帕拉迪数据库风险分析与安全监控审计系统UMADbXpert技术建议书

1、PIDSECU数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开帕拉迪数据库风险分析与安全监控审计系统(PLDSECDbXpert)技术建议书PIDSEC帕拉迪杭州帕拉迪网络科技有限公司2018年10月Page1of17帕拉迪网络科技有限公司PDSECtt数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开目录1 .产品简介31.1 客户需求31.2 产品I述51.3 功能简介52 .系统架构62.1 系统组成62.2 系统部署63产品功能73.1 功能介绍73.2 功能特点83.2.1 完整的会话与“细粒度”数据库审计：83.2.2 国内领先超长SQL语句、绑定变量解析技术

2、：113.2.3 灵活的数据库访问策略：113.2.4 全面完整的数据库审计与操作回溯：133.2.5 权职分离：154.产品应用164.1 数据库服务器白向应用优化164.2 数据库服务器的运维正常运行164.3 敏感数据信息的泄密防护174.4 法律责任的规避17Page2of17帕拉迪网络科技有限公司PDSECtt数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开1 .产品简介1.1 客户需求随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题以及数据库访问的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问

3、题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、成败。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一。由于计算机和网络的普及和广泛应用，越来越多的关键业务系统运行在数据库平台上。数据库中的数据作为企业的财富发挥着越来越重要的作用，同时也成为不安定因素的主要目标。如何确保数据库自身的安全，已成为现代数据库系统的主要评测指标之一。数据库是信息技术的核心和基础，广泛应用在电信、金融、政府、商业、企业等诸多领域，当我们说现代经济依赖于计算机时，我们真正的意思是说现代经

4、济依赖于数据库系统。数据库中储存着诸如银行账户、医疗保险、电话记录、生产或交易明细、产品资料等极其重要和敏感的信息。尽管这些系统的数据完整性和安全性是相当重要的，但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完整性并导致非法访问，这些因素包括复杂程度、密码安全性较差、误配置、未被察觉的系统后门以及数据库安全策略的缺失等。任何政企单位的主要电子数字资产都存贮在现代的关系数据产品中。商业机构和政府组织都是利用这些数据库数据库得到人事信息等，如医疗记录、人员工资等。因此他们有责任保护别人的隐私，并为他们保密。数据库数据库还存有以前的和将来的敏感

5、的金融数据，包括贸易记录、商业合同及帐务数据等。像技术的所有权、工程数据，甚至市场企划等决策性的机密信息，必须对竞争者保密，并阻止非法访问，数据库数据库还包括详细的顾客信息，如财务帐目，信用卡号及商业伙伴的信用信息等。目前世界上主流的关系型数据库，诸如Oracle、SybaseMicrosoftSQLServer>IBMDB2/Informix等数据库数据库都具有以下特征：Page3of17帕拉迪网络科技有限公司PDSECttM数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开用户帐号及密码、校验系统、优先级模型和控制数据库的特别许可、内置命令（存储过程、触发器等）、唯一的脚本

6、和编程语言（例如PL/SQL、Transaction-SQL、OEMC等）、中间件、网络协议、强有力的数据库管理实用程序和开发工具。数据库数据库的应用相当复杂，掌握起来非常困难。许多数据库管理员都忙于管理复杂的系统，所以很可能没有检查出严重的安全隐患和不当的配置，甚至根本没有进行检测。正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题，使数据库专业人员也通常没有把安全问题当作他们的首要任务。在安全领域中，类似网页被修改、电脑中病毒、木马、流氓软件、弹出窗口等所造成的经济损失微乎其微，而一旦数据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的。安全是多个环节层层防范、共同

7、配合的结果。也就是说在安全领域不能够仅靠某一个环节完成所有的安全防范措施。一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。数据库领域的安全措施通常包括：身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综合有关安全的各个环节，才能确保高度安全的系统。不完善的数据库安全保障设施不仅会危及数据库的安全，还会影响到数据库的操作系统和其它信用系统。还有一个不很明显的原因说明了保证数据库安全的重要性一数据库系统自身可能会提供危及整个网络体系的机制。例如，某个公司可能会用数据库数据库保存所有的技术手册、文档和白皮书的库存清

