集团公司网络安全解决方案.doc

集团公司网络安全设计方案集团公司网络安全设计方案 2 一一. .方案概述方案概述 集团公司网络规模日益扩大,下属几十家分公司都将与集团实现联网,使用一套集 团财务系统。根据 IT 规划要求，为有效保障公司网络畅通、数据安全，集团公司需 要构建一个严密的整体的网络安全系统。 该系统包括四个主要方面： （一）设计网络系统优化方案及建立网络系统持续完善机制 （二）建立智能化数据容灾系统 （三）建立高效全面的病毒预防系统 （四）建立科学合理的管理制度体系 二二. .方案实现目标方案实现目标 通过该系统的建设实现以下功能目标 (1)实现集团对网络病毒的统一防护, 让网络管理人员可以清晰的管理到内部病毒防 护系统的部署情况, 有病毒爆发时可以及时确定病毒发作范围, 并可以直接进行隐 患清除工作，集团可以统一部署和执行安全防护策略. (2)对集团机房较为重要的服务器和应用系统进行容灾备份, 当服务器故障时, 可以有 效的快速启动替代系统, 并在故障清除后快速恢复系统和数据. (3)对于集团数据库系统, 因关联使用的用户多且分布各不同下属单位, 应使用有效措 施来防范数据库的使用安全, 防范数据被恶意使用或篡改,. (4)因集团机房部署不同部门和下属公司的服务器, 各部门都需要运维自己的服务器, 有必要对服务器的使用进行安全审计和使用记录, 防范来自使用服务器带来的风险. 三三. .安全产品推荐选型安全产品推荐选型 项目项目品牌品牌型号型号实现目标实现目标 企业版防病毒企业版防病毒趋势趋势 OfficeScanOfficeScan 全网病毒统一防护和统一安全全网病毒统一防护和统一安全 管理管理 服务器容灾备份服务器容灾备份 NOVELLNOVELLPlateSpinPlateSpin ForgeForge 对服务器进行实时灾备对服务器进行实时灾备, ,服务器服务器 故障时实现紧急替代和快速恢故障时实现紧急替代和快速恢 复复 数据库审计数据库审计安恒安恒 DAS-AC1000DAS-AC1000 对数据库使用进行安全审计对数据库使用进行安全审计, ,防防 护对数据库的恶意侵入和篡改护对数据库的恶意侵入和篡改 保垒机保垒机齐治齐治SHTERM-L4 对使用机房内服务器的人员的对使用机房内服务器的人员的 使用行为进行规范管理和审计使用行为进行规范管理和审计 记录记录, ,防范服务器内部使用风险防范服务器内部使用风险. . 3 四四. .方案简述方案简述 (1)网络拓扑图网络拓扑图 (2)信息安全设备物理分布图信息安全设备物理分布图 4 (3)产品说明：产品说明： 1、IT 运维堡垒机接在核心交换机上，通过细粒度的安全管控策略，保证企业的服务器、 网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失，保障 企业效益；管理员可直观方便的监控各种访问行为，能够及时发现违规操作、权限滥用等。 2、数据库审计设备接在核心交换机上，全面记录数据库访问行为，识别越权操作等违 规行为，并完成追踪溯源；检测数据库配置弱点、发现 SQL 注入等漏洞、提供解决建议； 为数据库安全管理与性能优化提供决策依据；提供符合法律法规的报告，满足等级保护、 企业内控等审计要求。 3、OfficeSan 服务器接入核心交换机上，OfficeScan 可以根据大同公司的自己的 要求进行策略部署，并针对未来而设计的弹性架构，可让您透过插件来自定义 您的威胁防护与数据保护。 4、Forge 设备部署在核心交换机，可同时对 25 台服务器做备份，一旦一台 或多台生产服务器出现故障，该应用即刻在 Forge 上运行接管业务。 5 五五. .方案子系统介绍方案子系统介绍 1 1、趋势科技网络版防病毒软件趋势科技网络版防病毒软件 OfficeScan 趋势科技的 OfficeScan 网络版防病毒产品将管理,配置与部署的功能集中到服务器端 （Officescan 服务器端） 。透过 Officescan 服务器端的 Web 接口的管理主控台，管理人员 可以从网络上的任何地点，来管理和设置全公司的防毒策略（每一台计算机都安装了 Officescan 客户端防病毒软件） ，并且也能迅速响应各种紧急事件。 综合性的防护能力：综合性的防护能力：免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，同时具备防火墙 和入侵检测的能力； 支持防护策略的自动支持防护策略的自动/ /手动配置：手动配置：有效控制病毒扩散（通过主控服务器，在设定的时间段内， 关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改） ； 防火墙策略应用程序的备用服务器：防火墙策略应用程序的备用服务器：客户计算机可能无法连接到防毒墙网络版服务器，但 仍可连接到您指定的备用防毒墙网络版服务器上，以提供防火墙策略更新。 