数据库风险分析与安全监控审计系统(DbXpert)解决方案知识讲解

1、华为数据库风险分析与安全监控审计系统(DbXpert)技术建议书、HUAWGI华为技术有限公司2020年4月目录1产品简介21.1客户需求21.2产品概述41.3功能简介52系统架构52.1系统组成52.2系统部署63产品功能73.1功能介绍73.2功能特点8完整的会话与“细粒度”数据库审计： 8国内领先超长 SQL语句、绑定变量解析技术： 10灵活的数据库访问策略： 11全面完整的数据库审计与操作回溯： 13全职分离：144产品应用154.1数据库服务器的应用优化 154.2数据库服务器的运维正常运行 154.3敏感数据信息的泄密防护 164.4 法律责任的规避 165产品服务与技术支持 1

2、61产品简介1.1客户需求随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题以及数据库访问的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、成败。因 此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一。由于计算机和网络的普及和广泛应用，越来越多的关键业务系统运行在数据库平台上。数据库中的数据作为企业的财富发挥着越来越重要的作用，同时也成为不安定因

3、素的主要目标。如何确保数据库自身的安全，已成为现代数据库系统的主要评测指标之一。数据库是信息技术的核心和基础，广泛应用在电信、金融、政府、商业、企业等诸多领域，当我们说现 代经济依赖于计算机时，我们真正的意思是说现代经济依赖于数据库系统。数据库中储存着诸如银行账户、医疗保险、电话记录、生产或交易明细、产品资料等极其重要和敏感的信息。尽管这些系统的数据完整性和安全性是相当重要的，但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完整 性并导致非法访问，这些因素包括复杂程度、密码安全性较差、误配置、未被察觉的系统后门以及数据库安全策略的缺失等。任

4、何政企单位的主要电子数字资产都存贮在现代的关系数据产品中。商业机构和政府组织都是利用这些数据库数据库得到人事信息等，如医疗记录、人员工资等。因此他们有责任保护别人的隐私，并为他们保密。数据库数据库还存有以前的和将来的敏感的金融数据，包括贸易记录、商业合同及帐务数据等。像技术的所有权、工程数据，甚至市场企划等决策性的机密信息，必须对竟争者保密，并阻止非法访问，数据库数据库还包括详细的顾客信息， 如财务帐目，信用卡号及商业伙伴的信用信息等。目前世界上主流的关系型数据库，诸如Oracle、Sybase Microsoft SQL Server、IBM DB2/Informix 等数据库数据库都具有以

5、下特征：用户帐号及密码、校验系统、优先级模型和控制数据库的特别许可、内置命令（存储过程、触发器等）、唯一的脚本和编程语言（例如PL/SQL、Transaction-SQL、OEMC等）、中间件、网络协议、强有力的数据库管理实用程序和开发工具。数据库数据库的应用相当复杂，掌握起来非常困难。许多数据库管理员都忙于管理复杂 的系统，所以很可能没有检查出严重的安全隐患和不当的配置，甚至根本没有进行检测。正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题，使数据库专业人员也通常没有把安全问题当作他们的首要任务。在安全领域中，类似网页被修改、电脑中病毒、木马、流氓软件、弹出窗口等所造成的经济损失微

6、乎其微，而一旦数据库出现安全风险并被 恶意利用所造成的后果几乎是灾难性的和不可挽回的。安全是多个环节层层防范、共同配合的结果。也就是说在安全领域不能够仅靠某一个环 节完成所有的安全防范措施。一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。数据库领域的安全措施通常包括：身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综 合有关安全的各个环节，才能确保高度安全的系统。不完善的数据库安全保障设施不仅会危及数据库的安全，还会影响到数据库的操作系统和其它信用系统。还有一个不很明显的原因说明了保证数据库安全的重要性一数据

