网络安全审计系统方案
网络安全审计系统方案 数据库审计
业界最全面的数据库类型支持
Oracle
SQL-Server Teradata PostgreSQL 达梦数据库
Informix Sybase Cache 南大通用
数据库操作
DB2 MySQL 人大金仓 神通(Oscar )
非公开协议解析的能力
不同的编码格式的协议
公开协议解析
运维协议
Telnet SCP
Rlogin SFTP
SSH FTP
不同版本的协议
RDP/VNC
SMTP/POP3
Netbios/NFS HTTP(S) …
围绕数据库的业务网络的合规审计,同时支持各种运维协议。
最细粒度的审计内容和过滤条件设置
客户端程序名、数据库响应、响应时间审计
操作针对的数据表列名、列值审计
运维区域
• •
多级管理:适应用户多层 管理架构,可以实现审计 系统的多级管理。 分布式部署:一个数据中 心可以对多个审计引擎进 行管理和控制。
• • •
在线审计实现的基础为“建立唯一访问路 径,一切的行为均通过该路径进行访问, 只审计该路径” 旁路审计实现的基础为“一切网络访问行 为均不可信,均需要审计” 两种审计部署方式存在着很强的互补性, 通常都会一起部署,从而实现控制与审计 的完美结合
技术优势-数据库审计的多项领先技术
第一家提出数据库“语义解析”的审计方法 第一家提出“三层关联”的审计方法
第一家支持在线部署和实时命令阻断的审计产品
第一家通过IPv6 Phase2 Ready认证 第一家通过安全产品测评EAL 3级认证 第一家通过保密局审计产品增强级认证 产品采用的专利技术最多 产品支持的数据库类型最多
2013- 低级 201303-15 低级 03-15 16:30: 16:30:0 01 1 2013- 中级 2013中级 03-15 03-15 16:30: 16:30:0 01 1
ORAL User_ SELECT ORAL roles User_ SELECT roles
SELECT SELECT name FROM name FROM user_roles user_roles WHERE role WHERE role = = 'CONNECT' 'CONNECT' ORAL User_ UPDAT Update ORAL User_ UPDAT Update roles E user_roles roles E user_roles set set password password =’123’ =’123’ WHERE role WHERE role = = 'CONNECT' 'CONNECT'
超长SQL审计、变量绑定访问审计 数据库本地日志审计(syslog方式接收) 存储过程内容审计 对数据库系统返回结果进行审计和关键信息还原
Select * from T-User
ID 1 2 3 name a b c age 16 32 28
操作基线及异常发现
根据实时流量自动形成操作基线
专业设计的数据库结构,优化审计日志入库方式, 提升入库速度,达10万条/秒以上。业界最高! 数据中心与审计引擎采用独立平台,将管理与检测分担 在不同硬件,提高整体处理性能。 借鉴启明星辰IDS的零拷贝技术,千兆网络捕包性能 达到线速。 采用专业的状态检测和特征匹配相结合算法,提升 数据包解析速度。 数据预处理技术,将日志的检索和统计工作分散进 行,1T日志的检索速度达秒级。
常规审计:只能审计页面访问或数据库访问的单一过程,无法追踪溯源 关联审计:前后台关联,得到SQL的业务用户ID,得到页面动作引发的数据库变化
业内唯一支持数据库操作命令级阻断
• 命令阻断功能:对高位操作执行阻断,当前会话依然 存活,不影响其他正常操作继续执行
高性能处理——业内最高的审计性能
DB
审计日志IDS零拷贝源自审计状态检测 特征匹配
审计响应
预处理
审计报表
多级分布式管理,全方位审计
总部
审计数据中心
旁路引擎
旁路审计引擎
旁路审计引擎 审计数据中心
二级公司
二级公司
审计数据中心
数据库 服务器 区域 在线引擎 数据中心
旁路审计引擎 旁路审计引擎
服务器区 在线审计引擎
内部维护人员 外包人员
业务系统 服务器区
2003年上市,十年的技术积累,造就了多项业内第一
技术优势-专利列表
CN1953454 基于角色管理的安全审计方法及系统 CN101388010 一种Oracle数据库审计方法及系统 CN101426008 一种基于回显的审计方法及系统 CN101436956 一种数据库操作响应时间测算方法及系统 CN101388899 一种Web服务器前后台关联审计方法及系统 CN101453358 一种oracle数据库绑定变量的sql语句审计方法及系统 CN101453359 一种数据库错误信息提取方法及系统 CN101471926 网络行为审计访问规则定义方法及系统 CN101561806 DB2数据库操作的信息提取和审计方法及其装置、系统 CN101562528 一种网络审计类软件的授权方法 CN101562603 一种通过回显解析telnet协议的方法及系统 CN101582880 一种基于被审计对象的报文过滤方法及系统 CN101527626 TELNET用户操作过程静态数据的保存回放方法 CN101478406 一种实时监视远程用户网络操作行为的方法 。。。。。。
web应用前后台关联审计(续)
时间 时间 级别 业务 业务 源IP 业务 数据 数据库 账号 库帐 帐号 客户 URL 端IP 号 Webusr 192.168.10.1 Alice 192.1 http://c Webu 68.35. hong.t ser 6 mall.co m/xx Webusr 192.168.10.1 Bob 192.1 http://c Webu 68.36. hong.t ser 3 mall.co m/xx 数据 库名 表名 表名 命令 命令 SQL
智能发现各类操作异常
越权操作 频次异常
web应用前后台关联审计(关联准确率最高)
业务服务器
APPUser1
User2
APPConnUser
User1
APP应用
APPUser2 HTTP(S)
业务中 间件
SQL
APPUser3
数据库
业务用户
问题1:哪个业务用户的访问导致的数据库改变? 问题2:业务用户操作的整个路径是怎样的?
