安全审计系统产品白皮书

绿盟安全审计系统产品白皮书

? 2011 绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■商标信息

绿盟科技、NSFOCUS、绿盟是绿盟科技的商标。

目录

一. 前言 (1)

二. 为什么需要安全审计系统 (1)

2.1安全审计的必要性 (2)

2.2安全审计系统特点 (3)

三. 如何评价安全审计系统 (3)

四. 绿盟科技安全审计系统 (4)

4.1产品功能 (4)

4.2体系架构 (5)

4.3产品特点 (7)

4.3.1 网络事件“零遗漏”审计 (7)

4.3.2 高智能深度协议分析 (7)

4.3.3 全面精细的敏感信息审计 (7)

4.3.4 多维度网络行为审计 (7)

4.3.5 全程数据库操作审计 (8)

4.3.6 业界首创“网站内容安全”主动审计 (9)

4.3.7 强劲的病毒检测能力 (9)

4.3.8 基于协议的流量分析 (10)

4.3.9 基于对象的虚拟审计系统 (10)

4.3.10 强大丰富的管理能力 (10)

4.3.11 审计信息“零管理” (12)

4.3.12 方便灵活的可扩展性 (13)

4.3.13 高可靠的自身安全性 (13)

4.4解决方案 (13)

4.4.1 小型网络之精细审计方案 (13)

4.4.2 中型网络之集中审计方案 (14)

4.4.3 大型网络之分级审计方案 (15)

五. 结论 (16)

插图索引

图2.1 信息安全体系结构模型 (2)

图4.1 绿盟安全审计系统功能 (4)

图4.2 绿盟SAS典型部署 (5)

图4.3 绿盟安全审计体系结构 (6)

图4.4 绿盟SAS数据库审计 (8)

图4.5 主动审计 (9)

图4.6 虚拟审计系统 (10)

图4.7 单级管理 (11)

图4.8 主辅管理 (11)

图4.9 多级管理 (12)

图4.10 小型网络之精细审计方案 (14)

图4.11 中型网络之集中审计方案 (15)

图4.12 大型网络之分级审计方案 (16)

一. 前言

随着信息技术的日新月异和网络信息系统应用的发展，网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展，政府、企业用户的网络应用也逐渐增多。

信息安全是一个动态的过程，在为自身业务提供高效的网络运营平台同时，日趋复杂的ＩＴ业务系统与不同背景业务用户的行为也给网络带来潜在的威胁，如内部业务数据、重要敏感文件通过电子邮件、数据库访问、远程终端访问(TELNET、FTP等)等方式被篡改、泄露和窃取；访问非法网站、发布非法言论等违规上网行为泛滥；严重破坏政府、企业的信息系统安全。

如何对业务系统访问和网络行为进行有效的监控，已经成为政府、企业重点关注的问题。

二. 为什么需要安全审计系统

随着业务系统访问、网络应用行为日益频繁，我们可能经常遇到如下情况：

◆内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全；

◆企业重要业务数据库，被员工或系统维护人员篡改牟利、外泄，给企业造成巨大的经济

损失；

◆员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式，发送重要敏感信息、业

务数据，导致信息外泄事件发生；

◆员工在论坛发表敏感信息、传播非法言论，造成恶劣社会影响；

◆等级保护要求。公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求

政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计；

◆萨班斯(SOX)法案。在美国上市公司必须遵循的“萨班斯(SOX)法案”中要求对企业内

部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计。

根据调查数据显示，大多数企业虽然已经采用一定的网络安全手段（如防火墙、入侵检测、漏洞扫描等）和管理措施，但是上述安全事件发生后，却仍然无法进行及时告警响应、准确定位事件源头，给企业带来极大的困扰和严重的信息安全隐患。

如何有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是企业迫切需要解决的问题。

2.1 安全审计的必要性

随着日益增长的互联网安全风险，安全问题的复杂性日益加大，综合FBI和CSI对484家企业的调查及中国国家计算机网络应急协调中心CNCERT/CC的调查结果显示大约76%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击及病毒造成的损失，而这些威胁绝大部分与内部各种网络访问行为有关。

防火墙、入侵检测等传统网络安全手段，可实现对网络异常行为的管理和监测，如网络连接和访问的合法性进行控制、监测网络攻击事件等，但是不能监控网络内容和已经授权的正常内部网络访问行为，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为（即时通讯、论坛、在线视频、P2P下载、网络游戏等）也无能为力，也难以实现针对内容、行为的监控管理及安全事件的追查取证。

因此，迫切需要一种安全手段对上述问题进行有效监控和管理。安全审计正是在这样的背景下产生。对于任何一个安全体系来说，审计追查手段都是必不可少。计算机信息安全可通过如下图 2.1 所示的信息安全体系结构模型来反映计算机信息系统安全需求和体系结构的共性，其构成要素是安全手段、系统单元及国际标准化组织（ISO）制定的开放系统互连参考模型（OSI）。在图2.1的安全手段中，审计是整个安全体系中不可缺少的重要组成部分。

图 2.1 信息安全体系结构模型

同时，在TCSEC和CC等安全认证体系中，安全审计是评判一个系统是否真正安全的重要标准。根据代表性的安全模型P2DR理论，网络信息系统在综合运用防护工具（如防火墙、操作系统身份认证、加密等手段）、检测工具（如漏洞评估、入侵检测等系统）的同时，必

须通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。

2.2 安全审计系统特点

安全审计系统（Security Audit System）是在一个特定的企事业单位的网络环境下，为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段。

安全审计系统的主要特点如下：

◆细粒度的网络内容审计

安全审计系统可对可对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等进行关键信息监测、还原；

◆全面的网络行为审计

安全审计系统可对网络行为，如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等，提供全面的行为监控，方便事后追查取证；

◆综合流量分析

安全审计系统可对网络流量进行综合分析，为网络带宽资源的管理提供可靠策略支持；

因此，通过传统安全手段与安全审计技术相结合，在功能上互相协调、补充，构建一个立体的安全保障管理体系。

三. 如何评价安全审计系统

安全审计系统具有对网络通信内容、网络行为的实时监测、报警、记录等功能。是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是安全审计系统的基本标准。

一个完善的安全审计系统（SAS）应该从四个方面评价：

◆细粒度的操作内容审计与精准的网络行为实时监控；

◆全面详细的审计信息，丰富可定制的报表系统；

◆支持分级部署、集中管理，满足不同规模网络的使用和管理需求；

◆自身的安全性高，不易遭受攻击；

四. 绿盟科技安全审计系统

针对网络中内部人员的敏感信息泄露、违规网络行为等层出不穷的安全事件，绿盟科技提供了完善的安全审计方案。

绿盟安全审计系统（NSFOCUS SAS）是绿盟科技自主知识产权的安全产品，通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。

4.1 产品功能

绿盟安全审计系统具有三大功能，如图 4.1 所示：

图 4.1 绿盟安全审计系统功能

内容审计

绿盟SAS系统提供深入的内容审计功能，可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。

◆行为审计

绿盟SAS系统提供全面的网络行为审计功能，根据设定行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、在线视频、P2P下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。