7、库系统自 身可能会提供危及整个网络体系的机制。例如，某个公司可能会用数据库数据库保存所有的技术手册、文档和白皮书的库存清单。数据库里的这些信息并不是特别重要的，所以它的安全优先级别不高。即使运行在安全状况良好的操作系统中，入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征，利用对数据库的访问， 获取对本地操作系统的访问权限。这些程序可以发出管理员级的命令，访问基本的操作系统及其全部的资源。如果这个特定的数据库系统与其它数据库有信用关系，那么入侵者就会危及整个网络域的安全。20世纪90年代开始，各个企业展开了以计算机技术代替手工业务的研究。到了90年代中后期，随着信息技术和互联网应用的发展，

8、我国计算机行业已经完成了以业务核算为核心的信息化发展历程， 开始向管理信息化的方向转型，为今后的数据信息化奠定了良好的基础。数据信息化目标是实现数据信息的充分共享。如果数据库中的数据遭到篡改或泄漏，或者被人非法利用，将造成不可估量的损失。由此可见，数据库安全实际上是信息系统信息安全的核心，在这种情况下，有必要采用专业的新型数据库安全产品，专门对信息系统的数据库进行保护。1.2产品概述面对以上种种的安全隐患和市场需求，华为技术有限公司推出了新型的审计系统，用以解决数据库安全问题。华为数据库风险分析与安全监控审计系统V1.0 （简称“ DbXpert V1.0 ”）是华为技术有限公司自行研制开发的

9、新一代数据库安全审计系统。DbXpert通过旁路侦听的方式对访问数 据库的数据流进行采集、分析和识别。实时监视数据库的运行状态，记录多种访问数据库行为，发现对数据库的异常访问， 并对访问数据库的相关行为、发送和接收的相关内容进行存储、分析、排名和查询。随着数据库的使用越来越普及，给我们带来许多方便的同时，也给数据库也带来了许多风险和挑战，例如：非法访问数据库、利用合法访问数据库身份对数据库进行非法操作、正 常访问数据库对数据库进行误操作、上传下载数据、泄露公司敏感和机密信息。这些威胁和挑战事件多数是来自于内部合法访问者的“合法”操作，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对

10、这些网络安全事件（特别是基于应用程序）的行为审计要求，DbXpert正是在这样的需求 下产生的。华为凭借在安 全审计领域多年的技术积累和研发经验，推出的适用于多种网络环境的新一代数据库安全审计系统。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善的管理规则，帮助访问者应对来自网络中的风险和挑战。1.3功能简介作为DbXpert主要用于网络中对数据库的访问行为、内容进行审计、报警、过滤和分析，多种数据库的访问，如：oracle、informix、DB2、SQL server、sybase等。DbXpert 部署于网络到数据库的核心交换机连接处。2. 系统架构2.1系

11、统组成DbXpert 主要由以下3个部分组成： DbXpert侦听收集引擎； DbXpert数据存储中心； DbXpert控制管理中心；DbXpert 侦听收集引擎、DbXpert 数据存储中心、DbXpert 控制管理中心在物理上 部署在同一台专用服务器上。根据配置的策略，实时DbXpert侦听收集引擎全面监听网络连接到数据库的数据流,监视所有数据包进行分析记录，并将审计结果保存在 DbXpert数据存储中心的相应数据库里；同时DbXpert侦听收集引擎接收并执行DbXpert控制管理中心的各种策略。DbXpert数据存储中心主要用于各种数据保存，并提供各种数据查询。DbXpert控制管理中

12、心主要用于提供审计、 管理等策略设置接口， 如配置数据库服务 器管理；程序升级等接口； DbXpert控制管理中心采用 B/S架构，通过提供浏览器服务端， 使管理人员很方便的通过网页浏览器对 DbXpert 控制管理中心进行操作管理。2.2系统部署面对XXX用户的网络结构图（如下图 1），我们采用的是将 DbXpert部署在内网的 核心交换机上。图1 : XXX用户的网络拓扑图DbXpert在网络中的部署方式 （如图2）。因为DbXpert支持多镜像端口的部署方式，在内网中核心交换机采用了负载均衡的方式对接，这样的话，数据流就会随意走2台核心交换 机，我们只需在2台核心交换机上各配置一个镜像端