8、单。数据库里的这些信息并不是特别重要的，所以它的安全优先级别不高。即使运行在安全状况良好的操作系统中，入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征，利用对数据库的访问，获取对本地操作系统的访问权限。这些程序可以发出管理员级的命令，访问基本的操作系统及其全部的资源。如果这个特定的数据库系统与其它数据库有信用关系，那么入侵者就会危及整个网络域的安全。20世纪90年代开始，各个企业展开了以计算机技术代替手工业务的研究。到了90年代中后期，随着信息技术和互联网应用的发展，我国计算机行业已经完成了以业务核算为核心的信息化发展历程，开始向管理信息化的方向转型，为今后的数据信息化奠定了良好的基础。

9、数据信息化目标是实现数据信息的充分共享。如果数据库中的数据遭到篡改或泄漏，或者被人非法利用，将造成不可估量的损失。由此可见，数据库安全实际上是信息系统信息安全的核心，在这种情况下，有必要采用帕拉迪网络科技有限公司Page4of17PDSECttM数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开专业的新型数据库安全产品，专门对信息系统的数据库进行保护。1.2 产品概述面对以上种种的安全隐患和市场需求，帕拉迪网络科技有限公司推出了新型的审计系统，用以解决数据库安全问题。帕拉迪数据库风险分析与安全监控审计系统（简称“PldsecDbXpert”）是帕拉迪网络科技有限公司自行研制开发的新一

10、代数据库安全审计系统。PldsecDbXpert通过旁路侦听的方式对访问数据库的数据流进行采集、分析和识别。实时监视数据库的运行状态，记录多种访问数据库行为，发现对数据库的异常访问，并对访问数据库的相关行为、发送和接收的相关内容进行存储、分析、排名和查询。随着数据库的使用越来越普及，给我们带来许多方便的同时，也给数据库也带来了许多风险和挑战，例如：非法访问数据库、利用合法访问数据库身份对数据库进行非法操作、正常访问数据库对数据库进行误操作、上传下载数据、泄露公司敏感和机密信息。这些威胁和挑战事件多数是来自于内部合法访问者的“合法”操作，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足

11、对这些网络安全事件（特别是基于应用程序）的行为审计要求，DbXpert正是在这样的需求下产生的。帕拉迪凭借在安全审计领域多年的技术积累和研发经验，推出的适用于多种网络环境的新一代数据库安全审计系统。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善的管理规则，帮助访问者应对来自网络中的风险和挑战。1.3 功能简介作为DbXpert主要用于网络中对数据库的访问行为、内容进行审计、报警、过滤和分析，多种数据库的访问，如：oracle>Informix>DB2、SQLserver>sybase等。DbXpert部署于网络到数据库的核心交换机连接处。Pag

12、e5of17帕拉迪网络科技有限公司PDSECtt数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开2 .系统架构2.1 系统组成DbXpert主要由以下3个部分组成： DbXpert侦听收集引擎； DbXpert数据存储中心； DbXpert控制管理中心；DbXpert侦听收集引擎、DbXpert数据存储中心、DbXpert控制管理中心在物理上部署在同一台专用服务器上。DbXpert侦听收集引擎全面监听网络连接到数据库的数据流，根据配置的策略，实时监视所有数据包进行分析记录，并将审计结果保存在DbXpert数据存储中心的相应数据库里；同时DbXpert侦听收集引擎接收并执行DbXpe

13、rt控制管理中心的各种策略。DbXpert数据存储中心主要用于各种数据保存，并提供各种数据查询。DbXpert控制管理中心主要用于提供审计、管理等策略设置接口，如配置数据库服务器管理；程序升级等接口；DbXpert控制管理中心采用B/S架构，通过提供浏览器服务端，使管理人员很方便的通过网页浏览器对DbXpert控制管理中心进行操作管理。2.2 系统部署面对XXX用户的网络结构图（如下图1）,我们采用的是将DbXpert部署在内网的核心交换机上。图1:XXX用户的网络拓扑图DbXpert在网络中的部署方式（如图2）。因为DbXpert支持多镜像端口的部署方式,Page6of17帕拉迪网络科技有限