◆流量审计

绿盟SAS系统提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。

绿盟SAS支持旁路(Sniffer Mode)部署模式，并支持多个硬件监听口，提供对多网段的同时监听能力，典型部署如下图 4.2 所示：

图 4.2 绿盟SAS典型部署

4.2 体系架构

绿盟安全审计系统的体系架构主要由安全中心/WEB控制台、网络引擎及升级站点三个部分组成，方便各种网络环境的灵活部署和管理。如下图 4.3 所示：

图 4.3 绿盟安全审计体系结构

◆绿盟安全中心具有系统监控和日志管理功能，可以集中管理多台网络引擎；并可以

实现安全中心的主辅管理；支持任意层次的级联部署，实现多级管理，满足不同管理模式的需要；同时可以统一管理绿盟安全审计系统、内容安全管理系统、入侵检测系统、入侵保护系统，提供针对网络正常行为和异常行为的全面行为检测手段，实现安全数据的整体挖掘、关联分析管理；

◆绿盟WEB控制台具有系统配置管理、系统监控和日志管理功能，适合在任何IP可

达地点远程管理。

◆网络引擎采用协议识别、特征检测和智能关联分析技术，全面监测网络数据包，及

时发现违反安全策略的事件并实时告警记录；

◆升级站点提供产品补丁、URL数据库、网络应用协议数据库等及时升级更新支持。

4.3 产品特点

4.3.1 网络事件“零遗漏”审计

绿盟SAS采用先进的数据处理架构，对64bytes数据包的处理能力达到千兆线速的处理能力；同时采用先进的IP碎片重组与智能TCP流汇聚技术，达到接近100%的检测准确率和几乎为零的漏报率，实现网络事件的“零遗漏”审计。

4.3.2 高智能深度协议分析

绿盟SAS采用业界领先的协议识别和智能关联技术，提供全面深入的协议分析、解码回放，能够分析超过100种应用层协议，包括HTTP、TELNET、FTP、SMTP、WEBMAIL、NETBIOS、P2P、IM等，极大地提高内容分析的准确性，帮助管理员全面掌握网络安全状态。

4.3.3 全面精细的敏感信息审计

绿盟SAS提供全面细粒度的敏感信息审计解决方案。系统支持基于时间、用户、协议、内容等多种条件组合的信息审计策略，对邮件收发（WEBMAIL、SMTP、POP3）、文件上传下载（HTTP、FTP）、论坛、即时通讯等进行全面信息审计，提供实时告警、信息还原功能，同时支持自定义内容关键字库，实现敏感信息的深度检测识别还原，对机密信息外泄、非法言论传播等行为的及时响应处理、事后追查取证提供有力支持。

4.3.4 多维度网络行为审计

绿盟SAS提供全面的网络行为审计解决方案，通过基于业务运维行为、上网行为和网络应用行为的审计，实现基于用户网络行为的全面多维度审计。

◆业务运维行为审计

绿盟SAS支持对业务运维操作（如TELNET、FTP、数据库访问等）的命令级审计和全过程记录；对违反审计策略的操作行为实时报警、记录；

◆上网内容行为审计

绿盟SAS具有超过1000万条的庞大中英文URL数据库，多种精细分类，如不良言论、色情暴力、挂马网站等；并支持针对URL、网页页面内容、搜索引擎的关键字审计、过滤功能，可告警、过滤非法、不良和高风险网站；系统支持全面审计监控各种网站访问行为，实时告警、记录和网页还原，实现全面、准确、高效的网站访问监测；

◆网络应用行为审计

绿盟SAS具有全程网络应用行为审计功能，支持对即时通讯、在线视频、P2P下载、网络游戏、炒股等互联网应用行为进行全过程监控。

4.3.5 全程数据库操作审计

绿盟SAS提供全面完整的数据库审计解决方案，系统可实时监控数据库各种帐户（如超级管理员、临时帐户等）的数据库操作行为，准确发现各种非法、违规操作，并及时告警响应处理，降低数据库安全风险，保护企业数据库资产安全。

◆全面丰富的审计类型

系统支持ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix、Postgresql 等主流数据库系统。

◆精细灵活的审计策略

支持基于内容关键字、IP地址、用户/用户组、时间、数据库类型、数据库操作类型、数据库表名、字段名等精细组合数据库审计策略，从而全面监测各种非法违规操作。

◆完整还原数据库操作

实时审计用户对数据库系统所有操作（如：插入、删除、更新、用户自定义操作等），精细还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等，实现数据库安全事件准确全程跟踪定位。

数据库审计典型部署如下图4.4 所示：

图 4.4 绿盟SAS数据库审计

4.3.6 业界首创“网站内容安全”主动审计

绿盟SAS系统“主动审计”能够帮助用户及时准确发现网站、论坛、博客中的非法敏感信息和网页挂马隐患；系统部署简单方便，接入网络就可以扫描检测。主动审计功能包括：◆不良敏感信息扫描

绿盟SAS系统具有高效智能的内容识别引擎--NCRE（NCRE,Nsfocus Content Recognition Engine），通过基于域名、关键字正则表达式等多种组合主动内容审计策略扫描指定网站，对被检测站点网页页面进行深度内容扫描检测，快速、准确的分析判断网页页面是否含有非法敏感信息，实时告警响应，并支持人工辅助校正扫描结果，从而有效防止不良信息扩散，为追查取证提供有力支持。

◆网站挂马扫描

绿盟SAS系可通过扫描指定网站，分析检测网页是否被挂马，并实时告警响应，为网站安全提供及时有效支持。

如下图4.5 所示：

图 4.5 主动审计

4.3.7 强劲的病毒检测能力

绿盟SAS系统采用基于特征扫描和启发式扫描病毒分析技术，可有效检测通过HTTP、FTP、IM、SMTP、POP3、IMAP等协议传输的病毒，如网络木马病毒、蠕虫病毒、宏病

毒、脚本病毒等。通过统一集中的网络病毒检测，SAS可快速发现病毒在企业内部的传播情况，帮助用户及时全面掌握网络安全状态。

4.3.8 基于协议的流量分析

绿盟SAS具有基于协议识别的流量分析功能，如：可识别使用80端口的P2P协议，避免基于80端口的HTTP协议流量统计错误，更精确可靠；系统提供详细的流量报表；可以通过编辑自定义统计指定协议流量的IP TOPN。

4.3.9 基于对象的虚拟审计系统

绿盟SAS提供业界领先的基于对象的策略管理系统，完全统一的规则配置方式强大而灵活，实现基于对象的虚拟审计系统（VAS）。绿盟SAS针对企业不同的网络环境和安全需求，基于安全区、IP地址（组、段）、规则（组）、时间、动作等对象，制定不同的规则和响应方式，就像一台设备上虚拟出很多虚拟审计系统，每个虚拟审计系统分别执行不同的规则集，实现面向不同业务应用、不同部门职能、不同策略的智能化安全审计。如下图 4.6 所示：

图 4.6 虚拟审计系统

4.3.10 强大丰富的管理能力

绿盟SAS同时支持B/S和C/S两种管理方式，Web管理灵活方便，适合在任何IP可达地点远程管理。Web界面支持MS IE、Netscape、Firefox、Opera等浏览器，真正意义上实现了跨平台；

