數(shù)據(jù)安全與運(yùn)維安全審計(jì)系統(tǒng)項(xiàng)目方案

1概述.....................................................................................2

2項(xiàng)目背景........................................................................3

3數(shù)據(jù)安全解決方案.........................................................................4

3.1風(fēng)險(xiǎn)分析.............................................................................4

3.1.1操作系統(tǒng)安全....................................................................4

3.1.2數(shù)據(jù)庫本身的安全風(fēng)險(xiǎn)............................................................4

3.1.3數(shù)據(jù)庫的全面防護(hù)................................................................5

3.1.4數(shù)據(jù)庫及其應(yīng)用系統(tǒng)風(fēng)險(xiǎn)..........................................................5

3.1.5數(shù)據(jù)庫前端應(yīng)用風(fēng)險(xiǎn)..............................................................5

3.2項(xiàng)目需求.............................................................................5

3.3總體設(shè)計(jì)方案........................................................................10

3.4建設(shè)目標(biāo)與原則......................................................................12

3.5建設(shè)方案............................................................................12

3.5.1數(shù)據(jù)庫審計(jì)目標(biāo)服務(wù)器...........................................................14

3.5.2數(shù)據(jù)庫登錄情況.................................................................16

3.5.3策略應(yīng)用情況....................................................................17

3.5.4各類前端應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)庫的訪問.................................................17

3.5.5各類主機(jī)對(duì)數(shù)據(jù)庫的訪問.........................................................18

3.5.6修改數(shù)據(jù)庫操作情況.............................................................19

3.5.7數(shù)據(jù)庫特殊與訪問告警...........................................................20

3.6數(shù)據(jù)安全系統(tǒng)介紹....................................................................21

3.7運(yùn)維安全系統(tǒng)介紹...................................................................24

3.8產(chǎn)品與功能詳解.....................................................................25

3.8.1數(shù)據(jù)庫產(chǎn)品與功能詳解...........................................................25

3.8.2運(yùn)維安全產(chǎn)品與功能詳解.........................................................32

4應(yīng)用效果分析...........................................................................39

5司簡(jiǎn)介及案例...........................................................................44

1概述

隨著計(jì)算機(jī)技術(shù)的飛速進(jìn)展，數(shù)據(jù)庫的應(yīng)用十分廣泛，深入到各個(gè)領(lǐng)域，但隨之而來

產(chǎn)生了數(shù)據(jù)的安全問題。各類應(yīng)用系統(tǒng)的數(shù)據(jù)庫中大量數(shù)據(jù)的安全問題、敏感數(shù)據(jù)的防竊

取與防篡改問題，越來越引起人們的高度重視。數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，是計(jì)算機(jī)

信息系統(tǒng)的核心部件，其安全性至關(guān)重要，關(guān)系到企業(yè)興衰、成敗。因此，如何有效地保

證數(shù)據(jù)庫系統(tǒng)的安全，實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性與有效性，已經(jīng)成為業(yè)界人士探索研究

的重要課題之一。

由于計(jì)算機(jī)與網(wǎng)絡(luò)的普及與廣泛應(yīng)用,越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)庫平臺(tái)上。

數(shù)據(jù)庫中的數(shù)據(jù)作為企業(yè)的財(cái)富發(fā)揮著越來越重要的作用，同時(shí)也成為不安定因素的要緊

目標(biāo)。如何保證數(shù)據(jù)庫自身的安全，已成為現(xiàn)代數(shù)據(jù)庫系統(tǒng)的要緊評(píng)測(cè)指標(biāo)之一。數(shù)據(jù)庫

是信息技術(shù)的核心與基礎(chǔ)，廣泛應(yīng)用在電信、金融、政府、商業(yè)、企業(yè)等諸多領(lǐng)域，當(dāng)我

們說現(xiàn)代經(jīng)濟(jì)依靠于計(jì)算機(jī)時(shí)，我們真正的意思是說現(xiàn)代經(jīng)濟(jì)依靠于數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫

口儲(chǔ)存著諸如銀行賬戶、醫(yī)療保險(xiǎn)、電話記錄、生產(chǎn)或者交易明細(xì)、產(chǎn)品資料等極其重要

與敏感的信息。盡管這些系統(tǒng)的數(shù)據(jù)完整性與安全性是相當(dāng)重要的，但對(duì)數(shù)據(jù)庫采取的安

合檢查措施的級(jí)別還比不上操作系統(tǒng)與網(wǎng)絡(luò)的安全檢查措施的級(jí)別。許多因素都可能破壞

數(shù)據(jù)的完整性并導(dǎo)致非法訪問，這些因素包含復(fù)雜程度、密碼安全性較差、誤配置、未被

察覺的系統(tǒng)后門與數(shù)據(jù)庫安全策略的缺失等。

2項(xiàng)目背景

數(shù)據(jù)庫作為金融行業(yè)信息系統(tǒng)的核心與基礎(chǔ)，承載著越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)，整個(gè)

業(yè)務(wù)流程過程中的操作、數(shù)據(jù)的變更、新增、刪除都存儲(chǔ)在數(shù)據(jù)庫中，儲(chǔ)存著客戶的個(gè)人

與資金等各類信息。信息一旦被篡改或者者泄露，不僅損害到公民自身利益，機(jī)構(gòu)的品牌

形象，甚至影響到公共秩序與國(guó)家利益。因此對(duì)數(shù)據(jù)庫的保護(hù)是一項(xiàng)務(wù)必的，關(guān)鍵的，重

要的工作任務(wù)。

為了保證XX業(yè)務(wù)系統(tǒng)的更加穩(wěn)固安全地運(yùn)行，X〉：對(duì)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫建設(shè)進(jìn)行了完

善，不僅考慮數(shù)據(jù)庫系統(tǒng)的集群、特殊容錯(cuò)能力，更從業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作安全方面進(jìn)

行考慮，更加深入，細(xì)粒度地保證業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫操作的安全。從網(wǎng)絡(luò)層上說，銀行正從

應(yīng)用層方面來保證業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫的安全。那么如何對(duì)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作安全進(jìn)行檢

查呢？我們使用數(shù)據(jù)庫安全審計(jì)系統(tǒng)對(duì)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作進(jìn)行審計(jì)。使用運(yùn)維安全系