14、公司PDSECm数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开在内网中核心交换机采用了负载均衡的方式对接，这样的话，数据流就会随意走2台核心交换机，我们只需在2台核心交换机上各配置一个镜像端口，连接到DbXpert即可。图2:DbXpert在网络中的部署方式3 .产品功能3.1 功能介绍审计对象：DbXpert所指的审计又象是指DbXpert逻辑上能够审计的数据库服务器；DbXpert可以采用多级部署方式管理审计对象；并且在DbXpert内部可以按照多种方式来表示审计对象：如客户端的登录IP、登录用户名、登录主机名、登录程序、来源端口等；服务端的数据库类型、数据库端口、数据库账号

15、；会话详情的SQL语句、消息长度、数据库服务器返回信息、绑定变量解析等。帕拉迪网络科技有限公司Page7of17PDSECBUi!数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开DbXpert的主要功能包括:系统管理、策略管理、日志审计、统计报表、实时监控和系统监测。PICI5EC帕拉迪国断座I南理1IH*WlfI.9JWNCPU1HIW»1%同*甑hssm*2081-01ErliMSiraMHW计壮力上032V11¥1中，中，7国釉|1小加蚱营力融<±a»I林nn*?nii4Hqig-呷触111m加赳心的U*2E1W1a»2

16、W1D1.H0£S3：HIv31>l1-01&lMfl3：W»20MD1322:35:4-1*SfrH-013522:12mv2Vll用1N，NJMI工Dllf由1P3n值药拜产1M15611S1K14B1191B2理SH19IBS14nIiq1R2I4fiI1U日曲IM1E81的1Wl!fliM1B31W1W1RmIM1啦imIUi甲？E34fP1期MfI10IQIB*finimiiaieai油tig1融1即11KHB11915Q1E611K14B.1J91WW15.RP手犷1S&.1631*M不评1IMson?19?1W12M不评1U1UTrf1如

17、.1例1*2中市中中中g"H5Icode-ksliraJcXn卸2甲修.iLljJhhll中中中市中；西rHF*鼬窿臼HIM社季幼痂诲哮南rB.同耳主桁昌府宣WX.PMlSB系统管理是对DbXpert本身的配置，以便对系统的访问、授权与管理等功能。其中包括：接口配置、用户管理、输出配置与授权许可。策略管理是对目标数据库服务器资产的添加、授权、策略制定、告警设置等配置功能。其中包括：资产、白名单、对象、策略、动作与管理。日志审计是以数据库服务器资产为审计对象，从而记录运维人员对数据库服务器的操作与访问的行为；便对数据库运行情况的实时查看、故障分析以及告警级别的确定。其中包括:会话审计、

18、策略告警、异常告警与系统事件。系统监测是用户通过DbXpert的审计数据信息的显示；以便用户全面的、统一的、及时的对数据库服务器的运行情况进行分析与排错。其中包括：最新策略告警、最新违规操作、最新系统事件。3.2 功能特点3.2.1 完整的会话与“细粒度”数据库审计：深度解码数据库网络数据流传输协议，完整、细粒度分析并再现用户数据库操作活动会Page8of17帕拉迪网络科技有限公司PDSECm数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开话过程。完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作

19、源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程、函数、SQLDML操作影响行数、SQL语句执行时间、原始数据库记录包、超长SQL语句、绑定变量解析等。此功能国内唯一。卡-»Aur-inaAMs-Mi制i上3也5Qn上w4tia1悯京同口EPUIR.Rairmaai目甘理支口，餐口弭r国悔闰名HiF0M13-M-2414:LQ:J13OJ-36a.L.22刷口芽已心仪丽范13Ua£lEi«2.3£A.i.Laa3SJL用“krd.eu幻i£*mI*介曲】1/*逛加阚197-I