绿盟SAS支持三种管理模式：单级管理、多级管理、主辅管理，能够快速部署在几乎所有的网络环境中，实现从企业网络核心至边缘及分支机构的全面检测，满足不同企业不同管理模式需要。

单级管理模式：安全中心直接管理网络引擎，一个安全中心可以管理多台网络引擎。如下图 4.7 所示：

图 4.7 单级管理

主辅管理模式：网络引擎同时接受一个主安全中心和多个辅安全中心的管理。主安全中心可以完全控制网络引擎；辅安全中心只能接受网络引擎发送的日志信息，不能操作网络引擎。如下图 4.8 所示：

图 4.8 主辅管理

多级管理模式：安全中心支持任意层次的级联部署，实现多级管理。上级安全中心可以将最新的升级补丁、规则模板文件等统一发送到下级安全中心，保持整个系统的完整统一性；下级安全中心可以向上级安全中心传送日志信息。如下图 4.9 所示：

图 4.9 多级管理

◆绿盟SAS安全中心与网络引擎内置了时钟同步机制，所有连接同一安全中心的引擎均保

持毫秒一级的精确度；

◆绿盟SAS提供带外管理（OOB）功能，解决远程应急管理的需求，减少用户运营成本、

提高运营效率、减少宕机时间、提高服务质量；

◆绿盟SAS支持实时在线升级、自动在线升级、离线升级，使SAS提供最前沿的安全保

障；

4.3.11 审计信息“零管理”

绿盟SAS完全支持“零管理”技术从实时升级系统到报表系统，从审计告警到日志备份，所有管理员需要日常进行的操作均可由系统定时自动后台运行。系统提供全面的事件日志信息的备份、恢复、清除、归并等功能；并提供基于时间、IP地址、事件类别等条件的检索功能。

◆日志备份：支持基于日期、事件类型、数据格式等组合备份策略，并支持日志自动备份。

◆日志自动维护：根据日志自动维护计划的设置，系统会在指定时间，在后台自动进行相

应的数据备份、清除等操作。

◆日志缓存：网络引擎即使无法进行网络通信也能将检测到的事件保存在本地，等网络恢

复正常后再自动同步到控制台或日志数据库中，不会因网络断开而丢失日志信息。

◆审计报表：系统提供了详细的综合分析报表、自定义三种类型10多个类别的报表模板，

支持生成：日、周、月、季度、年度综合报表。报表支持MS Word、Html等格式导出，并支持定时通过电子邮件自动发送报表至系统管理员；同时绿盟SAS支持对网络引擎的不同网口或不同网络引擎，分别生成对应报表；极大地降低了维护费用与管理员的工作强度。

4.3.12 方便灵活的可扩展性

◆绿盟SAS支持多个硬件监听口，监听口即插即用，提供对多网段的同时监听能力；

◆绿盟SAS支持通过发送邮件、安全中心显示、日志数据库记录、打印机输出、运行用户

自定义命令、TCPKiller等响应方式及时报警。

4.3.13 高可靠的自身安全性

◆绿盟SAS专门设计安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺

标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性；

◆绿盟SAS具有更强的高可用性，设备支持热插拔的冗余双电源，避免电源硬件故障时设

备宕机，提高设备可靠性；

◆绿盟SAS采用特别定制的操作系统，与安全中心间的通信采用强加密的SSL加密传输告

警日志与控制命令，完全避免了可能存在的嗅探行为，保证了数据传输的安全；

◆绿盟SAS监听网口无需设置IP地址，避免了被扫描和攻击；

◆绿盟网络引擎与安全中心在网络完全断开的情况下，仍然会将检测到的事件保存在网络

引擎本地，等网络恢复正常自动地同步到绿盟安全中心，提供日志缓存。

4.4 解决方案

绿盟科技提供一整套的安全审计解决方案，实现从网络核心至边缘及分支机构的全面审计。绿盟安全审计系统的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，满足政府、企业不同管理模式需要。

4.4.1 小型网络之精细审计方案

针对小型网络，绿盟科技安全审计解决方案提供虚拟审计系统精细管理方案，通过基于对象的策略管理，绿盟SAS针对不同部门/网段，制定不同的规则和响应方式，每个虚拟审计

系统分别执行不同的安全策略，实现面向不同对象、实现不同策略的智能化、精细化的安全审计。如下图 4.10 所示：

图 4.10 小型网络之精细审计方案

4.4.2 中型网络之集中审计方案

针对中型网络，绿盟科技安全审计解决方案提供集中管理方案，通过将绿盟SAS部署在多个关键网段，如安全管理区、DMZ区、服务器区及办公区，实现对业务系统访问、互联网访问的全网安全状态监控。利用绿盟安全中心集中管理多台网络引擎，便于安全信息的集中管理，以便实时掌握全网的安全状况。如下图 4.11 所示：

图 4.11 中型网络之集中审计方案

4.4.3 大型网络之分级审计方案

对于跨广域网的大型企业用户，其网络机构相对复杂，不仅有总部，全国各地还有分支机构，总部及下属各分支机构都建有自己的局域网络。用户租用ISP的专线建立自己覆盖全国的企业专网，各分支机构通过企业专网与总部建立业务信息交换。因此其对整个网络的管理比较重视，需要保证总部和各分支机构的安全策略的统一性。

针对大型企业用户，绿盟科技安全审计解决方案提供分级审计方案，在各级网络上部署绿盟SAS的分级安全中心，上级安全中心对下级安全中心进行统一管理，上级安全中心可以将最新的最新升级补丁、审计规则、引擎配置文件等统一发送到下级安全中心，保持整个系统的安全策略的完整统一性。如下图 4.12 所示：

图 4.12 大型网络之分级审计方案

五. 结论

通过绿盟SAS在网络信息系统的部署，可以有效掌握网络安全状态，预防敏感涉密信息外泄，实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位，为整体安全策略的制定提供权威可靠的支持。

5-企业案例-网络安全审计系统(数据库审计)解决方案

数据库审计系统技术建议书

目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。

1.综述 随着计算机和网络技术发展，信息系统的应用越来越广泛。数据库做为信息技术的核心和基础，承载着越来越多的关键业务系统，渐渐成为商业和公共安全中最具有战略性的资产，数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决，一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商，结合多年的安全研究经验，提出如下解决思路： 管理层面：完善现有业务流程制度，明细人员职责和分工，规范内部员工的日常操作，严格监控第三方维护人员的操作。 技术层面：除了在业务网络部署相关的信息安全防护产品（如FW、IPS 等），还需要专门针对数据库部署独立安全审计产品，对关键的数据库操作行为进行审计，做到违规行为发生时及时告警，事故发生后精确溯源。 不过，审计关键应用程序和数据库不是一项简单工作。特别是数据库系统，服务于各有不同权限的大量用户，支持高并发的事务处理，还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求，还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展，XXX已经建立了比较完善的信息系统，数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露，轻则造成企业或者社会的经济损失，重则影响企业形象甚至社会安全。 通过对XXX的深入调研，XXX面临的安全隐患归纳如下：