統(tǒng)對(duì)各類服務(wù)器本身進(jìn)行審計(jì)。

銀行數(shù)據(jù)各類數(shù)據(jù)庫系統(tǒng)。它們的特殊地位要求安全性極高，重點(diǎn)要考慮二方面的安

全風(fēng)險(xiǎn)：一是來自外部安全風(fēng)險(xiǎn)：利用弱口令設(shè)置、數(shù)據(jù)庫系統(tǒng)漏洞、SQL注入等攻擊數(shù)

據(jù)庫系統(tǒng)，非法進(jìn)入數(shù)據(jù)庫系統(tǒng)訪問、拷貝與修改數(shù)據(jù)內(nèi)容；另一個(gè)是內(nèi)部安全風(fēng)險(xiǎn)：以

合法授權(quán)身份進(jìn)入業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)的訪問與操作的違規(guī)性行為。以上安全風(fēng)險(xiǎn)會(huì)引發(fā)數(shù)據(jù)

庫系統(tǒng)癱瘓、各類內(nèi)部數(shù)據(jù)信息被泄露與篡改、涉密數(shù)據(jù)信息被竊取與失泄等信息安全事

件發(fā)生。因此重點(diǎn)要對(duì)這兩部分的數(shù)據(jù)庫及服務(wù)器進(jìn)行防護(hù)。

3數(shù)據(jù)安全解決方案

3.1風(fēng)險(xiǎn)分析

任何公司的要緊電子數(shù)字資產(chǎn)都存貯在現(xiàn)代的關(guān)系數(shù)據(jù)產(chǎn)品中。商業(yè)機(jī)構(gòu)與政府組織

都是利用這些數(shù)據(jù)庫服務(wù)器得到人事信息，如員工的二資表，醫(yī)療記錄等。因此他們有責(zé)

任保護(hù)別人的隱私，并為他們保密。數(shù)據(jù)庫服務(wù)器還存有往常的與將來的敏感的金融數(shù)據(jù)，

包含貿(mào)易記錄、商業(yè)合同及帳務(wù)數(shù)據(jù)等。象技術(shù)的所有權(quán)、工程數(shù)據(jù)，甚至市場(chǎng)企劃等決

貧性的機(jī)密信息，務(wù)必對(duì)競(jìng)爭(zhēng)者保密，并阻止非法訪問，數(shù)據(jù)庫服務(wù)器還包含全面的顧客

信息，如財(cái)務(wù)帳目，信用卡號(hào)及商業(yè)伙伴的信用信息等。目前世界上七種主流的關(guān)系型數(shù)

據(jù)庫,諸如Oracle、Sybase、MicrosoftSQLServer>IBMDB2/Informix、MySQL、PostgreSQL

服務(wù)器都具有下列特征：用戶帳號(hào)及密碼、校驗(yàn)系統(tǒng)、優(yōu)先級(jí)模型與操縱數(shù)據(jù)庫的特別許

可、內(nèi)置命令（存儲(chǔ)過程、觸發(fā)器等）、唯一的腳本與編程語言（比如PL/SQL、

Transaction-SQL）>中間件、網(wǎng)絡(luò)協(xié)議、補(bǔ)丁與服務(wù)包、強(qiáng)有力的數(shù)據(jù)庫管理有用程序與

開發(fā)工具。

3.1.1操作系統(tǒng)安全

數(shù)據(jù)庫安裝于操作系統(tǒng)之上，對(duì)操作系統(tǒng)的安全防護(hù)也是至關(guān)重要的，運(yùn)維人員能

夠通過遠(yuǎn)程訪問操作系統(tǒng)，達(dá)到本地操作數(shù)據(jù)庫的目的。系統(tǒng)口令及訪問操縱權(quán)限管理技

犬手段薄弱；數(shù)據(jù)中心存在“交叉運(yùn)維”現(xiàn)象；針對(duì)運(yùn)維人員無全面操作記錄；無法滿足

審計(jì)檢查對(duì)日志記錄的要求；運(yùn)維安全分析報(bào)告缺乏。因此，我院迫切需要使用必要的技

術(shù)手段來防范與減少運(yùn)維操作風(fēng)險(xiǎn)，確保信息系統(tǒng)安全、穩(wěn)固運(yùn)行。

3.1.2數(shù)據(jù)庫本身的安全風(fēng)險(xiǎn)

數(shù)據(jù)庫服務(wù)器的應(yīng)用相當(dāng)復(fù)雜，掌握起來非常困難。許多數(shù)據(jù)庫管理員都忙于管理復(fù)

雜的系統(tǒng)，因此很可能沒有檢查出嚴(yán)重的安全隱患與不當(dāng)?shù)呐渲茫踔粮緵]有進(jìn)行檢

測(cè)。因此，正是由于傳統(tǒng)的安全體系在很大程度上忽略了數(shù)據(jù)庫安全這一主題，使數(shù)據(jù)

庫專業(yè)人員也通常沒有把安全問題當(dāng)作他們的首要任務(wù)。在安全領(lǐng)域中，類似網(wǎng)頁被修改、

電腦中病毒、木馬、流氓軟件、彈出窗口等所造成的經(jīng)濟(jì)缺失微乎其微，而一旦數(shù)據(jù)庫

出現(xiàn)安全風(fēng)險(xiǎn)并被惡意利用所造成的后果幾乎是災(zāi)難性的與不可挽回的。

3.1.3數(shù)據(jù)庫的全面防護(hù)

安全是多個(gè)環(huán)節(jié)層層防范、共同配合的結(jié)果。也就是說在安全領(lǐng)域不能夠僅靠某一個(gè)

環(huán)節(jié)完成所有的安全防范措施。一個(gè)安全的系統(tǒng)需要數(shù)據(jù)庫的安全、操作系統(tǒng)的安全、網(wǎng)

絡(luò)的安全、應(yīng)用系統(tǒng)自身的安全共同完成。數(shù)據(jù)庫領(lǐng)域的安全措施通常包含：身份識(shí)別與

身份驗(yàn)證、自主訪問操縱與強(qiáng)制訪問操縱、安全傳輸、系統(tǒng)審計(jì)、數(shù)據(jù)庫存儲(chǔ)加密等。只

有通過綜合有關(guān)安全的各個(gè)環(huán)節(jié)，才能確保高度安全的系統(tǒng)。

3.1.4數(shù)據(jù)庫及其應(yīng)用系統(tǒng)風(fēng)險(xiǎn)

