务系统得到了根本意义上的保障。另外在技术功能体系完善的同时，建议再建立相应的安全策略管理体系和安全服务支持体系，只有三大保障体系都建立好了，才能发挥安全产品和防护措施、体系的最大作用。5.解决方案设计思想5.1安全建设原则结合传统网络层基础防护体系的新型应用层安全解决方案主要遵循以下几个原则：应用安全产品符合信息系统安全的国际标准和国家标准；对安全产品要采取硬、软结合的方针；应用安全产品的部署不能成为信息系统运行的瓶颈；应用安全能覆盖用户相关的WEB应用；完整性：应用安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全产品对安全问题的发现处理控制等能力各有优劣，从安全性的角度考虑需要不同安全产品之间的安全互补，通过这种对照、比较，可以提高系统对安全事件响应的准确性和全面性。动态性：随着WEB应用脆弱性的改变和威胁攻击技术的发展，使WEB应用安全变成了一个动态的过程，静止不变的产品根本无法适应WEB应用安全的需要。所选用的安全产品必须及时地、不断地改进和完善，及时进行技术和设备的升级换代，只有这样才能保证系统的安全性。专业性：攻击技术和防御技术是信息安全的一对矛盾体，两种技术从不同角度不断地对系统的安全提出了挑战，只有掌握了这两种技术才能对系统的安全有全面的认识，才能提供有效的安全技术、产品、服务，这就需要从事安全的公司拥有大量专业技术人才，并能长期的进行技术研究、积累，从而全面、系统、深入的为用户提供服务。易用性：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，一般人员难以胜任，有可能降低系统的安全性。5.2安全实施策略安全解决方案的重点是对用户的安全提出合理、有效的安全建议。因此，拟从以下两个方面着手：从如何全面掌握用户的安全问题，制定合理的风险规避措施的角度出发；从如何确保用户的安全运行、实时阻挡来自恶意者的攻击、降低网站及内部WEB应用运行风险的角度出发；通过以上的几个指导原则，我们在实际实施的时候采用如下策略：使用不同等级的安全产品进行集成，根据网站和应用系统的不同安全等级需求，选用合适的安全产品，可以有效的减少系统投资。在产品选型时，需要厂家可以提供客户化支持服务产品。只有这样才能保证系统的安全是可以用户化的，才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进。使产品更加适合用户的实际需要，而不是一般的通用性产品。采用可提供本地化服务的厂家的产品。可以提供本地化服务产品对用户的安全至关重要，可以及时提供应急安全响应服务，如在黑客入侵事件发生的时候，可以在第一时间进行响应，最大程度的保护用户利益。在选择产品时需要保证符合相应的国际、国内标准，尤其是国内相关的安全标准。产品在使用上应具有友好的、全中文支持的用户界面，使用户在管理、使用、维护上尽量简单、直观。6.应用层安全总体规划设计6.1 Web安全防御建议针对以上分析的内容和客户需求并结合实际情况，安恒公司提出以下建议方案：1、建议部署安恒公司的明御WEB应用防火墙(WAF)对用户服务器进行保护，即对网站的访问进行7X24小时实时监控。通过WEB应用防火墙的部署，可以解决用户所面临的各类网站安全问题，如：SQL注入攻击、跨站攻击(XSS攻击，俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响用户形象的安全事件发生。2、建议部署安恒公司的明鉴WEB应用弱点扫描器软件，定期对WEB应用及服务器和相关网站的页面进行安全检查，从而及时发现WEB应用类相关安全问题及隐患，根据软件所提出的建议进行修补，能够实现最大化保障用户的安全性。3、建议部署安恒公司的明御数据库审计与风险控制系统。通过部署数据库审计系统能够实现所有对用户数据库进行访问的行为进行全面的记录，以及包括对数据库操作的：增、删、改、查等全方位细粒度的审计。同时支持过程及行为回放功能，能够还原并回放所有对数据库的操作行为，包括：访问的表、字段、返回信息、操作等。从而使安全问题得到追溯，提供有据可查的功能和相关能力。6.2解决方案优势概述6.2.1明御WEB应用防火墙的优势和功能传统的网络防火墙作为访问控制设备，工作在OSI1-4层，基于IP报文进行状态检测、地址转换、网络层访问控制等，对报文中的具体内容不具备检测能力。因此，对Web应用而言，传统的网络防火墙仅提供IP及端口防护，对各类WEB应用攻击缺乏防御能力。Web应用防火墙主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻击。通过明御WEB应用防火墙的部署，完全解决用户所面临的各类WEB应用攻击，包括已知攻击(如：注入攻击、跨站攻击、表单绕过等)、变形攻击及未知攻击，同时可以达到实时监控和事后追溯准确分析的完整解决方案。深度防御明御WEB应用防火墙基于安恒专利级WEB入侵异常检测技术，对WEB应用实施全面、深度防御，能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等)。web应用加速系统内嵌应用加速模块，通过对各类静态页面及部分脚本的高速缓存，大大提高访问速度。敏感信息泄露防护系统内置安全防护策略，可以灵活定义HTTP/HTTPS错误返回的默认页面，避免因为WEB服务异常，导致敏感信息(如：WEB应用安装目录、WEB服务器版本信息等)的泄露。策略配置自定义策略配置告警实时告警，支持邮件、短信等多种方式告警。系统报表支持自定义报表，支持各类导出格式(WORD、EXCEL、PDF、HTML等)。6.2.2明鉴WEB应用弱点扫描器的优势和功能通过WEB应用弱点扫描器的部署，可以定期对WEB网站及相关WEB应用和服务器进行安全检测，从而发现安全问题及相关隐患后能够及时修补。深度扫描：以web漏洞风险为导向,通过对web应用(包括WEB2.0、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类web应用程序的扫描；WEB漏洞检测：提供有丰富的策略包，针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等)；网页木马检测：对各种挂马方式的网页木马进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位；配置审计：通过当前弱点获取数据库的相关敏感信息，对后台数据库进行配置审计，如弱口令、弱配置等；渗透测试：通通过当前弱点，模拟黑客使用的漏洞发现技术和攻击手段，对目标WEB应用的安全性做出深入分析，并实施无害攻击，取得系统安全威胁的直接证据。6.2.3明御数据库审计与风险控制系统的优势和功能通过数据库审计与风险控制系统的部署，能够对所有对网站数据库进行的访问、操作、修改等行为进行全方位、细粒度的审计与记录，并可以进行行为的还原和回放。多层业务关联审计通过应用层访问和数据库操作请求进行多层业务关联审计，实现访问者信息的完全追溯，包括：操作发生的URL、客户端的IP、请求报文等信息，通过多层业务关联审计更精确地定位事件发生前后所有层面的访问及操作请求，使管理人员对用户的行为一目了然，真正做到数据库操作行为可监控,违规操作可追溯。细粒度数据库审计通过对不同数据库的SQL语义分析，提取出SQL中相关的要素(用户、SQL操作、表、字段、视图、索引、过程、函数、包)。实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等。通过远程命令行执行的SQL命令也能够被审计与分析，并对违规的操作进行阻断。系统不仅对数据库操作请求进行实时审计，而且还可对数据库返回结果进行完整的还原和审计，同时可以根据返回结果设置审计规则。精准化行为回溯一旦发生安全事件，提供基于数据库对象的完全自定义审计查询及审计数据展现，彻底摆脱数据库的黑盒状态。全方位风险控制灵活的策略定制：根据登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件。多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警等方式通知数据库管理员。多协议层的远程访问监控支持对客户端工具、应用层以及对服务器的远程访问(如：RDP