网络安全审计系统的实现方法

网络安全审计系统的实现方法 司法信息安全方向王立鹏1 传统安全审计系统的历史 传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中，其审计的重点也是本主机的用户行为和系统调用。在随后的20年间，其他的各个操作系统也有了自己的安全审计工具，如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。 2 常用安全措施的不足和基于网络的安全审计系统的出现 近几年来，随着开放系统Internet的飞速发展和电子商务的口益普及，网络安全和信息安全问题日益突出，各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多，特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。 2.1防火墙技术的不足 防火墙技术是发展时间最长，也是当今防止网络人侵行为的最主要手段之一，主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离，控制外部对受保护网络的访问，它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术，但是由于防火墙技术自身存在的一些缺陷，使其越来越难以完全满足当前网络安全防护的要求。 包过滤型防火墙如只实现了粗粒度的访问控制，一般只是基于IP地址和服务端口，对网络数据包中其他内容的检查极少，再加上其规则的配置和管理极其复杂，要求管理员对网络安全攻击有较深人的了解，因此在黑客猖撅的开放Internet系统中显得越来越难以使用。 而代理网关防火墙虽然可以将内部用户和外界隔离开来，从外部只能看到代理服务器而看不到内部任何资源，但它没有从根本上改变包过滤技术的缺陷，而且在对应用的支持和速度方面也不能令人满意 2.2入侵检测技术的不足 人侵检测技术是防火墙技术的合理补充，能够对各种黑客人侵行为进行识别，扩展了网络管理员的安全管理能力。一般来说，人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。 目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。 基于主机的IDS来源于系统的审计日志，它和传统基于主机的审计系统一样一般只能检测发生在本主机上面的人侵行为。 基于网络的IDS系统对网络中的数据包进行监测，对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性…准实时性)，它能在出现攻击的时候发出警告，让管理人员在在第一时间了解到攻击行为的发生，并作出相应措施，以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要，因此决定了其采用的数据分析算法不能过于复杂，也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析，所以现在大

运维安全管理与审计系统白皮书

360运维安全管理与审计系统 产品白皮书 2017年2月

目录 1.产品概述 (3) 2.产品特点 (3) 健全的账号生命周期管理 (3) 丰富多样的安全认证机制 (4) 细粒度的访问授权与控制 (4) 监控与敏感过程回放 (4) 性能资源弹性调度 (5) 成熟的高可用性机制 (5) 3.主要功能 (5) SSO单点登录 (5) 集中账号管理 (5) 集中身份认证 (6) 统一资源授权 (6) 集中访问控制 (6) 集中操作审计 (6) 4.核心功能列表 (7) 5.产品价值 (8) 规范运维管理 (8) 降低资源风险 (8) 提高管理效益 (8) 过程透明可控 (8) 完善责任认定 (8) 满足各组织合规要求 (8)

1.产品概述 随着企业信息系统规模的不断扩大，业务范围的快速扩张，运维工作量也随之增多。在运维过程中存在事前身份不确定、授权不清晰，事中操作不透明、过程不可控，事后结果无法审计、责任不明确导致客户业务及运维服务面临安全风险。 360运维安全管理与审计系统是针对政府、金融、医疗、电力、教育、能源、企业、军队、海关等重点行业客户推出的，主要解决事企业IT运维部门账号难管理，身份难识别，权限难控制，操作过程难监控，事件责任难定位等问题。360运维安全管理与审计系统基于软硬件一体化设计，集账号、认证、授权、审计为一体的设计理念，实现对事企业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计。对运维人员整个操作过程处于可管、可控、可见、可审的状态，为事企业IT中心运维构建一套事前预防、事中监控、事后审计完善的运维管理体系。 2.产品特点 健全的账号生命周期管理 通过主从账号分离的方式来将账号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权，并针对自然人的行为审计。 密码强度策略对主从账号密码强度进行监测，强制对密码强度进行修改至符合强度要求才可进行修改或登录。 360运维安全管理与审计系统提供账号密码到期提醒功能，强制对密码到期的用户进行密码修改，结合密码强度实现定期对密码按照密码强度强制修改。 360运维安全管理与审计系统可对用户帐号密码、资源帐号密码按照密码策略要求进行定期、定时自动变更密码，防止口令因为过于简单易于猜测而被破解

数据库安全审计解决方案

一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统，数据库存在各种管理和技术上的风险，如果这些风险变为事实，那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题，企业常常要面对一下问题： 数据库被恶意访问、攻击甚至数据偷窃，而企业无法及时发现、追踪并阻截这些恶意的行为。 数据库遭受恶意访问、攻击后，不能追踪到足够的证据。 不了解数据使用者对数据库访问的细节，从而无法保证数据安全，特别是敏感数据的管理。 来自内部的威胁：特权用户随意修改配置、改变或盗取数据，没有明确职责分工。 针对数据库、应用系统日志的审计只能做事后分析，周期长，且无法进行持续性审计。 审计缺乏规范性，无法有效成为公司的安全管理规范且满足外部审计需求。 人工审计面对海量数据，无法满足可见性，造成审计不完整。 权责未完全区分开，导致审计效果问题。 二、企业数据管理综合解决方案 提供的一组集成模块，使用一个统一的控制台和后端数据存储，管理整个数据库的安全与合规周期。通过，现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库，又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越，而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零，无需对数据库作任何变更，甚至不依赖本地数据库日志或审计工具。 三、通过管理数据安全 发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置，然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策

略。 评估加固漏洞、配置和行为评估，锁定与追踪 的数据库安全评估功能会扫描整个数据库架构，查找漏洞，并使用实时和历史数据提供持续的数据库安全状态评估。它预先配置了一个综合测试库，建立在特定平台漏洞和业界最佳实践案例的基础之上，可以通过的订阅服务得到定期更新。也可以自定义测试，以满足特定的要求。评估模块还会标记与合规相关的漏洞，如遵从和法规提供非法访问和数据表的行为。 监控￥执行—可视性，监控和执行各项策略，主动实时安全通过定制细粒化的实时策略来防止特权用户进行非法或可疑的行 为，同时抵挡欺诈用户或外来者的攻击。 审计报表—细粒度审计追踪，合规工作流自动化 创建一个覆盖所有数据库活动的连续、详细的追踪记录，并实时的语境分析和过滤，从而实现主动控制，生成需要的具体信息。生成的结果报表使所有数据库活动详细可见。 四、数据库安全审计解决方案的突出特点和优势： .可以同时支持监控管理多种数据库（）的各种版本； .同时支持多种企业级应用（）、应用服务器中间件服务器（）；.非入侵式部署，不影响网络、数据库服务器现有运行方式及状况，对用户、网络、服务器透明，不在数据库内安装，不需要数据库建立用户；.具有实时阻断非法访问，抵御攻击能力； .可以实现从用户、应用服务器到数据库的全程跟踪即可记录； .可以实现全方位准确监控（来自网络的访问和本地登录访问）； .具备分布式部署和分层架构能力，支持企业级不同地域、多种数据库的应用； .部署容易简单； .独特跟踪下钻（）功能，追查问题可以一步步到最底层； .多行业、众多客户成功应用案例的证明； .对、、等法律遵从性的良好支持； .国际著名审计公司的认同、认可； .第三方国际著名咨询评测机构的认可和赞赏； .支持多种异构操作系统； .记录的日志不可更改，完全符合法律要求；

