DAS内部培训知识讲座

深信服数据库安全审计系统DAS内部培训2017——安全BUCONTENTS1234DAS策略调整DAS选型和定价DAS主要功能模块新推出的方案2024/5/7DAS市场策略等保场景（合规为主）：重点覆盖政府、教育、医疗、央企、中大企业的等保合规性需求。教育行业今年等保的建设要求是重点机会，很多教育客户没有DAS相关产品。实际业务场景（实用为主）政府、中大企业、央企中的数据窃取、特权管控、数据保护需求。例如公安部门的公民信息保护、政府的数据窃取保护等。新场景（业务变化）公有云、SaaS、Hadoop等使用带来的问题，欢迎大家反馈给研发，我们可以主动过来交流。2024/5/7DAS支撑策略研发投入（固定投入保障人力）现有功能保障支持更多DB（informix、达梦、人大金仓、postgresql、sybase等）完善产品不满足场景（例如特权管控、HCI支持等）一线支持保障产品方面的问题，可以直接联系接口人（朱隽，陆明友，王良河）。对于重要项目研发承诺上门支持。新特征持续加入保障新特性的持续投入，支持更多新的场景（例如关联分析、可视效果）销售资料保障和行销体系配合，及时提供一线所需各类资料2024/5/7固定团队全力支持DAS的销售2024/5/7DAS市场定位：等保为主战场，延伸至数据安全领域数据库审计数据安全等保场景：包括政府、医疗、教育等行业等保。教育行业今年全面下发了等保要求，可以作为产品金融行业：数据库审计刚性需求，暂时不参与，若有机会测试，可尝试V1.0版本安全功能较少，V2.0版本将加强；作为内网安全的一个触发点，可能往更多安全方向延伸，如端点安全、与AF联动等；CONTENTS1234DAS策略调整DAS选型和定价DAS主要功能模块新推出的方案2024/5/7DAS选型和定价产品名称：数据库安全审计系统DAS产品型号：DAS-1600、DAS-4300、DAS-6000型号DAS-1600DAS-4300DAS-6000硬盘内置2TSATA硬盘内置2TSATA硬盘内置4TSATA硬盘接口6个千兆电口

2个千兆光口6个千兆电口

4个千兆光口4个千兆电口

4个千兆光口

支持接口扩展电源单电源冗余电源冗余电源尺寸1U机架式2U机架式2U机架式吞吐量800M1.6G4GSQL处理性能10000条SQL语句/s20000条SQL语句/s40000条SQL语句/s日志存储10亿条20亿条待定公开报价18.8w23.8w53.8w2024/5/7友商选型和报价绿盟安恒绿盟目录价渠道出货2.5折渠道出货1.6折平均2折出货客户成交价渠道利润DASNX3-800C399.756.247.819.511.7DASNX3-2000C48127.689.62414.4DASNXS-4000C

CONTENTS1234DAS策略调整DAS选型和定价DAS主要功能模块新推出的方案2024/5/7深信服数据库安全审计系统DAS主要功能模块部署模式单机模式多机模式审计Web审计：

三层关联DB审计审计白名单安全DB安全账号安全AF联动查询/报表行为日志查询风险日志查询帐号安全日志查询统计页面/趋势报表订阅数据库安全审计系统DASV1.02024/5/7单机模式单机模式，DAS设备在网络中以旁路方式部署，一体化提供策略配置、日志采集、查询报表等功能。适用于仅需要在一个采集点上进行数据采集的场景。2024/5/7多机模式多机模式，DAS设备在网络中由采集器和管理器构成。适用于需要在多个采集点上进行采集数据的场景。采集器：以旁路的方式部署在各个业务主机（或业务系统）的核心交换机上，主要负责日志采集并上报到管理器。管理器：与多台采集器并行通讯，提供策略统一管理并下发的采集器；同时汇总采集器上报的日志并提供查询、报表统计功能。2024/5/7两种部署模式差异多机和单机模式的差异1.单机模式：配置管理+数据采集+数据分析2.多机模式：管理器：配置管理+数据分析采集器：数据采集

3.页面差异如下图2024/5/7设备上架设备上架，仅需两步：1、配置部署模式2、配置业务系统因为我们有默认策略全审，配置上面两步就可以审计到DB日志！2024/5/7数据库审计DASV1.0支持审计的数据库类型：Oracle、SQLserver、Mysql、DB2，更多数据库支持后续开发....web审计（审计访问数据库对应的服务器系统）、数据库审计（访问真正的数据库）web审计数据库审计三层关联2024/5/7数据库审计访问数据库的来源——具体的数据库操作——审计结果（响应时间、返回行数、影响行数等）支持审计的数据库操作类型如下：2024/5/7数据库审计—三层关联三层关联是根据服务器的部署方式命名（浏览器——web服务器——数据库服务器），用于确定HTTP访问和数据库访问的关联通过三层关联可以查询到HTTP访问所触发的数据库访问，也可以查询到某个数据库访问是由哪个HTTP访问触发，从而能够关联到真正的访问者。2024/5/7审计白名单支持三种方式：SQL条件白名单、SQL模版白名单、URL白名单2024/5/7数据库安全参考北研给的漏洞列表，做了内置规则；同时支持灵活的条件自定义安全规则2024/5/7账号安全选择学习的数据库IP（不是web端），在web端模拟登录成功和登录失败两次操作，会根据学到的特征进行判断爆库、撞库2024/5/7查询和报表1.行为日志查询（详情几个小功能：回话查看、添加到白名单、三层关联信息）2.风险日志查询3.帐号安全日志查询（爆库、撞库）4.统计页面/趋势页面5.报表订阅功能日志可查时间日志可统计时间

单机模式2-5min5-10min多机模式5-15min10-15min数据库审计日志

web审计日志管理员操作日志

SQL响应性能分析吞吐量分析与AF联动检测webshell，与AF防火墙联动阻断，形成更好的防护从DB端检测webshell，可以防护已绕开防火墙的webshell攻击从DB端检测webshell，可以防护遗留在业务系统上的webshell攻击与深信服的应用防火墙（AF）联动阻断webshell攻击DAS2.1已支持，已发布了！CONTENTS1234DAS策略调整DAS选型和定价DAS主要功能模块新推出的方案2024/5/7参