此處是Logo數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)技術(shù)白皮書地址:電話:傳真:郵編:■版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬北京所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)北京的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何內(nèi)容?！霭姹咀兏涗洉r(shí)間版本說(shuō)明修改人2016.04.05V1.0初建■適用性聲明文檔用于撰寫XX公司產(chǎn)品介紹、項(xiàng)目方案、解決方案、商業(yè)計(jì)劃書等。目錄TOC\o"1-5"\h\z\o"CurrentDocument"產(chǎn)品概述 1\o"CurrentDocument"應(yīng)用背景 1\o"CurrentDocument"現(xiàn)狀與問題 1\o"CurrentDocument"現(xiàn)狀 1\o"CurrentDocument"問題 2\o"CurrentDocument"需求分析 3政策需求 3\o"CurrentDocument"《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 3\o"CurrentDocument"《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》 3技術(shù)需求 4管理需求 4性能需求 4\o"CurrentDocument"環(huán)境與兼容性需求 5\o"CurrentDocument"需求匯總 5\o"CurrentDocument"產(chǎn)品介紹 6\o"CurrentDocument"目標(biāo) 6\o"CurrentDocument"產(chǎn)品功能 6\o"CurrentDocument"數(shù)據(jù)庫(kù)訪問行為記錄 6\o"CurrentDocument"違規(guī)操作告警響應(yīng) 6\o"CurrentDocument"集中存儲(chǔ)訪問記錄 7\o"CurrentDocument"訪問記錄查詢 7\o"CurrentDocument"數(shù)據(jù)庫(kù)安全審計(jì)報(bào)表 7\o"CurrentDocument"3.3產(chǎn)品部署 7\o"CurrentDocument"旁路部署 7\o"CurrentDocument"分布式部署 8\o"CurrentDocument"3.4產(chǎn)品特性 9\o"CurrentDocument"安全便捷的部署方式 9\o"CurrentDocument"日志檢索能力 9\o"CurrentDocument"靈活的日志查詢條件 10\o"CurrentDocument"靈活的數(shù)據(jù)庫(kù)審計(jì)配置策略 10\o"CurrentDocument"數(shù)據(jù)庫(kù)入侵檢測(cè)能力 10\o"CurrentDocument"符合審計(jì)需求設(shè)計(jì) 11\o"CurrentDocument"用戶收益 11\o"CurrentDocument"對(duì)企業(yè)帶來(lái)的價(jià)值 11\o"CurrentDocument"全生命周期日志管理 12\o"CurrentDocument"日常安全運(yùn)維工作的有力工具 12產(chǎn)品概述數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)（以下簡(jiǎn)稱XXX）是一款專業(yè)、主動(dòng)、實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)安全的審計(jì)產(chǎn)品。本系統(tǒng)采用有效的對(duì)數(shù)據(jù)庫(kù)監(jiān)控與審計(jì)方式，針對(duì)數(shù)據(jù)庫(kù)漏洞攻擊、 SQI注入、風(fēng)險(xiǎn)操作等數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)操作行為發(fā)生記錄與告警。能對(duì)不同的場(chǎng)景定制審計(jì)策略，如：信任，敏感模糊化和行為告警等策略。本系統(tǒng)可以有效的評(píng)估數(shù)據(jù)庫(kù)潛在風(fēng)險(xiǎn)；實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)用戶的訪問行為；它通過(guò)對(duì)用戶訪問數(shù)據(jù)庫(kù)行為的記錄、分析和匯報(bào)，用來(lái)幫助用戶事后生成合規(guī)報(bào)告、事故追根溯源，同時(shí)加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為記錄，提高數(shù)據(jù)資產(chǎn)安全。應(yīng)用背景在高速信息化的今天，數(shù)據(jù)安全問題已涉及到各行各業(yè)中，數(shù)據(jù)泄漏所引發(fā)的社會(huì)問題持續(xù)高漲。