网络安全审计系统需求分析复习过程

网络安全审计系统需 求分析

安全审计系统需求分析 关键字：行为监控，内容审计 摘要：系统集内容审计与行为监控为一体，以旁路的方式部署在网络中，实时采集网络数据，并按照指定策略对数据进行过滤，然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能，以及后期取证功能。 需求背景 按等级进行计算机信息系统安全保护的相关单位或部门，往往需要对流经部门与外界接点的数据实施内容审计与行为监控的，以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况，提高单位或部门的工作效率。 所涉及的单位类型有政府、军队机关的网络管理部门，公安、保密、司法等国家授权的网络安全监察部门，金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心，大中型企业网络管理中心等。 一、实现的效果和目的 a. 对用户的网络行为监控、网络传输内容审计（如员工是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了公司的机密信息，是否通过网络传播了反动言论等）。 b. 掌握网络使用情况（用途、流量），提高工作效率。 c. 网络传输信息的实时采集、海量存储。

d. 网络传输信息的统计分析。 e. 网络行为后期取证。 f. 对网络潜在威胁者予以威慑。 二、典型的系统组成 安全审计系统由三部分组成：审计引擎、数据中心、管理中心。 图1 ：典型的单点部署 审计引擎（硬件）：审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析，并把分析后的数据流发送给数据中心。 数据中心（软件）：对审计引擎传送过来的数据流进行存储；按照用户的指令对数据进行还原、解码、解压缩，并可进行关键字查询审计、统计分析。 管理中心（软件）：提供WEB形式的管理界面，可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。

数据库安全审计建设立项申请报告

数据库安全审计建设立项申请报告 1数据库系统安全隐患分析 我单位的信息系统中关键数据库服务器群中的数据服务器存储着大量涉密、重要数据信息。用户数据服务器通过数据库管理系统实现对信息资源的存储管理。我单位信息系统网络系统用户数量众多，用户相互差别较大，对数据库涉密信息、重要业务信息的访问频繁。用户对数据库的任何恶意修改或误操作，都关系我单位信息系统业务数据信息的可用性、完整性与机密性，目前数据库安全隐患集中在： ●信息存储加密：数据的安全性； ●系统认证：口令强度不够，过期账号，登录攻击等； ●系统授权：账号权限，登录时间超时等； ●系统完整性：特洛伊木马，审核配置，补丁和修正程序等； 2建立数据库安全审计体系的必要性 2.1数据安全保护形势严峻 随着信息技术的不断发展，数字信息逐渐成为一种重要资产，尤其是在过去的20多年里，作为信息的主要载体——数据库，其相关应用在数量和重要性方面都取得了巨大的增长。几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高，各种数据信息都成为了关系组织生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾，网络技术使得数字信息的泄漏和篡改变得更加容易，而防范则更加困难。 更为严重的是，所有信息泄漏事件中，源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过85%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元

的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。 因此，近两年来，大多数企事业单位和政府机关纷纷把关注的目光投向信息系统数据的安全问题，尤其是内部网络的管理和防护。 2.2现有数据安全防护体系存在不足 现在较为普遍的做法是在原有网络安全防护（防火墙、IDS、UTM等传统安全设备）的基础上，采用上网行为管理类、终端管理类等具备较强防止内部信息外泄功能的产品，筑起了一道由内向外的安全防线，典型的安全防护体系如下图所示： 图：数据库安全防线的缺失 从这幅典型的网络拓扑图中，我们不难看出，安全防护体系中缺失的正是对服务器区的防护，对数据库的防护,对内部PC访问业务系统的防护！ 尽管可能使用的数据库系统是Oracal、MS SQL是国际大品牌的产品，其本身有非常强的安全性，但依然可能存在诸多隐患： 1）对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾

面向业务的信息系统的安全审计系统

面向业务的信息系统的安全审计系统 近些年来，IT系统发展很快，企业对IT系统的依赖程度也越来越高，就一个网络信息系统而言，我们不仅需要考虑一些传统的安全问题，比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫 等，但是，随着信息化程度的提高，各类业务系统也变得日益复杂，对业务系统的防护也变得越来越重要，非传统领域的安全治理也变得越来越重要。根据最新的统计资料，给企业造成的严重攻击中70％是来自于组织中的内部人员，因此，针对业务系统的信息安全治理成为一道难题，审计应运而生。 一、为什么需要面向业务的信息安全审计？ 面向业务的信息安全审计系统，顾名思义，是对用户业务的安全审计，与用户的各项应用业务有密切的关系，是信息安全审计系统中重要的组成部分，它从用户的业务安全角度出发，思考和分析用户的网络业务中所存在的脆弱点和风险。 我们不妨先看两个鲜活的案例。不久前，中国青年报报道，上海一电脑高手，方某今年25岁，学的是计算机专业，曾是某超市分店资讯组组长。方某利用职务之便，设计非法软件程序，进入超市业务系统，即超市收银系统的数据库，通过修改超市收银系统的数据库数据信息，每天将超市的销售记录的20%营业款自动删除，并将收入转存入自己的账户。从2004年6月至2005年8月期间，方某等人截留侵吞超市3家门店营业款共计397万余元之多。 程某31岁，是X公司资深软件研发工程师，从2005年2月，他由A

地运营商系统进入B地运营商的业务系统--充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，非法获利380万。 通过上述两个案例，我们不难发现，内部人员，包括内部员工或者提供第三方IT支持的维护人员等，他们利用职务之便，违规操作导致的安全问题日益频繁和突出，这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题，但是，对于这类与业务息息相关的操作行为、违规行为的安全问题，必须要有强力的手段来防范和阻止，这就是针对业务的信息安全审计系统能够带给我们的价值。 二、如何理解面向业务的信息安全审计？ 信息安全审计与信息安全管理密切相关，信息安全审计的主要依据为信息安全管理相关的标准，例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而达到信息安全审计的目的，提高信息系统的安全性。因此，面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。 根据国外的经验，如在美国的《萨班斯-奥克斯利法案

数据库审计系统_技术白皮书V1.0

此处是Logo 数据库审计系统 技术白皮书 地址： 电话： 传真： 邮编：

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京所有，受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可，不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。

目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)

当前数据库安全现状及其安全审计

当前数据库安全现状及其安全审计 大学数据库原理教科书中，数据库是这样被解释的：数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式，如文字/数码/符号/图形/图象以及声音。 数据库安全现状 数据库系统立足于数据本身的管理，将所有的数据保存于数据库中，进行科学地组织，借助于数据库管理系统，并以此为中介，与各种应用程序或应用系统接口，使之能方便地使用并管理数据库中的数据，如数据查询/添加/删除/修改等。 数据库无所不在。海量的数据信息因为数据库的产生而变得更加容易管理和使用。政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等行业，纷纷建立起各自的数据库应用系统，以便随时对数据库中海量的数据进行管理和使用，国家/社会的发展带入信息时代。同时，随着互联网的发展，数据库作为网络的重要应用，在网站建设和网络营销中发挥着重要的作用，包括信息收集/信息查询及搜索/产品或业务管理/新闻发布/BBS论坛等等。 然而，信息技术是一把双刃剑，为社会的进步和发展带来遍历的同时，也带来了许多的安全隐患。对数据库而言，其存在的安全隐患存在更加难以估计的风险值，数据库安全事件曾出不穷： 某系统开发工程师通过互联网入侵移动中心数据库，盗取冲值卡 某医院数据库系统遭到非法入侵，导致上万名患者私隐信息被盗取 某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡 黑客利用SQL注入攻击，入侵某防病毒软件数据库中心，窃取大量机密信息，导致该防病毒软件公司严重损失 某证券交易所内部数据库造黑客股民入侵，盗窃证券交易内部报告 …… 数据库安全面临内部恶意操作以及外部恶意入侵两大夹击。如何有效保护数据库信息成为当前信息安全界最为关注的课题。 数据库安全分析 三大安全风险