13、口，连接到 DbXpert即可。分詡I构 仃fc 其他机枸宀图2: DbXpert在网络中的部署方式3. 产品功能3.1功能介绍审计对象：DbXpert所指的审计对象是指 DbXpert逻辑上能够审计的数据库服务器； DbXpert 可以采用多级部署方式管理审计对象；并且在 DbXpert内部可以按照多种方式 来表示审计对象：如客户端的登录IP、登录用户名、登录主机名、登录程序、来源端口等；服务端的数据库类型、数据库端口、数据库账号；会话详情的SQL语句、消息长度、数据库服务器返回信息、绑定变量解析等。DbXpert的主要功能包括：系统管理、策略管理、日志审计、统计报表、实时监控和系 统监测。

14、A* M atrJ*w ifKiteffMil»Eg15；21 30ad noTtlMil-CH lb 3fl：l£-17Bdnn193 IM C创11 4 1#advwHadiim妒1系统管理是对DbXpert本身的配置，以便对系统的访问、授权与管理等功能。其中包括： 接口配置、用户管理、输出配置与授权许可。策略管理是对目标数据库服务器资产的添加、授权、策略制定、告警设置等配置功能。 其中包括：资产、白名单、对象、策略、动作与管理。日志审计是以数据库服务器资产为审计对象，从而记录运维人员对数据库服务器的操作与访问的行为；便对数据库运行情况的实时查看、故障分析以及告警级别的

15、确定。其中包括：会话审计、策略告警、异常告警与系统事件。系统监测是用户通过 DbXpert的审计数据信息的显示；以便用户全面的、 统一的、及时的对数据库服务器的运行情况进行分析与排错。其中包括：最新策略告警、最新违规操作、 最新系统事件。3.2功能特点321完整的会话与“细粒度”数据库审计：深度解码数据库网络数据流传输协议，完整、细粒度分析并再现用户数据库操作活动会话过程。完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉

16、及表组、字段、视图、 索引、过程、函数、SQL DML操作影响行数、SQL语句执行时间、原始数据库记录包、超长SQL语句、绑定变量解析等。此功能国内唯一。<irm-rmAfAU3C3 3 «« 34 l&；lft3lTf J.IMli »=二 uZr 血 023*3 3 44鮎ii冲曲1 机 It* i 3Q20<2i 16:17:131*92 DMi I Z2SQIB-: 17: IQIGLS-EMi. ii JJ卫*偏1比韓a¥ 16也 M t 22NI3hM-2« 16! lie MIHf |i#.| 23IQ K4-

17、2-I lb:13cJ3L-3S=Gn-C«-24 lb. If. J Ji:TUL1WLJ23«1-*4-21 10 l?：2Jmii420 <*-?!T5T?t ZZJAd j-4V-J4 l&.li. j3ifULkwi. ijl和JK4 iEi!H7：15他吨l Z2Htl-*9-2d 16 M 皿Jfli kC4 t Z2皿!n*ld| *ik“M号W5F IM Ii n3D 3-C-S-24 Ib.aQ»L94« X UiMtt1-ULCML L_Z2mi it* I： a2«-4S-24 l：4t：7；QC034 1

18、S:47:JDt92 IML ZZ lU-fiiML L23Bx>dh»nHh-rtar 4dnr-utrrtQr hMwiFTM4r xdmsnrttr-stor 吕dnnn tr皿刃r GThEitrdar 乂thmlT 輯单 Xa.hiHi nh"=?Tiir 3mLrM -fidiwrTarr *ctwwlT-rt.orSiwwIt+fTwrilTn-QrsmzaBMMU.BWIUMR 吟呂aHMXELP3 IM. I IMmipiyMarr ibobQFUULlEL£121li3-L3(MF1SQ1Gz&m=2i«MhML021M

