【正文】 慧眼數(shù)據(jù)庫安全審計系統(tǒng)用戶使用手冊國都興業(yè)信息審計系統(tǒng)技術(shù)（北京）有限公司2012年3月79 / 83目 錄1 引言 1 文檔目的 1 術(shù)語和縮寫 12 產(chǎn)品簡介 3 產(chǎn)品背景 3 產(chǎn)品特點 4 產(chǎn)品功能 43 硬件安裝 5 拆箱檢查 5 設備上架 6 1U設備上架 6 2U設備上架 7 設備連接 9 設備面板指示 9 設備接口說明 10 鏡像端口接入 10 TAP接入 114 連接登錄 14 連接方式 14 修改通信口的ip設置 14 登錄系統(tǒng) 165 慧眼數(shù)據(jù)庫安全審計系統(tǒng)管理 17 首頁 17 門戶框架 19 個人設置 19 實時監(jiān)控 21 系統(tǒng)消息提示 22 時間設置 23 注銷 23 審計中心 23 數(shù)據(jù)庫審計 24 其它審計 25 實名審計 29 DOMINO審計 30 本地審計 31 攻擊監(jiān)測 32 如何開啟或關(guān)閉攻擊監(jiān)測 32 攻擊事件查詢 33 監(jiān)測引擎配置 36 性能分析 38 如何指定時間范圍進行延時分析 38 如何查看分析結(jié)果 40 如何設置詳細分析條件 40 統(tǒng)計分析 41 SQL操作類型統(tǒng)計 41 事件類型統(tǒng)計 43 流量統(tǒng)計 44 策略中心 46 策略配置 46 資產(chǎn)配置 49 來源規(guī)則 52 時間規(guī)則 56 內(nèi)容規(guī)則 58 報表中心 59 如何手動生成報表 59 如何使用自動報表 60 如何使用歷史報表 61 系統(tǒng)配置 62 審計數(shù)據(jù)庫服務器 62 審計WEB中間件 63 知識庫 64 IP采集條件 65 工作參數(shù) 66 角色管理 72 補丁管理 74 授權(quán)管理 76 備份/還原 78 重啟/關(guān)機 82 用戶管理 83 如何添加用戶 84 如何編輯用戶 85 如何刪除用戶 85 系統(tǒng)日志管理 85 如何進行日志查詢 86 如何查看日志的詳細信息 90 如何進行日志刪除 90 如何導出系統(tǒng)日志 91 如何調(diào)整日志展示列 911 引言 文檔目的版權(quán)聲明本手冊包含了慧眼數(shù)據(jù)庫安全審計系統(tǒng)的硬件上架安裝、快速使用指南、系統(tǒng)功能配置以及FAQ等內(nèi)容。手冊中涉及相關(guān)文檔、文字內(nèi)容、標識等信息均受版權(quán)保護，手冊的任何部分未經(jīng)許可均不得復制或者傳播，違者必究。適用范圍本手冊適用于慧眼數(shù)據(jù)庫安全審計系統(tǒng)的最終用戶。 術(shù)語和縮寫數(shù)據(jù)庫審計數(shù)據(jù)庫審計是通過記錄數(shù)據(jù)庫的操作行為作為審計記錄，反映出數(shù)據(jù)庫被使用的狀況；數(shù)據(jù)庫審計支持通過網(wǎng)絡訪問方式把對數(shù)據(jù)庫的操作及內(nèi)容進行實時的監(jiān)控審計。審計類型審計類型指慧眼數(shù)據(jù)庫安全審計系統(tǒng)支持的各種類型，包括數(shù)據(jù)庫類型（Oracle、DBMSSql、MySql、Sybase、Infomix）、數(shù)據(jù)庫運維類型（Ssh、Ftp、Telnet）以及web中間件類型。數(shù)據(jù)庫sql操作類型數(shù)據(jù)庫審計支持的sql操作類型，包括 插入操作（Insert） o 數(shù)據(jù)插入操作（INSERT， SELECT … INTO） o 新建數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（CREATE TABLE， CREATE DATABASE， CREATE VIEW， CREATE INDEX， …） 查詢操作（Select） o 數(shù)據(jù)查詢操作（SELECT） o 數(shù)據(jù)表結(jié)構(gòu)查詢操作（show/desc） 刪除操作（Delete） o 