安全审计报告

摘要：无线网状网由网格路由器和网格客户端组成，其中网状路由器具有最小可移动性，形成了无线网状网的骨干，它们同时为网状客户端和普通客户端提供网络访问。针对大型公司，网络情况复杂，针对这种网络环境，网络安全尤其重要。无线网状网将承载大量不同应用的无线服务。尽管近期无线网状网有了快速进步，但许多研究始终面临着各协议层的挑战。本文将呈现给大家针对某大型公司的网络拓扑，进行网络安全规划。本文将从分析安全需求、制定安全策略、完善安全措施、部署安全产品、强化安全管理五个方面来阐述对问题的分析和解决。 关键词：网络安全；安全审计；路由协议；安全策略； 一．网络结构示意图以及安全设计要求 1.网络拓扑图如下

2.安全设计要求 设计一套基于入侵检测、安全审计、安全扫描的安全解决方案。 要求从分析安全需求、指定安全策略、完善安全措施、部署安全产品、强化安全管理五个方面来阐述设计的安全方案。 二．网络安全需求分析 1.主要网络安全威胁 网络系统的可靠于准是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此，它的风险将来自于企业的各个关键点可能造成的威胁，这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中，相对于过去的局域网、主机环境、单机环境，安全问题变得越来越复杂和突出，所以网络安全分析成为制定有效的

安全管理策略和选择有作用的安全技术实施措施的基础。安全保障不能完成基于思想教育或新任。而应基于“最低权限”和“互相监督”法则，减少保密信息的介入范围，尽力消除使用者为使用资源不得不信任他人或被他人信任的问题，建立起完整的安全控制体系和保证体系。 通过以上对该网络结构的分析和阐述，目前该网络的规模大，结构复杂，包括下属多个分公司和办事处，通过VPN和总公司联通的出差人员。该网络上运行着各种各样的主机和应用程序，使用了多种网络设备；同时，由于多种业务需求，又和许多其他网络进行连接。因此，该计算机网络安全应该从以下几个方面进行考虑： （1）外部网络连接及数据访问 出差在外的移动用户的连接； 分公司主机对总公司和其他分公司办事处的连接； 各种类型的办事处对总公司和分公司的连接； 托管服务器网站对外提供的公共服务； （2）内部网络连接 通过DDN专线连接的托管服务器网站； 办公自动化网络； （3）同一网段中不同部门间的连接 连接在同一交换机上的不同部门的主机和工作站的安全问题； 其中外部网络攻击威胁主要来自（1），内部网络安全问题集中在（2）、（3）。 2.来自外部网络与内部网络的安全威胁 （1）来自外部网络的安全威胁 由于业务的需要，网络与外部网络进行了连接，这些安全威胁主要包括：内部网络和这些外部网络之间的连接为直接连接，外部网络可以直接访问内部网络主机。由于外部和内部通过一条VPN隧道相连通没有相应的隔离措施，内部系统比较容易遭到攻击。 由于业务需要，公司员工经常需要出差，并且该移动用户使用当地的ISP拨号上网连接上Internet进入内部网网络，这时非法的Internet用户也可以通过各种手段访问内部网络。这种连接使内部网络很容易受到来自Internet的攻击。 对于来自外网的各种攻击，我们可以利用防病毒、防火墙和防黑客技术加以防范。在本次分析的拓扑图中对于总公司的内网，在内网口分别加入了网络监控设备，杀毒中心和防火墙，能够有效的抵御来自外网的大部分攻击。 （2）来自内部网络的安全威胁 从拓扑图中可以看到，该企业整个计算机网络有一定的规模，分为多个层次，网络上的节点众多，网络应用复杂，网络管理困难。管理的难点主要有：网络实际结构无法控制；网管人员无法及时了解网络的运行状况；无法了解网络的漏洞和可能发生的攻击；对于已经或正在发生的攻击缺乏有效的追查手段。 内部网络的安全涉及到技术、应用以及管理等多方面的因素，只有及时发现问题，确定网络安全威胁的来源才能制定全面的安全策略，有效的保证网络安全。 三．安全策略制定 安全策略分安全管理策略和安全技术实施策略两个方面：

数据库安全审计解决实施方案

数据库安全审计解决方案

————————————————————————————————作者：————————————————————————————————日期： 2

一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统，数据库存在各种管理和技术上的风险，如果这些风险变为事实，那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题，企业常常要面对一下问题： ?数据库被恶意访问、攻击甚至数据偷窃，而企业无法及时发现、追踪并阻截这些恶意的行为。 ?数据库遭受恶意访问、攻击后，不能追踪到足够的证据。 ?不了解数据使用者对数据库访问的细节，从而无法保证数据安全，特别是敏感数据的管理。 ?来自内部的威胁：特权用户随意修改配置、改变或盗取数据，没有明确职责分工。 ?针对数据库、应用系统日志的审计只能做事后分析，周期长，且无法进行持续性审计。 ?审计缺乏规范性，无法有效成为公司的安全管理规范且满足外部审计需求。 ?人工审计面对海量数据，无法满足100%可见性，造成审计不完整。?DBA权责未完全区分开，导致审计效果问题。 二、Guardium企业数据管理综合解决方案 InfoSphere Guardium提供的一组集成模块，使用一个统一的控制台和后端数据存储，管理整个数据库的安全与合规周期。通过Guardium，IBM 现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库，又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越，而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零，无需对数据库作任何变更，甚至不依赖本地数据库日志或审计工具。 三、通过Guardium管理数据安全 ?发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置，然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策

数据库审计系统白皮书

360数据库审计系统产品白皮书

目录 1.产品概述 (3) 2.产品特点 (3) 2.1专业的数据库审计 (3) 2.2业务操作实时回放 (3) 2.3事件精准定位 (4) 2.4事件关联分析 (4) 2.5访问工具监控 (4) 2.6黑白名单审计 (5) 2.7变量审计 (5) 2.8关注字段值提取 (5) 2.9丰富完善的报表报告 (5) 3.产品价值 (5) 3.1未知数据库资产发现 (5) 3.2敏感数据信息管理 (6) 3.3数据库安全事件预警 (6) 3.4数据库安全事件追溯 (6) 3.5辅助用户数据库访问策略制定 (6) 3.6满足用户合规需求 (6) 4.主要功能 (6)