20、49.L.Z3HE5EC9CMBFJ7C13AdnwwrprEfcOJE19Z344-I.LD?llifroRllg溷l*：L5：Cfl19ZBCI9.L.2225B7SECGCiMBFJ713dmn-PCT-StDrW£LE192.364.1.LOB国力pluldeiEKcsrrtem3ieo»ia-O«-24i»_n6a.L.22JSEI5SECbij6aaF?C13AdfYWUUFJCDr0ft"dE952E口fci4dArv.Uft£p££tinime*msusm.:iau：i42烟笠GRre*RFKiaA

21、rinirw4rj<nr1?7».I4on1MLf&ee二1®frZ0H-0924l*：i7:M25S2SEC-6OMBF713AdrwMtra:cirgKLE19ZJ44.LLOB932LplMklcrii.CKesystemH£013-09-24i61Q2.36B.L.222SflO5EC.fiC6aflFi7C13松minRatnrDIUkCLE:i«2J68.B.Lafi国L£p«am口事TQII-O-14:L:JM1R白ELL.才才脚*sac-aciMiiFiTcijAdrnra<rj<mHbCLI

22、T973晦|.LQII121fHEam口中.zongqa1*;15:53152.IM.1.2223775EC-i5OMBFTC13占（jmEr.*口r皿MZLE1921.1DB332L0R加1"hEint5>5tm一£2OH-O9-2416：LS：23102.348.1.222S74SECfiC4SBF37C13AdmfKgcrDrg£LE1«2J£4.L88!IS2L却之口mOK13»-24ie：L5;为»73AdtYirEl'JCCH»ACLEWNj/KHH3SJLNgkfahi.g防H修时Zl4

23、*2gli334W；13；I4392I4Q.L.233570SECflCMflF?C13MnirTrWmQRKLE172JM.I.1DH3KLBiMMe.eresrstemmeo£015092414:L3:55l«2il«i.L.222S>59SECGCS4BFJ7C13dmrKxr-atDrDM£LEIfii.ieAI.1DB352LPfHi加V.iBK*备f=cm口电020132416:07:13】yL哈氏L.”JSfigS£CgL68aF7C13AdnwuEj-JCDrDAM：UE1-&2.36A.1.LDB田U=ii，.7

24、Qll-92aK：8：1d197aflRL.23MEFrWnr皿CLE197344-l-LQB1MLk吐EEo201134414:04:1319ZBC9.L.3225C3SECSCCBFJ7C13占drnMr&cirDICLE192JG4.LHBHLBRdemxesrrrtem白2013-4i&M时iU,a£fi.L.22JSGlSEC-fiC6iBF?C13dfYWfMKTjcarDftMZLE情.白白口皿pJtiqkkrv.qssraam.l：n4:Qp377.IM.UZ33QQSKgVSMBUArlmrartrMwgnK；LE1淳孑.小l.nri9»U

25、pltqMn.qr>eHhezu4rE01I-W2Ji5：dR:3719Z149.1.22235SSEC-5CiMBFJTC13“EiMtr&QraUlCLEi-gzJM-.I.10B932LdRdtr&e®RStEEn今Z0ia-W-2415：47：3a192.368.1.222SS6SEC-6C65BFi7Ci3AJmfuo'KDrDfM：LEit2J«.B.L08国L即4口mn完整解析、记录、关联SQL操作语句参数，可自动回溯重构完整SQL操作语句。:讯鼻号MMA1JK.ldS-.J.ZPzjyM刀花盘合里*步及琼SFGW苒曲闩!”*干尸

26、离m加主户一相孑次事知代上iTMA-f五噂忸eI祠心53-d9-416：lA：i刈1诲JIG;回阳Osong弱域：L9:的RUSH16;L7;JS¥sji-w-a1js：l7：io廿zoaaw-aaie：L7：（w0Ml3-09-2416:16:93ozoaa-w-aan-：L5：33C2011-094i4iiEiSS心0n-G9-3A1C.：L3：J1生，mg?*I4；i5；i4ZO349-2416：LS：aS心6：D7：lS<K；D7；|42OH-O9-241£：D4：IS海口*1图：£iq：的*网O20J5O9-2J15:40:17e2OU-O9-24

