1、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)要點(diǎn)(yodin)測(cè)試與分析共十六頁(yè)測(cè)試(csh)要點(diǎn)數(shù)據(jù)重放測(cè)試超長(zhǎng)SQL語(yǔ)句測(cè)試變量綁定測(cè)試含有關(guān)鍵字/字符SQL語(yǔ)句測(cè)試64整數(shù)倍字節(jié)的SQL語(yǔ)句測(cè)試SQL語(yǔ)句跨行測(cè)試實(shí)時(shí)統(tǒng)計(jì)功能中英文超長(zhǎng)SQL語(yǔ)句數(shù)據(jù)庫(kù)審計(jì)(shn j)結(jié)果以會(huì)話方式展現(xiàn)Oracle重定向會(huì)話跟蹤審計(jì)策略告警測(cè)試測(cè)試思路共十六頁(yè)數(shù)據(jù)(shj)重放測(cè)試測(cè)試工具： 利用tcpreplay工具在linux/unix系統(tǒng)上重放網(wǎng)絡(luò)數(shù)據(jù)包；測(cè)試方式： 參考高明整理的文檔；測(cè)試結(jié)果： 驗(yàn)證對(duì)手?jǐn)?shù)據(jù)庫(kù)審計(jì)系統(tǒng)原來(lái)的會(huì)話詳情與重放后審計(jì)到的會(huì)話詳情是否一致？測(cè)試作用： 重放測(cè)試可以測(cè)試出產(chǎn)品類型，如果(rgu)是基于包

2、處理的產(chǎn)品，重放包含SQL語(yǔ)句的數(shù)據(jù)包，將會(huì)產(chǎn)生非常多同樣的SQL語(yǔ)句審計(jì)結(jié)果和告警。帕拉迪鶻鷹只會(huì)產(chǎn)生一條連接記錄，后續(xù)包作為重傳包，將被丟棄。 共十六頁(yè)超長(zhǎng)SQL語(yǔ)句(yj)測(cè)試測(cè)試工具： 利用(lyng)各種數(shù)據(jù)庫(kù)的客戶端程序；測(cè)試方式： 在數(shù)據(jù)庫(kù)客戶端中執(zhí)行超過(guò)1460個(gè)字節(jié)的SQL語(yǔ)句，例如： /* aaaaaaaabbbbbbbbeeee */ delete * from test；測(cè)試結(jié)果： 驗(yàn)證對(duì)手的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是否審計(jì)完整正確？測(cè)試作用： 要針對(duì)ORACLE、SQL SERVER、SYBASE、DB2、INFORMIX，都進(jìn)行測(cè)試。此點(diǎn)非常重要，因?yàn)?，同行采用的包裝，更具欺

3、騙性，他們會(huì)證明功能的有無(wú)，而不管該功能在生產(chǎn)環(huán)境下是否能用。他們只為自己過(guò)時(shí)產(chǎn)品的銷售進(jìn)行服務(wù)。因此，測(cè)試時(shí)候，務(wù)必測(cè)試SQL SERVER 2008，因?yàn)?，要在這個(gè)協(xié)議上欺騙包裝，難度不小。共十六頁(yè)變量(binling)綁定測(cè)試測(cè)試工具： 任意數(shù)據(jù)庫(kù)環(huán)境；測(cè)試方式： 在終端對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行操作或變更；測(cè)試結(jié)果： 驗(yàn)證對(duì)手的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是否審計(jì)到完整、正確的綁定變量值？測(cè)試作用： 要針對(duì)ORACLE、SQL SERVER、SYBASE、DB2、INFORMIX，都進(jìn)行測(cè)試。此點(diǎn)非常重要，因?yàn)?，同行采?ciyng)的包裝，更具欺騙性，他們會(huì)證明功能的有無(wú)，而不管該功能在生產(chǎn)環(huán)境下是否能用。

4、他們只為自己過(guò)時(shí)產(chǎn)品的銷售進(jìn)行服務(wù)。因此，測(cè)試時(shí)候，務(wù)必測(cè)試SQL SERVER 2008，因?yàn)?，要在這個(gè)協(xié)議上欺騙包裝，難度不小。共十六頁(yè)含有(hn yu)關(guān)鍵字/字符SQL語(yǔ)句測(cè)試測(cè)試工具：任意數(shù)據(jù)庫(kù)環(huán)境；測(cè)試方式： 在數(shù)據(jù)庫(kù)客戶端中執(zhí)行類似：/* */ select * from test where a=22222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222

