明御数据库审计与风险控制系统产品简介

1、明御“数据库审计与风险控制系统(das-dbauditor)产品简介杭州安恒信息技术有限公司二o四年六月1. 产品概述32. 典型部署43. 主要功能44. 产品特点75. 产品规格86. 典型应用案例107典型客户清单13明御®数据库审计与风险控制系统业界首创细粒度审计、高性能精准化行为回溯三层关联真正全业务审计、双向审计、全方位风险控制的系统1. 产品概述明御®数据库审计与风险控制系统（简称：das-dbauditor）是安恒信息结 合多年数据库安全的理论和实践经验积累的基础上，结合各类法令法规（如 sox、pci、企业内控管理、等级保护等）对数据库审计的要求，自主研发

2、完成 的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库全业务审 计产品。das-dbauditor以独立皱件审计的工作模式，灵活的审计策略配置，解决 企业核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁，满足 各类法令法规（详细内容见附录）对数据库审计的耍求，广泛适用于“政府、 金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商 务及企业”等所有使用数据库的各个彳亍业。das-dbauditor支持oracle、ms- sql server> db2> sybase、mysql> lnformix> oscar 等业界主流数据库以

3、及 众多远程操作协议,如rdp（远程桌面）、ssh、vnc、xwindow. telnet、ftp、 sftp等，可以帮助用户提升数据库和主机运行监控的透明度，降低人工审计成 本，真正实现数据库全业务运行可视化、fi常操作可监控、危险操作可控制、 所有行为可审计、安全事件可追溯。2. 典型部署das-dbauditor可以在不改变现有网络体系结构、不占用数据库服务器任 何资源、不影响数据库性能的情况下，快速部署到业务系统网络屮。组合部署模式3. 主要功能多层业务关联审计:丄 通过应用层访问和数据库操作请求进行多层业务关联审计，实现访 问者信息的完全追溯，包括：操作发生的url、客户端的ip、请

4、求 报文等信息，通过多层业务关联审计更精确地定位事件发生前后所 冇层而的访问及操作请求，使管理人员对用户的行为一目了然，真 正做到数据库操作行为可监控，违规操作可追溯。细粒度数据库审计：丄 通过对不同数据库的sql语义分析，提取出sql屮相关的要素（用 户、sql操作、表、字段、视图、索引、过程、函数、包）丄 实时监控來口各个层面的所自数据库活动，包扌舌來口应用系统发起 的数据库操作请求、来自数据库客户端工具的操作请求以及通过远 程登录服务器后的操作请求等丄通过远程命令行执行的sql命令也能够被审计与分析，并对违规的 操作进行阻断/系统不仅对数据库操作请求进行实时审计，而且还可对数据库返回 结

5、果进行完整的还原和审计，同吋可以根据返冋结果设置审计规则丄精准化行为冋溯：丄一旦发生安全事件，捉供基于数据库对彖的完全自定义审计查询及 审计数据展现，彻底摆脱数据库的黑盒状态全方位风险控制：丄灵活的策略定制：根据登录用户、源ip地址、数据库对彖（分为 数据库用户、表、字段）、操作时间、sql操作命令、返冋的记录 数或受影响的行数、关联表数量、sql执行结果、sql执行时长、 报文内容的灵活组合来定义客户所关心的重要事件和风险事件丄多形式的实时告警：当检测到可疑操作或违反审计规则的操作时， 系统可以通过监控屮心告警、短信告警、邮件告警、syslog告警 等方式通知数据库管理员多协议层的远程访问监

6、控：丄 支持对客户端工具、应用层以及对服务器的远程访问（如：rdp、 ssh、ftp、telnet. vnc、xwindow）实时监控及回放功能,有助于 安全事件的定位查询、成因分析及责任认定职权分离：/计算机信息系统安全等级保护数据库管理技术要求、企业内 部控制规范、sox法案或pci中明确提岀对工作人员进行职责分 离，系统设置了权限角色分离。友好真实的操作过程回放：4对于客户关心的操作可以冋放整个相关过程，让客户可以看到真实 输入及屏幕显示内容丄 对于远程操作实现对精细内容的检索，如执行删除表、文件命令、 数据搜索等业界首创的审计模式：丄 除了提供实时的动态审计功能，还提供了口j选的扫描审

7、计模块对数 据库的不安全配置、弱口令等进行检测和审计4产品特点丄 完整性：独一无二的多层业务关联审计，可针对web层、应用中间 层、数据层各层次进行关联审计*细粒度：细粒度的审计规则、精准化的行为检索及冋溯、全方位的 风险控制丄有效性：独有专利技术实现对数据库安全的各类攻击风险和管理风 险的自效控制；灵活的、可口定义的审计规则满足了各类内控和外 审的需求（有效控制误操作、越权操作、恶意操作等违规行为）丄公正性：基于独立审计的工作模式，实现了数据库管理与审计的分 离，保证了审计结果的真实性、完整性、公正性丄零风险：无需对现有数据库进行任何更改或增加配置，即可实现零 风险部署丄 高可靠：提供多层次