拙劣的數(shù)據(jù)庫安全保障設(shè)施不僅會(huì)危及數(shù)據(jù)庫的安全，還會(huì)影響到服務(wù)器的操作系統(tǒng)

與其它信用系統(tǒng)。還有一個(gè)不很明顯的原因說明了保證數(shù)據(jù)庫安全的重要性一數(shù)據(jù)庫系統(tǒng)

自身可能會(huì)提供危及整個(gè)網(wǎng)絡(luò)體系的機(jī)制。比如，某人公司可能會(huì)用數(shù)據(jù)庫服務(wù)器儲(chǔ)存所

有的技術(shù)手冊(cè)、文檔與白皮書的庫存清單.數(shù)據(jù)庫里的這些信息并不是特別重要的，因此

它的安全優(yōu)先級(jí)別不高。即使運(yùn)行在安全狀況良好的操作系統(tǒng)中，入侵者也可通過“擴(kuò)展

入駐程序，，等強(qiáng)有力的內(nèi)置數(shù)據(jù)庫特征，利用對(duì)數(shù)據(jù)庫的訪問，獲取對(duì)本地操作系統(tǒng)的訪

問權(quán)限。這些程序能夠發(fā)出管理員級(jí)的命令，訪問基石的操作系統(tǒng)及其全部的資源。假如

這個(gè)特定的數(shù)據(jù)庫系統(tǒng)與其它服務(wù)器有信用關(guān)系，那么入侵者就會(huì)危及整個(gè)網(wǎng)絡(luò)域的安全。

3.1.5數(shù)據(jù)庫前端應(yīng)用風(fēng)險(xiǎn)

在電子商務(wù)、電子貿(mào)易的著眼點(diǎn)集中于WEB服務(wù)器、Java與其它新技術(shù)的同時(shí)，應(yīng)該

記住這些以用戶為導(dǎo)向與企業(yè)對(duì)企業(yè)的系統(tǒng)都是以Web服務(wù)器后的關(guān)系數(shù)據(jù)庫為基礎(chǔ)的。

它們的安全直接關(guān)系到系統(tǒng)的有效性、數(shù)據(jù)與交易的完整性、保密性。系統(tǒng)拖延效率欠佳,

不僅影響商業(yè)活動(dòng)，還會(huì)影響公司的信譽(yù)。不可避免地，這些系統(tǒng)受到入侵的可能性更大,

但是并未對(duì)商、也伙伴與客戶敏感信息的保密性加以更有效的防范。此外，ERP與管理系統(tǒng),

如ASPR/3與PeopleSoft等，都是建立在相同標(biāo)準(zhǔn)的數(shù)據(jù)庫系統(tǒng)中。無人管理的安全漏洞

與時(shí)間拖延、系統(tǒng)完整性問題與客戶信任等有直接的關(guān)系。

由此可見，數(shù)據(jù)庫安全實(shí)際上是信息安全的核心，在這種情況下，有必要使用專業(yè)的

新型數(shù)據(jù)庫安全產(chǎn)品，專門對(duì)數(shù)據(jù)庫及其操作系統(tǒng)進(jìn)行保護(hù)。

3.2項(xiàng)目需求

做為解決卜述風(fēng)險(xiǎn)問題的數(shù)據(jù)系統(tǒng),應(yīng)包含一下要緊特性：

服務(wù)器運(yùn)維安全一針對(duì)直接登錄操作系統(tǒng)的行為進(jìn)行操縱與審計(jì)。

數(shù)據(jù)庫使用情況評(píng)估一檢查真實(shí)的數(shù)據(jù)庫網(wǎng)絡(luò)流量以構(gòu)建一個(gè)使用的基準(zhǔn)模型，并自

動(dòng)創(chuàng)建數(shù)據(jù)庫安全政策。

管理員能夠通過審查分析文件輕松掌握適當(dāng)?shù)臄?shù)據(jù)庫使用，非常靈活方便的制定數(shù)據(jù)

庫使用著的行為策略。

數(shù)據(jù)庫審計(jì)一一SecureSphere采集許多審計(jì)數(shù)據(jù)，同時(shí)提供內(nèi)置的報(bào)告功能，能夠靈

活地滿足內(nèi)部或者外部規(guī)定要求。SecureSphere的數(shù)據(jù)庫審計(jì)包含數(shù)據(jù)庫活動(dòng)審計(jì)、實(shí)時(shí)

省警審計(jì)、用戶基本信息審計(jì)。

數(shù)據(jù)庫保護(hù)一一這是SecureSphere對(duì)數(shù)據(jù)庫實(shí)時(shí)保護(hù)核心功能，包含：

/數(shù)據(jù)庫應(yīng)用保護(hù)

/客戶化策略的實(shí)施

,數(shù)據(jù)庫平臺(tái)的保護(hù)

/識(shí)別復(fù)雜的攻擊(通過多種手段的聯(lián)動(dòng))

具體到設(shè)備的功能，應(yīng)該具有下列特點(diǎn)：

支持各類主流運(yùn)維協(xié)議

字符型協(xié)議(Telnet.SSH、FTP、SFTP)

支持各類主流數(shù)據(jù)庫

包含對(duì)各類版本與各類平臺(tái)的Oracle、DB2^Informix、Sybase>MSSQLServer的

支持。審計(jì)廠家務(wù)必與四大數(shù)據(jù)庫廠家(Oracle,IBM,Sybase,MicroSoft)是官方認(rèn)可

的深層商業(yè)合作伙伴，從而能夠保證審計(jì)結(jié)果的精確性與權(quán)威性

設(shè)備的引入不應(yīng)對(duì)正常業(yè)務(wù)與正常的數(shù)據(jù)庫運(yùn)行造成任何影響，同時(shí)應(yīng)滿足權(quán)限分離

的要求，不容許被審計(jì)人員對(duì)審計(jì)功能元進(jìn)行修改與操作。

對(duì)數(shù)據(jù)庫沒有影響的功能非常有利于部署實(shí)施，設(shè)備的部署不需要對(duì)數(shù)據(jù)庫進(jìn)行變動(dòng),

