此处是Logo数据库审计系统技术白皮书地址：电话：传真：邮编：■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京所有，受到有关产权及版权法保护。

任何个人、机构未经北京的书面授权许可，不得以任何方式复制或引用本文的任何内容。

■适用性声明文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。

目录一.产品概述 (1)二.应用背景 (1)2.1现状与问题 (1)2.1.1现状 (1)2.1.2问题 (2)2.2需求分析 (3)2.2.1政策需求 (3)2.2.1.1《信息系统安全等级保护基本要求》 (3)2.2.1.2《商业银行信息科技风险管理指引》 (3)2.2.2技术需求 (4)2.2.3管理需求 (4)2.2.4性能需求 (4)2.2.5环境与兼容性需求 (5)2.2.6需求汇总 (5)三.产品介绍 (6)3.1目标 (6)3.2产品功能 (6)3.2.1数据库访问行为记录 (6)3.2.2违规操作告警响应 (6)3.2.3集中存储访问记录 (7)3.2.4访问记录查询 (7)3.2.5数据库安全审计报表 (7)3.3产品部署 (7)3.3.1旁路部署 (7)3.3.2分布式部署 (8)3.4产品特性 (9)3.4.1安全便捷的部署方式 (9)3.4.2日志检索能力 (9)3.4.3灵活的日志查询条件 (10)3.4.4灵活的数据库审计配置策略 (10)3.4.5数据库入侵检测能力 (10)3.4.6符合审计需求设计 (11)四.用户收益 (11)4.1对企业带来的价值 (11)4.2全生命周期日志管理 (12)4.3日常安全运维工作的有力工具 (12)数据库审计系统--技术白皮书一.产品概述数据库审计系统（以下简称 XXX）是一款专业、主动、实时监控数据库安全的审计产品。

本系统采用有效的对数据库监控与审计方式，针对数据库漏洞攻击、SQl注入、风险操作等数据库风险操作行为发生记录与告警。

能对不同的场景定制审计策略，如：信任，敏感模糊化和行为告警等策略。

本系统可以有效的评估数据库潜在风险；实时监控数据库用户的访问行为；它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部网络行为记录，提高数据资产安全。

二.应用背景在高速信息化的今天，数据安全问题已涉及到各行各业中，数据泄漏所引发的社会问题持续高涨。

信息安全成为国家安全战略的重要部分。

2.1现状与问题数据库安全问题是亟待解决的安全核心痛点。

2.1.1现状⏹数据库是数据信息存储的最主要形式，而当前信息泄露案例的90%以上与数据库相关⏹80%的数据库没有任何防护措施，面对数据篡改、数据破坏、数据泄漏等问题，追踪、定责、挽回损失等方式显得极为疲软⏹在传统IT架构向云计算模式迁移过程中，数据安全成为客户关注的核心问题2.1.2问题互联网的急速发展使得企业的数据库信息价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面：政策层面：数据库里保存着客户信息和各类资金数据，数据库的安全不仅关系到用户自身的利益和品牌，还关系到公共秩序甚至国家利益。

在国家等级保护、中国人民银行及银监会信息安全规范以及国际支付卡行业数据安全标准等都有着明确的要求。

技术层面：➢数据库自身存在重大安全缺陷（访问控制缺陷、数据库管理系统漏洞、明文存储）➢更为复杂的数据库应用环境（B/S架构的应用使数据库间接暴露到互联网、各种类型的外包工作人员直接访问数据库、数据库共享使各种应用系统程序直连到数据库）➢传统防护方案具有局限性（网络防火墙产品不对数据库通讯协议进行控制、IPS/IDS/网络审计并不能防范那些看起来合法的数据访问、绕过WAF系统的刷库行为屡见不鲜、无法解决来自于业务系统本身的安全威胁、忽略了内部人员的管控）➢运维管控存在泄密途径（测试数据泄密、导出明文备份数据导致泄密、图形化操作无法控制、无法控制返回结果集、恶意程序恶意访问）➢内部信息泄漏（利用数据库的漏洞攻击、应用数据库账户泄露、敏感信息以明文存储、DBA用户操作无法监管）管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审2.2需求分析2.2.1政策需求2.2.1.1《信息系统安全等级保护基本要求》依据信息安全等级保护要求，XXXX应用系统被定义为三级，在安全审计方面均有与数据安全相关的要求，以下为等保关于数据安全的内容。

2.2.1.2《商业银行信息科技风险管理指引》2.2.2技术需求◆审计系统应能在保护数据库安全的前提下，针对运维人员对数据库的访问行为进行审计，审计的内容包括了访问的时间、地址、目标资源以及详细的操作内容呈现。

◆审计系统应对各类数据库进行实时的监控管理，监控数据库的运行状态，保证数据的不中断。

能够对各类的数据库进行安全扫描，在发现配置或安全漏洞时提供有限的解决建议，保证数据库的可靠性。

◆审计系统应对重要数据库操作进行审计，审计范围包括数据库维护人员、超级用户以及应用用户行为。

◆审计系统应能够对审计上来的日志有一定的保护能力，不能随意修改和删除日志。

日志的存储应采用加密形式进行保存。

2.2.3管理需求应对第三方数据库厂家以及超级权限用户进行控制，能够控制其访问数据库的操作，对其所做的操作进行全面的审计，保证重要数据的不丢失不泄密。

2.2.4性能需求为了保证系统的不间断运行需对审计系统的性能有一定要求。

在数据正常的情况下应保证：◆峰值处理能力（SQL语句、条/秒）：18000◆吞吐量（Mb/sec）：2000Mbps◆一万条审计日志搜索时间小于5秒2.2.5环境与兼容性需求审计系统支持以下审计资源以及交换机类型，保证系统的正常上线和后续的使用。