19、 I 1M1谢iplNM4r»«n<i二1QRMLEL911M I W13Z3HaqUetfcwivtwn-|涉 HACXE.LPZ1M-1-1DB13L23pjEijra yyam=i aoiuafM MA 1MMB如曲i«OIUO£l姬1闵i iX15叫-exw：s-wtsmOUfllEL9ILB4.IJ0*013H 卅 E *T*lUdrL021&S-1-1IM-plafHvH >khshbtiaiuaE汕2 l徒.URHldUldfrriQAMXfL#£ lM 1 41-片九加简祀£f'"

20、RM1EL93 IM 1 30*1TJQJHK1ElaidRpjUii* v>.*d徳*1ifORfcflFIMri州pltiflldtirw ax<iGirarHn>iGHAOJEL921M 1 IMmiMnriUECHewtEiEm UK 1 !许聃-jCHK1£LRZ1M-UD曲占 Uiim j3u居百肝endZZlCKUCUELU 1M 141丽aiwi£L92 IM 】IM顷1饲!崗“日宣HMLE13L33dHEdnWMjndwn=BlIH n 3 I . E3 >元整解析、记录、关联 SQL操作语句参数，可自动回溯重构完整SQL操作语句。

21、e mum2 is li ?：* 3J11B-21 巾；1孚1»* an ia-ce 匸 Z311-OQ-2« L&.LP-U* 34汕衣4僵“泊 f- 111h»-24* MiHB卫5*+*isn-qoji16：U7.i5+4期J M "33 3-99-24SG t? H 30O4-1J4>伯血8*3&：BI4K1O*»334*'2>i 泊:皿 »*3a；»：HC- iJlj-UU<24 3h.E_L-EJ913 <4 3« 3$ D亡曲晳.km-# wwx壬Msv

22、o 當电址 aj.JdDLC j»: 沖严sw-ycsrarjmj!"母rjOJBg* IJ'ftKFrOT iff «W« f 耐的wifl2tlL-0*-Z91-09-24 M L MlX1DH 14JEl3iin -Oii-24 3.E9：2ShHXI44J4I. Ua|«：E3BoJfr3L-Oi2-«3dNl34H>Ji< Ifizlt： jii 肉订储如師W;2230韶il詞HE吨a MW專HML3-OI3d IB：lt*I3'"?frr|.-»-T4 1A 1I:3Z13M

23、U 4* 3* l« 1*3W5 t'e'Sn HE&er 匸"flh 比rs*Ti XMy'lrsmi»nn*-1'jirwnfhridtofi-hi -t£t-s：hr*r- i7 1圭亀 l ioa lptf T话州八I:WECI-MTH,:flEfiidfE/WW YrafX匸lJ»r n(r vn Mac1 貝 SQ. 3wiriDpwplfl4d«%V17CE'3|L|i9 鼻2 旅* * MR JISesiMfiLErroQraiTi pH日佑*SMMiH.<or*J

24、*niE*<ach*«- - TSE匸底切1 "CL)| ».iwiLcivpt亡"i心阳nE 1 AifieCA Hjjteat 3riJ： CanFiEjoMA AYiti varari - duu世軾川GflW血EM-is:虻IWTBe：枷用T-1S31 lf-nm-JEn_D£Tt-；lttRLirC_milHE -or Mim： I PE CKUM - - - 'f r 射jrti 站刿丸總 DCNftwilpWSM* 4>4i "H(i5T«SE< K4*R3?Cl>lfM, 纭

25、EK* e n af: b” ：d I耐岬I曰9>USbUH ruigruMinana EDMffK *UTflMW>C4MF37C3 3 UTH_p40GR,vi_-«H-p4 ereiu旺 MH* 1 代 JJAIEH PfT1 =J-：l-.1由lil删用mtad lull rrum严口M vL*-J.眸饕笊忖站£Ei*iM：4Tm -4 OpQ me云茫=I!EEIelol4lelel«l«leRRnRRHFi5l=llnnnnnnnnnnn实时监控来自各个层面的所有数据库活动，包括网络流量、数据包、突发连接、并发连接、SQL语句的实

