一、産品概述

數據庫審計與風險控制系統（簡稱：DAS-DBAuditor）是信息在多(duō)年數據庫安(ān)全理(lǐ)論研究與實踐的基礎上，結合各類法令法規（如等級保護、分(fēn)級保護、企業内控、SOX、PCI等）對數據庫安(ān)全的要求，自主研發的業界首創細粒度審計、雙向審計、全方位風險控制的數據庫安(ān)全審計産品。可(kě)幫助用(yòng)戶帶來如下價值點：

全面記錄數據庫訪問行為(wèi)，識别越權操作(zuò)等違規行為(wèi)，并完成追蹤溯源

跟蹤敏感數據訪問行為(wèi)軌迹，建立訪問行為(wèi)模型，及時發現敏感數據洩漏

檢測數據庫配置弱點、發現SQL注入等漏洞、提供解決建議

為(wèi)數據庫安(ān)全管理(lǐ)與性能(néng)優化提供決策依據

提供符合法律法規的報告，滿足等級保護、企業内控等審計要求；

二、産品功能(néng)簡介

DBAuditor基于“金字塔模型”設計，分(fēn)成原始信息收集、審計信息标準化、審計信息篩選、預警與報表共四大模塊。

1. 原始信息收集

DBAuditor通過旁路鏡像的模式進行部署，可(kě)以在不改變用(yòng)戶現有網絡結構、不不占用(yòng)數據庫服務(wù)器資源、不影響數據庫性能(néng)的情況下實現對數據庫的訪問行為(wèi)審計。DBAuditor支持分(fēn)布式部署，實現配置與報表的集中管理(lǐ)、并發流量采集與處理(lǐ)、多(duō)點存儲、多(duō)級管理(lǐ)。

DBAuditor提供自動定期發現功能(néng)，可(kě)及時發現新(xīn)增或者一些未知的數據庫并告警，也可(kě)自動加載為(wèi)審計對象。

2. 審計信息标準化

DBAuditor支持國(guó)内外主流數據庫，包括Oracle、SQL server、DB2、Mysql、Informix、Sybase、PostgreSQL 、神通OSCAR、達夢DM、人大金倉、南大通用(yòng)Gbase、CACHé 、Teradata共13種協議。并将不同數據庫協議按照标準化的格式進行展示，方便管理(lǐ)人員閱讀和分(fēn)析。

3. 審計信息篩選

DBAuditor根據5W1H分(fēn)析模型進行規制設計，提供豐富的規則條件和向導式的規則配置方法，同時内置了300多(duō)條安(ān)全相關的審計分(fēn)析規則。

4. 預警與報表

DBAuditor提供Syslog、短信、郵件、SNMP、FTP等豐富的告警方式，可(kě)第一時間通知管理(lǐ)人員，并可(kě)與SOC、安(ān)管平台等進行日志(zhì)的整合。

DBAuditor内置了40多(duō)種高價值、符合法律法規的分(fēn)析報表，可(kě)從數據庫賬号增删、密碼修改、權限變更、高危操作(zuò)、違規告警、賬号複用(yòng)、數據庫性能(néng)分(fēn)析等角度進行分(fēn)析，同時支持自定義的方式定制更多(duō)報表。

三、産品技(jì )術優勢

1. 多(duō)核、多(duō)線(xiàn)程并行處理(lǐ)技(jì )術，處理(lǐ)性能(néng)遙遙領 先

DBAuditor選用(yòng)國(guó)際領 先的、适合審計産品特性的硬件平台，通過intel多(duō)核CPU的強大計算能(néng)力，以及信息獨有的多(duō)線(xiàn)程分(fēn)布式處理(lǐ)技(jì )術，使得數據庫審計系統的處理(lǐ)能(néng)力大大提高，真正領 先于國(guó)内同類型産品。

2. 數據庫安(ān)全配置分(fēn)析和漏洞評估

DBAuditor繼承了信息數據庫安(ān)全漏洞掃描技(jì )術優勢，形成了從漏洞掃描、安(ān)全審計為(wèi)一體(tǐ)的解決方案。可(kě)通過定制化任務(wù)方式實現周期性的自動掃描，發現數據庫的配置不合理(lǐ)項、弱口令、安(ān)全漏洞。并可(kě)根據漏洞情況提供合理(lǐ)的安(ān)全建議和審計規則，生成安(ān)全漏洞掃描報告。

