数据库审计与风险控制系统

明御？数据库审计与风险控制系统

业界首创细粒度审计、双向审计、全方位风险控制系统

.产品概述

明御？数据库审计与风险控制系统（简称： DAS-DBAuditor）作为国内数据库审计产品

领域第一品牌，是安恒信息结合多年数据库安全的理论和实践经验积累的基础上，结合各类法令法规（如SOXPCI、企业内控管理、等级保护等）对数据库审计的要求，自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库全业务审计产品。

明御？数据库审计与风险控制系统可以帮助您解决以下问题 ：

识别越权使用、权限滥用，管理数据库帐号权限

跟踪敏感数据访问行为，及时发现敏感数据泄漏

检测数据库配置弱点、发现 SQL注入等漏洞、提供解决建议

为数据库管理与优化提供决策依据满足法律、法规要求，提供符合性报告低成本且有效推行IT管理制度

DAS-DBAuditor以独立硬件审计的工作模式，灵活的审计策略配置，解决企事业单位核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁，满足各类法令法规对数据库审计的要求，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”等所有使用数据库的各个行业。 DAS-DBAuditor

支持Oracle、MS-SQLServer、DB2Sybase、MySQLInformix、CACHt、teradata、神通（原OSCAR、达梦、人大金仓（kingbase）等业界主流数据库以及 TELNETFTP、HTTP

POP3SMTP等，可以帮助用户提升数据库运行监控的透明度，降低人工审计成本，真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

.技术优势

技木优势

功能价值

超局的性能

多核、多线程处理：米用多核处理技术，结合自主研

发的多线程应用系统，单台最大可以达到 50000条/秒的处

理能力，支持多台数据库服务器，降低用户成本；

分布式部署：支持分布式部署，并行处理，成倍提升业

务处理能力，满足大型业务环境需求，兼顾未来扩容计戈

丰富规则和

报表

通过对大量项目实施经验总结，已经形成了丰富的行业规则包和合规报表，包括合规性要求、帐号管理、权限管理、认证管理、敏感数据安全等多个维度的规则，系统默认配置60多种报表，解决普通审计产品规则设置困难、审计分析无从下手、报表过于简单且无实际分析价值等问题。

精准的协议

解析

米用专利技术提升协议的准确率。支持 oracle、DB2

sqlserver等10多种主流协议，满足复杂环境应用；

领先的存储

能力

米用专用存储技术大大提升存储能力，最大可以存储

7-10亿条审计日志，可以满足客户 3-6个月的日志存储要

求；

高效的查询

能力

日志存储在自主研发的专用数据库中，并为日志记录标识唯一序号，采用先进的检索引擎，达到百万级每秒的查询能力，并大大提高查询准确度；

自身安全性

采用RAID冗余电源等硬件架构，以及三权分立、数据自动备份、详尽的操作日志等技术确保审计记录不去失，不被违规删除，满足法律法规要求；

.功能价值

丰富的协议支持

主流数据库

Oracle、SQLserver、DB2、Mysql、Informix、

CACH、Sybase、PostgreSQL

国产数据库

神通（原OSCAR、达梦、人大金仓（kingbase）

数据仓库

Teradata

其他协议

FTPHTTPTelnet、SMTPPOP3DCO陶

细粒度的操作审计

细粒度审计

通过对不同数据库的SQL®义分析，提取出SQL中相关的要素（用户、SQLB作、表、字段、视图、索引、过程、

函数、包•…）

双向审计

不仅对数据库操作请求进行实时审计，而且还可对数据

库执行状态、返回结果、返回内容进行完整的还原和审

计，同时可以根据返回结果设置审计规则

多行为审计

实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等

多层业务关联审计

B/S三层架构

支持HTTP请求审计，提取URLPOST/GET值、

cookie、操作系统类型、浏览器类型、原始客户端 IP、MAC

地址、提交参数等；

通过智能自动多层关联，关联出每条 SQL语句所对应

URL以及其原始客户端IP地址等信息，实现追踪溯源；

C/S三层架构

在企业、医院等行业客户中，也部分采用C/S/S三层架构，同样面临追踪溯源的难题，DAS-DBAuditor支持基于DCOMfi三层架构自动关联。

运维审计关

联

通过运维审计产品进行今认证、授权后，也将面临追踪溯源的难题，DAS-DBAuditor支持与运维审计产品关联，实现原始操作者信息的追踪

全方位风险控制

灵活的策略

根据登录用户、源IP地址、数据库对象（分为数据库用户、表、字段）、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件