刪除數(shù)據(jù)操作（DELETE， TRUNCATE TABLE， TRUNCATE DATABASE， …） o 刪除數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（DROP TABLE， DROP DATABASE， DROP VIEW， DROP INDEX， …） 更新操作（Update） o 數(shù)據(jù)更新操作（UPDATE） o 數(shù)據(jù)表結(jié)構(gòu)更新操作（ALTER， RENAME … TO …， MERGE INTO … USING …） 用戶訪問（Access） o 用戶登錄 特權(quán)操作（Privilege） o 用戶權(quán)限改變（GRANT， DENY， REVOKE） o 用戶建立與刪除 o 備份與恢復操作（BACKUP， RESTORE） o 事務操作（COMMIT， ROLLBACK TO） 數(shù)據(jù)庫特有操作 o Microsoft SQL Server特有操作：DBCC，SP_*， OPENDATASOURCE， … o ORALCE特有操作 其他操作 o 特定字符串審計 數(shù)據(jù)庫運維審計數(shù)據(jù)庫運維是針對用戶數(shù)據(jù)庫的軟件安裝、配置、備份及實施，數(shù)據(jù)恢復、遷移，故障排除、預防性巡檢等一系列服務；數(shù)據(jù)庫運維審計是對通過遠程訪問方式，對數(shù)據(jù)庫進行運維操作的行為及內(nèi)容審計，如telnet、ftp、ssh等。Web中間件審計web中間件泛指客戶端訪問web應用服務器，web應用服務器再訪問數(shù)據(jù)庫的應用環(huán)境中的web應用服務；web中間件審計支持對客戶端訪問web應用服務器的行為及內(nèi)容的審計，同時支持客戶端訪問web應用服務器和web應用服務器訪問數(shù)據(jù)庫關(guān)聯(lián)行為及內(nèi)容的審計。審計服務器審計服務器指數(shù)據(jù)庫服務器、數(shù)據(jù)庫運維服務器以及web中間件服務器。審計客戶端審計客戶端指訪問審計服務器的用戶終端。審計記錄用戶訪問審計服務器產(chǎn)生的每一個sql操作、運維操作或者web訪問記錄下來的行為及內(nèi)容作為一條審計記錄。自身日志自身日志指慧眼數(shù)據(jù)庫安全審計系統(tǒng)的配置或狀態(tài)的變更時生成的記錄。AMCAMC是審計管理中心（Audit Management Center）的簡寫，它實現(xiàn)了產(chǎn)品功能服務層面的功能，其目標是對安全產(chǎn)品的管理。探針探針是慧眼數(shù)據(jù)庫安全審計系統(tǒng)用于采集各種審計數(shù)據(jù)的分布式模塊。探針支持獨立安裝，或和AMC一體安裝。策略對監(jiān)控數(shù)據(jù)進行處理，生成審計記錄以及執(zhí)行某種操作的集合。多級管理中，上級AMC支持策略調(diào)度下發(fā)。數(shù)據(jù)轉(zhuǎn)儲數(shù)據(jù)轉(zhuǎn)儲指將慧眼數(shù)據(jù)庫安全審計系統(tǒng)的審計記錄，導出轉(zhuǎn)存到系統(tǒng)之外的空間，并能通過手段查詢轉(zhuǎn)存到系統(tǒng)外的歷史記錄的功能。TAP設備TAP是分路器設備，提供網(wǎng)絡流量的副本，以便進行實時監(jiān)控和分析；接口分為電口和光接口。2 產(chǎn)品簡介 產(chǎn)品背景薩班斯法案（SOX）誕生之日起，為數(shù)不少的安全公司就已經(jīng)預測到數(shù)據(jù)安全審計將成為企業(yè)無法回避的問題。只要是正規(guī)的企業(yè)，都無法回避自身的數(shù)據(jù)安全問題。當然，上市公司就更加需要重視。事實上，這里所說的數(shù)據(jù)庫安全審計，不僅包括了數(shù)據(jù)源的安全，而且也涵蓋了審計方法與企業(yè)IT流程的結(jié)合。數(shù)據(jù)庫是每個企業(yè)數(shù)據(jù)管理的基礎，盡管這些系統(tǒng)的數(shù)據(jù)完整性和安全性是相當重要的，但對數(shù)據(jù)庫采取的安全檢查措施的級別還比不上操作系統(tǒng)和網(wǎng)絡的安全檢查措施的級別。