【正文】 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)用戶使用手冊(cè)國都興業(yè)信息審計(jì)系統(tǒng)技術(shù)（北京）有限公司2012年3月79 / 83目 錄1 引言 1 文檔目的 1 術(shù)語和縮寫 12 產(chǎn)品簡介 3 產(chǎn)品背景 3 產(chǎn)品特點(diǎn) 4 產(chǎn)品功能 43 硬件安裝 5 拆箱檢查 5 設(shè)備上架 6 1U設(shè)備上架 6 2U設(shè)備上架 7 設(shè)備連接 9 設(shè)備面板指示 9 設(shè)備接口說明 10 鏡像端口接入 10 TAP接入 114 連接登錄 14 連接方式 14 修改通信口的ip設(shè)置 14 登錄系統(tǒng) 165 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)管理 17 首頁 17 門戶框架 19 個(gè)人設(shè)置 19 實(shí)時(shí)監(jiān)控 21 系統(tǒng)消息提示 22 時(shí)間設(shè)置 23 注銷 23 審計(jì)中心 23 數(shù)據(jù)庫審計(jì) 24 其它審計(jì) 25 實(shí)名審計(jì) 29 DOMINO審計(jì) 30 本地審計(jì) 31 攻擊監(jiān)測 32 如何開啟或關(guān)閉攻擊監(jiān)測 32 攻擊事件查詢 33 監(jiān)測引擎配置 36 性能分析 38 如何指定時(shí)間范圍進(jìn)行延時(shí)分析 38 如何查看分析結(jié)果 40 如何設(shè)置詳細(xì)分析條件 40 統(tǒng)計(jì)分析 41 SQL操作類型統(tǒng)計(jì) 41 事件類型統(tǒng)計(jì) 43 流量統(tǒng)計(jì) 44 策略中心 46 策略配置 46 資產(chǎn)配置 49 來源規(guī)則 52 時(shí)間規(guī)則 56 內(nèi)容規(guī)則 58 報(bào)表中心 59 如何手動(dòng)生成報(bào)表 59 如何使用自動(dòng)報(bào)表 60 如何使用歷史報(bào)表 61 系統(tǒng)配置 62 審計(jì)數(shù)據(jù)庫服務(wù)器 62 審計(jì)WEB中間件 63 知識(shí)庫 64 IP采集條件 65 工作參數(shù) 66 角色管理 72 補(bǔ)丁管理 74 授權(quán)管理 76 備份/還原 78 重啟/關(guān)機(jī) 82 用戶管理 83 如何添加用戶 84 如何編輯用戶 85 如何刪除用戶 85 系統(tǒng)日志管理 85 如何進(jìn)行日志查詢 86 如何查看日志的詳細(xì)信息 90 如何進(jìn)行日志刪除 90 如何導(dǎo)出系統(tǒng)日志 91 如何調(diào)整日志展示列 911 引言 文檔目的版權(quán)聲明本手冊(cè)包含了慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的硬件上架安裝、快速使用指南、系統(tǒng)功能配置以及FAQ等內(nèi)容。手冊(cè)中涉及相關(guān)文檔、文字內(nèi)容、標(biāo)識(shí)等信息均受版權(quán)保護(hù)，手冊(cè)的任何部分未經(jīng)許可均不得復(fù)制或者傳播，違者必究。適用范圍本手冊(cè)適用于慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的最終用戶。 術(shù)語和縮寫數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì)是通過記錄數(shù)據(jù)庫的操作行為作為審計(jì)記錄，反映出數(shù)據(jù)庫被使用的狀況；數(shù)據(jù)庫審計(jì)支持通過網(wǎng)絡(luò)訪問方式把對(duì)數(shù)據(jù)庫的操作及內(nèi)容進(jìn)行實(shí)時(shí)的監(jiān)控審計(jì)。審計(jì)類型審計(jì)類型指慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)支持的各種類型，包括數(shù)據(jù)庫類型（Oracle、DBMSSql、MySql、Sybase、Infomix）、數(shù)據(jù)庫運(yùn)維類型（Ssh、Ftp、Telnet）以及web中間件類型。數(shù)據(jù)庫sql操作類型數(shù)據(jù)庫審計(jì)支持的sql操作類型，包括 插入操作（Insert） o 數(shù)據(jù)插入操作（INSERT， SELECT … INTO） o 新建數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（CREATE TABLE， CREATE DATABASE， CREATE VIEW， CREATE INDEX， …） 查詢操作（Select） o 數(shù)據(jù)查詢操作（SELECT） o 數(shù)據(jù)表結(jié)構(gòu)查詢操作（show/desc） 刪除操作（Delete） o 刪除數(shù)據(jù)操作（DELETE， TRUNCATE TABLE， TRUNCATE DATABASE， …） o 刪除數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（DROP TABLE， DROP DATABASE， DROP VIEW， DROP INDEX， …） 更新操作（Update） o 