产品概述

    系统主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。还可以监控和审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等，分析的内容可以精确到SQL操作语句一级。还能可以根据设置的规则，智能的判断出违规操作数据库的行为，并对违规行为进行记录、报警。

    由于系统是以网络旁路的方式工作于数据库主机所在的网络，因此它可以在根本不改变数据库系统的任何设置的情况下对数据库的操作实现跟踪记录、定位，实现数据库的在线监控，在不影响数据库系统自身性能的前提下，实现对数据库的在线监控和保护，及时地发现网络上针对数据库的违规操作行为并进行记录、报警和实时阻断，有效地弥补现有应用业务系统在数据库安全使用上的不足，为数据库系统的安全运行提供了有力保障。

核心技术

    1、采用分体式组件化设计。采用分体式组件化的设计理念，将整个系统划分为三大模块，各模块之间采用低耦合的方式进行设计，可以有效的对模块进行功能划分。采用分体式组件化的设计方式不仅可以合理利用系统资源，使得整个系统能以最优的性能运行，同时还可以方便的对整个系统进行扩展，最大化的满足使用者的需求。

    2、海量数据离线审计。大容量的数据库系统通常会有海量的数据操作日志，系统采用高压缩比的文件型审计日志备份技术，使审计日志能够方便地长期保存，并且能够在事后随时按需导入进行解析查询。通常情况下，采用高压缩日志备份技术可以节约95%左右的存储空间。

    3、细粒度审计结果分析。不仅支持针对SQL命令（如：Select、Insert、Delete、Create、Drop等）以及存储过程的执行进行细粒度审计和分析，同时可以记录详细的用户行为信息，包括登录的时间、机器名、用户名、IP/MAC地址、客户端程序名以及数据库名等信息，支持对数据库操作维护命令、存储过程进行审计。另外，还可以深度解析数据库操作内容，准确解析出语句中的表名，操作方式及操作内容，并根据表名和操作方式进行归类和统计分析。

    4、可扩展的系统架构。采用审计引擎、审计数据中心、审计视图中心独立运行，协同合作组件化设计，使得系统具有灵活的扩展性。系统支持对多个审计引擎的集中管理以及对审计数据的集中存储，具备强大的可扩展性。如果对数据库系统进行扩容，只需要简单的增加数据采集引擎便可以支持对新的数据库系统的审计。

    5、完整的安全规则库。通过数年安全技术积累，针对常见的数据库攻击技术进行了人工智能分析，在分析的基础上生成了完备的数据库安全规则库，并将该数据库安全规则库内置于系统，配合异常模型反应机制的辅助，使得系统在进行部署后只需要简单的配置就可以全面的保护数据库对象的安全。

    6、数据库行为实时监控与防御。能实时监控用户对数据库系统所进行的所有操作行为。一方面，审计引擎可以根据制定的入侵检测策略，快速地对数据库的缓冲区溢出攻击、口令字猜解等恶意攻击做出反应。另外一方面，通过数据审计中心，可以根据内容关键字、IP地址、用户/用户组、时间、数据库类型、数据库操作类型、数据库表名等组合设定数据库敏感行为预设反应策略。

    7、会话操作回放。传统的数据库审计系统对采用TELNET、FTP、SSH等方式登录到数据库服务器再执行数据库语句的方式无法进行有效的审计，造成数据库操作的审计覆盖面不足。系统采用TELNET、SSH以及FTP会话深度还原的技术，能够完整的回放通过Telnet、SSH、FTP等方式访问数据库的所有会话，使得通过该方式进行的数据库违规行为无处可遁。

    8、风险行为实时报警。具备独立的告警功能模块，通过内置多种告警规则库，支持对用户所关注的敏感信息设置告警策略。当告警规则事件被触发后，系统会将告警信息及时通知给管理员，告警方式包括邮件告警，声音告警，短信告警等多种方式。

    9、强大的数据定制功能。审计引擎具有非常强大的数据定制功能，在数据量非常大时，审计引擎可以根据管理员定制的规则进行数据采集，例如，可以根据操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、表名等条件进行定制，从而只采集管理者真正关心的数据，减少其它信息的干扰。

