明御数据库审计与风险控制系统.pptVIP

第二部分　系统实现原理 实现原理 数据库安全审计系统主主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。 主要功能 包括： 实时监测并智能地分析、还原各种数据库操作。 根据规则设定及时阻断违规操作，保护重要的数据库表和视图。 实现对数据库系统漏洞、登录帐号、登录工具和数据操作过程的跟踪，发现对数据库系统的异常使用。 支持对登录用户、数据库表名、字段名及关键字等内容进行多种条件组合的规则设定，形成灵活的审计策略。 提供包括记录、报警、中断和向网管系统报警等多种响应措施。 具备强大的查询统计功能，可生成专业化的报表。 第三部分　系统部署 配置注意事项 由于目前设备采用旁路方式，安装及配置时需要注意： 1：需由用户协同或许可的情况下将设备置于网络中。 2：由于设备旁路方式，需要用户做好端口镜像，需要把被保护的数据库的流量镜像到我们设备上 3：配置数据库审计系统的管理IP、子网掩码、及网关。 4：配置完成后需要询问用户是否配置规则审计规则，如需配置需要知道详细的规则内容。 第四部分　系统功能介绍 快速配置 添加物理端口 　　进入保护对象菜单，新增物理端口，填入保护对象的IP地址、选择业务系统、版本、端口和运行环境，点保存。如下图所示：（添加IP:192.168.3.21、业务类型:oracle版本:10g 端口：1521 运行环境：linux） 添加业务系统和挂载物理端口 添加业务系统，输入业务系统名称，点保存。（如：信息查询平台） 选择业务系统，添加业务主机群，输入业务主机群名称，选择类型，点保存。（如：后台数据库，类型为oracle） 挂载物理端口，选择物理端口，点挂载。（如：192.168.3.21:1521(ORACLE 10g） 功能配置 配置当前业务主机群的启动引擎、采集设备、动作引擎。首先切换到需要配置的业务主机群，如果只有一个业务主机群，则登录后默认进入此业务主机群。 功能应用 审计引擎 　　　所有对该服务主机群的操作将被记录，可在[审计]选项卡中查看详细内容。 特征引擎 　　　即启动系统自带的安全策略库，在这里我们统一称之为特征。当发生符合特征的行为时系统将自动产生告警事件，在[告警]选项卡中可查看详细内容，即所有标记为特征的事件。 日志引擎 　　　即启动系统发送日志的功能，启动后根据常规配置—syslog服务器的配置，就可以将系统的日常审计记录及告警信息实时发送给外系统的SYSLOG服务器。 引擎配置 选择采集设备 　　配置采集数据的网口。点击[挂载]，选择采集设备，点击采集设备旁边的，挂载成功。 动作引擎 　　配置不同级别的系统采取的动作，如以下以高危事件为例进行配置。选择事件级别：高危事件 　　阻断配置（需要交换机或防火墙联动支持）如级别为高的阻断3600秒：选择阻断设备，输入阻断时长，点击[添加] 通知配置 　　如级别为高的告警通过邮件发送给admin用户，admin用户的邮箱地址在[用户]选项卡中用户信息里配置。 Syslog配置 　　如级别为高的告警发送到用户syslog服务器，事件类别为user-level messages，等级为Emergency，状态启用，点击[添加]。 审计规则 审计规则快速配置 第一步：新增审计对象组，输入审计对象组名称点保存。选择需要添加的对象类别，手工输入对象，点添加按钮,如图（添加表对象customers） 第二步：新增规则组，输入规则名称，点保存， 第三步：新增规则，输入规则名称—选择属于哪个规则组、规则对应哪个对象组—选择规则条件—选择定性行为—选择作用的业务主机群—点保存. 常规 全部审计是指系统无条件记录所有访问记录（默认全部审计，不需要修改。） 满足条件审计是指只有满足审计规则的访问记录才能被系统记录。 选择需要的审计选项，点保存。如下图所示。 审计对象组 审计规则配置必须先定义审计对象组。对象指SQL作用的对象，可以是表、过程、函数等。 规则 规则白名单 在白名单中的来源IP不会进行规则检测。 规则白名单在[常规配置]-[客户端IP用途]中配置。 审计 功能说明：记录下用户对数据库的所有操作。例如数据库用户通过客户端PL/SQL连接到数据库，他对数据库进行的所有操作都将被记录到明御系统中。管理员通过明御系统可以查看此用户具体对数据库做了哪些操作，并且可以自定义回放这些操作。管理员还能自定义审计规则，将指定对象及操作列为危险动作，当违反此规则时系统将通过告警、发邮件等方式通知系统管理员或立即进行阻断。 关注行为 查看所有审计规则定义成关注行为的审计事件。 自