2.2.6需求汇总通过对于用户的环境的了解以及所提出问题的了解分析，具备需求体现在如下几个方面：◆能够满足等级保护以及行业规定对于数据库安全方面的要求。

◆对登录数据库和操作数据库的人员进行详细的操作审计。

◆能够对用户网络内的数据库系统进行监控与漏洞的扫描。

◆对现有业务和系统不产生任何影响。

◆整体审计系统具备一定的保密性，确保审计数据的安全性。

◆维护简单、具备专业的审计功能，节约人力，减少维护费用。

三.产品介绍3.1目标◆保护数据库以及核心数据安全；◆提供灵活、便利的策略定制；◆通过事后的合规性分析，帮助您发现针对数据库攻击行为和安全隐患；◆帮助您从多角度了解数据库活动现状；◆帮助您满足合规/审计的要求；◆简化您审计的工作。

3.2产品功能3.2.1数据库访问行为记录数据库审计系统支持对多种类数据库的操作行为进行采集记录，探测器通过旁路接入，在相应的交换机上配置端口镜像，对用户访问数据库的数据流进行镜像采集并保存信息日志。

数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。

数据库审计系统支持记录的行为包括：◆数据操作类（如select、insert、delete、update等）◆结构操作类（如create、drop、alter等）◆事务操作类（如Begin Transaction、Commit Transaction、RollbackTransaction 等）◆用户管理类以及其它辅助类（如视图、索引、过程等操作）等数据库访问行为，并对违规操作行为产生报警事件。

3.2.2违规操作告警响应数据库审计系统可通过规则设置对各类数据库操作访问行为进行实时监测，对网络中的异常数据库操作行为及时进行告警响应，实时显示告警信息并记录存储。

告警信息可通过邮件或短信等方式通知管理员，以确保管理员在第一时间发现用户对数据库的违规操作。

3.2.3集中存储访问记录通过数据库审计系统可以将分布在网络不同位置、不同类型的数据库的访问信息集中到统一的安全审计系统中进行存储，便于对记录数据进行分析。

3.2.4访问记录查询数据库审计系统采用专有的特殊文件系统对规范化的日志进行存储，同时也支持Mysql 等标准数据库存储，文件存储机制是根据日志系统的特殊性进行专门研发，为海量日志的存储及检索进行了优化设计。

产品内置高容量的硬盘存储空间，采用Raid硬盘阵列，可有效防止由于硬盘硬件问题而带来的数据丢失，同时数据库审计系统还支持外挂存储系统，从而实现存储空间的海量扩充。

3.2.5数据库安全审计报表数据库审计系统通过动态报表的方式对数据库操作行为审计结果进行统计分析。

系统默认内置丰富的报表模板，其中大部分报表均符合SOX法案、等级保护等法规、标准对信息系统的审计需求，同时，用户也可以根据自身的实际需求自定义报表内容，生成审计报表，审计报表可以以HTTP和EXCEL格式导出。

3.3产品部署3.3.1旁路部署设备旁路在数据库前端交换机，通过接收交换机端口镜像数据流对数据库进行审计，该拓扑方案无需更改任何现有拓扑结构，同时也不会对现网造成任何影响。

图 1 旁路部署拓扑图3.3.2分布式部署和单一部署类似，设备旁路在数据库前端交换机，通过接收交换机端口镜像数据流对数据库进行审计，该拓扑方案无需更改任何现有拓扑结构，不会对现网造成任何影响；多台设备通过管理口通讯级联对规则策略进行同步。

图 2 分布式部署拓扑图3.4产品特性3.4.1安全便捷的部署方式数据库审计系统对数据库操作访问行为采用全旁路方式进行审计，无需串联在网络设备中；不在数据库主机上安装客户端软件；不改变客户原有的任何登录方式；部署便捷，不会破坏本身网络结构，不影响数据库系统的性能，实施成本较低。

数据库审计系统进行维护、升级时不会影响到正常业务的运行，也不会影响到网络性能。

3.4.2日志检索能力数据库审计系统采用了公司自主开发的基于海量日志索引的日志检索引擎，避免了采用关系型数据库在处理海量日志数据时的低效率问题，采用“基于预测的动态索引技术”、“数据正交分组技术”及“适应磁盘的索引存储”“即时结果反馈技术”等核心技术手段，实现了对日志的高速检索能力。

数据库审计系统对于在缓存中的日志（最近入库的日志），以四重以内组合条件查询，能够在5秒内即返回完整的检索结果。

对于任意时间段内的历史数据查询，数据库审计系统也能够在数秒钟内即反馈符合要求的检索结果。

3.4.3灵活的日志查询条件数据库审计系统支持不限次数的多重条件查询规则设定，管理员可根据日志的类型、发生时间、不同字段内容等条件组合进行精细匹配。