26、时数量，并且提供实时的视图窗口查看数据库的运行状态。它可以帮助DBA更好的管理数据库。提供灵活的数据库访问行为来源限制，可选择忽略审计特定网络和主机产生的数据库SQL操作；亦可限制仅对特定“嫌疑”对象进行细粒度、全方位审计，包括记录整个数据库操作会话过程所有网络数据包。阿 | -«i*f* :lyutHULlLwlULIQffi: tLr > uqlliOQS U自15年亞勺弓 2曲 MW±11 枷测拠ilMMm ibb r ifkffilslA覆盖主流商用数据库， 包括：Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/200

27、5、Informix所有版本、DB2所有版本。S3：耐 >tes«(192-166 1.»S|iraDimMilvZKB.1 611 巧血屮竝168.1 143) sql serverj 192.199 U32)192. IBS 1.121921C0 1.252(192.1 b8.1 252j11 111C =t Ad E瞬压氐工;帶口ORACLE hriM DR? 二旳A茫1«91国内领先超长SQL语句、绑定变量解析技术:DbXpert是基于流和会话技术，进行全状态、全协议解码，能完整的、细粒度的解析超长SQL语句、绑定变量。目前五大商用数据库客户端与服务

28、端之间是基于数据库的查询是 通过Bind Variable完成的，这就要求审计系统不光要记录查询中Bind Variable的变量的名字, 还要记录Bind Variable的数值。该功能国内唯一。Bi nd Variable解析：2Dll-21JZ 25:092ZEi：应Si Tim« - 0.001 w匚-2011.-00-21 17:25:0981bfigiri fYE-dbmfr iapDiicatiDruit modulflf'PL/SQL Dffvelog* #tX>D o);2011 (W 2117; 25 Q932Bin-ded BindC-SQL Vn

29、udow - New*i MIL OT 21 17 25 W44点即 別 前hn tut ily«l*【Mimi抚 1«财皿-2o ?01l &9"21 17：Z5；O9車3口 ZOll-OT-l 17：25：OT59a mar 欝-si <1 -ar rjlGtoprtnQv -才口廿"即口门町口乍=Mlll-rt-21 17：25：CB7+5iect - d. serial* frem -Session bere ai*j5i J - ci5ereriv( 5E55QND )1011-09-21 17:25:09272011 09Z1

30、17; 73:0927Execute Time :* twfoe sec=2<lll-OT-21 17!25!M121hPiQici if pnabl - o itin 日卡巧 librn CKJtpuLdisbk；咤岸气 dbHir.cHJtput.enab e( size)： end if： end:2Dll-og-Zl 17:25:092*9fe inded 日in du: -1 Bind i-1020 i亠-mi-K-31 17!25!«Hb#gin :id :-s.*rns traritsfirtionc«对jn-ans：目ctiw id： #nd-超长SQ

31、L语句解析:-2U11-LH-2L.占：=63iUlUJy-il 15：2O:J14961b elect 5 b_- jnt'ext'!Ui env', CLinE iUtcbfeina ) liQni lIljItelare Lmimf - n > “ ?CW); (jwrie varclwzo); proodure check. 皿/葺府 i$ dunnrnv jntMgr blin if :©fcj啓ttvp京-TA3LE then 3§l-rt/*+r LifeV 1 rto dunumv from 寸xaiLjobj尼cte wti&

32、#171;ere owner 二：iDtuedL_nwner a nd object_naiw objert-ftani and csbje<t_tviM - 'MATERliftLlZED vie W and nownuim = lr 应bgeGtJiype ; ='MATEFUALIZEDend rf.; txceot*on when others then null; end： begin :suti_objedt:- null, if:de-p I* D tfntn btin if: p>rt2 in nui then isl*rt/*rul4*7 Mrnt

33、riiint jcut. awn er. cem&lrAiiiOiams into zobjedtYpe. :obj&aDnerf iacjnarnQ from g 、= .all_ca!nsvairts c inhere £.: on straint_n-af7ie - paiftl sncfi c.Gner - :du r.echernj #nd row*(ium 1; elEA Astert / * ccffieh, owrnera coTHtraintnamer partl inta 7ob jet_tvpe,憑tivner* ：object_name! 54