    10、专业的报表定制功能。支持管理员自定义多种报表任务，包括数据库访问量报表、特权操作跟踪报表、生命期跟踪类报表以及周期性任务报表等，可将多种对象进行组合生成相应数据库访问量报表，如源IP、目标IP、协议类型、客户端名、应用程序名、数据库名、操作方式、操作对象、预警规则名、预警级别等。

    11、灵活的审计结果展示。支持对数据库行为审计结果的实时分析、历史数据统计以及深度分析的功能，所有审计结果都以专业的图形报表形式进行展示，同时，对所有的图形化报表均提供查询接口。

    12、历史数据自由回档与检索。为充分利用审计数据中心的存储空间，该系统对审计数据进行了高达95%比率的压缩，同时，还可以根据需要重新检索的数据范围，对压缩数据进行自动回档操作，并对回档出来的数据重新检索。

产品特点

    1、强大的协议解析能力。计系统融合了语义检测技术和特征检测技术，实现三到七层的协议分析，特别是在数据库SQL语句的语义解析领域处于国内领先地位。系统通过对审计事件、会话信息、会话数据的完整记录和回放，方便管理员进行全局管理。

    2、全面的协议覆盖能力。系统提供了对不同类别数据库系统的审计，支持包括，Oracle、DB2、Sybase、Informix、SQL Server、Teradata、MySQL、PostgreSQL、Cache等多个版本的数据库系统，能够实现绑定变量、SQL命令和字段级的审计；针对运维操作审计，支持包括，Telnet、FTP、Rlogin、X11、Radius等协议，能够实现命令级和过程级的内容审计；针对OA操作审计，支持包括Netbios、SMTP、POP3、HTTP等协议，能够实现URL、邮件内容的审计。

    3、多码环境的适应能力。系统具备识别多种编码的能力，支持包括ASCII、Unicode、UTF-8、UTF-16、GB2312、EBCDIC等编码格式，避免因编码格式不同而导致审计记录出现乱码的情况，保证了审计记录的可读性。

    4、灵活的规则定义能力。系统预置了业界最全面的审计规则集，涵盖了用户常用的网络操作行为。同时为用户提供了便捷的规则自定义功能，能够根据时间、IP、端口、协议、帐号、操作命令、数据库名、数据库表名、字段名、字段值、返回值等多种条件的规则组合，制定符合用户自身业务环境的审计规则。

    5、高速的事件入库能力。系统采用了固化硬件架构设计，超大容量数据存储空间，优化的数据存储引擎，在审计策略全部开启环境下，审计事件每秒入库速率达到万条以上，达到国内最高水平，从而避免用户在事后追踪溯源过程中，出现审计事件漏报的问题。

    6、独特的端口认证功能。系统提供了USB硬件令牌、静态口令、Radius三种认证方式，实现网络TCP端口访问的强制认证，用户可灵活选择。实现对自然人的绑定，当自然人在进行网络操作时，其真实身份与其网络行为进行关联，从而实现对自然人的追踪和稽查。

    7、高效的源头跟踪能力。系统能够针对用户网络环境中出现的指定帐号（比如Root、DBA）、指定应用程序（比如SQLPLUS、PL/SQL），进行随时触发、随时跟踪，减少审计事件过多带来的管理负担。

    8、及时多样的响应方式。系统提供了多种响应方式，支持包括记录、忽略、定级、界面告警、RST阻断、Syslog、SNMP Trap、邮件发送等技术手段，并可与第三方管理平台进行联动（如SOC平台、4A平台等），帮助用户实时掌握审计信息。

    9、易于扩展的分析条件。系统提供了多达20余种的查询条件，条件之间可任意组合，支持与、或、非逻辑运算规则，系统还提供特有的审计取证功能，简化了分析条件的操作，减少了维护工作量，促进了用户内审经验的传递。

    10、多种维度的合规报告。系统提供60余种报告模板，用户也可以根据自身业务特点生成自定义报表，报表格式包括HTML、EXCEL、CSV、PDF、Word等，提供从宏观数据到微观事件的决策依据。

典型应用