H3CSecPath数据库审计系统产品概述V1.1

1、HBCH3c SecPath数据库审计系统产品概述Copyright ? 2015杭州华三通信技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。目录1产品简介 1-12产品特点 2-12.1 部署灵活简单零影响 2-12.2 多核、多线程并行处理技术 2-12.3 丰富的协议支持 2-12.4 细粒度审计策略 2-12.5 极高的处理性能 2-12.6 极具领先的数据建模及海量数据挖掘分析 2-13特性参数 3-13.1 系统配置表 3-13.2 接口属性表 3-23.2

2、.1 配置口属性 3-23.2.2 千兆以太网电口属性3-23.2.3 千兆以太网光口属性3-33.2.4 万兆以太网光口属性3-33.3 功能特性列表 3-34典型应用 4-64.1 某某小型中小企业用户数据库审计部署场景 4-64.2 某某大客户数据库审计分布式部署场景 4-15选购指南 5-15.1主机选购 5-1i1产品简介数据库是任何商业和公共安全中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。互联网的急速发展使得企业数据库信 息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表 现在

3、以下三个层面：管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维 护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具（比如：防火墙、IDS、IPS等）来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端，比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权

4、操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。为了解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求，华三公司在多年数据库安全的理论和实践经验积累的基础上，成功推出了业界首创的、面向政府、企业核心数据库的安全产品-华三数据库审计系统，该产品重点实现细粒度审计、精准化行为回溯、全方位风 险控制，为您的核心数据库提供全方位、细粒度的保护功能，可帮助用户带来如下价值点：全面记录数据库访问行为，识别越权操作等违规行为，并完成追踪溯源跟踪敏感数据访问行为轨迹，建立访问行为模型，及时发现敏感数据泄漏检测数据库配置弱点、发现 SQL注入等漏洞、提供解决建议为数据库安全管

5、理与性能优化提供决策依据提供符合法律法规的报告，满足等级保护、企业内控等审计要求图1-1 SecPathD2020 产品外观图2-1图1-2 SecPathD2050 产品外观图2 产品特点2.1 部署灵活简单零影响使用旁路镜像流量部署模式，不影响客户业务系统的正常使用，也不会对被审计系统造成任何压力；支持分布式部署，管理中心可实现统一配置、统一报表、统一查询。2.2 多核、多线程并行处理技术采用多核、多线程并行处理及CPU 绑定技术，采集、处理、入库、查询、统计等性能都遥遥领先选用国际领先的、最适合审计产品特性的定制化工控机硬件平台采集流量使用零拷贝技术，极大的提高了采集性能，避免采集阶段一

6、些无故的丢包2.3 丰富的协议支持支持主流的所有关系型数据库议审计；同时支持web http 协议的审计。2.4 细粒度审计策略基于数据库协议的完整解析，支持解析协议的所有17 个字段支持正常请求信息的解析，同时支持对返回结果等信息进行解析支持根据17 个字段任意自定义审计规则，对审计日志进行三维一体的条件审计支持绑定变量名、变量值进行自定义的审计支持超长SQL 的审计2.5 极高的处理性能单台设备最高可以达到每秒处理4 万条 SQL 语句审计；单台设备检索性能高达500-1000 万 TPS/s 的任意条件检索性能。单台设备最高可以存储100 亿条以上审计日志2.6 极具领先的数据建模及海量

7、数据挖掘分析业界领先的数据行为基线建模及智能告警功能，自动建立数据库访问行为基线，并依据行为基线自动智能识别可疑行为进行告警；灵活的海量审计数据对比分析工具，从不同的空间、时间对各个维度进行对比分析极具动态可视化的审计行为轨迹分析，将海量的审计数据通过行为轨迹图方式展示便于审计员全局了解数据库访问行为。内置的 30 多种不同维度的报表，从不同角度分析数据库行为，便于审计员进行合规审计。2.7 数据库安全配置分析和漏洞评估H3C SecPath 数据库审计系统继承了华三数据库安全漏洞扫描技术优势，形成了从漏洞扫描、安全审计为一体的解决方案可通过定制化任务方式实现周期性的自动扫描，发现数据库的配置