或者者對(duì)數(shù)據(jù)中心結(jié)構(gòu)的其它方面進(jìn)行變動(dòng)。

審計(jì)產(chǎn)品應(yīng)是個(gè)基丁?網(wǎng)絡(luò)的應(yīng)用解決方案，不需要數(shù)據(jù)庫服務(wù)器管理權(quán)限或者者安

裝主機(jī)軟件。其部署及運(yùn)營(yíng)可能由網(wǎng)絡(luò)安全人員進(jìn)行，而不可能對(duì)數(shù)據(jù)庫管理資源造成影

響。這種方式通過保持安全功能的獨(dú)立，從而遵守安全實(shí)踐。

審計(jì)設(shè)備能夠?qū)徲?jì)所有針對(duì)數(shù)據(jù)庫的訪問，包含對(duì)數(shù)據(jù)庫直接連接的訪問，與前臺(tái)應(yīng)

月程序?qū)?shù)據(jù)庫的訪問；假如應(yīng)用通過加密方式訪問數(shù)據(jù)庫，同樣應(yīng)該能夠?qū)徲?jì)到。

審計(jì)功能要求審計(jì)到盡可能全面的信息

針對(duì)母一條數(shù)據(jù)庫的訪問，審計(jì)記錄要細(xì)致到每一次事務(wù)/查詢的原始信息記錄，應(yīng)該

能夠記錄所有的關(guān)鍵信息，至少包含下列各個(gè)方面:

數(shù)據(jù)庫服務(wù)器、源IP、目的IP、原始的查詢指令、去除具體參數(shù)的查詢指令、源應(yīng)用

軟件、數(shù)據(jù)庫用戶名、訪問源操作系統(tǒng)用戶名、訪問源操作主機(jī)名、高級(jí)權(quán)限操作、存儲(chǔ)

過程、目標(biāo)數(shù)據(jù)庫與Schema.StreamID、操作回應(yīng)內(nèi)容、操作返回的錯(cuò)誤代碼操作回應(yīng)

的時(shí)間操作回應(yīng)的條目大小。

假如是前臺(tái)用戶通過Web利用應(yīng)用服務(wù)器訪問數(shù)據(jù)庫（BS架構(gòu)下），還應(yīng)能夠?qū)徲?jì)記

錄下列信息、：前臺(tái)應(yīng)用程序的用戶名、前臺(tái)程序的口口、WebSessionID、Web客戶端IP

關(guān)于通過OracleEBS或者SAP等應(yīng)用服務(wù)器訪問數(shù)據(jù)庫（CS架構(gòu)下），應(yīng)該能夠記錄

最終前臺(tái)用戶的用戶名

為了有效地記錄數(shù)據(jù)庫訪問操作，審計(jì)人員需要盡可能全面的審計(jì)記錄信息，全面到

準(zhǔn)確的查詢與響應(yīng)屬性這一級(jí)別。數(shù)據(jù)庫審計(jì)記錄務(wù)必將所審計(jì)數(shù)據(jù)庫事務(wù)歸于特定用戶。

比如，SOX合規(guī)審計(jì)機(jī)制要求務(wù)必記錄對(duì)財(cái)務(wù)報(bào)告數(shù)據(jù)的每個(gè)更換及執(zhí)行此更換的用戶姓

名。但是，當(dāng)用戶通過Web應(yīng)用程序或者SAP、OracleE-BusinessSuite等應(yīng)用服務(wù)器

訪問數(shù)據(jù)庫時(shí)，數(shù)據(jù)庫審計(jì)系統(tǒng)務(wù)必能夠記錄最終的責(zé)任用戶。

支持BindVariable

很多基于數(shù)據(jù)庫的查詢是通過BindVariable完成的。這就要求審計(jì)系統(tǒng)不光要記錄查詢

口BindVariable的變量的名字，還要記錄BindVariable的數(shù)值。舉例來說：一個(gè)包含

BindVariable的SQL是：select*fromaaawhorenamc=:who,審計(jì)系統(tǒng)不光把這個(gè)SQL

記錄下來，同時(shí)要記錄:who=jimmy,這樣才是完整的包含BindVariable的審計(jì)結(jié)果。

審計(jì)策略能夠非常靈活的定義

由于關(guān)于實(shí)際的生產(chǎn)系統(tǒng)，需要審計(jì)的數(shù)據(jù)庫訪問量非常大，這就要求有靈活的審計(jì)策

略能夠定義想要審計(jì)的數(shù)據(jù)庫操作的內(nèi)容。能夠定義審計(jì)策略的條件應(yīng)該包含下列各個(gè)關(guān)

鍵字的條件組合：

源IP、目的IP、原始的查詢指令、去除具體參數(shù)的查詢指令、源應(yīng)用軟件、數(shù)據(jù)庫用戶名、

訪問源操作系統(tǒng)用戶名、訪問源操作主機(jī)名、高級(jí)權(quán)限操作、存儲(chǔ)過程、目標(biāo)數(shù)據(jù)庫與

SchemaStreamID

操作回應(yīng)內(nèi)容、操作返回的錯(cuò)誤代碼、操作回應(yīng)的時(shí)間、操作回應(yīng)的條目大小

同樣假如是前臺(tái)用戶通過Web利用應(yīng)用服務(wù)器訪問數(shù)據(jù)庫（BS架構(gòu)下），或者關(guān)于通

過OracleEBS或者SAP等應(yīng)用服務(wù)器訪問數(shù)據(jù)庫（CS架構(gòu)下），還應(yīng)能夠根據(jù)前臺(tái)應(yīng)用程

序的用戶名來定義審計(jì)記錄的策略

能夠定義敏感數(shù)據(jù)表，保護(hù)核心機(jī)密數(shù)據(jù)

可將機(jī)密數(shù)據(jù)定義敏感表，任何用戶對(duì)敏感表的非法與違規(guī)訪問能夠產(chǎn)生特別的報(bào)警

審計(jì)結(jié)果的歸檔靈活方便

為了提高整個(gè)數(shù)據(jù)庫審計(jì)系統(tǒng)的擴(kuò)展性，審計(jì)信息能夠通過FTP,SCP等傳輸協(xié)議靈活的歸

檔到外部的存儲(chǔ)設(shè)備上，歸檔出來的數(shù)據(jù)格式應(yīng)該是通用格式（CSV）,歸檔能夠選擇手動(dòng)