信息安全成為國(guó)家安全戰(zhàn)略的重要部分。2.1現(xiàn)狀與問題數(shù)據(jù)庫(kù)安全問題是亟待解決的安全核心痛點(diǎn)?，F(xiàn)狀數(shù)據(jù)庫(kù)是數(shù)據(jù)信息存儲(chǔ)的最主要形式，而當(dāng)前信息泄露案例的 90鳩上與數(shù)據(jù)庫(kù)相關(guān)80%勺數(shù)據(jù)庫(kù)沒有任何防護(hù)措施，面對(duì)數(shù)據(jù)篡改、數(shù)據(jù)破壞、數(shù)據(jù)泄漏等問題，追蹤、定責(zé)、挽回?fù)p失等方式顯得極為疲軟在傳統(tǒng)IT架構(gòu)向云計(jì)算模式遷移過(guò)程中，數(shù)據(jù)安全成為客戶關(guān)注的核心問題2016XXXXXXXXX公司問題互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)的數(shù)據(jù)庫(kù)信息價(jià)值及可訪問性得到了提升，同時(shí)，也致使數(shù)據(jù)庫(kù)信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，概括起來(lái)主要表現(xiàn)在以下三個(gè)層面：政策層面：數(shù)據(jù)庫(kù)里保存著客戶信息和各類資金數(shù)據(jù)，數(shù)據(jù)庫(kù)的安全不僅關(guān)系到用戶自身的利益和品牌，還關(guān)系到公共秩序甚至國(guó)家利益。在國(guó)家等級(jí)保護(hù)、中國(guó)人民銀行及銀監(jiān)會(huì)信息安全規(guī)范以及國(guó)際支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)等都有著明確的要求。技術(shù)層面：?數(shù)據(jù)庫(kù)自身存在重大安全缺陷（訪問控制缺陷、數(shù)據(jù)庫(kù)管理系統(tǒng)漏洞、明文存儲(chǔ)）?更為復(fù)雜的數(shù)據(jù)庫(kù)應(yīng)用環(huán)境（B/S架構(gòu)的應(yīng)用使數(shù)據(jù)庫(kù)間接暴露到互聯(lián)網(wǎng)、各種類型的外包工作人員直接訪問數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)共享使各種應(yīng)用系統(tǒng)程序直連到數(shù)據(jù)庫(kù)）?傳統(tǒng)防護(hù)方案具有局限性（網(wǎng)絡(luò)防火墻產(chǎn)品不對(duì)數(shù)據(jù)庫(kù)通訊協(xié)議進(jìn)行控制、 IPS/IDS/網(wǎng)絡(luò)審計(jì)并不能防范那些看起來(lái)合法的數(shù)據(jù)訪問、繞過(guò)WAF系統(tǒng)的刷庫(kù)行為屢見不鮮、無(wú)法解決來(lái)自于業(yè)務(wù)系統(tǒng)本身的安全威脅、忽略了內(nèi)部人員的管控）?運(yùn)維管控存在泄密途徑（測(cè)試數(shù)據(jù)泄密、導(dǎo)出明文備份數(shù)據(jù)導(dǎo)致泄密、圖形化操作無(wú)法控制、無(wú)法控制返回結(jié)果集、惡意程序惡意訪問）?內(nèi)部信息泄漏（利用數(shù)據(jù)庫(kù)的漏洞攻擊、應(yīng)用數(shù)據(jù)庫(kù)賬戶泄露、敏感信息以明文存儲(chǔ)、 DBA用戶操作無(wú)法監(jiān)管）管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無(wú)法追溯并定位真實(shí)的操作者。伴隨著數(shù)據(jù)庫(kù)信息價(jià)值以及可訪問性提升，使得數(shù)據(jù)庫(kù)面對(duì)來(lái)自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無(wú)法有效追溯和審計(jì)。密級(jí)：完全公開2.2需求分析政策需求《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》依據(jù)信息安全等級(jí)保護(hù)要求，XXXX應(yīng)用系統(tǒng)被定義為三級(jí)，在安全審計(jì)方面均有與數(shù)據(jù)安全相關(guān)的要求，以下為等保關(guān)于數(shù)據(jù)安全的內(nèi)容。安全審計(jì)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄。審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能安全審計(jì)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全審計(jì)應(yīng)：?建立獨(dú)立的安全審計(jì)系統(tǒng)；?定義與數(shù)據(jù)庫(kù)安全相關(guān)的審計(jì)事件；?設(shè)置專門的安全審計(jì)員；?