集成专杀工具：集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒 码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有 特定的专杀工具，造成数量巨大； 防御间谍软件和其他类型的灰色软件防御间谍软件和其他类型的灰色软件：防毒墙网络版可以帮助保护您的计算机远离被趋势 科技视为灰色软件的各种威胁和损害，包括众所周知的类型 间谍软件； 临界间谍软件临界间谍软件/ /灰色软件例外列表：灰色软件例外列表：防毒墙网络版可能将特定类型的文件识别为灰色软件， 尽管您计算机上合法的应用程序可能需要使用这些文件。为防止防毒墙网络版将这些文件 识别为灰色软件，可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表。 实时更新病毒日志：实时更新病毒日志：方便而简单的配置管理与实时报告； 自动更新：自动更新：先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动；支持客 户端自行上互联网更新防毒组件； 灵活的更新代理设置：灵活的更新代理设置：通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定 到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效； 检测为安装防病毒软件的计算机：检测为安装防病毒软件的计算机：支持网段扫描侦测尚未安装 OfficeScan 的用户机； 6 强大的数据库管理：强大的数据库管理：支持将纪录数据导入 SQL 服务器方便数据分析与管理； 灵活的客户端迁移：灵活的客户端迁移：支持在客户端可以在不同的 OfficeScan 服务器中转移,不需重新安装； 定位病毒源头病毒定位病毒源头病毒：客户机的排行榜功能，帮助网管了解毒源、善后处理、报告领导； 支持多种支持多种 WebWeb Server:Server: IIS 和 Apache; 部署建议：部署建议： OfficescanOfficescan 可以针对 WindowsWindows 全系列全系列防范病毒。趋势科技网络版防病毒软件的组织架趋势科技网络版防病毒软件的组织架 构为：构为：通过一台 Officescan 服务器去远程的控制和管理局域网内部，甚至广域网中 Officescan 客户端。 OfficescanOfficescan 客户端可以通过多种方式安装到计算机上：客户端可以通过多种方式安装到计算机上： 1、 通过网页远程自动下载安装； 2、 通过制作 Officescan 客户端安装包安装； 3、 通过共享文件夹方式安装 4、 通过集成 Windows 域自动安装客户端 5、 通过微软 SMS 安装； 如此部署 OfficeScan 就可以为网络内部计算机提供综合性的安全防护，免受病毒，特 洛伊，蠕虫和现在的间谍软件的攻击，以及具备防火墙和入侵检测的能力。从根本上对应 用层的病毒文件以及网络层的病毒数据包进行防护，同时防护各种对于计算机的攻击。 2 2、NovellNovell PlateSpinPlateSpin ForgeForge 服务器灾备保护产品方案服务器灾备保护产品方案 Novell PlateSpin Forge是一个整合式的系统恢复硬件设备，通过采用内置虚拟化 技术来保护实际物理和虚拟服务器工作负载。在生产服务器停止运转或发生故障时，工作 负载可在PlateSpin Forge恢复环境中快速通电，并继续正常运行，直到生产环境恢复。 采用单台PlateSpin Forge 设备可保护和恢复最多达25个物理和虚拟工作负载。 使用PlateSpin Forge，客户可以保护多个地理位置分散的多达25台服务器的工作负载， 并在服务器出现故障时予以快速恢复。通过使用PlateSpin Forge综合恢复平台，客户能够 更好地保护更多的工作负载，但无需支付高昂的复制硬件或冗余操作系统授权许可费用。 PlateSpin Forge不需要通过成本高昂的一对一硬件和软件冗余保护数据中心资产，从而实 现了革命性的业务持续性。