慧眼数据库审计系统产品白皮书（V3.0）国都兴业信息审计系统技术（北京）有限公司二〇一四年版权声明本技术白皮书是对国都兴业信息审计系统技术（北京）有限公司慧眼数据库审计系统产品的描述。

与内容相关的权利归国都兴业信息审计系统技术（北京）有限公司所有。

白皮书中的任何内容未经本公司许可，不得转印、复制。

本资料将定期更新，如欲索取最新资料，请访问本公司网站： 您的意见或建议请发至：china@公司联系方式：国都兴业信息审计系统技术（北京）有限公司北京市海淀区东北旺西路8号中关村软件园10号楼106室邮政编码100193106 Great Road Building, Zhongguancun Software Park,8 Dongbeiwang Western RD, Haidian District, Beijing 100193,P.R.China电话(Tel): +86-10-82585166传真(Fax): +86-10-82825363电子信箱: china@公司简介国都兴业信息审计系统技术（北京）有限公司创建于1998年，公司总部设立于北京中关村软件园，是最优秀的信息系统审计解决方案、产品和服务提供商，具有强大的自主研发实力，是通过ISO9001：2000质量管理体系认证的北京市高新技术企业。

国都兴业致力于提升用户掌控信息系统风险的能力，在信息系统的安全性、可靠性、合规性等方面提供全面的IT审计解决方案和服务，开发和销售专业的IT审计产品，解决用户对信息系统监测、评估和控制管理等方面的各项需求。

国都兴业是国内信息系统审计领域最具技术创新和产品研发实力的企业，是国内最早研发生产网络应用监控审计类产品的知名企业。

国都兴业推出的“慧眼”信息审计系列产品，能够针对IT基础设施、信息安全、网络应用、数据库应用以及业务操作等方面，提供全方位地实时监测和审计，被广泛地应用于企业内部控制、企业风险管理、信息系统安全保障等方面。

“慧眼数据库审计系统”连续两年入选中央国家机关网络安全产品协议供货商名录，通过国家、公安部、涉密、军队等信息安全产品认证，并被授予“2008年度最值得信赖品牌奖”。

国都兴业拥有来自军队、科研机构、国内知名院校的专家与学者组成的研发团队，拥有与国家信息技术安全研究中心（N&A）共同组建的网络安全监控技术实验室，在为政府、军队、金融、电信、能源、医疗、教育等行业提供了完善的网络安全解决方案和服务的同时，还承担了多项国家、军队科研攻关项目的研究工作。

国都兴业以雄厚的技术实力、优秀的产品和优质的服务获得业界的广泛认可，荣获“中国信息化建设30周年杰出贡献单位奖”、“中国信息化建设30周年杰出贡献人物奖”，入选北京信息安全服务平台2008年度运维支持单位，并圆满完成2008年奥运网络安全评估与保障任务，被授予“共铸网络利剑，携手平安奥运”的嘉奖。

国都兴业将秉承“诚信、兴业、自信、创新”的企业精神，致力于成为最优秀的IT审计企业、最值得客户信赖的企业、最吸引优秀人才的企业，为“提升企业驾驭IT的能力，创造信息系统新价值”而不懈努力！目录1概述 (1)2用户需求 (2)2.1合规性需求 (2)2.2降低安全性风险 (4)2.3监测可用性风险 (4)2.4避免审计风险 (4)2.5弥补传统安全技术的盲点 (5)2.5.1传统安全设备的盲点 (5)2.5.2数据库自身日志审计的缺陷与危害 (6)2.5.3同类传统审计产品的风险之后性 (6)3系统架构与功能介绍 (8)3.1慧眼数据库审计系统技术原理 (8)3.2慧眼数据库审计系统体系架构 (9)3.3产品主要功能 (9)4产品优势特点 (11)4.1国内领先的，自主可控的数据库审计系统 (11)4.2支持中间件三层关联审计，数据库操作可真正定位到责任人 (11)4.3通过自动学习业务用户的行为习惯，识别非法越权操作并报警 (11)4.4事先发现数据库已知风险，监控数据库系统安全性 (12)4.5数据库性能分析协助运维人员分析业务系统瓶颈 (12)4.6全面的数据库协议解析，不放过任何可疑数据 (12)4.7易用性好，非专业人员也能快速上手 (12)5用户价值 (13)5.1防止管理员权限滥用 (13)5.2降低维护人员的安全隐患 (13)5.3保护重要数据安全 (14)5.4满足合规性要求，促进IT审计 (14)5.5促进落实规章制度监督管理机制 (14)6产品典型应用环境 (15)7典型用户 (16)8产品资质 (17)1 概述慧眼数据库审计系统（简称：DBAudit）是国都兴业自主研发业界首创的细粒度审计、精准化行为回溯、用户行为风险自动识别、全方位风险控制的数据库安全审计产品。

用于解决数据库自身审计功效率低、性能差和无法集中审计的问题，是集动态基线保护技术、访问与反馈结果的双向审计技术、主流数据库与国产数据库的专用协议解析分析技术、非法操作阻断技术、中间件关联审计技术、多报警响应方式的先进数据库审计产品。

国都兴业慧眼数据库审计系统比数据库自身审计拥有更好的性能，以及更可靠、高效的安全防护策略；比传统数据库审计产品拥有更强的数据解析能力、三层业务关联能力、以及更高的易用性，而且慧眼数据库审计系统独有的动态基线、性能分析等功能，可使用户的数据库运维和安全得到更好的保障。

2 用户需求数据库往往存储着是企、事业组织最核心、最重要、最有价值，同时也最敏感的数据资产，因此，对于数据库的安全管理和操作风险已日益引起政府、行业和企业管理者的高度重视。