及定時(shí)定期的自動(dòng)方式。

審計(jì)告警日志對(duì)外的接口

百計(jì)結(jié)果告警日志能夠通過Syslog或者SNMP協(xié)議與外部的統(tǒng)一審計(jì)平臺(tái)送出數(shù)據(jù)，進(jìn)行

互通。

審計(jì)結(jié)果能夠自動(dòng)生成符合專業(yè)合規(guī)審計(jì)（SOX）要求的審計(jì)報(bào)告

符合SOX合規(guī)性的審計(jì)解決方案為生成關(guān)鍵業(yè)務(wù)（如財(cái)務(wù)）報(bào)告時(shí)使用的數(shù)據(jù)庫提供全面

的數(shù)據(jù)審計(jì)與安全性，給審計(jì)人員帶來了極大的便利性△

數(shù)據(jù)庫安全審計(jì)網(wǎng)關(guān)能夠使用自動(dòng)生成的專用的報(bào)告來證明對(duì)關(guān)鍵數(shù)據(jù)庫實(shí)施操縱，這些都

是404條款的要緊要求。通過專用的符合SOX的用戶評(píng)估報(bào)告，合規(guī)性檢查人員能夠驗(yàn)證只有

具有合法需求的用戶才能夠訪問關(guān)鍵數(shù)據(jù)庫。

智能而自動(dòng)的建立用戶對(duì)數(shù)據(jù)庫訪問的行為模型

審計(jì)設(shè)備設(shè)備應(yīng)具有自動(dòng)建立用戶數(shù)據(jù)庫訪問行為模型的能力。自動(dòng)智能建模功能能

夠自動(dòng)學(xué)習(xí)、同時(shí)自動(dòng)習(xí)慣用戶數(shù)據(jù)庫及應(yīng)用系統(tǒng)的各方面特點(diǎn)，自動(dòng)建立“充分必要”

的安全策略。同時(shí)，結(jié)合全面的、精細(xì)的手工定制與調(diào)優(yōu)功能，在最大程度的降低管理工

作量的同時(shí)，提供最佳的安全配置。

為每個(gè)用戶自動(dòng)建立對(duì)數(shù)據(jù)庫與Schema訪問的基線，內(nèi)容是可正常訪問的數(shù)據(jù)庫與

Schemao

月戶訪問模型自動(dòng)建立功能分析實(shí)際數(shù)據(jù)庫流量并使月復(fù)雜的學(xué)習(xí)算法創(chuàng)建每個(gè)訪問數(shù)據(jù)

庫的用戶或者應(yīng)用的所有合法活動(dòng)分析模型。

此模型不僅僅作為后來審計(jì)評(píng)估使用變化或者應(yīng)用行為的基準(zhǔn)，同時(shí)是自動(dòng)生成的數(shù)

據(jù)庫使用安全政策，同意信息安全小組不僅僅能夠監(jiān)視并審計(jì)使用，而且保護(hù)數(shù)據(jù)庫免受

非法行為。學(xué)習(xí)算法不斷應(yīng)用到實(shí)際流量中以便當(dāng)用戶活動(dòng)隨著時(shí)間進(jìn)展時(shí)，有效變化將

自動(dòng)重新組織并集成到行為模型中。假如用戶訪問數(shù)據(jù)庫的時(shí)候，行為模型的偏差將自動(dòng)

觸發(fā)一個(gè)報(bào)警并能夠根據(jù)嚴(yán)重性進(jìn)行阻斷。

發(fā)現(xiàn)非法行為的實(shí)時(shí)告警功能

這是在系統(tǒng)運(yùn)行時(shí)，對(duì)正在進(jìn)行的業(yè)務(wù)與管理層面的數(shù)據(jù)庫交互活動(dòng)進(jìn)行檢測(cè)。對(duì)其

口違反既定的安全策略的行為能夠即時(shí)發(fā)現(xiàn)，同時(shí)能夠產(chǎn)生報(bào)警、阻斷與供事后分析與審

計(jì)的根據(jù)。實(shí)時(shí)的監(jiān)控與防護(hù)能夠第一時(shí)間消除違規(guī)操作對(duì)系統(tǒng)的影響。

設(shè)備具有實(shí)時(shí)告警的功能，針對(duì)非法訪問行為與用戶定義的訪問行為能夠?qū)崟r(shí)告警。

告警信息能夠發(fā)送到SyslogServer,或者通過Email發(fā)出。

數(shù)據(jù)庫保護(hù)

這是數(shù)據(jù)庫安全審計(jì)產(chǎn)品的重要功能，能夠?qū)崟r(shí)俁護(hù)核心核心數(shù)據(jù)庫免遭各類非法行

為與破壞。在數(shù)據(jù)庫操作所通過的網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用軟件方面，相應(yīng)的安全規(guī)則就是:

防火墻、IPS規(guī)則、應(yīng)用協(xié)議保護(hù)；這部分規(guī)則能夠是靜態(tài)的，已經(jīng)根據(jù)數(shù)據(jù)庫與應(yīng)用系

統(tǒng)的要求做了精細(xì)的預(yù)設(shè)，同時(shí)還能夠進(jìn)一步的根據(jù)實(shí)際需要進(jìn)行微調(diào)。此功能應(yīng)包含：

數(shù)據(jù)庫應(yīng)用保護(hù)

審計(jì)設(shè)備連續(xù)比較數(shù)據(jù)庫訪問模型的真有用戶操作的差異.來自分析的重要偏差生成

警報(bào)，同時(shí)惡意的行為能夠根據(jù)策略有選擇性的阻止。

客戶化策略實(shí)施

除了基于特征文件的安全政策外，管理能夠定義任意粒度的客戶政策。比如：管理員

能夠設(shè)置訪問系統(tǒng)對(duì)象的查詢策略，甚至對(duì)包含特定文本模式的查詢。政策偏離能夠生成

一個(gè)警報(bào)或者者迅速阻止活動(dòng)。

行為特征代碼分析完成數(shù)據(jù)庫平臺(tái)保護(hù)

應(yīng)該具有（IPS）保護(hù)數(shù)據(jù)庫基礎(chǔ)設(shè)施免受針對(duì)數(shù)據(jù)庫平臺(tái)及操作系統(tǒng)軟件中已知漏洞