生产服务器可备份到虚拟机，而成本只是传统灾难恢复解决方 7 案的一部分，而且可以更快、更轻松地实现恢复。 除了标准文件类复制外，高速块级复制允许企业客户保护高级业务工作负载(如电子邮 件和数据库服务器)。有效增加传输可确保仅源数据文件变化被复制到PlateSpin Forge远程 恢复环境中，从而减少了广域网的使用并使各大组织能够在最少数据丢失情况下有效满足 数据恢复点目标(RPO)。 快速容易的故障恢复计划和过程的完整性 使用PlateSpin Forge可实现对服务器工作负载以多达28个历史恢复点的方式进行保护 备份，只需单击测试恢复按钮，即可快速容易地测试备份和恢复计划的完整性。在进行故 障恢复测试时，可选择保护备份的任一快照并且在一个隔离的专用内部网中启动运行。这 允许用户快速确认恢复计划和相关业务服务，而又不至于中断生产服务器工作负载。一旦 确认故障恢复计划，PlateSpin Forge将屏弃测试过程中在恢复工作负载快照上发生的任何 变化，并恢复工作负载复制。 基于WEB浏览器方式的多种监控、报告和操作报警进行控制。 PlateSpin Forg 提供基于 Web 方式的单一管理界面，便于 IT 运营专家随时查看其保护计 8 划状况并管理、监控和报告所有工作负载保护事宜。在生产服务器停机或发生故障时， PlateSpin Forge 将以电子邮件方式自动警示管理员。通过个人计算机、Blackberry 或其 它移动装置点击电子邮件内的链接可执行上下文相操作。多种报告功能可使管理员和 业主清楚地掌握保护资源的使用方式。用户可报告实际对抗目标恢复时间和恢复点目标、 复制窗口和数据传输速率。保护日志显示成功的复制和恢复测试，从而提供了满足定制服 务级协议或合规性所需的审计能力。 PlateSpin Forge 提供一个始终存在仪表盘，可让 IT 操作专家随时观察其保护计划状况， 并管理、监控和报告所有的工作负载保护和恢复事宜 9 一键故障恢复和灵活的灾难恢复方案 单击运行恢复工作负载，可根据需要将其恢复到相同或不同的硬件。 在生产服务器停机或发生故障时，通过单击故障恢复可快速恢复受保护的工作负载仅 重新连接会话，并且 PlateSpin Forge将验收工作负载。当生产环境恢复时，该工作负载 可继续在PlateSpin Forge恢复设备上正常运行。一旦生产环境联机，PlateSpin Forge还可 提供灵活的工作负载恢复方案。如果原始生产服务器修好并且硬件无损坏，用户可通过一 个虚拟到物理(V2P)工作负载转移操作将工作负载从虚拟恢复环境移回到原始硬件服务器。 如果原始硬件不能修好，用户可通过一个V2P转移操作将工作负载转移到新的硬件服务器 上。还可轻易将工作负载移到生产虚拟环境中。灵活的硬件独立式恢复意味着新硬件可以 为不同品牌、型号或配置。 10 3 3、齐治运维操作管理系统齐治运维操作管理系统 通过 Shterm 的部署，可以有效的解决运维部门当前运维过程中存在的各种 问题： 以堡垒方式，形成统一的运维入口，实现运维操作的唯一路径； 引入主从帐号管理概念，使用户认证与系统授权分开，从而有效解决系统 帐号共享使用，带来的身份不唯一的问题； 基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置， 有效规避了非授权访问带来的问题； 密码托管和自动改密，使得密码管理规范能有效落地，避免了因人员的流 动还会导致设备密码存在外泄的风险； 能完整记录运维人员的操作过程，当系统因人为操作导致故障的时候，能 够快速定位故障原因和责任人； 可以满足等保、SOX、ISO270001、BS7799 等安全规范对运维操作管理的 要求。 (1)总设计思路总设计思路 因为操作的风险来源于各个方面，所以必须要从能够影响到操作的各个层 面去降低风险。齐治运维操作管理系统（Shterm）采用操作代理（网关）方式 实现集中管理，对身份、访问、审计、自动化操作等统一进行有效管理，真正 帮助用户最小化运维操作风险。 集中管理是前提：集中管理是前提：只有集中以后才能够实现统一管理，只有集中管理才能 11 把复杂问题简单化，分散是无法谈得上管理的，集中是运维管理发展的必然趋 势，也是唯一的选择。 身份管理是基础：身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来 识别和确认操作者的，因为所有的操作都是用户发起的，如果我们连操作的用 户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作 责任人。