8、不合理项、弱口令、安全漏洞。可根据漏洞情况提供合理的安全建议和审计规则，生成安全漏洞扫描报告2-23特性参数3.1 系统配置表表3-1 D2020设备系统配置表项目描述接口1个配置口( CON)2个千兆以太电管理口2个千兆以太电业务口2个千兆以太光业务口扩展槽1内存配置8G磁盘1T*1 (非 RAID)外型尺寸(W X H X D)440mm: 570mm: 88mm环境温度工作：540 c非工作：070 c重量12kg电源1+1冗余电源350W功率防护站点不限性能每秒处理的数据库TPS数，18000条/s设备的硬件吞吐性能：2000Mbs纯数据库流量处理性能：200Mbs环境湿度工作：209

9、0% ,无冷凝非工作：595%,无冷凝表3-2 D2050设备系统配置表项目描述接口1个配置口( CON)2个千兆以太电管理口4个千兆以太电业务口4个千兆以太光业务口扩展槽2内存配置16G磁盘2T*2 ( RAID1 )外型尺寸(W X H X D)440mm: 580mlK 88mm环境温度工作：540 c非工作：070 c重量18kg|电源1+1冗余电源460W功率防护站点不限二|每秒处理的数据库TPS数，40000条/s性能设备的硬件吞吐性能：4000Mbs纯数据库流量处理性能：400Mbs环境湿度工作：2090% ,无冷凝非工作：595%,无冷凝3.2 接口属性表3.2.1 配置口属性

10、表3-3设备配置口属性属性描述接头RJ-45接口标准RS-232波特率115200bps支持服务与字符终端相连与本地PC的串口相连并在PC上运行终端仿真程序 命令行接口线缆类型普通异步串行口线缆传输距离< 15m3.2.2 千兆以太网电口属性表3-4千兆以太网电口属性属性描述接口标准1000BASE-T连接器RJ45速率10/100/1000Mbps工作方式电口特性：支持10/100/1000M 模式3-23.2.3 千兆以太网光口属性表3-5千兆以太网光口属性属性描述接口标准1000BASE-X连接器SFP （标配多模）速率1000Mbps工作方式光口特性：只支持1000-SX/LX模

11、式3.2.4 万兆以太网光口属性表3-6万兆以太网光口属性属性描述接口标准10GBASE连接器SFP+ （标配多模）速率10000Mbps工作方式出标准的SFP+接口3.3 功能特性列表表3-1功能特性表属性说明部署模式旁路镜像模式部署，不影响数据库性能和网络架构；支持分布式部署，管理中心可实现统一配置、统一报表、统一查询。协议支持审计内容数据库协议审计日志包括账号、SQL语句、表、字段、存储过程、客户端工具、IP、MAC、 实例名、主机名等条件支持双向审计，特别是返回字段和结果、执行状态、返回行数、执行时长等内容，并能够根据返回结果设置审计策略支持对返回结果集审计大小的控制，支持根据返回行数

12、和返回总内容大小进行控制。支持审计超长SQL语句，最长支持64K支持对协议解析自动进行解码，并且支持手工指定常见解码方式支持DDL语句的审计支持DCL语句的审计支持DML语句的审计Web协议：http协议数据库协议：Oracle、SQlServer、Sybase、mysql、db2、informix属性说明支持存储过程、触发器、函数的审计支持绑定变量的审计，并支持记录变量名及变量值，且可以自定义配置。支持IPV6环境各种数据库协议的审计支持对敏感数据类型进行掩码处理，掩码规则支持自定义。Web协议支持对http协议的审计支持对http协议的get、post内容进行完整记录支持http协议的co

13、okie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数等支持关联web用户名配置支持对http协议返回内容的记录智能发现与 评估支持定期自动扫描发现网络中存在的数据库，发现新增数据库可邮件、短信告警；支持从镜像流量中自动发现流量中存在的数据库目标IP及版本；支持定期数据库风险评估，自动扫描数据库漏洞和不安全配置，提供单独漏洞扫描报告风险评估功能支持主流数据库Oracle、SQlServer、Sybase、mysql、db2、informix模型分析支持智能学习数据库的访问行为建立模型；支持通过行为轨迹图方式展示数据库访问行为（提供功能截图）支持可基于账号、IP地址、访问权限、