蠕蟲及其它攻擊。IPS功能要緊通過檢查數(shù)據(jù)庫訪問是否與特征代碼庫匹配來推斷是否會(huì)

觸發(fā)數(shù)據(jù)庫的漏洞。特征代碼庫要求與國(guó)際安全研究組織同步，同時(shí)能夠包含自定義的SQL

特征。

特征代碼要保證能夠在線升級(jí)，能夠使得系統(tǒng)在第一時(shí)間內(nèi)抵御最新出現(xiàn)的針對(duì)數(shù)據(jù)庫的

非法危害行為與在數(shù)據(jù)庫沒有打補(bǔ)丁的情況下，防止數(shù)據(jù)庫廠家的安全漏洞造成的危害

防火墻層面與SQL協(xié)議層面保護(hù)

防火墻層面是在網(wǎng)絡(luò)層面保護(hù)數(shù)據(jù)庫免受各類網(wǎng)絡(luò)層面的非法操作威脅。同時(shí)關(guān)于上

層協(xié)議（SQL的通信）的合法性及濫用的檢測(cè)，關(guān)于數(shù)據(jù)庫服務(wù)器軟件也非常重要。對(duì)此,

自計(jì)設(shè)備應(yīng)該專門提供SQL應(yīng)用協(xié)議檢測(cè)的功能，來檢測(cè)SQL協(xié)議是否合法或者符合標(biāo)準(zhǔn)

的規(guī)定。

在數(shù)據(jù)庫保護(hù)層面，關(guān)于非法操作，能夠進(jìn)行非常豐富的響應(yīng)動(dòng)作，分為三類：告警

響應(yīng)，即時(shí)行動(dòng)，后續(xù)行動(dòng)。即時(shí)行動(dòng)能夠?qū)?shù)據(jù)包丟棄，后續(xù)行動(dòng)就是通過對(duì)外通信來

通知管理人員有非法行為發(fā)生。

數(shù)據(jù)庫安全評(píng)估功能：

對(duì)數(shù)據(jù)庫的基礎(chǔ)系統(tǒng)與運(yùn)行時(shí)的配置進(jìn)行評(píng)估。數(shù)據(jù)庫的基礎(chǔ)系統(tǒng)包含，操作系統(tǒng)與數(shù)據(jù)

庫應(yīng)用程序，它們通常會(huì)存在軟件的缺陷或者漏洞，容易被攻擊者利用。

能夠主動(dòng)評(píng)估數(shù)據(jù)庫的安全狀況，包含是否打了Patch,包含用戶權(quán)限在內(nèi)的各類安全設(shè)

置是否合理。

高性能

要求審計(jì)設(shè)備的能夠提供雙向最低500Mbps,最高2Gbps的性能，毫微秒級(jí)延遲，支持的

SQL交易數(shù)量從5萬每秒到20萬每秒。

高可用性

百計(jì)設(shè)備應(yīng)支持高可用性確保最大的正常運(yùn)行時(shí)間及應(yīng)用可用性.審計(jì)設(shè)備應(yīng)具有在設(shè)備

故障下應(yīng)該不影響實(shí)際業(yè)務(wù)能力，同時(shí)審計(jì)設(shè)備支持主備配置方式，在合理配置下，能夠

達(dá)到小于1秒甚至更低的主備切換時(shí)延。

集中管理，分部部署

提供全分布式的三級(jí)網(wǎng)管架構(gòu)，包含：第一層一業(yè)務(wù)探測(cè)與實(shí)施引擎，第二層一網(wǎng)管服務(wù)

器，第三層一操作操縱臺(tái)。這種結(jié)構(gòu)關(guān)于在數(shù)據(jù)庫保護(hù)這樣的大型網(wǎng)絡(luò)系統(tǒng)中部署統(tǒng)一的

安仝策略具有至關(guān)重要的意義。來自多個(gè)網(wǎng)關(guān)的日志數(shù)據(jù)也將顯示在單個(gè)視圖中，并存儲(chǔ)

在單個(gè)管理服務(wù)器數(shù)據(jù)庫中。這樣能夠增強(qiáng)管理的便利性，多網(wǎng)關(guān)的動(dòng)態(tài)業(yè)務(wù)模型、IPS策

略與系統(tǒng)參數(shù)集中存儲(chǔ)于管理服務(wù)器，策略更換在服務(wù)器上進(jìn)行，通過簡(jiǎn)單操作可將這些

更換自動(dòng)公布到多個(gè)網(wǎng)關(guān)中，立刻生效，方便快捷。

3.3總體設(shè)計(jì)方案

根據(jù)XX數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡(luò)架構(gòu)與數(shù)據(jù)庫服務(wù)器與中間件服務(wù)器的部署將點(diǎn)，我們提出

了一套完整的解決方案：在數(shù)據(jù)庫交換機(jī)上做旁路鏡像。將旁路信號(hào)入數(shù)據(jù)庫審計(jì)設(shè)備，

完成對(duì)數(shù)據(jù)庫服務(wù)器的訪問、操作行為的實(shí)時(shí)監(jiān)測(cè)審計(jì)，完整地記錄所有的訪問與操作行

為與內(nèi)容，該系統(tǒng)還提供了數(shù)據(jù)庫服務(wù)器負(fù)載狀況監(jiān)測(cè)、客戶端訪問操作的全面分類統(tǒng)計(jì)

與排名等功能。在交換機(jī)做旁路，部署運(yùn)維安全設(shè)備HACo針對(duì)數(shù)據(jù)庫服務(wù)器本身的遠(yuǎn)程

訪問進(jìn)行操縱與審計(jì)。

使用hnperva數(shù)據(jù)庫安全審計(jì)網(wǎng)關(guān)作為數(shù)據(jù)庫系統(tǒng)審計(jì)，具基本原埋是：通過旁路監(jiān)

聽的方式，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí)采集過濾，對(duì)各類上層的數(shù)據(jù)庫應(yīng)用協(xié)議數(shù)據(jù)進(jìn)行分析與

還原，然后再進(jìn)行SQL語法解析，最后對(duì)審計(jì)記錄進(jìn)行存儲(chǔ)、對(duì)違規(guī)的審計(jì)記錄進(jìn)行實(shí)時(shí)