設(shè)置專門用于存儲(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)數(shù)據(jù)的安全審計(jì)庫(kù)；?提供適用于數(shù)據(jù)庫(kù)系統(tǒng)的安全審計(jì)設(shè)置、分析和查閱的工具《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》第二十六條商業(yè)銀行應(yīng)通過(guò)以下措施，確保所有信息系統(tǒng)的安全：（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。（七） 以書面或電子格式保存審計(jì)痕跡。（八） 要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。第二十七條商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計(jì)算機(jī)和網(wǎng)絡(luò)2016XXXXXXXXX公司設(shè)備上完成，日志劃分為兩大類：（一） 交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫(kù)管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。交易日志應(yīng)按照國(guó)家會(huì)計(jì)準(zhǔn)則要求予以保存。（二） 系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險(xiǎn)等級(jí)確定，但不能少于一年。商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)。222技術(shù)需求審計(jì)系統(tǒng)應(yīng)能在保護(hù)數(shù)據(jù)庫(kù)安全的前提下，針對(duì)運(yùn)維人員對(duì)數(shù)據(jù)庫(kù)的訪問行為進(jìn)行審計(jì)，審計(jì)的內(nèi)容包括了訪問的時(shí)間、地址、目標(biāo)資源以及詳細(xì)的操作內(nèi)容呈現(xiàn)。審計(jì)系統(tǒng)應(yīng)對(duì)各類數(shù)據(jù)庫(kù)進(jìn)行實(shí)時(shí)的監(jiān)控管理，監(jiān)控?cái)?shù)據(jù)庫(kù)的運(yùn)行狀態(tài)，保證數(shù)據(jù)的不中斷。能夠?qū)Ω黝惖臄?shù)據(jù)庫(kù)進(jìn)行安全掃描，在發(fā)現(xiàn)配置或安全漏洞時(shí)提供有限的解決建議，保證數(shù)據(jù)庫(kù)的可靠性。審計(jì)系統(tǒng)應(yīng)對(duì)重要數(shù)據(jù)庫(kù)操作進(jìn)行審計(jì)，審計(jì)范圍包括數(shù)據(jù)庫(kù)維護(hù)人員、超級(jí)用戶以及應(yīng)用用戶行為。審計(jì)系統(tǒng)應(yīng)能夠?qū)徲?jì)上來(lái)的日志有一定的保護(hù)能力，不能隨意修改和刪除日志。日志的存儲(chǔ)應(yīng)采用加密形式進(jìn)行保存。管理需求應(yīng)對(duì)第三方數(shù)據(jù)庫(kù)廠家以及超級(jí)權(quán)限用戶進(jìn)行控制，能夠控制其訪問數(shù)據(jù)庫(kù)的操作，對(duì)其所做的操作進(jìn)行全面的審計(jì)，保證重要數(shù)據(jù)的不丟失不泄密。性能需求為了保證系統(tǒng)的不間斷運(yùn)行需對(duì)審計(jì)系統(tǒng)的性能有一定要求2016XXXXXXXXX公司在數(shù)據(jù)正常的情況下應(yīng)保證:峰值處理能力（SQL語(yǔ)句、條/秒）：18000吞吐量（Mb/sec）:2000Mbps一萬(wàn)條審計(jì)日志搜索時(shí)間小于5秒環(huán)境與兼容性需求審計(jì)系統(tǒng)支持以下審計(jì)資源以及交換機(jī)類型，保證系統(tǒng)的正常上線和后續(xù)的使用審計(jì)資源數(shù)據(jù)庫(kù)類型版本端口OracleSybaseDB2Mysql網(wǎng)絡(luò)連接交換機(jī)類型版本鏡像端口需求匯總通過(guò)對(duì)于用戶的環(huán)境的了解以及所提出問題的了解分析，具備需求體現(xiàn)在如下幾個(gè)方面：能夠滿足等級(jí)保護(hù)以及行業(yè)規(guī)定對(duì)于數(shù)據(jù)庫(kù)安全方面的要求。對(duì)登錄數(shù)據(jù)庫(kù)和操作數(shù)據(jù)庫(kù)的人員進(jìn)行詳細(xì)的操作審計(jì)。能夠?qū)τ脩艟W(wǎng)絡(luò)內(nèi)的數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行監(jiān)控與漏洞的掃描。對(duì)現(xiàn)有業(yè)務(wù)和系統(tǒng)不產(chǎn)生任何影響。整體審計(jì)系統(tǒng)具備一定的保密性，確保審計(jì)數(shù)據(jù)的安全性。