34、jb_D0j«t horn Ery5IL.oriskrairfe c riheire cxoFistr-antuhanie - . 口 arts 耳nd c,orfin*r !parti and rewnum 1： end 点；< !&bjwt3¥P 卩 t hen object fPc>e :- PiRIIHIA崗f KEY" mnd if; if object tvoe 三 V then 扫bj e<5t_tyiie ;= UK QUE KEV* ； end 出 # ：cbject_twe - W thh# - TORflGN KEf

35、; Md 律；if 'object-lnppe *'C rheri ,obj«t_typ» :- 'CH ECK COSTRAlT; end rf; return; wsreepti口n when rwdst-sFiaond thn n ui： end, end iH. :Hob_ jbjert * :part2; if (护日rtl r9 nl) or ipartl i& lln _Kh*ni») th«n b«gin «1血 #戛ml耳/:cur «ctianar: pvti into :

36、 c-bjiXtype, ：objeft«on&rf jobjectnane trofn 5ysralotojed：3 he re owner - :£ur_sdheia and ob)ea：_n ame - parti an obje<r_rP-.pe in ('HATFRiJ.i l?EO VIEVU . TASL邑"IFW f ,SRJlK¥，1 PftOCEDLJRF s 'RjNC TIONrr PQCKA庄：T¥PE'. TRIGGER； 'SYNEMYMi and rowriiwn -

37、 1; if :nbje- SYNONffi1 (fieri sden/' fnLjfe s.&jble.gwner £itbl_ndrriE into F u神nr t_n孑苗产 fro<M aii_f vnrivffi w wr)f*re s.svnorwm- sp artl and Ei.awne :cur.scliema and rownunn 1; select/*+rule*/ oBabj ecotype, oxjwnr, objedCjnamy iriti. Mu-yiLtvp, iofcjpMCowher, ：ob j«t n*E* f

38、rom syt al objwtt a wh«r« d ownsr - c_orfn«r md o-obj-scl: _pame =匚盯日町已 snd abjecLtype m fMATERJALJZEO UIE叭.TABLE； WE 'QUENCr . ,IWOCEDUR£,I TU'hCTlON-, 'PACKAjSE'； iypE TOGCR . 'SrNONvX'l duduwnuE = 1 «ndi ;sub gbmet ;= part/ rf 口別t3 衍 m at niil then

39、 :siub_ot!ject :SLib_olhjed | .' | :parti： and if; che<itnz Ba HUB;j' . *iM; |aa . 亠 m Jf il ib N taka. . . itK . *sj M*. L . 323灵活的数据库访问策略:提供来源（客户端）登录 ip异常探测、数据库登录用户名称异常探测、数据库操作源终端异常探测、数据库操作源程序名称异常探测、数据库操作源终端用户名称异常探测。«l La i1 j 土再MAX41咋-nt»*GlfCHACILECWdLEid口去企ta$1OfUClH=LTV- C

40、 3TE-5C 4LTHR FUNE1TL *LitftPOC£DM 基 LTE 朝 TJXECALL酉甘口餌呗 孑V誉円噫囲# -*力nt用习日林.咖库胃白钿打首3幅s-a*dnwi«MiioradE-sesii泌网尸DML、提供数据库SQL语句执行时间、数据库操作闲置时间策略报警，提供数据库.IMA电WlFP 任側< *j Uli阳 rmstSf ?提供全方位的策略规则匹配，策略因子包括：数据库操作来源IP地址、数据库服务器IP/端口、数据库类型、数据库名称、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句（

41、DDL、DML、DCL ）、数据库表组（表、列）、数据库SCHEMA等。 I耳4im PI肚補re”匚出1 A廿 anc>*4Csi|dm*晦厨*屮W9E 觸月SWrHM 口11_ £.24(9l|IEIf 広 Wu ifita rftilMKa iijni ln HiN弼尸朋骑忤 序圉M4曲D-fll丸”恻多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过WEB告警、邮件告警等方式通知数据库管理员。根据设定的数据库策略，可选择对关键资源操作行为进行数据包录像、深度分析解析开关。fflFfJS > IPM匕圈卡井姐竇产ueUlqs i.iae)* JC