27、15:47一丽1gzm后50M5TBTionNurriber-313CqglWie'W5Version-3M-JOLL-242lQII>EKRIPnON=IM：ORE55-IPROTO£OL-TCFlHOSr-j'J2.LGfl.l.lD8ir.T1521JK匚OWiECTJD61ATSEBFiaE_IM4ME=QrW；CII>“：PROWWMY：MfropramFiw'PLSQLrtfflerwktMevcc-EliHDSr-SEC-fiCeEFlJClSKU15ER-占dmF刘qi川）-n熟：U曲Lh:B4:31L31MwonLMrPrE!吁i

28、n.。狙如7.曰曰沁3M1_呻。口*0的翻上府£S£匚-K。日BF？匚】SessQntognCivtmemanw-:dmmtiNd<|-20L14Mu24恬母:"三6MS-wonMumt4r-3l3CafwbblAWirtfiWikm-300知11g当4-l<9；Z22L0DL%H1PTI皿-puxwLUB-（PHD比白L-iBHDSr-mrL自自.1.1aiMFOHT-i52>：Ca*mECT_DsTA-：£ERvli!-£_DLftiM£-ar1al>!Qlb-：PROGftaMi：,ngamF-s亨lSQ

29、l2»*口”中匕4品丫启匈04口门-££匚>5匚白泡:工就：匕演5ERidmo30-atM-）|）-口£ni5-Ha1中;瑞23启三*KVtiiin：-3l3-Mui-Majimigm33SeTWJnLGfljHUsernffne-3VSbem|-2QL1>»243fr:l«:223L白川好_旧声W5KsKtfiSFL7CL32liLLri-243£-.$:223口AUTtiPRCkMAHkNVii小论3©1把-刖4-9!；22dlfiU_HfiCW|l-taaR|i：GHOIJFi5K-KC.ffiF

30、l?CI3-MLLg24g15:22L5LThPID-Lfl4£i：Sa2Ql1-24£.«：22244UT>nID-超rrn由、ur-«BJll-M-2a1&：S9：77233Ktnuifaom3aLl-C4-74ji=9:j30RAaL4D3：+ffi?H£flM-2DLL-C4-24£-.19:2227Ef.4Lu-Sir«HM!-.Qd2iWC»Kll-»-2>416：b9：Z2Q4s*»«S无厘力：由n：Z08W!Mram'IM.EE:diM3W8

31、WHH1中博11由空DO）12Tiihti&xdMMiJHuM.461中”3oRtaians-毛片丑的1*_"rig，/悻t,M机aniaHE.EEiffWtfn5¥5tffmtvstcmsrf«mmtemasternGrcumtrrtfniwrtemGrttonIsvstemsrstcm，YiUmSYItemEVEtCfllGrf«mNY，tEasterngTitan实时监控来自各个层面的所有数据库活动，包括网络流量、数据包、突发连接、并发连接、SQL语句的实时数量，并且提供实时的视图窗口查看数据库的运行状态。它可以帮助DBA更好的管理数据库。

32、Page9of17帕拉迪网络科技有限公司ppSEcm数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开亮产而利去赛产列表附方-UI则流组舆产信息东原限制信任理序信任喔号记录控制应用策晦|F1infcrrnii192.16E161)他BybasBtl92.l6S.1.143;Jj5qlBerver(192163.1132)-(Ddb2(192.1&0.1.132)ffj192,1681253(192.19612521HD«a(192.16B.11.il)垦本信息阳耻m产地址：1及16319S盘据用1版革：瑞口：ORACLEORACLEINFORMIXDB2SYBASE