維護(hù)簡(jiǎn)單、具備專業(yè)的審計(jì)功能，節(jié)約人力，減少維護(hù)費(fèi)用。2016XXXXXXXXX公司產(chǎn)品介紹3.1目標(biāo)保護(hù)數(shù)據(jù)庫(kù)以及核心數(shù)據(jù)安全；提供靈活、便利的策略定制；通過(guò)事后的合規(guī)性分析，幫助您發(fā)現(xiàn)針對(duì)數(shù)據(jù)庫(kù)攻擊行為和安全隱患；幫助您從多角度了解數(shù)據(jù)庫(kù)活動(dòng)現(xiàn)狀；幫助您滿足合規(guī)/審計(jì)的要求；簡(jiǎn)化您審計(jì)的工作。3.2產(chǎn)品功能數(shù)據(jù)庫(kù)訪問行為記錄數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)支持對(duì)多種類數(shù)據(jù)庫(kù)的操作行為進(jìn)行采集記錄，探測(cè)器通過(guò)旁路接入，在相應(yīng)的交換機(jī)上配置端口鏡像，對(duì)用戶訪問數(shù)據(jù)庫(kù)的數(shù)據(jù)流進(jìn)行鏡像采集并保存信息日志。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)能夠詳細(xì)記錄每次操作的發(fā)生時(shí)間、數(shù)據(jù)庫(kù)類型、源 MAC地址、目的MAC地址、源端口、目標(biāo)端口、數(shù)據(jù)庫(kù)名、用戶名、客戶端IP、服務(wù)器端IP、操作指令、操作返回狀態(tài)值。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)支持記錄的行為包括：數(shù)據(jù)操作類（如select、insert、delete、update等）結(jié)構(gòu)操作類（如create、drop、alter等）事務(wù)操作類（女口BeginTransaction、CommitTransaction、RollbackTransaction等）用戶管理類以及其它輔助類（如視圖、索引、過(guò)程等操作）等數(shù)據(jù)庫(kù)訪問行 為,并對(duì)違規(guī)操作行為產(chǎn)生報(bào)警事件。違規(guī)操作告警響應(yīng)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可通過(guò)規(guī)則設(shè)置對(duì)各類數(shù)據(jù)庫(kù)操作訪問行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)，對(duì)網(wǎng)絡(luò)中的?2016XXXXXXXXX公司異常數(shù)據(jù)庫(kù)操作行為及時(shí)進(jìn)行告警響應(yīng)，實(shí)時(shí)顯示告警信息并記錄存儲(chǔ)。告警信息可通過(guò)郵件或短信等方式通知管理員，以確保管理員在第一時(shí)間發(fā)現(xiàn)用戶對(duì)數(shù)據(jù)庫(kù)的違規(guī)操作。323集中存儲(chǔ)訪問記錄通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可以將分布在網(wǎng)絡(luò)不同位置、不同類型的數(shù)據(jù)庫(kù)的訪問信息集中到統(tǒng)一的安全審計(jì)系統(tǒng)中進(jìn)行存儲(chǔ)，便于對(duì)記錄數(shù)據(jù)進(jìn)行分析。訪問記錄查詢數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)采用專有的特殊文件系統(tǒng)對(duì)規(guī)范化的日志進(jìn)行存儲(chǔ)，同時(shí)也支持 Mysql等標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)存儲(chǔ)，文件存儲(chǔ)機(jī)制是根據(jù)日志系統(tǒng)的特殊性進(jìn)行專門研發(fā)，為海量日志的存儲(chǔ)及檢索進(jìn)行了優(yōu)化設(shè)計(jì)。產(chǎn)品內(nèi)置高容量的硬盤存儲(chǔ)空間， 采用Raid硬盤陣列，可有效防止由于硬盤硬件問題而帶來(lái)的數(shù)據(jù)丟失，同時(shí)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)還支持外掛存儲(chǔ)系統(tǒng)，從而實(shí)現(xiàn)存儲(chǔ)空間的海量擴(kuò)充。325數(shù)據(jù)庫(kù)安全審計(jì)報(bào)表數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)通過(guò)動(dòng)態(tài)報(bào)表的方式對(duì)數(shù)據(jù)庫(kù)操作行為審計(jì)結(jié)果進(jìn)行統(tǒng)計(jì)分析。