所以身份管理是基础。 访问控制是手段：访问控制是手段：操作者身份确定后，下一个问题就是他能访问什么资源、 你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资 源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合 法操作者合法访问资源，有效降低未授权访问所带来的风险。 操作审计是保证：操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故 原因，还原事故现场和举证。另外一个方面操作审计做为一种验证机制，验证 和保证集中管理，身份管理，访问控制，权限控制策略的有效性。 自动运维是目标：自动运维是目标：操作自动化是运维操作管理的终极目标，通过让该功能， 可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、 提高运维效率的目的。 (2)操作网关方式部署操作网关方式部署 集中管理是实现运维操作安全管理的首要前提。 针对当前核心设备分散管理的现状，集中管理倡导的是一种统一管理的理 念。集中管理是未来运维操作安全管理的必然趋势。 实现集中管理，关键点在于对用户原有的运维环境不造成任何影响。综合 各种部署方案，我们采用了“操作堡垒机”的部署方式。 (3)用好共享账号用好共享账号 在当前的运维环境中，普遍存在操作者身份无法识别的安全隐患。这主要 是由操作者共享使用核心设备上的系统账号造成的。 设备数量达到一定规模，必然会使用到共享账号。共享账号就是多人共同 使用同一个存在于设备上的系统账号，使用共享账号会让整体账号的数量最少。 12 但是仅仅依赖系统上的单一系统账号，无法既能区分用户身份，又能完成工作 角色的定位。 如何准确的区分用户身份和工作角色，进而实现操作者和具体的操作过程 一一对应？ Shterm 将账号的用户身份确认和系统工作角色功能分离，在 Shterm 上增 加了用户账号，完成用户的身份确认。原来系统上的账号依然存在，但是作用 只是完成工作角色授权的工作账号。 用户登录 Shterm 是采用唯一的用户账号，然后根据工作角色的需要，转换 成系统账号登录到被管理设备上。这样既能够保证整体账号数量最少，管理方 便；同时又能够实现对用户、工作角色的双重定位。 当用户加入、离职或岗位变动，当代维人员和原厂商进行维护的时候，只 需要在 Shterm 上变更该用户账号即可，对系统上的系统账号没有任何影响。 代维人员维护系统并不需要知道用户系统的最高权限的系统帐号密码，这 样大大降低了管理风险。 原厂商进行临时维护的时候只需要临时分配一个用户账号，当使用结束后 该账号会自动回收，减少了账号管理的成本。 (4)访问控制规则访问控制规则 目前，用户只要知道用户名和密码就可以任意访问任意设备,这种现状必然 会带来“未授权访问的安全风险”。 部署了 Shterm 后，情况就发生了变化。Shterm 逻辑上成为了用户登录的 唯一入口，因为入口唯一，访问控制很容易配置了。 相同工作任务的集合可以放置在一个访问规则组里，当用户岗位、职责改 变时，对用户相关联的组、系统权限、可访问设备通过 Web 的勾选，很容易调 整。 根据工作内容的需要，可以配置不同的许可或禁止的登录策略。既可以设 定固定日期的登录策略，也可以设定固定时间间隔的策略，还可以设定一天中 指定时间段的策略，并且能够针对具体的地址段进行控制。 13 Shterm 的访问控制列表可以让用户一目了然的知道某台设备上允许哪些用 户登录。某台设备上的系统账号有多少个用户可以使用。 另一方面，从安全运维的角度分析，权限控制策略是从操作的层面上，降 低高危操作所带来的安全风险： 对于使用 Telnet/SSH 等协议进行远程管理的设备（各种网络设备和 Unix 服务器），操作权限的多少取决于用户可以执行的命令。所以，针对操作指令 的控制才是核心。 对于服务器设备操作，Shterm 可以对服务器的超级用户 root 操作权限进 行控制，即使是 root 用户，权限也是受限制的，可以限制 root 用户只能执行 某些操作（白名单）和无法执行某些操作（黑名单）。 当多人同时使用一个 root 账号时，Shterm 可以对同一个系统账号进行操 作权限再分配，保证使用同一个 root 账号的不同用户拥有不同的操作指令权限， 彻底解决了共享 root 账号权限一致的情况，真正实现细粒度的操作权限控制。 对于网络设备操作，Shterm 可以保证即使多个用户在进入 enable 状态的 时候，提供高于网络设备系统更好级别的控制力度，保证每一个用户的操作指 令都能严格受到控制。 