14、客户端工具等维度对行为模型做钻取分 析、变更分析，支持对学习的安全基线以外的行为自动智能的进行告警支持自动对比不同时期的行为模型，以区分其审计日志数趋势、 用户、IP地址、工具、访问权限的差异情况审计规则支持全审计策略及满足条件审计策略支持自定义业务审计及告警规则告警规则支持高、中、低、关注、不审计、一般五种类型，可供用户灵活配置支持根据账号、IP地址、MAC地址、操作类型、返回行数、执行时间、表、字段、主机名、操作系统名、关联表数设定规则；支持基于返回结果集大小、返回内容、具体报文内容的细粒度审计规则内置高危SQL查询和注入、远程命令执行、跨站脚本攻击、FTP和telnet高危指令等审计规则

15、大于300种；支持业务规则设置，包括业务请求类型、url、http版本、请求头、请求参数、请求文件类型等条件设置规则；支持规则导入、导出支持规则优先级调整、分组支持规则的批量加载；支持规则白名单，对某些满足告警规则要求， 但是无需告警的可以添加到白名 单，避免后续告警支持白名单自定义，任意应用到某个规则白名单支持用户名、操作类型、IP地址、客户端工具、操作系统用户名、主机名、MAC地址、SQL语句等条件支持从风险告警直接获取白名单条件，一键添加白名单；属性说明告警通知支持邮件告警通知方式支持短信告警通知方式支持syslog告警通知方式支持snmp告警通知方式支持ftp告警通知方式支持告警通知灵

16、活配置，不同级别的告警通知可以以不同的方式发送不通的管 理员或者日志服务器支持告警通知聚合发送、单条发送、重发、发生统计等分析报表内置多于30多种不同类型的报表支持自定义报表，可以根据客户需求自定义更多有实际意义的报表，自定义报表的数据维度大于20个支持报表的自动生成及自动发送支持按月、周、天定期自动发送指定报表到管理员支持报表导出 word、pdf、ppt等格式支持根据单个库、数据库组生成报表支持严格按照塞班斯（SOX）法案、等级保护标准要求生成多维度综合报告；支持按照源IP地址、客户端工具、帐号、告警数等源信息生成报表；支持按照数据库访问行为生成报表，智能识别帐号的增删、权限变更、密码修改

17、、特权操作等行为；支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操作数、执行量最多的SQL语句等报表；支持根据SQL语句执行频率和执行时间生成性能分析报表；支持根据web行为生成web审计报表追踪溯源支持C/S、B/S业务系统的真实应用用户名、IP关联支持自定义web用户名的提取方法，以适用不同业务系统的用户追踪；支持C/S业务系统应用用户名的提取配置，以适用不同业务系统的用户追踪支持三层审计支持自动关联和手动关联；三层审计支持agent插件方式部署，保证100%的准确关联日志管理支持系统配置数据备份和还原支持审计数据的自动备份和恢复，支持自动备份到远端ftp服务器审计数

18、据恢复支持从本地和远端 ftp服务器恢复审计数据保留策略应至少满足天数和百分比两个控制参数，且支持web界面可配置，且恢复数据不影响正常的审计功能支持自动备份审计日志，备份完后通过FTP方式外送到外部设备；支持备份文件加密技术， 避免非授权的查看备份日志文件，备份数据必须导入设备才能够进行恢复查看；当磁盘空间达到一定的阀值，支持自动清理最早的数据释放空间分布式部署 管理支持数据中心的统一管理、配置及规则策略下发支持数据中心的统一审计日志查看支持数据中心的统一报表查看支持管理中心的统一告警通知支持各采集器同管理中心上传速率、时间、端口的控制，避免数据中心单点业3-6属性说明务压力支持设备配置为不同的角色：数据中心、采集器、数据中心+采集器自审计支持记录审计系统所有人员对设备的访问行为自审计日志包含用户、登陆IP、时间、动作、结果、描述、操作等内容 自审计日志设备管理监控管理通过Console 口进行本地配置配置变更时不影响在线业务设备管理采用管理员与审计员三权分离操作界面支持全中文支持集中管理，对多台数据库进行统一管理，实现日志收集、策略分发等功能支持设备自身状态查看：系统 cpu、内存、硬盘等使用率信息查看支持手工升级到最新版本系统管理支持Web方式进行远