33、80LStHVtH口工动,某用帕拉迪网络科技有限公司Page10of17日购用辐以iTUUXEeT31Kl:明snm提供灵活的数据库访问行为来源限制，可选择忽略审计特定网络和主机产生的数据库SQL操作；亦可限制仅对特定“嫌疑”对象进行细粒度、全方位审计，包括记录整个数据库操作会话过程所有网络数据包。sH«.日B际前喇日名豪"以声覆盖主流商用数据库，包括：Oracle8/9/10/11等、Sybase所有版本、SQLServer2000/2005、Informix所有版本、DB2所有版本。PDSECm数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开3.2.2 国内

34、领先超长SQL语句、绑定变量解析技术:DbXpert是基于流和会话技术，进行全状态、全协议解码，能完整的、细粒度的解析超长SQL语句、绑定变量。目前五大商用数据库客户端与服务端之间是基于数据库的查询是通过BindVariable完成的，这就要求审计系统不光要记录查询中BindVariable的变量的名字，还要记录BindVariable的数值。该功能国内唯一。BindVariable解析:2011-09-2117:25:0927ExecuteTime:=0.001sec-2011-09-2117;25：09S1LbeginsySrdbms_application_inf<),seJt_r

35、noiiiJle(,Plj,5QLDve1operJr：5dtionhend;-2011-09-2117：25：0932Binded;BindO=5QLWindow-New-=2011-09-20,7:25:0944altersessionpIsqLaptimizillevel2,=2011-09-2117:25:0949alterEessmnisetpl5ql_code_type-interpreted-2011-09-2117;25z0959altersession*set'identifiers；n&rie,-=2011-09-2117:25:0974selectsid.

36、serialfromv$sssionwhereaudskl-usernv(,SESSOND,»2011-09-2117：25:0§37-2011-09-2117:25:0527ExecuteTime尸0.006s-ec-=2011-09-2117:25:09121beginif:enable0thensys.dbms_Qutput.dpsaiblej：elsesys.dbms_output.enabie(:size);endrf;end;-2011-09-2117：25：0929Binded；Bindo-1Bmdi=iO2Qi-=2011-09-2117:250962beg

37、in:id:-s¥s,dbms_transactionJocaLtransactionJd;end;-超长SQL语句解析:二宣百金语命名讲修消点长度=2011-09-2115:20:4163select5ys_cantext(,iusererv'r',ajrrent_schBmaH)Itemdualdeclaret_own&rvardiar2(30);t_namevarcharzOo)；proceduredhedk_mview俯dummyinteger；beainif:曲伯戊_8。=TABLE'Ghenselect/"+rule*/1into

38、dummyfromEys.alLobjectswhereowner=iDbj-ect.ownera=2011-09-2115:20:4149&1ndabjedt_name-:nbject_rfcameandabjedt-type-'MATERJjy-IZEDVIEWmndownuim-1;:dtjjwctjypg：-'materializ'EIDview'：endrf：exceptionwhnothersthnoulh而比bginisub.objectnull;if:deep!-QthenboQinrf：。自rt2isnullth&nselect

39、，+rul电Mnstrairtt_t¥O&iowner,constrarit=namento二口bjectjrypn：Dbjectawnec;object=namefromsysalll_CDrstrairttscwherec.Eon5trainfc_naniie-:partlandt-owner-:our_schermiaiandrownum-1;else5elecf/*+rule-/smstraimtqpmownerrconstTainCname,:part3inEocbjfrctLtype,iobjecCowner.sobjedLnae已zsub=objectfroms

40、vs-alLconstrarntscwherecBTOn5traintjniairne=:part2andlc.owner-:partlaridrewrajm-1;endif;rf»object_type-'P'then!object_type'PRIMARYKEY1：endrf：if!Gbjedt_tYpe-'U'then!object_type:-"uniquekey'endif;ifrObject_tvpethen:object_type；='FOREIGNKEY'；endif；rf；object_typ

41、e-七th&n；object_trpe='CHECKCONlSTIRAINT,;endrf;return;exceptionwhenno.datafoun-dthennull;end;er>dif;：5Lib_objert:part2;if(:part2isnull)or(zpartlI-:ojf_5c#ierna)thenIbegingeledt/*+ruie"/object_typerLcur_sdnemaFzpartlinto:object_typerrObject_ownrrobj«t_namfromsyi,al_objctswhereowne