許多因素都可能破壞數(shù)據(jù)的完整性并導致非法訪問，這些因素包括密碼安全性較差、誤配置、未被察覺的系統(tǒng)后門以及自適應數(shù)據(jù)庫安全方法的強制性常規(guī)使用等。針對以上破壞數(shù)據(jù)完整性的威脅都來自于數(shù)據(jù)庫本身的安全策略的漏洞和使用方面的問題，然而對于數(shù)據(jù)庫合法用戶的違規(guī)操作，以及內(nèi)部用戶對數(shù)據(jù)資源的故意泄露或破壞等問題，對企業(yè)帶來的危害會更加嚴重，損失也會相當巨大。當然，數(shù)據(jù)庫系統(tǒng)本身會提供一些日志審計功能，但是想要審計較為細致的操作日志就必然要影響到數(shù)據(jù)庫服務器的性能，一般應用數(shù)據(jù)庫的企業(yè)用戶 ，都不愿意開設多一些的日志審計功能，這樣必然會對數(shù)據(jù)庫的安全埋下了安全隱患。當產(chǎn)生數(shù)據(jù)安全問題時，為了尋找案件線索，執(zhí)法機構(gòu)需要從網(wǎng)絡上尋找犯罪嫌疑人的活動和留下的痕跡并獲取可靠的犯罪證據(jù)，對于偵破犯罪案件，保障社會穩(wěn)定，維護公民利益具有十分重要的意義。因此，安全管理要從網(wǎng)絡系統(tǒng)安全和應用安全兩個方面推進，才能有效地全面解決安全問題。數(shù)據(jù)庫網(wǎng)絡安全審計是網(wǎng)絡安全管理工作中的一個重要組成部分，它可以通過對網(wǎng)絡數(shù)據(jù)庫的“信息活動”實時地進行監(jiān)控審計，使管理者對網(wǎng)絡數(shù)據(jù)庫的“信息活動”一目了然，能夠及時掌握數(shù)據(jù)庫服務器的應用情況，及時發(fā)現(xiàn)客戶端的使用問題，存在著哪些安全問題和隱患并予以糾正，預防應用安全事件的發(fā)生，即便發(fā)生了也能夠可以快速查證并追根尋源。 產(chǎn)品特點慧眼數(shù)據(jù)庫安全審計系統(tǒng)是集數(shù)據(jù)庫審計、數(shù)據(jù)庫安全檢測、數(shù)據(jù)庫優(yōu)化分析三大功能為一體的綜合監(jiān)控審計系統(tǒng)。該系統(tǒng)采用網(wǎng)絡旁路實時偵聽方式，全線速采集網(wǎng)絡上所有會話流，對網(wǎng)絡中的各種應用行為和應用內(nèi)容進行監(jiān)控、報警、記錄。慧眼數(shù)據(jù)庫安全審計系統(tǒng)不參與被監(jiān)控網(wǎng)絡的數(shù)據(jù)傳輸活動，因此不對網(wǎng)絡結(jié)構(gòu)和性能產(chǎn)生任何影響，具有很好的透明性和安全性。 產(chǎn)品功能數(shù)據(jù)庫操作和數(shù)據(jù)庫運維監(jiān)控、審計、報警能夠?qū)W(wǎng)絡數(shù)據(jù)庫的各種操作進行記錄審計并報警，提供詳細的審計信息（4W：何時 When 、何地 Where 、何人 Who以及何種行為 What）查詢功能和郵件、syslog報警方式。同時提供多種審計條件，實現(xiàn)分類審計或組合審計。數(shù)據(jù)庫事件審計分析能夠?qū)W(wǎng)絡數(shù)據(jù)庫接收發(fā)送的流量包數(shù)進行統(tǒng)計，并提供詳細的統(tǒng)計條件（如：時間、IP地址、協(xié)議類型等），并根據(jù)歷史的數(shù)據(jù)庫操作數(shù)量做出基于：天、周、月的趨勢分析。日志信息查詢 能夠?qū)W(wǎng)絡中其他設備發(fā)來的syslog和SNMP日志信息進行接收和查詢，并提供多種查詢條件，實現(xiàn)分類或組合查詢。報表系統(tǒng)可以實現(xiàn)手動報表和自動定制報表郵件發(fā)送功能。同時提供靈活的可定制報表策略和rtf、html和pdf多種報表格式。系統(tǒng)狀態(tài)配置、查看可以通過界面查看系統(tǒng)狀態(tài)、進行系統(tǒng)管理，并提供智能診斷功能。數(shù)據(jù)保護擁有數(shù)據(jù)存儲區(qū)磁盤空間預警和數(shù)據(jù)保護功能。在數(shù)據(jù)存儲區(qū)磁盤空間使用率達到預設的預警閥值時通過界面顯示和郵件方式實現(xiàn)預警，達到預設的保護閥值時根據(jù)設定的數(shù)據(jù)保護機制采取相應的處理對審計數(shù)據(jù)進行保護。