对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。 对于用户的操作可以有 3 种执行状态：允许执行，拒绝执行，禁止执行。 对于高危命令（删除，重起，关机等）可以实时告警，一旦高危操作触发， 会立即给相关人员发送告警邮件，保证用户在第一时间内知道高危操作是否对 系统造成了影响。 (5)完整操作审计完整操作审计 运维操作审计是整个 Shterm 解决方案的重要组成部分。管理员确定了以操 作网关方式来部署，解决了之前共享账号的问题，配置了访问规则，明确了操 作权限，那么最后也是最重要的就是操作和操作审计。 Shterm 支持的运维操作方式和相应的操作审计基本涵盖了目前企业日常运 维所涉及到的绝大部分操作模式，包括字符会话、图形会话、Web Client 会话、 14 文件传输、Oracle 数据库操作审计等等。 对不同会话采用不同的审计方式针对字符会话，Shterm 的审计功能会完全 记录所有会话内的输入输出，并可以使用模式方式对这些输入输出进行查询以 定位操作时间节点和操作内容。对于图形会话要采用全程的录像和键盘鼠标操 作的记录，并在图形会话回放的过程中同步的显示出来。对于 Web Client 方式 的操作会话，也是目前非常主流的一种操作模式，Shterm 可以利用对于图形会 话的审计方式来审计 Web Client 方式的会话，即，既包括了图形录像也包括了 键盘鼠标记录，并且可以如图形会话一样，键盘输入信息可以进行完全的检索 以便快速定位一个较长的审计录像。针对文件传输，FTP、SFTP 之类的上传下 载，Shterm 支持全部的信息记录，包含时间，人员，IP 等等信息。对于 Oracle 数据库的操作审计，采用跳板机和应用发布的方式，能够把图形方式操 作中的数据库语句全部完成的审计到 Shterm 平台内。 此外，Shterm 对审计人员本身也有严格要求，一方面，对审计人员的审计 操作，Shterm 有严格的记录，审计管理员何时查阅了某个会话操作都要有明确 记录。另一方面，Shterm 支持非全局性的操作审计，即，审计人员也没有权利 审计所有的会话信息，因为会话中可能包含了非常敏感甚至机密的企业信息。 (6)自动化自动化 日常运维中经常需要对一些操作进行重复性动作，例如每天去执行一些脚 本、检测一些状态等，重复繁琐的工作容易令人出现操作的失误。如果能通过 一些技术手段，替代用户的重复操作，使用户从重复繁琐的工作中释放出来， 可以让用户有更多的时间去专注于更多技术领域。 操作自动化是运维操作管理的终极目标，通过 Shterm 的自动脚本功能，可 让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提 高运维效率的目的。 15 4 4、安恒明御安恒明御数据库审计与风险控制系统介绍数据库审计与风险控制系统介绍 (1)(1)产品介绍产品介绍 产品概述 明御数据库审计与风险控制系统（简称：DAS-DBAuditor）作为国内数据库审计产品领 域第一品牌，是安恒信息结合多年数据库安全的理论和实践经验积累的基础上，结合各类 法令法规（如 SOX、PCI、企业内控管理、等级保护等）对数据库审计的要求，自主研发 完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库全业务审计产品。 明御数据库审计与风险控制系统可以帮助您解决以下问题: 识别越权使用、权限滥用，管理数据库帐号权限 跟踪敏感数据访问行为，及时发现敏感数据泄漏 检测数据库配置弱点、发现 SQL 注入等漏洞、提供解决建议 为数据库管理与优化提供决策依据 满足法律、法规要求，提供符合性报告 低成本且有效推行 IT 管理制度 DAS-DBAuditor 以独立硬件审计的工作模式，灵活的审计策略配置，解决企事业单位 核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁，满足各类法令法规对 数据库审计的要求，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、 交通、卫生、教育、电子商务及企业”等所有使用数据库的各个行业。