42、CIT L9C L'O 1 LGl审计记录记录原始数据网络流量包，可下载至本地:Wr執F虫»H-Ml3!4 1&1W.21>500衣!：血RTCT)EiU*肚 JC- ；9；»EKEMQ呻 W科 ie- LD-IMfig M14-77工:jrgr 二EKr-rtriMariTfirm.lSK-L-ZZ2KB3zez-acAsar itch网 Z I ?>WIL*即rW 15B l.22SE：-fiC«eriTCi3»3L-Mj !* t«!L>'t«l MB.LJ9cE-rceaflHTCbi

43、» |.-Dt l-I 4Cc 13:54SE-r-dUZHPlTClJ«316. ；5:S3：EC-iCMaM7Ci3初|3：2>EKw*WC-4CWri»)«3L-D-7 E 14; L5：33g.ASGLlR771!E-Z-dCiUflFlTCia畫卢SUV* lf4UHdnwira-MrdUClE疵10t5?1plEddu-afaJudnrHralurOWCiE19£ 1C4L 1Q»世1.risMewciEJi4HiWiT ! Bfc»An.|；IQS 3M.I ini11.3-1Wr1F isnOULZiL

44、Eyz_itQ.L.n333J1phiKNmjdiHliAflirr jf 僧列门Fad? IM q 10*103；J I! 1 ilv. JU上dVl>r*ElT 囂 ECCflAOLE诽 144110«AdVtaMifrdvfEMa43> Ibftl fltJUliirilMrijiCflAZUju 工 4.ba.li»3373丿 mOWOLEIQ? l&LSM：曲1屈 MN印 : H1WCE1韓*曙|解出IT-L'jIti mtWrrq? IkELUB132-assnMnrmn 一-三二0宁一324全面完整的数据库审计与操作回溯:记录数据库

45、会话详细细节，当发生数据库安全事件时，用户可根据数据库地址、源客户端地址、事件时间、 SQL语句关键词、数据库账号、数据库地址等，快速检索定位操作会话。ASMPUH臺H肋址tJQ 110 74 Id; Itll192 ID* LJI2D 11-Q 04 1-E11:0.吃20 ll-QQ-4 lb. L.D-3HZ tfiE 1.2 2 .166 1.J2钦 mm142 Ufr 1 加20-11-09-24 IB： 17:10192 LQB l.zzZD 11-Ce-24 ID： 1J：D?l92.lnB t.32右丁Q】IPQ V 1«： L6 L3IQS I6BL 0.27

46、65;2Q 11-00-24 1-6： ES.542011X124. lb L5 53laZJLGB 1.22他 166 j £3W1WMI14：2119? | QV2D1 丄-05-24- 1G: 13:2 319Z1I5E 1-12 ：'舍2Dlj-ag-24 lb: LB-:L6lOSLlfiLUJTJlQ | Qu ；*4 Ln L? LS143 Ifift 1,22M 1124 16:W:15193 tea i.222011-09-24- JIE 07 L也193 LOB 1,2J-L啊5“ sEc-ecssirnTcn£ Fl户帧；警aw如 iDlxMl

47、¥LlGMV, ftlcqldav-ana pi&qidflv-iflMft Dl綽丸甲.时 pIkMev -ewe plsq|de¥_EHE, ClKMlv.flN* plfiq|daw-aRa31l9qildev.exei(*ni<ratpr甲>«祐 plsaMcw-eHt会话审计记录细致到每一次事务/查询的原始信息，记录所有的关键信息，至少包括以下各个方面：数据库服务器名称、数据库操作源IP地址、目的IP地址、原始的查询指令、关联参数绑定后的数据库 SQL操作语句、源应用程序名称、数据库用户名称、访问源操作 系统用户名称、访问源操作主机名