在安全风险管理方面，企业和政府部门随着信息化建设的不断发展促使信息价值不断提升。

随着业务和IT 融合不断地深入和数据共享需求的不断扩展，数据库安全面临着管理、技术和审计的多方面风险。

图1-1 数据库安全风险2.1 合规性需求目前, “公司治理”(Corporate Governance)问题因上市公司频频“惊曝黑幕”而成为全球性的话题。

前几年在美国出现的安然、世通、施乐等粉饰业绩，导致企业崩溃的案件，英国出现的巴林银行违规交易导致破产的事件，日本出现的雪印食品公司舞弊案件，中国出现的蓝田股份和银广厦的利润神话破灭事件，特别是美国次级房贷引发的华尔街金融危机，进而引发了百•内部人员违规操作•第三方维护人员安全隐患•超级用户操作•多人共享帐号•网络层系攻击•操作系统漏洞•数据库攻击•应用系统后门•数据共享需求膨胀•日志缺失•安全事件难于追溯•安全事件难于定位年老店雷曼兄弟公司的破产，充分暴露了金融监管和企业风险控制的失控，使公司治理成为企业高层议事日程中最重要和迫切的任务之一。

在信息环境下，作为“公司治理”最重要组成部分之一——IT治理，在企业中扮演着越来越重要的角色。

“如何通过IT审计对IT治理环境进行有效的控制，确保IT治理与企业战略目标相符”成为了企业及其监管部门最关心的问题之一。

“萨班斯法案”是2002年美国国会通过的《上市公司会计改革与投资者保护法案》。

其中最为严格的第404条款规定，在信息管理方面，萨班斯法案强调了三个核心内容：即信息的完整性，信息的保密性和要求信息能够在适当的时间以适当的格式被访问；明确规定了包括对信息保护、信息准确跟踪、信息长期保存的要求。

萨班斯法案出台后，法国和日本也都先后出台了类似的新法规强化监管。

随着中国本土企业全球化扩张步伐的加快，国内公司遵循的许多规范正在逐步与国际接轨，如在美上市的中资企业需遵循SOX法案（上市公司会计改革与投资者保护法案）；同时随着国家等级化保护基本要求、以及行业风险管理和内控指引的出台，用户合规审计需求日益凸显，政府、电信、金融、大型企业等都纷纷制定相关的规范，成为安全审计发展的重要促进因素。

在中国，由于治理主体的明晰和到位，作为企业管理基础提升的企业治理已经成为现实问题。

推进企业治理, 建立规范、高效的现代企业制度，使企业运行的每个环节都处于规范和可控制状态，达到“透明、控制和效率”的治理效果，正是中国国有企业改革和上市公司治理所要努力的方向。

此外，电子商务的风险对交易双方都构成威胁。

破坏者可以来自企业外部也可以来自内部。

所面临的风险包括数据的失窃、毁坏、截取、改动、延误或传输路径的改变以及伪造信息。

这些风险会破坏正常的交易秩序，给交易双方带来巨大的损失。

财政部、证监会、审计署、银监会、保监会五部委发布的《企业内部控制基本规范》等都要求对信息系统做好审计工作，保证信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。

国家对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统实施信息系统安全等级保护制度，被赋予等级为2级以上的信息系统的网络系统、主机系统和数据库系统都必须具有安全审计。

通过数据库审计实现对信息系统中的网络操作及业务系统操作进行审计记录，以便及时发现可疑行为及违规操作，采取相应的措施。

通过数据库安全审计，可对发生的安全事件及时响应，不断跟踪网络操作和安全事件的变化，准确掌握信息系统的安全状态，并依据变化进行调整，确保满足企事业单位的安全要求，保护重要业务数据的安全。

2.2 降低安全性风险数据库存储着客户记录、财务数据以及患者数据等重要信息，很容易受到外部攻击者利用Web 应用程序实施的攻击以及内部员工利用更直接的权限实施的攻击，存在着诸多安全性风险：●利用信息系统的方便性，违反业务规范与流程操作●在数据上弄虚作假，导致数据信息的不真实●组织与机构的数据信息被泄露、窃取、篡改等问题这些都会给单位、企业、机构、群体和个人造成政治影响、经济损失、信誉损害和隐私暴露。

因此，对于数据的安全管理和操作风险必须得到政府、企业高层管理者的高度重视。

2.3 监测可用性风险许多事件都可能造成业务中断，从内部系统故障到用户操作错误。

因流程、人员或系统故障而使信息或应用程序无法访问，这些都可能造成信息资产损失，导致生产率下降、客户满意度降低、订单丢失、声誉品牌受损、公司收入和股价下降、面临法律诉讼风险使企业效率或价值大为降低。

2.4 避免审计风险随着企业信息化系统业务的不断发展，数据库应用范围越来越广，数据库系统承载着企业的账务数据、贸易记录、工程数据等重要信息。

然而企业数据库面临的安全威胁日渐增加，近年来不断发生的重要敏感数据被窃取、篡改问题，已经引起各方面的高度重视，成为迫切需要解决的问题。

如果信息系统在日常运行过程中无审计机制，对于企业管理层来讲无法对建立和维护内部控制系统及相应控制程序做出充分有效的评价；同时也会导致安全事件难于追溯、安全事件难于定位、无法追溯事故责任人等问题。

2.5 弥补传统安全技术的盲点2.5.1 传统安全设备的盲点传统的安全设备，如：IDS/IPS 、防火墙，都是针对于边界防护，而且防护的方向对外而不是对内的。