DAS-DBAuditor 支 持 Oracle、MS-SQL Server、DB2、Sybase、MySQL、Informix、CACH、teradata、神通 （原 OSCAR） 、达梦、人大金仓（kingbase）等业界主流数据库以及 TELNET、FTP、HTTP、POP3、SMTP 等，可以帮助用户提升数据库运行监控的透明度， 降低人工审计成本，真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控 制、所有行为可审计、安全事件可追溯。 技术优势 技术优势技术优势功能价值功能价值 超高的性能 多核、多线程处理：多核、多线程处理：采用多核处理技术，结合自主研发的多线程 应用系统，单台最大可以达到 50000 条/秒的处理能力，支持多台数 据库服务器，降低用户成本； 分布式部署：分布式部署：支持分布式部署，并行处理，成倍提升业务处理能 力，满足大型业务环境需求，兼顾未来扩容计划； 丰富规则和报 表 通过对大量项目实施经验总结，已经形成了丰富的行业规则包和 合规报表，包括合规性要求、帐号管理、权限管理、认证管理、敏 感数据安全等多个维度的规则，系统默认配置 60 多种报表，解决普 通审计产品规则设置困难、审计分析无从下手、报表过于简单且无 实际分析价值等问题。 16 精准的协议解 析 采用专利技术提升协议的准确率。支持 oracle、DB2、sqlserver 等 10 多种主流协议，满足复杂环境应用； 领先的存储能 力 采用专用存储技术大大提升存储能力，最大可以存储 7-10 亿条审 计日志，可以满足客户 3-6 个月的日志存储要求； 高效的查询能 力 日志存储在自主研发的专用数据库中，并为日志记录标识唯一序 号，采用先进的检索引擎，达到百万级每秒的查询能力，并大大提 高查询准确度； 自身安全性 采用 RAID、冗余电源等硬件架构，以及三权分立、数据自动备 份、详尽的操作日志等技术确保审计记录不丢失，不被违规删除， 满足法律法规要求； 功能价值 丰富的协议支持丰富的协议支持 主流数据库Oracle、SQL server、DB2、Mysql、Informix、CACH、Sybase、PostgreSQL 国产数据库神通（原 OSCAR） 、达梦、人大金仓（kingbase） 数据仓库Teradata 其他协议FTP、HTTP、Telnet、SMTP、POP3、DCOM 等 细粒度的操作审计细粒度的操作审计 细粒度审计通过对不同数据库的 SQL 语义分析，提取出 SQL 中相关的 要素（用户、SQL 操作、表、字段、视图、索引、过程、函数、 包） 双向审计不仅对数据库操作请求进行实时审计，而且还可对数据库 执行状态、返回结果、返回内容进行完整的还原和审计， 同时可以根据返回结果设置审计规则 多行为审计实时监控来自各个层面的所有数据库活动，包括来自应用 系统发起的数据库操作请求、来自数据库客户端工具的操 作请求以及通过远程登录服务器后的操作请求等 多层业务关联审计多层业务关联审计 B/S 三层架构支持 HTTP 请求审计，提取 URL、POST/GET 值、cookie、操作 系统类型、浏览器类型、原始客户端 IP、MAC 地址、提交参数等； 通过智能自动多层关联，关联出每条 SQL 语句所对应 URL，以 及其原始客户端 IP 地址等信息，实现追踪溯源； C/S 三层架构在企业、医院等行业客户中，也部分采用 C/S/S 三层架构，同样 面临追踪溯源的难题，DAS-DBAuditor 支持基于 DCOM 的三层架构 自动关联。 运维审计关联通过运维审计产品进行统一认证、授权后，也将面临追踪溯源的 难题，DAS-DBAuditor 支持与运维审计产品关联，实现原始操作者 17 信息的追踪 全方位风险控制全方位风险控制 灵活的策略定 制 根据登录用户、源 IP 地址、数据库对象（分为数据库用户、表、 字段） 、操作时间、SQL 操作命令、返回的记录数或受影响的行数、 关联表数量、SQL 执行结果、SQL 执行时长、报文内容的灵活组合 来定义客户所关心的重要事件和风险事件 自动建模DAS-DBAuditor 支持自动建模，可以非常方便了解整个数据库的 允许状态，帮助管理员形成有效的审计规则，快速识别越权操作、 帐号复用、违规操作等行为。 多形式的实时 告警 当检测到可疑操作或违反审计规则的操作时，系统可以通过监控 中心告警、短信告警、邮件告警、Syslog 告警、SNMP 告警、FTP 告警等方式通知数据库管理员 报表报表 DAS-DBAuditor 报表系统包括预定义报表和自定义报表两大模块，可以快速生成 对安全事件的报表，并以 PDF 等格式导出。 审计管理员报表支持从审计设备运行状况、安全事件、帐号的增删、密码是否修 改等角度形成报表 系统管理员报表支持从权限的变更