48、称、高级权限操作、目标数据库、SCHEMA、操作回应内容、操作返回的错误代码、操作回应的时间、操作回应条目大小等。2Qll-C9-2 16：19：Z219AUTH P1D-LMB：360-心 lUd 1(1119:2224AU IH_SlD-4i±iniristrdiLe-soil a ?4?3事gl电玳 rhjl|i from cRil2Q11-CB-24 LAGlVrZS34cai(1MC-； *曲爭幷何F It-2011-09-24 Li5：W：2227Execute Ti ne :- 0.00? r-=2011-0924104select lenqtfi-fdhnZDiDOO

49、COOnDV 14 lefigthi；£hrf2nnODK)； l3_, Ienqth(rhrr2 age) 12 kam lIujI-2011-024 Lfi: 19-2314ORJ'- “朗"刊曲血科尹儒-201102427Execute Time ：= 0-002 sw=2011 «16 l或2291betjin s.dbma那 pncat)CMnJnfo5etjin&duie(；Pi/SQL Deretaper1:actio .end；i(iLi932diiikil日N曲0翌L赳irti日叶即电*- 3011 OQ 24彌Mlvct 別山

50、vsndl* hem vfiwssiQn urban ludsid = wauwCSESSTOJID1)3011-02434at4Q7r.壬斗m仲"T柘-2011-09-24 16：19：2227Execute Tr ie :- 0.002 sec-=2giHJ9-24 1. 19122121t>egn if :erabie ttien sv5 .d&m5_aut|MJtdi safcil e else 5Y5_db-Tis_DLtn L轴kbi就：、皿刨；财诃if «nd.-2011 09 24 119.22?9iin irl Rind0 = 1 Rindl

51、 = 1O?D1=aaii-Dq-24 i& ig：23S2begin :Ld !- 弘”弐血仃対 ErmcwmcS诂ncul Frat旧mdtiM id； t<id；=20 丄16：19：2319jpdate sdj-zdj se?-2Q11-09-24 1«:192333t-dbK .L,3lu nh西加l岳腔牧&-2Z14JZ 1G：1$27Tie电:-G.12D-q 2011-0916:1'); 2762twgin ;«<i ;6fhn1r r>f .itl iqn：时iMi.id; * nda=201103-24 16 1

52、9：2776belni 3yg.2t$rnMaLrlpuLge£jiin£(brhB -i lli|Mr-> 弓tncE；=2aiH?g-24 16：2D!：3724select hl fresm dual-2011-&IX24 16:20:3754-'-Ul 1%；壬攻工.性1陽猖-2011-09-24 “a："27b聖U诞TiE蠱： 0.002呂戡-j 3011 09 24 16：20t3762bQin :闭；负¥弘匾e匚.iramfNrT旳rdcj|.汀聞哲孑戊|阿.川；wich提供完善的违规实时告警，包括异常告警、违反策略告

53、警等。告警信息可根据数据库地址、数据库名称、访问源 IP地址、用户名称、源程序名称、源终端名称等排序、统计和报 表。可灵活定制报表格式和规范，可根据要求生成用户环境自定义报表。M&Wr占初JtAli口SOLO釧 KHSDiaJMJ1 X jW 11*1111119I 142 1田 1 as T2lijfjdA血i騷iji0 加CL£l<2 111 11* MS1IK W 1B4 '(|2f*?l驚n*缶i豹鮎聲i i *1，旳433興啊*1尿JE5J0Q0IUCUW-1IS11*112hninwadaikilIFPWlPlt InirtrtJrf?：H1-t1-

54、2 :h 5 . 02JRMLEW.1ICI1B112)ism iM *521站沖“皿lHIz Ail mil；W1W-WWMK佩比空mwjiJBiia1«£1«|1N1WB-jW"知«n封廿奋苏国立卫IT112 lift 11*111'ladi 109 T脚hwnMddAlUIifpttdftimJHVCUE1® 1IS1 IffUZEi?ei® i fflSWleraEde 肝 1Spf*-i i5d?ve«e-DKCLfnaiunimsumaiMn站IMFXldtUKt鬣第Bi車*t<*ftQRaCLEt® iiti itn»1H -52»ntnxaati wn