3. 智能(néng)關聯分(fēn)析

通過同時提取web業務(wù)端和數據庫端的協議流量，提取出具體(tǐ)業務(wù)操作(zuò)請求URL、POST/GET值、業務(wù)賬号、原始客戶端IP、MAC地址、提交參數等。通過智能(néng)自動多(duō)層關聯，關聯出每條SQL語句所對應URL，以及其原始客戶端IP地址等信息，實現追蹤溯源。

4. 獨有的雙向審計

DBAuditor通過信息多(duō)年的協議解析經驗，可(kě)以實現真正的雙向審計。雙向審計不但包含了sql語句執行狀态、返回行數、返回時間等基本信息，最為(wèi)關鍵是包含了數據庫的返回結果内容。如下圖：

5. 數據庫行為(wèi)軌迹分(fēn)析

DBAuditor通過創新(xīn)的行為(wèi)軌迹分(fēn)析方法，使得審計員擺脫了從成千上萬條日志(zhì)進行枯燥分(fēn)析的煩惱，大大提高了分(fēn)析效率，提高了審計的易讀性和價值。

6. 數據庫行為(wèi)模型分(fēn)析

DBAuditor通過自動學(xué)習建立數據庫行為(wèi)模型，行為(wèi)模型是基于“總—分(fēn)”邏輯分(fēn)析思維，一層一層展示整個數據庫的行為(wèi)狀态。通過行為(wèi)模型的變更分(fēn)析，可(kě)方便用(yòng)戶掌握最 新(xīn)訪問動态。通過行為(wèi)模型的對比分(fēn)析則可(kě)以分(fēn)析出兩個不同時間段的模型差異，可(kě)以非常方便的發現數據庫賬号、源IP、訪問工具類型、權限的增删變更情況，方便進一步追蹤分(fēn)析。

四、産品典型案例

信息助力“國(guó)内證券公司”通過“等級保護”三級測評

1) 背景介紹和需求

某證券公司在信息科(kē)技(jì )建設方面一直走在行業前列，其對集中交易系統的網上交易系統、營業部交易系統等幾個核心數據庫部署數據庫安(ān)全審計系統來加強數據安(ān)全管理(lǐ)，以實現對數據庫非法行為(wèi)的事前預防、實時告警、事後追查等功能(néng)，并滿足等級保護的測評要求。

2) 解決方案

集中交易系統是公司核心的資産，而且數據流量比較大，安(ān)全可(kě)靠性要求高，調研讨論後在集中交易系統的5個核心交易系統中分(fēn)别部署一台數據庫審計與風險控制系統采集器。在總控系統中部署1台數據庫審計與風險控制系統采集器，并部署1台數據庫審計管理(lǐ)中心。所有采集器通過網絡把數據上傳到管理(lǐ)中心，客戶通過管理(lǐ)中心統一進行查詢管理(lǐ)等。

3) 客戶價值

全面滿足國(guó)家等級保護三級測評要求，成功通過測評認證；

能(néng)夠從合法、合規的方面滿足證監會對信息化的監管要求；

從帳号管理(lǐ)、權限管理(lǐ)等多(duō)維度進行監控，助力IT管理(lǐ)制度實施；

建立數據庫權限模型，為(wèi)數據庫安(ān)全建設提供優化經驗；

4) 類似案例還包括：

國(guó)信證券、銀河證券、海通證券、招商銀行、浙江農信、一汽集團、南方航空、鐵道部12306、快錢支付。

信息助某運營商實現創新(xīn)安(ān)全審計

某運營商出于對敏感信息保護、集團安(ān)全考核、等級保護和塞班斯SOX法案合規等要求，在計費、CRM等共計30多(duō)個系統中部署了46套數據庫審計系統，每天産生 12 億多(duō)條的安(ān)全審計日志(zhì)；

審計分(fēn)析規則：目前從帳号授權管理(lǐ)、認證管理(lǐ)、關鍵系統操作(zuò)、敏感數據洩露、DDL 操作(zuò)異常分(fēn)析、安(ān)全攻擊等8種視角、50多(duō)個維度進行分(fēn)析,形成了幾百條有效審計規則, 可(kě)以有效的識别數據庫的安(ān)全風險;

審計分(fēn)析報表:在系統智能(néng)告警基礎上,通過安(ān)全專家分(fēn)析,定期為(wèi)每個業務(wù) 系統制作(zuò)《審計報告》,審計報表分(fēn)為(wèi)公司領導、技(jì )術管理(lǐ)人員、專業技(jì )術人員三個級别的報表,使不同級别的人員都能(néng)夠迅速了解整個審計系統的整體(tǐ)情況,及時發現審計問題。