5、22222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222測(cè)試結(jié)果： 驗(yàn)證對(duì)手的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是否審計(jì)到完整、正確？測(cè)試作用： 基于包處理的數(shù)據(jù)庫(kù)監(jiān)控審計(jì)產(chǎn)品依據(jù)SQL關(guān)鍵字匹配進(jìn)行工作，沒有進(jìn)行協(xié)議分析，那么關(guān)鍵字前面部分的SQL語(yǔ)句(yj)，會(huì)被丟失，發(fā)生SQL語(yǔ)句審計(jì)不全、漏審現(xiàn)象； 基于包處理的數(shù)據(jù)庫(kù)監(jiān)控審計(jì)產(chǎn)品審計(jì)結(jié)果SQL語(yǔ)句里面，含有大量符號(hào)，并且，SQL語(yǔ)句后半部分，一定存在亂碼。用戶可以通過(guò)此現(xiàn)象，判斷產(chǎn)品類型。當(dāng)然，符號(hào)可能被處理，但后半部分亂

6、碼，或者“亂句”，一定存在?！皝y句”是指，一個(gè)字的中間，被插入了其它的一個(gè)字符。如 “table”，可能變成 “t able”。共十六頁(yè)64整數(shù)倍字節(jié)的SQL語(yǔ)句(yj)測(cè)試測(cè)試工具： 任意數(shù)據(jù)庫(kù)環(huán)境；測(cè)試方式： 在數(shù)據(jù)庫(kù)客戶端中執(zhí)行類似這樣的SQL語(yǔ)句： /* aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaabbbbbbbbbbeeee */ select * from luxiang；測(cè)試結(jié)果： 驗(yàn)證對(duì)手的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是否審計(jì)到完整、正確的SQL語(yǔ)句？測(cè)試作用： 基于包處理的數(shù)據(jù)庫(kù)監(jiān)控審計(jì)產(chǎn)品(chnpn)依據(jù)SQL關(guān)鍵字匹配進(jìn)行工作，可以通過(guò)破壞SQL關(guān)鍵

7、字方法，逃避被審計(jì)。具體方法是，構(gòu)造SQL語(yǔ)句，讓關(guān)鍵字跨越64整數(shù)倍位置，即可產(chǎn)生攻擊SQL語(yǔ)句，并能逃避審計(jì)?；诎幚淼漠a(chǎn)品應(yīng)對(duì)此種情況無(wú)能為力，漏審，審計(jì)數(shù)據(jù)不完整。共十六頁(yè)SQL語(yǔ)句(yj)跨行測(cè)試測(cè)試工具： 任意數(shù)據(jù)庫(kù)環(huán)境(hunjng)；測(cè)試方式： 在數(shù)據(jù)庫(kù)客戶端中執(zhí)行類似這樣的SQL語(yǔ)句： select * from pk where a=999999；測(cè)試結(jié)果： 驗(yàn)證對(duì)手的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)審計(jì)這條SQL語(yǔ)句的情況？測(cè)試作用： 有效的保證了各種SQL語(yǔ)句執(zhí)行方式的審計(jì)共十六頁(yè)實(shí)時(shí)(sh sh)統(tǒng)計(jì)功能測(cè)試工具： 任意數(shù)據(jù)庫(kù)環(huán)境；測(cè)試方式(fngsh)： 在【日志審計(jì)】【實(shí)時(shí)統(tǒng)計(jì)】

8、中，查看實(shí)時(shí)統(tǒng)計(jì)的SQL語(yǔ)句交易量。測(cè)試結(jié)果： 可以查看到SQL語(yǔ)句交易量測(cè)試作用： 通過(guò)此功能可以為用戶提供實(shí)時(shí)的統(tǒng)計(jì)SQL語(yǔ)句交易情況，為DBA提供及時(shí)的數(shù)據(jù)統(tǒng)計(jì)，可發(fā)現(xiàn)安全SQL語(yǔ)句、危險(xiǎn)SQL語(yǔ)句、未知SQL語(yǔ)句。例如：發(fā)現(xiàn)安全的SQL語(yǔ)句，可以通過(guò)策略定義白名單（無(wú)風(fēng)險(xiǎn)不記錄）過(guò)濾掉即可。共十六頁(yè)中英文超長(zhǎng)SQL語(yǔ)句(yj)測(cè)試工具： 任意數(shù)據(jù)庫(kù)環(huán)境；測(cè)試方式： 在數(shù)據(jù)庫(kù)客戶端中執(zhí)行超過(guò)1460個(gè)字節(jié)(z ji)的SQL語(yǔ)句，例如： /* aaaaaaaabbbbbbbbeeee */ delete * from test where name=朱愛兵；測(cè)試結(jié)果： 驗(yàn)證對(duì)手的數(shù)據(jù)庫(kù)審