1.产品概述 360数据库审计系统是针对网络访问数据库的操作行为进行细粒度分析的安全设备，它可提供实时监控、违规响应、历史行为回溯等操作分析功能，是满 足数据库风险管理和内控要求、提升内部安全监管，保障数据库安全的有效手段。 2.产品特点 2.1专业的数据库审计 360数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计，具体包括： 1)数据访问审计：记录所有对保护数据的访问信息，包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外部黑客入侵访问和内部人员非法获取敏感信息 2)数据变更审计：统计和查询所有被保护数据的变更记录，包括核心业务数据库表结构、关键数据文件的修改操作等等，防止外部和内部人员非法篡改重要的业务数据 3)用户操作审计：统计和查询所有用户的登录成功和失败尝试记录，记录所有用户的访问操作和用户配置信息及其权限变更情况，可用于事故和故障的追踪和诊断 4)违规访问行为审计：记录和发现用户违规访问。支持设定用户黑白名单，以及定义复杂的合规规则，支持告警 2.2业务操作实时回放 360数据库审计系统产品能对访问数据库操作进行实时、详细的监控和审计，包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过程回放，真实地展现用户的操作。

网络安全审计系统需求分析

安全审计系统需求分析 关键字：行为监控，内容审计 摘要：系统集内容审计与行为监控为一体，以旁路的方式部署在网络中，实时采集网络数据，并按照指定策略对数据进行过滤，然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能，以及后期取证功能。 需求背景 按等级进行计算机信息系统安全保护的相关单位或部门，往往需要对流经部门与外界接点的数据实施内容审计与行为监控的，以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况，提高单位或部门的工作效率。 所涉及的单位类型有政府、军队机关的网络管理部门，公安、保密、司法等国家授权的网络安全监察部门，金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心，大中型企业网络管理中心等。 一、实现的效果和目的 a. 对用户的网络行为监控、网络传输内容审计（如员工是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了公司的机密信息，是否通过网络传播了反动言论等）。 b. 掌握网络使用情况（用途、流量），提高工作效率。 c. 网络传输信息的实时采集、海量存储。 d. 网络传输信息的统计分析。 e. 网络行为后期取证。 f. 对网络潜在威胁者予以威慑。 二、典型的系统组成

安全审计系统由三部分组成：审计引擎、数据中心、管理中心。 图1 ：典型的单点部署 审计引擎（硬件）：审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析，并把分析后的数据流发送给数据中心。 数据中心（软件）：对审计引擎传送过来的数据流进行存储；按照用户的指令对数据进行还原、解码、解压缩，并可进行关键字查询审计、统计分析。 管理中心（软件）：提供WEB形式的管理界面，可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。 图2：适合多级管理的分布式部署

安全审计系统产品白皮书

绿盟安全审计系统产品白皮书 ? 2011 绿盟科技

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■商标信息 绿盟科技、NSFOCUS、绿盟是绿盟科技的商标。

目录 一. 前言 (1) 二. 为什么需要安全审计系统 (1) 2.1安全审计的必要性 (2) 2.2安全审计系统特点 (3) 三. 如何评价安全审计系统 (3) 四. 绿盟科技安全审计系统 (4) 4.1产品功能 (4) 4.2体系架构 (5) 4.3产品特点 (7) 4.3.1 网络事件“零遗漏”审计 (7) 4.3.2 高智能深度协议分析 (7) 4.3.3 全面精细的敏感信息审计 (7) 4.3.4 多维度网络行为审计 (7) 4.3.5 全程数据库操作审计 (8) 4.3.6 业界首创“网站内容安全”主动审计 (9) 4.3.7 强劲的病毒检测能力 (9) 4.3.8 基于协议的流量分析 (10) 4.3.9 基于对象的虚拟审计系统 (10) 4.3.10 强大丰富的管理能力 (10) 4.3.11 审计信息“零管理” (12) 4.3.12 方便灵活的可扩展性 (13) 4.3.13 高可靠的自身安全性 (13) 4.4解决方案 (13) 4.4.1 小型网络之精细审计方案 (13) 4.4.2 中型网络之集中审计方案 (14) 4.4.3 大型网络之分级审计方案 (15) 五. 结论 (16)

数据库内部安全审计

数据库内部安全审计 一、背景 在信息系统的整体安全中，数据库往往是最吸引攻击者的目标，许多网络攻击的根本目的就是获取存放在数据库中的重要信息。传统的数据库安全保障方法一定程度上提高了数据库系统的安全性，但是它们大多是被动的安全技术，以预防为主，无法有效地制止入侵行为，特别是对于数据库用户( 如数据库管理员等) 的权限滥用等内部攻击常常是无能为力的。 内部威胁问题具体表现为: (1)非故意的授权用户攻击，即用户不小心访问到了通常不访问的敏感信息，严重的是无意间将其错误地修改或者删除了； (2)盗取了正常用户信息的攻击者对数据库进行操作，他们拥有合法的访问权限，对数据库数据进行肆意的盗窃和破坏； (3)心怀不轨的内部工作人员对数据库的恶意攻击。 据统计，数据库安全问题近80%来自数据库系统内部，即数据库系统授权用户没有按照自身授权进行数据操作，而是跨越权限篡改或破坏数据。根据2013年Verizon的数据泄露调查报告:所有数据泄露事件中76%源自授权用户对敏感数据的访问；在47000多件安全事故中，69%的攻击来自于内部人员。京东发生的大型数据泄露事件造成5O亿条公民信息流出，导致用户损失数百万元，罪魁祸首就是内部工作人员。内部原因造成的数据库损失发生率和影响度都远远超过人们的想象。 由于此类安全问题发生在系统集团内部，因此，对数据库的危害极大，并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题，即使一些防火墙软硬件也无法实时检测内部入侵。因此，针对数据库系统中用户异常行为检测研究就显得尤为重要。 据统计，传统的数据安全模型是上个世纪 70 年代提出的，并且得到较好发展。到目前为止，在数据库上实现的安全策略基本上没有变化，仍旧为访问控制、用户认证、审计和加密存储。安全审计的任务是对用户已经完成的行为，给予回追式的分析，并对该行为的结果给出最终评价。这些安全机制在数据库管理上取得了较好成绩，但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境，这些安全机制将无法实时监测入侵行为，保护数据库与数据的安全。基于异常的入侵检测是入侵检测研究领域中的一个重要课题，并取得了一定的研究成果。但是，这些研究成果主要针对操作系统和计算机网络，针对数据库系统的研究成果则相对较少。 以访问控制为例，虽然访问控制能够保证只有拥有相关权限的用户才可以访问数据，这也是防止数据泄露的第一道屏障，但是访问控制有一定的限制:如果采用严格的机制，访问控制的规则可能表达不够充分，在动态的环境中访问控制的规则可能需要频繁地更新，这些

网络安全审计系统用户手册

目录 1.1网络部署模式 (3) 1.1.1旁路部署模式 (3) 1.2系统启动、登录 (3) 1.3系统操作界面介绍 (4) 1.4系统操作模式 (5) 1.4.1面向功能的操作模式 (5) 1.4.2面向审计对象的操作模式 (7) 1.5审计对象管理 (8) 1.5.1机器组管理 (8) 1.5.2机器管理 (13) 1.6管理策略 (15) 1.6.1控制策略 (15) 1.7审计日志查询 (23) 1.7.1行为审计 (24) 1.7.2内容审计 (30) 1.7.3现场观察 (32) 1.8网络中使用路由器的改造方法 (34) 1.9设备使用注意事项 (35) 网络安全审计系统基本功能简介