42、r=；cur_sh&maandobjed_riame=；>artl白nd&bject_trpein'MATERIMIZEDVIEW；'TABLE；'VIEW；SEQUENCE；'PROCEDURE；'RJNCT10N'r'PACKAGER'TYPE；TREGGER','SmONYM')andrownum-1;if!Gbject_typ-'synonym'thenselect/"+ruie-/5.tablte_ownecs,tabie_nameintoLowri

43、ef.L_namefromalLsyrionymsswheres,&yncinym_name=:口artiands.owner=xur-scliemaandrawnum=1;select/ae+njfrea/D.object_type,o.awnEr,iabjedt_nainerito:objed:_type,:afciject_owner:口lbje£t_nanneFrom5.ysaILobjectsqwheres.wner-t_pwmerandq.object_namet_nameandobjecctypeinOiaterialized"view；'ta

44、ble；'vieW*r-SEQUENCER'PROCEDURE；FUNCTION','PACKAGETYPETRIGGER；'SYNONYM')andrownum=L;endrf;:sub_Dbject:=:口mitZ;if;partsisnotnullthen:SLib_objCt:=:5ub_nbjedt11'/11:part3：endrf;+£&_E'w已3.2.3 灵活的数据库访问策略：提供来源（客户端）登录ip异常探测、数据库登录用户名称异常探测、数据库操作源终端异常探测、数据库操作源程序名称异常探测、

45、数据库操作源终端用户名称异常探测。Page11of17帕拉迪网络科技有限公司PIDSECm数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开J关2E3ORACLE制CHWQJEORAM制1EoradfihaslORACLE搦口LIERDAIWASLM-TERFUNCTION|一色ALTERPROCEDURE父乩TERT啕LEG-LL-可用手匠分.芭FF渊境北玷小声声版用程序=7.助加号用户翎5*近庶国尸名船女姓810。旧怔蜩户»8nlM恒对orecie_科冏户堂*的<II提供数据库SQL语句执行时间、数据库操作闲置时间策略报警，提供数据库DML、DDL等操作影响行数策

46、略报警，提供数据库SELECTSQL操作语句返回行数策略报警。KHK9：喃法循-卜mu原由Tmi守曾岁生告事班9h口«市O即前百用户右审，+工尸设木乩名忤谢市住用制提供全方位的策略规则匹配，策略因子包括：数据库操作来源IP地址、数据库服务器IP/端口、数据库类型、数据库名称、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句（DDL、DML、DCL）、数据库表组（表、歹U）、数据库SCHEMA等。ame三唯”亶用5号国在班i-n窟*Mdmi日领S三liiK.g盅阳屿苣科己用F3芸痂日荏国|冰粕三事户王围占背:茂三彳高产节箱医尸目或

47、注培三却g«百kffttSHi=£!：出承Bn:1同艇石同Wi越*tr口，；1ACI耳御用户白片nWS：1WMkiraStMriinIK.IWtTXFM旧址BHiriifl南乃-H.iu网，mrfibitta慌IR曲凸5*篇善*军Page12of17帕拉迪网络科技有限公司WEB告警、邮件等方式通知数据库管理员。ilfl1更IA始在总司:关。根据设定的数据库策略,可选择对关键资源操作行为进行数据包录像、深度分析解析开资产蛆列亲资产列走02-醒UEB0WOriele三磐未分噩资产t«st(192,168.1.108)W工迎OS160.1.1263自E孟；资产>t

48、est(192.16.1.109)赍产信息来强限制信任程序信任原髭J记录控制记录住制近毓始RAWPACKET记录应用般暗PDSECm数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过审计记录记录原始数据网络流量包，可下载至本地:已。0些臼毋|<>nnnnnnnnrl1旭申用口修户口王乩右子al白鹏和柘齿白晒灿中涧口Wil单柞年审zonsw附2i1S2IQB.L.222390SEC-6CCfiFTC13占gEMmOiU£LE1921WI.LQBHl!BnklevRKe2.166.1.222S8a