8、的物理保护、掉电保护、自我监测及冗余部 署，捉升设备整体可靠性-4易操作：充分考虑国内用户的使用和维护习惯，提供web-based全 中文操作界面及在线操作提示5产品规格数据库审计与风险控制系统（dbauditor）类别管理单元分布式部署管理屮心产品型号das-a500das-a1000das-a3000das-ac1000das-ac3000规格1u2u2u2u2u吞吐能力1000m2000m4000m峰值事务处理能力（条/秒）90001800036000被审计数据库实例数148日志数量（最详细h志）4亿条7亿条10亿条20亿条>20亿条raid无raid 1 （可选）raid 1ra

9、id5raid1raid5可选hba无无无无冇网丨1数量461022网路类型电口电口电口 /光口电口电口审计防护端口二个审计防护端口四个审计防护端口八个审计防护端口电源单电源1+1冗余电源1+1冗余电源1+1冗余电源1+1冗余电源输入电压ac 100240v 5060hz功率350w350w450w450w450w产品认证3c、 rohs、 ce、 fcc、 ul注：详细配置仅供参考，实际交付以合同约定为准。堡垒主机（d as-sa1000）序号名称描述1硬件平台标准2u机箱2口志保存量不少于3个月保存期，raid1可转储3工作口rj45, 4*10/100/1000 自适应电口 （两对 by

10、pass）,2*sfp 口，sfp多模模块（lc-lc跳线）4管理口模块rj45, 10/100/1000 自适应电口5电源1+1冗余电源6.典型应用案例某省级电信运营商由于电信运营商数据库系统用户众多，涉及数据库管理员、内部员工及合 作方人员等，因此网络管理更加复杂，单位数据库面临的主要安全威胁与风险 总结如下：丄 数据库账户和权限的滥用/数据库口身日志审计的缺陷4数据库与业务系统无法关联分析丄数据库自身存在问题丄数据库系统的运维存在安全隐患安恒信息解决方案：我们根据电信用户的需求进行分析，从全审计的角度出发考虑整体的数据 库全业务安全审计，主要包括以下几个方面：丄采用静态审计实现数据库软件

11、自身安全隐患的审计，依托安恒信息 其权威性的数据库安全规则库，口动完成对几方种不当的数据库不 安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据 库潜藏木马等数据库软件存在的问题，为后续的动态防护与审计的 安全策略设置提供了有力的依据。丄采用数据库实时审计解决数据库操作中的细粒度审计，包括采用细 粒度的审计策略对操作、访问及命令返回进行全监控，实现针对所 有帐户对数据库操作、访问及命令的全面监测审计，加强对数据库 临时帐户与高权限帐户的审计监测审计，加强针对重要敏感数据的 访问审计监测，达到字段级的审计细粒度，提供详细的数据库审计 记录及分类报表统计，根据多年数据库安全经验捉供报表支持

12、，实 现数据库异常操作监测报警，并提供多种告警方式通知相关人员处 置，采用独立审计的工作模式，不对现有系统造成任何影响，弥补 了因数据库系统内置h志审计而带来的缺陷。丄 通过堡垒主机实现对所有远程操作的行为监测，堡垒主机基于网 络、透明方式工作，不影响网络结构和业务系统，覆盖运营商采用 的远程协议，如 rdp、ssh、vnc、xwindow. telnet. ftp 等协议, 可以对操作进行回放和检索查询，帮助构建全而的审计平台。丄 应用系统与数据库操作进行关联，有效解决操作行为的追溯，根据 吋间片、关键字等要素进行信息筛选，以确定符合数据库操作请求 的web访问，通过多层业务审计更精确地定位

13、事件发生前后所有层 面的访问及操作请求。用户部署示意图省核心2忤dadadadadadadalob services亠亠-口制反押聖"i机sax：:wpcxx省中心数据库审计拓扑图逻辑示意图背业厅 背业斤7.典型客户清单金融/长城证券/海通证券/英大证券“浙商证券/众成证券/国信证券/湘财证券/安信证券/金元证券“长城基金/安诚财险运营商/上海移动/江酋联通/浙江电信/云南电信“甘肃联通/山西电信丁内蒙占电信电力能源丁江西省电力公司/福建省电力冇限公司“浙江省屯力试验研究院/国网金融资产管理公司 公安北京市公安局/广州交警“绍兴市公安局/衢州交警/绍兴交警“温州交警医疗卫生/北京市肿瘤医院/北京大学深圳医院/浙江省卫生厅/河南省人民医院“金华市中心医院/淄博市第一人民医院/屮山市陈星海医院/武汉市中心医院/滨州医学院附属医院/山东中医药大学附属医院政府“中国国家认证认可监督管理委员会/浙江省科技信息研究院/江苏省信息安全攻防实验室/深圳市气象局/江西省财政厅/包头市市委“内蒙古交通运输管理局/内蒙古煤炭管理局/河南省新乡市财税局/湖南省邮政局/湖南省物价局/湖南省工商行政管理局 社保/公积金/江西省劳动就业局“衢州社保/新余社保/上饶社保“武汉社保/长沙市住房公积金