系統(tǒng)默認(rèn)內(nèi)置豐富的報(bào)表模板，其中大部分報(bào)表均符合 SOX法案、等級(jí)保護(hù)等法規(guī)、標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的審計(jì)需求，同時(shí)，用戶也可以根據(jù)自身的實(shí)際需求自定義報(bào)表內(nèi)容，生成審計(jì)報(bào)表，審計(jì)報(bào)表可以以HTTP和EXCELS式導(dǎo)出。3.3產(chǎn)品部署旁路部署設(shè)備旁路在數(shù)據(jù)庫(kù)前端交換機(jī)，通過(guò)接收交換機(jī)端口鏡像數(shù)據(jù)流對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)，該拓?fù)浞桨笩o(wú)需更改任何現(xiàn)有拓?fù)浣Y(jié)構(gòu)，同時(shí)也不會(huì)對(duì)現(xiàn)網(wǎng)造成任何影響。2016XXXXXXXXX公司

數(shù)據(jù)庫(kù)服芻器數(shù)據(jù)庫(kù)服芻器圖i旁路部署拓?fù)鋱D332分布式部署和單一部署類似，設(shè)備旁路在數(shù)據(jù)庫(kù)前端交換機(jī)，通過(guò)接收交換機(jī)端口鏡像數(shù)據(jù)流對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)，該拓?fù)浞桨笩o(wú)需更改任何現(xiàn)有拓?fù)浣Y(jié)構(gòu)，不會(huì)對(duì)現(xiàn)網(wǎng)造成任何影響；多臺(tái)設(shè)備通過(guò)管理口通訊級(jí)聯(lián)對(duì)規(guī)則策略進(jìn)行同步。2016XXXXXXXXX公司

?14?14總部機(jī)房圖2分布式部署拓?fù)鋱D3.4產(chǎn)品特性安全便捷的部署方式數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)操作訪問行為采用全旁路方式進(jìn)行審計(jì)，無(wú)需串聯(lián)在網(wǎng)絡(luò)設(shè)備中；不在數(shù)據(jù)庫(kù)主機(jī)上安裝客戶端軟件；不改變客戶原有的任何登錄方式；部署便捷，不會(huì)破壞本身網(wǎng)絡(luò)結(jié)構(gòu)，不影響數(shù)據(jù)庫(kù)系統(tǒng)的性能，實(shí)施成本較低。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行維護(hù)、升級(jí)時(shí)不會(huì)影響到正常業(yè)務(wù)的運(yùn)行，也不會(huì)影響到網(wǎng)絡(luò)性能。日志檢索能力數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)采用了公司自主開發(fā)的基于海量日志索引的日志檢索引擎，避免了采用關(guān)系型數(shù)據(jù)庫(kù)在處理海量日志數(shù)據(jù)時(shí)的低效率問題，采用“基于預(yù)測(cè)的動(dòng)態(tài)索引技術(shù)” 、“數(shù)據(jù)正交分組技術(shù)”及“適應(yīng)磁盤的索引存儲(chǔ)” “即時(shí)結(jié)果反饋技術(shù)”等核心技術(shù)手段，實(shí)現(xiàn)了對(duì)日志的高速檢索能力。?2016XXXXXXXXX公司數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)于在緩存中的日志（最近入庫(kù)的日志），以四重以內(nèi)組合條件查詢，能夠在5秒內(nèi)即返回完整的檢索結(jié)果。對(duì)于任意時(shí)間段內(nèi)的歷史數(shù)據(jù)查詢，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)也能夠在數(shù)秒鐘內(nèi)即反饋符合要求的檢索結(jié)果。343 靈活的日志查詢條件數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)支持不限次數(shù)的多重條件查詢規(guī)則設(shè)定，管理員可根據(jù)日志的類型、發(fā)生時(shí)間、不同字段內(nèi)容等條件組合進(jìn)行精細(xì)匹配。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)支持：＞、V、=不等于、包含、時(shí)間區(qū)間、或、與等十多種常見邏輯符號(hào)，支持跨日志查詢，管理員能夠通過(guò)設(shè)定規(guī)則條件，對(duì)日志進(jìn)行精確定位。靈活的數(shù)據(jù)庫(kù)審計(jì)配置策略數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)提供了靈活和易于操作的策略配置管理。策略配置為高效而全面地實(shí)現(xiàn)數(shù)據(jù)庫(kù)安全審計(jì)起到了決定性的作用。