自动建模

DAS-DBAuditor支持自动建模，可以非常方便了解整个数据库的允许状态，帮助管理员形成肩效的审计规则，快速识别越权操作、帐号复用、违规操作等行为。

多形式的实

当检测到可疑操作或违反审计规则的操作时，系统可以

时告警

通过监控中心告警、短信告警、邮件告警、 Syslog告警、

SNMP&警、FTP告警等方式通知数据库管理员

报表

DAS-DBAudtor报表系统包括预定义报表和自定义报表两大模块，可以快速

生成对安全事件的报表，并以PDF?格式导出

审计管理员

报表

支持从审计设备运行状况、安全事件、帐号的增删、密

码是否修改等角度形成报表

系统管理员

报表

支持从权限的变更、数据库权限分配状况、 DDL/DML等

特权操作、SQL语句的类型和使用比率等角度形成报表

合规性报告

能够形成符合SOX（塞班斯）法案、等级保护、分级保

护等法规符合性的综合报告

静态审计

除了提供实时的动态审计功能，还提供了可选的扫描审计模块对数据库的不安全配置、弱口令等进行检测和审计，并提供安全加固建议。

友好真实的操作过程回放：

对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内容，并可以通过精细内容的检索，对特定行为进行精确回放，如执行删除表、文件命令、数据搜索等。

.典型部署

DAS-DBAuditor可以在不改变现有网络体系结构、不占用数据库服务器任何资源、不影响数据库性能的情况下，快速部署到业务系统网络中。

简单部署模式

分布式部署模式

5.产品规格

类别

采集器

分布式部署管理中心

产品型号

DAS・

A500

DAS-A1000

DAS-

A3000

DAS-

A5000

DAS-

AC1000

DAS-

AC3000

规格

1U

2U

2U

2U

2U

2U

吞吐能力

100

0M

2000

M

4000M

6000M

峰值事务

处理能力

（条/

秒）

900

0

1800

0

36000

50000

被审计数

据库实例

数

1

4

8

10

日志数量

（最详细日志）

4

亿

条

7亿

条

10亿条

10亿条

20亿条

>20亿条

RAID

无

RAID

1

RAID1

RAID1

RAID5

RAID1~RA

ID5可选

HBA

无

可选

可选

可选

有

有

网口数量

4

6

10

10

2

2

网路类型

电

口

电口

/光

口

电口/

光口

电口/

光口

电口

电口

电源

单电源

单电源/（冗

1+1冗

余电源

1+1冗

余电源

1+1冗余

电源

1+1冗余

电源

余电源可

选）

功率

400

W

400W

460W

460W

450W

450W

注：详细配置仅供参考，实际交付以合同约定为准

6.典型应用案例

安恒信息助力“国信证券”通过“等级保护”三级测评

背景介绍和需求

国信证券在信息科技建设方面一直走在行业前列， 2010年国信证券计划对集中

交易系统的网上交易系统、营业部交易系统、CR麻统等几个核心系统数据库进行全面的升级改造，通过部署数据库安全审计系统来加强数据库的安全访问管理，全方位提升集中交易系统及CRM（统安全应用级别，以实现对数据库非法行为的事前预防、实时告警、事后追查等功能，并满足等级保护的测评要求。

解决方案

集中交易系统是国信证券最核心的资产，而且数据流量比较大，安全可靠性要

求高，因此建议在集中交易系统的5个核心交易系统中分别部署一台明御数据库审计与风险控制系统采集器。在总控系统中部署1台明御数据库审计与风险控制系统采集器，并部署1台数据库审计管理中心。另外需要在CR防口网上交易等系统中部署1-2台明御数据库审计与风险控制系统采集器。所有采集器通过网络把数据上传到管理中心，客户通过管理中心统一进行查询管理等。