49、SEC6C68fiFj?Ci3占dmmscratcirD<U£LE142.164.1.LOB152L却st>om竦晓i：LSHU3da.L.22JSfl?see.bceaaFiKia3mnE»racurAftweLE-142.16S.E.LUe困口洌制率的)1.2胸£ptfam典1：17：35】E.|日33V9注mPMnFJE;ftrlnwwCrM'rgniCilpiuaM-Qn11E情口E2O1R3W1初1由14i4ziae.L.z2363SECi5OMBF?C13占dmEMqrDWCLE:19Zil0%liLOBHl!plnhlevieiK

50、-BTBteffl3011-2414&：L7：(Wl«Llfia.l.222Sfl2SECGCtSfiFlTCia占dmrwcrWcirBUCLE142.164.1.LOB即StQEM13-OO2416：l6：1JU.9bB.L.22JSBD5£t-blj6aflF?C13Adnifta££rjcu,142.16£.E.L0e5Jdstaarfi其/篦1期13：H3570定ECfiM门内ArimrwtrMirgniCLE1淳？.】睥|J醺IXE2OJ|H&9-2d1*;15；J3l9ZIQQ.L.ZZM77SEC-i5OMBFT

51、C13MEEtTWqrDW：LE1-9Z.1MI.LUB皿由Rktee*oesystem刈IS迎1*：LS：21140.158.1,222374SE6C*afiFjTC13iidmnr-atDrBUCLE142J6a.E.8B15211pfM4dCH.flK*外以>amMl3-00-2416：1S：J3lU-lbA.L.22S£C-gC£8fiF?t：13Admx&rac口r慢M：l£1田ustaarri1.1 .4全面完整的数据库审计与操作回溯：记录数据库会话详细细节，当发生数据库安全事件时，用户可根据数据库地址、源客户端地址、事件时间、SQL语句

52、关键词、数据库账号、数据库地址等，快速检索定位操作会话。Page13of17帕拉迪网络科技有限公司IHDSECli数据库风险分析与安全监控审计系统技术建议书文档密级：外部公开噌«?ia«万二rjfliWjuotcw-jcn-p-jrjjjjstjwic时甘&麓I1-09&16:19:21分麓ii-鳍-陷ib：i&：oaO州11-帕：416:1:06O20ll-M-2416:17:230MI1-09-241t:17:10MI1-09-24lb:17：g出2tlll-09-i4IB:lb:12OS3I1-D9-241D:1±5。仆211109-

53、241a:11:53G211D92410：13：23102Q110924IS：13:214>2011D924ID：13：lft12.18.1.321.164.1.22i知阻g1啦JM,L22142.iefi.l.Z2192.1«B.I.±3得蝴或提摩地址；素通聿声E正孔防客户情立庵理E：m.WB.L22怖*12.1<fiB.L.Z2IM.100.15QL点可关曲中10a.M8.222S11-D3-DB00-HM侦调送珏结面目:目讦叫目始皿膏用I用附和;触第朗号锚I瑞里卡惬：2011-0*2023，的|59,分59牡plK|l3ev.exeplKlIUSV.CKE

54、plsqldev.exeplEqldEv.exeQ2aliW241B>：11：154>MilW-2416:07:15O2011-04-2-11B：O7：42565AdmnKtrjtarl92.liaB.LJL0Bplsqldev.EXEpIsqldev.eKEpIsqldev.ieKE-plEqldtev.CKeplqldkiv.cKcpIsqlcacv.cKcpIkI3cv.ckcpIsqlcScv.cKCpIsqldcv.Kcpt&qldev.exapIsqliScv.eKQ会话审计记录细致到每一次事务/查询的原始信息，记录所有的关键信息，至少包括以下各个方面：数据库服务器名称、数据库操作源IP地址、目的IP地址、原始的查询指令、关联参数绑定后的数据库SQL操作语句、源应用程序名称、数据库用户名称、访问源操作系统用户名称、访