1.1网络部署模式 1.1.1旁路部署模式 网络安全审计系统旁路基本部署示意图 1.2系统启动、登录 网络安全审计系统采用B/S模式进行管理，用户在网络中任何一台机器都可以通过网页浏览器登录系统： 第一步：打开局域网内任意机器的IE浏览器，输入HTTPS://系统IP地址，出现以下安全警报界面，选择“是”进入系统登录界面：

说明：如果不知道系统IP地址，请咨询系统的安装人员。 第二步：选择界面显示的语言（简体中文/繁体中文/English）、输入用户名、密码以及校验码；（系统默认用户名admin密码123456） 第三步：点击“登录”按钮进入系统主界面，或点击“重置”按钮清除当前输入框中所有数据重新录入进行登录； 注意： 1.在登录时系统主窗口采用弹出式，因此请您务必检查是否有IE插件限制了弹出窗口； 2.网络安全审计系统出厂时的用户名是admin,密码是123456。为了安全起见,请在首次登录时 通过“个性设置->我的帐号->密码修改”功能，修改默认密码。 1.3系统操作界面介绍 为了便于说明，本手册将系统操作界面分成四个部分，通常页面的上部为系统名称和快捷按钮区，页面的左侧为导航菜单区，右侧为数据显示区，其中数据显示区的上部为查询区，中间为信息显示区。除中间的数据显示区外，其它各个区都可以选择隐藏。用户可以在导航菜单栏选择不同的系统操作模式，另外，数据显示区采用OUTLOOK风格，当用户在数据显示区点击数据列表中的记录，列表下方将实时显示该记录的详情，在数据显示区上方为数据查询区，用户可以通过设置具体查询条件以便在数据列表中只显示特定的记录；

国都兴业慧眼数据库审计系统产品白皮书 v3.0

慧眼数据库审计系统产品白皮书（V3.0） 国都兴业信息审计系统技术（北京）有限公司 二〇一四年

版权声明 本技术白皮书是对国都兴业信息审计系统技术（北京）有限公司慧眼数据库审计系统产品的描述。与内容相关的权利归国都兴业信息审计系统技术（北京）有限公司所有。白皮书中的任何内容未经本公司许可，不得转印、复制。本资料将定期更新，如欲索取最新资料，请访问本公司网站：https://www.sodocs.net/doc/2610438452.html, 您的意见或建议请发至：china@https://www.sodocs.net/doc/2610438452.html, 公司联系方式： 国都兴业信息审计系统技术（北京）有限公司 北京市海淀区东北旺西路8号中关村软件园10号楼106室 邮政编码100193 106 Great Road Building, Zhongguancun Software Park, 8 Dongbeiwang Western RD, Haidian District, Beijing 100193, P.R.China 电话(Tel): +86-10-82585166 传真(Fax): +86-10-82825363 电子信箱: china@https://www.sodocs.net/doc/2610438452.html,

公司简介 国都兴业信息审计系统技术（北京）有限公司创建于1998年，公司总部设立于北京中关村软件园，是最优秀的信息系统审计解决方案、产品和服务提供商，具有强大的自主研发实力，是通过ISO9001：2000质量管理体系认证的北京市高新技术企业。国都兴业致力于提升用户掌控信息系统风险的能力，在信息系统的安全性、可靠性、合规性等方面提供全面的IT审计解决方案和服务，开发和销售专业的IT审计产品，解决用户对信息系统监测、评估和控制管理等方面的各项需求。 国都兴业是国内信息系统审计领域最具技术创新和产品研发实力的企业，是国内最早研发生产网络应用监控审计类产品的知名企业。国都兴业推出的“慧眼”信息审计系列产品，能够针对IT基础设施、信息安全、网络应用、数据库应用以及业务操作等方面，提供全方位地实时监测和审计，被广泛地应用于企业内部控制、企业风险管理、信息系统安全保障等方面。“慧眼数据库审计系统”连续两年入选中央国家机关网络安全产品协议供货商名录，通过国家、公安部、涉密、军队等信息安全产品认证，并被授予“2008年度最值得信赖品牌奖”。 国都兴业拥有来自军队、科研机构、国内知名院校的专家与学者组成的研发团队，拥有与国家信息技术安全研究中心（N&A）共同组建的网络安全监控技术实验室，在为政府、军队、金融、电信、能源、医疗、教育等行业提供了完善的网络安全解决方案和服务的同时，还承担了多项国家、军队科研攻关项目的研究工作。 国都兴业以雄厚的技术实力、优秀的产品和优质的服务获得业界的广泛认可，荣获“中国信息化建设30周年杰出贡献单位奖”、“中国信息化建设30周年杰出贡献人物奖”，入选北京信息安全服务平台2008年度运维支持单位，并圆满完成2008年奥运网络安全评估与保障任务，被授予“共铸网络利剑，携手平安奥运”的嘉奖。 国都兴业将秉承“诚信、兴业、自信、创新”的企业精神，致力于成为最优秀的IT审计企业、最值得客户信赖的企业、最吸引优秀人才的企业，为“提升企业驾驭IT的能力，创造信息系统新价值”而不懈努力！

数据库审计系统

数据库审计系统 项目需求书项目名称：数据库审计系统

一、系统概述 数据库审计系统主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，能对特定的操作进行告警，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。 二、采购清单 本次招标采购的软硬件以及配套设备如下表：

三、系统建设目标 （一）系统目标 建设适应未来发展和管理需要的、功能完善、架构合理、技术先进的数据库审计系统，实现信息科技运行安全、数据安全，方便快捷地实现对各个数据库操作实时监控，提高运行安全性，满足监管要求。 （二）安全目标 系统安全架构和流程设计必须符合我行相关业务规范、技术规范和安全规范，符合国家密码管理局和人民银行、银保监会等监管机构的安全性要求，保证所采取的安全措施符合相关法律法规的规定。 系统应具有数据传输及存储过程中的可靠性、完整性、可用性、机密性、可审计性，确保客户信息的安全。 系统应具有完备的安全控管功能和审计功能，能够记录自身运行的日志信息，能够对系统操作员的操作记录进行审计。 四、功能需求 （一）总体要求 数据库审计系统建设应遵循以下原则进行设计和实现： 1.系统化：系统功能全面、完善，各个环节应有机结合形成统一的整体。 2.成熟性：选用成熟的系统，能够满足大部分的技术要求，结合监管、审计以及我行实际的需求形成完善的数据库审计系统。 3.稳定性：系统各项功能模块运行应稳定可靠，各项流程模块、报告的结果及时准确无误，用户操作流畅，与被监控的第三方系统不产生负面影响。 4.可配置：运维服务的流程简易功能以及报表等均可由用户自行设置。 5.可扩展、易集成：系统的功能和部署范围应具有根据招标方需求进行扩展的能力。 6.安全性：系统的安全性应达到招标方安全管理的规范要求，并在实施过程中做好安全保障措施和应急准备，确保方案优良和建设过程顺利。 7.自动化：能自动发现现有数据库的信息，能自动监控数据库操作，自动推