自身日志支持完善的自身日志記錄和查詢功能。補丁升級可以通過界面上傳補丁包進行補丁的升級和卸載。用戶/角色權(quán)限管理實現(xiàn)用戶權(quán)限三權(quán)分立，支持基于用戶、產(chǎn)品功能模塊和內(nèi)容訪問三級的權(quán)限管理。3 硬件安裝 拆箱檢查在打開包裝之后，請您先檢查隨機附帶的電源線、網(wǎng)線、隨機光盤等附件是否齊全，所有部件請對照裝箱單進行檢查，如有缺損請及時和銷售人員聯(lián)系。注意：取出設備后，不要將外包裝丟棄，在需要搬運時，請務必使用原包裝，它是為您的審計設備專門設計的包裝，具備良好的防震功能。物 品 名 稱數(shù)量數(shù)據(jù)庫審計設備1電源線1網(wǎng)線2隨機光盤1小托架1裝箱單1每臺設備有固定的序列號，且是唯一的。設備序列號的位置隨設備類型不同而不同，一般分3種情況：設備左側(cè)靠前位置設備左側(cè)后部位置設備后部中間位置 設備上架數(shù)據(jù)庫審計設備機箱符合工業(yè)機柜的標準，它的高度為1U或者2U，可以順利的安裝到19”標準機柜中去。 1U設備上架安裝支架，都包括一個支架。，將A點安裝在機架內(nèi)側(cè)。如圖所示:設備上架，調(diào)整好位置。，加螺絲固定。 2U設備上架安裝內(nèi)側(cè)導軌（固定在機箱上）1. 在每個導軌裝置中，都包括一副內(nèi)側(cè)可抽拉導軌和外側(cè)導軌。2. 按住內(nèi)側(cè)抽拉導軌裝置上的卡鎖，將內(nèi)導軌抽出并安裝在機箱側(cè)面。(內(nèi)側(cè)導軌安裝在機箱兩側(cè)，外側(cè)導軌安裝在機柜兩側(cè)上)3. 將位于內(nèi)側(cè)抽拉導軌的五個孔和機箱上側(cè)身的五個孔相對應，加螺絲固定。4. 固定好一側(cè)導軌在機箱上，重復以上步驟再安裝另一側(cè)導軌在機箱上即可。外側(cè)導軌安裝（固定在機柜上）在機箱料包盒里，有前面（短）和后面（長）各一副導軌片。請按照導軌片上箭頭標注的方向排好。1. 排好后固定前面的導軌片（短）在外側(cè)導軌上；2. 再附上后面的導軌片（長）固定在外側(cè)導軌上；3. 量出外側(cè)導軌安裝到機柜的具體深度和長度，調(diào)節(jié)好短、長副導軌片和外側(cè)導軌合適機柜的距離；4. 重復相同的步驟安裝另一側(cè)的導軌到機柜上；5. 將機箱插入機柜上的外側(cè)導軌并推進時，聽見“咔”的聲響后，機箱便順利裝入機柜中（第一次安裝時，機箱上導軌插入機柜外部導軌的過程和推入過程不是很容易，在推入時不要用力過猛）；6. 當拉出機箱時，只要扳動機箱兩側(cè)導軌上的卡鎖扣即可拉出。 設備連接 設備面板指示設備面板指示：（以1U服務器為例）如圖：（自右至左）分別為：電源開關(guān)、重新復位按鈕、電源指示燈、硬盤工作指示燈、通信口指示燈、備用通信口指示燈、CPU溫度過高指示燈；電源開關(guān)：軟件式開關(guān)，按一下為開，再按一下為關(guān)；重新復位按鈕：暗埋式設計，使用時用細物按下，設備在任何情況下重新啟動；電源指示燈：此燈亮時指示電源為開（只有此燈亮時代表電源打開）；硬盤工作指示燈：此燈亮時指示硬盤工作；通信口指示燈：LAN0號網(wǎng)口接通指示燈（此燈亮時只代表網(wǎng)口接通，不代表電源打開）；備用通信口指示燈：LAN1號網(wǎng)口接通指示燈（此燈亮時只代表網(wǎng)口接通，不代表電源打開）；CPU溫度過高指示燈：此燈亮時說明CPU溫度超過BIOS中設定溫度。（該設備為4網(wǎng)口，LANLAN3指示燈在機箱背面網(wǎng)口處。） 設備接口說明1U設備：2U設備：A：鼠標鍵盤B：USB接口C：COM/Video接口D：通信口: 用于用戶訪問系統(tǒng)的通信接口E：備用通信口: 用于通過網(wǎng)絡進行設備內(nèi)部維護時使用F、G：采集口: 用于采集網(wǎng)絡數(shù)據(jù)包的接口，可以使用兩個接口中的任何一個或兩個同時使用H、I：擴展卡插口（可以為光接口卡或者電接口卡） 鏡像端口接入數(shù)據(jù)庫審計設備一般采用鏡像端口的接入方式，將一個采集口連接到交換機的鏡像端口，交