9、計(jì)系統(tǒng)是否審計(jì)完整正確？測(cè)試作用： 要針對(duì)ORACLE、SQL SERVER、SYBASE、DB2、INFORMIX，都進(jìn)行測(cè)試。此點(diǎn)非常重要，因?yàn)椋胁捎玫陌b，更具欺騙性，他們會(huì)證明功能的有無(wú)，而不管該功能在生產(chǎn)環(huán)境下是否能用。他們只為自己過(guò)時(shí)產(chǎn)品的銷售進(jìn)行服務(wù)。共十六頁(yè)數(shù)據(jù)庫(kù)審計(jì)結(jié)果以會(huì)話方式(fngsh)展現(xiàn)測(cè)試工具： 任意數(shù)據(jù)庫(kù)環(huán)境；測(cè)試方式： 在【日志審計(jì)】【會(huì)話審計(jì)】中查看會(huì)話審計(jì)日志。測(cè)試結(jié)果： 如圖測(cè)試作用： 此功能只有帕拉迪才有，并且通過(guò)會(huì)話的方式審計(jì)，更能說(shuō)明(shumng)TCP會(huì)話重組的原理共十六頁(yè)Oracle重定向會(huì)話跟蹤(gnzng)審計(jì)測(cè)試工具： 通過(guò)orac

10、le數(shù)據(jù)庫(kù)客戶端訪問(wèn)oracle服務(wù)器測(cè)試方式： 通過(guò)oracle數(shù)據(jù)庫(kù)客戶端訪問(wèn)oracle服務(wù)器（基于windows平臺(tái)的oracle，公司有192.168.1.98的oracle服務(wù)器，每人拷貝(kobi)一份，用于現(xiàn)場(chǎng)測(cè)試）測(cè)試結(jié)果： 審計(jì)到oracle的端口重定向后的SQL語(yǔ)句測(cè)試作用： 通過(guò)審計(jì)端口重定向的SQL語(yǔ)句，保證了SQL語(yǔ)句的詳細(xì)共十六頁(yè)策略告警(gojng)測(cè)試測(cè)試工具： 任意數(shù)據(jù)庫(kù)環(huán)境；測(cè)試方式： 在數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)中對(duì)數(shù)據(jù)庫(kù)客戶端程序名、數(shù)據(jù)庫(kù)賬號(hào)、來(lái)源IP、表名、列名等條件進(jìn)行告警(gojng)測(cè)試； 并且結(jié)合前面我們測(cè)試的方式進(jìn)行策略告警測(cè)試；測(cè)試結(jié)果： 驗(yàn)證對(duì)手

11、的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的審計(jì)是否完整？告警是否正確？測(cè)試作用： 這樣讓用戶從根本上認(rèn)識(shí)到我們的產(chǎn)品與其他產(chǎn)品的區(qū)別。共十六頁(yè)測(cè)試(csh)思路了解用戶需求收集數(shù)據(jù)庫(kù)服務(wù)器信息收集告警策略建議：先展示策略告警日志，再展示會(huì)話日志以及詳情(xingqng)最后介紹產(chǎn)品的優(yōu)勢(shì)：超長(zhǎng)語(yǔ)句、綁定變量解析、登錄登出、數(shù)據(jù)庫(kù)客戶端、原始數(shù)據(jù)包、實(shí)時(shí)監(jiān)控等詳細(xì)審計(jì)參數(shù)。測(cè)試報(bào)告：截圖、收集相關(guān)數(shù)據(jù)信息。測(cè)試反饋：及時(shí)將測(cè)試情況反饋至相關(guān)負(fù)責(zé)人。共十六頁(yè)Thank you!Q&A共十六頁(yè)內(nèi)容摘要數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)要點(diǎn)測(cè)試與分析。驗(yàn)證對(duì)手的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是否審計(jì)完整正確。要針對(duì)ORACLE、SQL SERVER、SYBASE、DB2、INFORMIX，都進(jìn)行測(cè)試。驗(yàn)證對(duì)手的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是否審計(jì)到完整、正確。wher