報(bào)警，同時(shí)生成審計(jì)報(bào)表與統(tǒng)計(jì)報(bào)表信息。

基于旁路監(jiān)聽的數(shù)據(jù)庫審計(jì)的解決方案具有下面的一些優(yōu)勢(shì)：

＞不需要對(duì)生產(chǎn)數(shù)據(jù)庫進(jìn)行任何設(shè)置.，也不需要改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu)與配置。

＞使用旁路監(jiān)聽方式，不影響生產(chǎn)數(shù)據(jù)庫的性能，不占用生產(chǎn)數(shù)據(jù)庫服務(wù)器的網(wǎng)絡(luò)帶

寬，同時(shí)在對(duì)審計(jì)數(shù)據(jù)進(jìn)行壓縮備份時(shí)不影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

＞與數(shù)據(jù)庫管理系統(tǒng)方身的審計(jì)功能相比具有更快的響應(yīng)速度,能夠進(jìn)行實(shí)時(shí)審計(jì)與

處理。

＞審計(jì)數(shù)據(jù)更加安全。與原有的業(yè)務(wù)網(wǎng)絡(luò)隔離，因此能夠更有效地保護(hù)審計(jì)數(shù)據(jù)的安

全。同時(shí)審計(jì)數(shù)據(jù)傳輸過程中使用了加密隧道與身份認(rèn)證機(jī)制，有效防止了審計(jì)

信息的被竊、被篡改與身份假冒.

＞具有專門的審計(jì)日志格式與審計(jì)報(bào)表，易于查詢。

＞由于使用了動(dòng)態(tài)建模技術(shù)，通過自動(dòng)檢測(cè)分析實(shí)時(shí)數(shù)據(jù)庫通信，然后應(yīng)用復(fù)雜的學(xué)

習(xí)算法來創(chuàng)建包含訪問數(shù)據(jù)庫的每個(gè)用戶與應(yīng)用程序的所有合法活動(dòng)的”業(yè)務(wù)模

型”，包含數(shù)據(jù)庫客戶端的計(jì)算機(jī)名，程序名，數(shù)據(jù)庫用戶名，數(shù)據(jù)庫名，表名與

全面的數(shù)據(jù)庫操作內(nèi)容等信息?！?業(yè)務(wù)模型”大僅用作以后審計(jì)評(píng)估用戶或者應(yīng)用

程序行為更換的根據(jù)，而且還是針對(duì)數(shù)據(jù)庫使用自動(dòng)生成的安仝策略，信息安仝

團(tuán)隊(duì)使用“業(yè)務(wù)模型”不僅能夠監(jiān)視與審計(jì)數(shù)據(jù)庫使用狀況，而且還能夠防止數(shù)

據(jù)庫受到攻擊。

使用HAC運(yùn)維安全產(chǎn)品對(duì)數(shù)據(jù)庫服務(wù)器本身的運(yùn)維進(jìn)行安全審計(jì)，其基本原理是：運(yùn)

維人員遠(yuǎn)程接入時(shí)，通過統(tǒng)一的登錄入口，利用權(quán)限操縱，訪問不一致的目標(biāo)服務(wù)器資源。

并對(duì)運(yùn)維全過程進(jìn)行實(shí)時(shí)，事后的監(jiān)控與追溯。

使用單臂模式部署時(shí)，其要緊的優(yōu)勢(shì)是：不改變網(wǎng)絡(luò)拓?fù)洌惭b調(diào)試過程簡(jiǎn)單，可按

照企業(yè)網(wǎng)絡(luò)架構(gòu)的實(shí)際情況靈活接入。具有下列特點(diǎn)：

＞系統(tǒng)使用協(xié)議分析、基于數(shù)據(jù)包還原虛擬化技術(shù)，實(shí)現(xiàn)操作界面模擬，將所有的

操作轉(zhuǎn)換為圖形化界面予以展現(xiàn)，實(shí)現(xiàn)100%官計(jì)信息不丟失。

＞針對(duì)運(yùn)維操作圖形化審計(jì)功能的展現(xiàn)外，同時(shí)還能對(duì)字符進(jìn)行分析，包含命令行

操作的命令與回顯信息與非字符型操作時(shí)鍵盤、鼠標(biāo)的敲擊信息。

＞系統(tǒng)支持的審計(jì)協(xié)議與工具包含:

/終端命令操作：Telnet、SSH

/Windows圖形：RDP、VNC

/Unix/Linux圖形：Xwindows

/AS400主機(jī)圖形：AS400

/文件上，專與下載：FTP、SFTP

/數(shù)據(jù)庫管理工具：pcAnywhere、DameWarePL/SQL>TOAD等工具

3.4建設(shè)目標(biāo)與原則

在為XX配置實(shí)施數(shù)據(jù)安全整體解決方案時(shí)的時(shí)候，遵循下列的配置基本原則：

?功能性滿足本項(xiàng)目的實(shí)際需要

?能夠支持現(xiàn)有應(yīng)用系統(tǒng)，如數(shù)據(jù)庫類型、本版等

?處理性能滿足系統(tǒng)的需要

?對(duì)現(xiàn)有系統(tǒng)的無影響，包含；開地址空間、路由規(guī)劃、無需調(diào)整應(yīng)用系統(tǒng)（如設(shè)

置Proxy,安裝軟件等）

3.5建設(shè)方案

為了不影響數(shù)據(jù)庫的正常使用與安全，數(shù)據(jù)庫審計(jì)設(shè)備與運(yùn)維安全設(shè)備以旁路方式部

署。通過在數(shù)據(jù)庫交換機(jī)上做端口鏡像的方式，把數(shù)據(jù)庫數(shù)據(jù)流鏡像到數(shù)據(jù)庫審計(jì)網(wǎng)關(guān)，

同時(shí)在數(shù)據(jù)庫審計(jì)網(wǎng)關(guān)上配置管理IP,方便遠(yuǎn)程管理。HAC設(shè)備旁路部署在數(shù)據(jù)庫交換機(jī)

上的任意端口，保證訪問端，被訪問端與HAC的IP路由可達(dá)，拓?fù)鋱D如下圖：

業(yè)分?jǐn)?shù)據(jù)流

運(yùn)維數(shù)據(jù)流

業(yè)務(wù)數(shù)據(jù)