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)有以下多種配置策略：全面審計(jì)策略：所有的數(shù)據(jù)庫(kù)請(qǐng)求都會(huì)被審計(jì)，保證審計(jì)的全面性；審計(jì)過(guò)濾策略：在某些高吞吐量場(chǎng)景，過(guò)高的負(fù)載將使實(shí)時(shí)處理和存儲(chǔ)壓力過(guò)大，通過(guò)系統(tǒng)提供的白名單過(guò)濾、白名單規(guī)則可以對(duì)常規(guī)安全語(yǔ)句、安全來(lái)源實(shí)現(xiàn)審計(jì)過(guò)濾，使系統(tǒng)能夠在過(guò)載的情況下，集中在危險(xiǎn)或異常的 SQL語(yǔ)句審計(jì)上；重點(diǎn)語(yǔ)句告警策略：無(wú)論是否執(zhí)行全面審計(jì)的策略，系統(tǒng)都可以對(duì)需要重點(diǎn)監(jiān)視的語(yǔ)句進(jìn)行特殊對(duì)待，可以通過(guò)黑名單、正則表達(dá)、重點(diǎn)用戶、重點(diǎn) IP、返回行數(shù)等策略完成對(duì)重點(diǎn)關(guān)注對(duì)象和行為的定義，對(duì)這些重點(diǎn)對(duì)象和行為的語(yǔ)句可以將其放入到告警審計(jì)中，可以通過(guò)syslog、snmp郵件或短信等多種途徑對(duì)這些語(yǔ)句進(jìn)行口警。數(shù)據(jù)庫(kù)入侵檢測(cè)能力數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)提供了強(qiáng)大的數(shù)據(jù)庫(kù)入侵檢測(cè)能力，對(duì)入侵行為進(jìn)行重點(diǎn)告警；數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的入侵檢測(cè)行為提供了大量的檢測(cè)策略定義方法，包括：危險(xiǎn)客戶端登錄：通過(guò)IP、用戶、數(shù)據(jù)庫(kù)客戶端工具、時(shí)間等多維定義可能具有入2016XXXXXXXXX公司侵風(fēng)險(xiǎn)的登錄；危險(xiǎn)訪問行為：通過(guò)用戶、敏感對(duì)象、時(shí)間、返回行數(shù)、操作是否有 Where是否使用了系統(tǒng)對(duì)象、高危操作子等多種方式定義了危險(xiǎn)訪問行為；SQL注入：系統(tǒng)提供了系統(tǒng)性的SQL注入庫(kù)，以及基于正則表達(dá)式或語(yǔ)法抽象的SQL注入描述擴(kuò)展；漏洞攻擊庫(kù)：系統(tǒng)提供了針對(duì)數(shù)據(jù)庫(kù)漏洞進(jìn)行攻擊的描述模型，使對(duì)這些典型的數(shù)據(jù)庫(kù)攻擊行為被迅速發(fā)現(xiàn)；黑名單：提供準(zhǔn)確而抽象的方式，對(duì)系統(tǒng)中的特定訪問 SQL語(yǔ)句進(jìn)行描述，使這些SQL語(yǔ)句出現(xiàn)時(shí)能夠迅速報(bào)警。符合審計(jì)需求設(shè)計(jì)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)操作行為日志的采集分析及審計(jì)報(bào)表均根據(jù)各行業(yè)審計(jì)需求、國(guó)家法規(guī)需求進(jìn)行專門設(shè)計(jì)，如：國(guó)家保密標(biāo)準(zhǔn)BMZ2-2001《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》國(guó)家保密標(biāo)準(zhǔn)BMZ1-2000《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求》國(guó)家保密標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》 （國(guó)保發(fā){1998}1號(hào)）國(guó)家標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》國(guó)家標(biāo)準(zhǔn)GB/T18336.2-2001，《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第 2部分：安全功能要求》IS027001/IS017799:2005/BS7799,《信息安全管理技術(shù)規(guī)范》國(guó)家標(biāo)準(zhǔn)GB/T22239《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》用戶收益4.1對(duì)企業(yè)帶來(lái)的價(jià)值數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)從不同層面為企業(yè)和組織的用戶帶來(lái)價(jià)值回報(bào)。1）對(duì)于安全管理員、安全分析員、安全運(yùn)維人員:2016XXXXXXXXX公司明確工作職責(zé)，各類安全管理人