客户价值

全面满足国家等级保护三级测评要求，成功通过测评认证；能够从合法、合规的方面满足证监会对信息化的监管要求；

从帐号管理、权限管理等多维度进行监控，助力 IT管理制度实施;

建立数据库权限模型，为数据库安全建设提供优化经验；

中日友好医院部署明御数据库审计解决“违规统方”难题

中日友好医院是中日两国政府合作建设的大型综合性现代化医院。先后荣获北京市“十佳”医院、全国“百佳”医院、 “全国百姓放心示范医院”等称

号。但是随着医院信息化的迅猛发展，信息的高度集中使得核心数据泄密的隐患也越来越突出，在利益的驱使下非正常的统方行为、患者信息泄密风险非常大，而且据资料显示同行其他单位有出现了违规统方的事件。为了防范与未然，医院采取“教育为先、制度为主”的综合管理手段，虽然取得了一些不错的效果，但是由于技术手段的缺失，一直无法为管理制度提供有效的执行监控措施，完全依赖于人员的自觉性，还是存在很大的风险 。

经过充分的调研，采用了杭州安恒的明御数据库审计系统，对敏感数据进行实时监控，对违规操作进行追根溯源和智能控制，这样就形成了“教育为先、制度为主、技术为辅”的综合管理手段，全面提升信息系统安全管理水平，有效遏制违法、违纪统方活动的发生。

客户价值

定期评估数据库漏洞，防止数据库密码破解

数据库操作全审计，不放弃任何可疑统方行为

双向审计，准确判断违规统方行为

丰富的审计报表，满足纠风办审计需求

短信、邮件告警，第一时间了解违规统方行为

某省级电信运营商

由于电信运营商数据库系统用户众多，涉及数据库管理员、内部员工及合作方人员

等，因此网络管理更加复杂，单位数据库面临的主要安全威胁与风险总结如下：

数据库账户和权限的滥用

数据库自身日志审计的缺陷

数据库与业务系统无法关联分析

数据库自身存在问题

数据库系统的运维存在安全隐患

安恒信息解决方案：

我们根据电信用户的需求进行分析，从全审计的角度出发考虑整体的数据库全业务安全审计，主要包括以下几个方面：

采用静态审计实现数据库软件自身安全隐患的审计，依托安恒信息其权威性的数据库安全规则库，自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等数据库软件存在的问题，为后续的动态防护与审计的安全策略设置提供了有力的依据。

采用数据库实时审计解决数据库操作中的细粒度审计，包括采用细粒度的审计策略对操作、访问及命令返回进行全监控，实现针对所有帐户对数据库操作、访问及命令的全面监测审计，加强对数据库临时帐户与高权限帐户的审计监测审计，加强针对重要敏感数据的访问审计监测，达到字段级的审计细粒度，提供详细的数据库审计记录及分类报表统计，根据多年数据库安全经验提供报表支持，实现数据库异常操作监测报警，并提供多种告警方式通知相关人员处置，采用独立审计的工作模式，不对现有系统造成任何影响，弥补了因数据库系统内置日志审计而带来的缺陷。

通过堡垒主机实现对所有远程操作的行为监测，堡垒主机基于网络、透明方式工作，不影响网络结构和业务系统，覆盖运营商采用的远程协议，如RDRSSHVNCXwindowTelnet、FTP等协议，可以对操作进行回放和检索查询，帮助构建全面的审计平台。

应用系统与数据库操作进行关联，有效解决操作行为的追溯，根据时间片、关键字等要素进行信息筛选，以确定符合数据库操作请求的 WEBJ问，通过多

层业务审计更精确地定位事件发生前后所有层面的访问及操作请求。

用户部署示意图

省核心

BSS

)A

DA

DA

)A

DA

堡垒主机

WebServices

DMZ

逻辑示意图

DA

DA

XXf中心数据库审计拓扑图

数据库审计设备

DA

审计中心平台

CA

DA

DA

CA

营业fi

苫业厅

用英用「

股终用户

心生让济

性出案集也济

企业版FF|

粒网尼比通篙

以坐LUL

接方需

4JH3

嶷 witido*