經(jīng)紅色數(shù)據(jù)流方

向前行

impcrva管理

運(yùn)維數(shù)據(jù)

路徑如遠(yuǎn)程?hào)|面《選

H33M9）

彩色路—為邏轉(zhuǎn)數(shù)把走SSH（端I122）

向，所仃數(shù)據(jù)實(shí)際均通經(jīng)色數(shù)據(jù)流行

過上T網(wǎng)絡(luò)化輸旁路鏡像向前行

為了全面及時(shí)地掌握XX數(shù)據(jù)庫系統(tǒng)的運(yùn)行、訪問與操作情況，并即時(shí)進(jìn)行必要的處置,

使數(shù)據(jù)安全管理問題得到了有效的解決。除了默認(rèn)的全部審計(jì)策略，還需要制定適合的策

略來快速定位關(guān)鍵的、需要關(guān)注的各類操作。

為熟悉決各類需求，我們建立了下列審計(jì)策略：

1.關(guān)鍵數(shù)據(jù)庫表審計(jì)

這個(gè)策略的作用條件為：根據(jù)我們的業(yè)務(wù)類型，部分?jǐn)?shù)據(jù)庫表中存在大量的敏感信息,

對(duì)這類表我們要著重關(guān)注。

2.非已知應(yīng)用程序?qū)徲?jì)

網(wǎng)絡(luò)中可能存在多條路徑，多種終端，多種客戶端軟件，對(duì)我們的數(shù)據(jù)庫進(jìn)行訪問，

對(duì)此通過我們能夠關(guān)注到整個(gè)網(wǎng)絡(luò)中各類終端，軟件對(duì)數(shù)據(jù)庫的訪問

4M

Ki陰^門宿4溝耳施行￡借&.“

I-4-1J

"1+FWM氏年也字用尸彳評(píng)-14.1

pa-y>-sRn*41-4-1

MMrZif141

KJ?6?**7X1-4-1

mr,Cpc-^knc11??

A?與富“"岫》,1-4-1

"14-1WfcMs2C?t?nMrro,e<?-

gq.c”w，此

X、玄「康丁史之我141ZD

“M>m^3W

的?十臾年火爾夫M41XIL*_I

￡序戶:.f8

swmM-4-1

_CZ3r4q*?M

?>RU產(chǎn)M41C4X.C^

y4?月戶31?七1?+1二J

叔H-4-1

"本?，加噌％KW.M4.1I

Chied.t-4-1

5鞏4P134?

,1-3-11

心了―gxj?IM

lo3r?cozcifjlent:141CUcsk4l

lira;1?!!?-1-3-4|b<atait

CUMbuStiWlf-4-1[(><Wml

，；WU4?141CtMOltt

，4u：川JC1-4-1ecs?匕

皿「卜141

eM，3tiu74

raiitiipMM

?14.1

-141

,1-4-1

X!6"?t41

8rM奉計(jì)?魚W1.

3.重要操作審計(jì)

這個(gè)策略的作用條件為兩個(gè)：記錄對(duì)數(shù)據(jù)庫的插入、刪除、更新、特權(quán)操作，排除對(duì)

已知應(yīng)用程序的審計(jì)。這個(gè)策略是審計(jì)對(duì)數(shù)據(jù)庫的重要操作，記錄未知應(yīng)用程序與客戶端

軟件對(duì)數(shù)據(jù)庫寫操作，防止數(shù)據(jù)庫被無意或者惡意的篡改。

Ml1KMM■、*,裁，?5：cur>?

屏I?利蒼愉方>%

IM-1■Ii??iI

!PCI-在幻“eb為竄”*用戶?濘IM-1

；eaMrMigbwHV41施VX至0QJTN-fV*7F*r，lR。I

j2?U.*計(jì)11-4-1

Pr4t

li?7B

審"nciom；V41

更1?41

心Elf更IM1

：8>.THfi5T.tP41

**管燈介IT.41

9CM-W^PIM-1

1M1

r-4-i

IM1

；curM!'M-1

cjr哂-4pn34

!iO4h-?fKf11310

[而"-，9刈t

io^r??ox：季ircw1??41

11Q

cs屈:HIM1

r-li(h^lr1“

Sst*u：mIM-1

，例3rr-41

用GWAMUr-4-i

EWxirr41

JWXakMtJc.ilin

V，1

「?41

間金IM-1

Hl明叫r-41

3.5.1數(shù)據(jù)庫審計(jì)目標(biāo)服務(wù)器

針對(duì)目標(biāo)服務(wù)器，其審計(jì)概況如下

SECURSSPHERE

周期訪問量:

9■IVIPERVK

SECURESPHERE申計(jì)US［監(jiān)則~IThreatRadarI

聶蜴摩審計(jì)較蜴|市計(jì)管理統(tǒng)計(jì)信息|仃若管呷

范閨

第■:報(bào)告丹Ml：11/08/2012.140011，Q9,2012.0100(0天,11小仃)［史斯)

chengdu-oradejogm-andjogout(4lJ［▼］過迎K：空

時(shí)段：凌里箕

?

清逢拜P71日定文點(diǎn)擊用戶被心刑的時(shí)務(wù)2s

20,552留

模圖

點(diǎn)擊曲細(xì)分《按天》：

“統(tǒng)計(jì)信息

O解蘇涔分析

被監(jiān)則B陰R另名

爰監(jiān)刑的數(shù)據(jù)存

教掘庫服夯物生發(fā)

O波分析

共享數(shù)

數(shù)據(jù)

庫

源應(yīng)

用

通主

機(jī)

接作天點(diǎn)擊登錄用戶主機(jī)

系

源舊2012年11月8日1959210.100725488

，

年月日71

用戶201211996059890

蛆

應(yīng)用

程皮由數(shù)細(xì)分（搐網(wǎng)》:

登錄

分

各源

的0.."?.92I19600

0

O數(shù)據(jù)訪問線式―――-r/

?多的查詢圖m青一明:百三5Q

查詢類型分析

天

苦誨liP呈Thursda，194S0

量據(jù)窿甯計(jì)於據(jù)

3.5.2數(shù)據(jù)庫登錄情況

主峻堂理

,友昭分期瞄