數(shù)據(jù)更新操作（UPDATE） o 數(shù)據(jù)表結(jié)構(gòu)更新操作（ALTER， RENAME … TO …， MERGE INTO … USING …） 用戶訪問（Access） o 用戶登錄 特權(quán)操作（Privilege） o 用戶權(quán)限改變（GRANT， DENY， REVOKE） o 用戶建立與刪除 o 備份與恢復(fù)操作（BACKUP， RESTORE） o 事務(wù)操作（COMMIT， ROLLBACK TO） 數(shù)據(jù)庫特有操作 o Microsoft SQL Server特有操作：DBCC，SP_*， OPENDATASOURCE， … o ORALCE特有操作 其他操作 o 特定字符串審計(jì) 數(shù)據(jù)庫運(yùn)維審計(jì)數(shù)據(jù)庫運(yùn)維是針對(duì)用戶數(shù)據(jù)庫的軟件安裝、配置、備份及實(shí)施，數(shù)據(jù)恢復(fù)、遷移，故障排除、預(yù)防性巡檢等一系列服務(wù)；數(shù)據(jù)庫運(yùn)維審計(jì)是對(duì)通過遠(yuǎn)程訪問方式，對(duì)數(shù)據(jù)庫進(jìn)行運(yùn)維操作的行為及內(nèi)容審計(jì)，如telnet、ftp、ssh等。Web中間件審計(jì)web中間件泛指客戶端訪問web應(yīng)用服務(wù)器，web應(yīng)用服務(wù)器再訪問數(shù)據(jù)庫的應(yīng)用環(huán)境中的web應(yīng)用服務(wù)；web中間件審計(jì)支持對(duì)客戶端訪問web應(yīng)用服務(wù)器的行為及內(nèi)容的審計(jì)，同時(shí)支持客戶端訪問web應(yīng)用服務(wù)器和web應(yīng)用服務(wù)器訪問數(shù)據(jù)庫關(guān)聯(lián)行為及內(nèi)容的審計(jì)。審計(jì)服務(wù)器審計(jì)服務(wù)器指數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫運(yùn)維服務(wù)器以及web中間件服務(wù)器。審計(jì)客戶端審計(jì)客戶端指訪問審計(jì)服務(wù)器的用戶終端。審計(jì)記錄用戶訪問審計(jì)服務(wù)器產(chǎn)生的每一個(gè)sql操作、運(yùn)維操作或者web訪問記錄下來的行為及內(nèi)容作為一條審計(jì)記錄。自身日志自身日志指慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的配置或狀態(tài)的變更時(shí)生成的記錄。AMCAMC是審計(jì)管理中心（Audit Management Center）的簡寫，它實(shí)現(xiàn)了產(chǎn)品功能服務(wù)層面的功能，其目標(biāo)是對(duì)安全產(chǎn)品的管理。探針探針是慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)用于采集各種審計(jì)數(shù)據(jù)的分布式模塊。探針支持獨(dú)立安裝，或和AMC一體安裝。策略對(duì)監(jiān)控?cái)?shù)據(jù)進(jìn)行處理，生成審計(jì)記錄以及執(zhí)行某種操作的集合。多級(jí)管理中，上級(jí)AMC支持策略調(diào)度下發(fā)。數(shù)據(jù)轉(zhuǎn)儲(chǔ)數(shù)據(jù)轉(zhuǎn)儲(chǔ)指將慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的審計(jì)記錄，導(dǎo)出轉(zhuǎn)存到系統(tǒng)之外的空間，并能通過手段查詢轉(zhuǎn)存到系統(tǒng)外的歷史記錄的功能。TAP設(shè)備TAP是分路器設(shè)備，提供網(wǎng)絡(luò)流量的副本，以便進(jìn)行實(shí)時(shí)監(jiān)控和分析；接口分為電口和光接口。2 產(chǎn)品簡介 產(chǎn)品背景薩班斯法案（SOX）誕生之日起，為數(shù)不少的安全公司就已經(jīng)預(yù)測到數(shù)據(jù)安全審計(jì)將成為企業(yè)無法回避的問題。只要是正規(guī)的企業(yè)，都無法回避自身的數(shù)據(jù)安全問題。當(dāng)然，上市公司就更加需要重視。事實(shí)上，這里所說的數(shù)據(jù)庫安全審計(jì)，不僅包括了數(shù)據(jù)源的安全，而且也涵蓋了審計(jì)方法與企業(yè)IT流程的結(jié)合。數(shù)據(jù)庫是每個(gè)企業(yè)數(shù)據(jù)管理的基礎(chǔ)，盡管這些系統(tǒng)的數(shù)據(jù)完整性和安全性是相當(dāng)重要的，但對(duì)數(shù)據(jù)庫采取的安全檢查措施的級(jí)別還比不上操作系統(tǒng)和網(wǎng)絡(luò)的安全檢查措施的級(jí)別。許多因素都可能破壞數(shù)據(jù)的完整性并導(dǎo)致非法訪問，這些因素包括密碼安全性較差、誤配置、未被察覺的系統(tǒng)后門以及自適應(yīng)數(shù)據(jù)庫安全方法的強(qiáng)制性常規(guī)使用等。針對(duì)以上破壞數(shù)據(jù)完整性的威脅都來自于數(shù)據(jù)庫本身的安全策略的漏洞和使用方面的問題，然而對(duì)于數(shù)據(jù)庫合法用戶的違規(guī)操作，以及內(nèi)部用戶對(duì)數(shù)據(jù)資源的故意泄露或破壞等問題，對(duì)企業(yè)帶來的危害會(huì)更加嚴(yán)重，損失也會(huì)相當(dāng)巨大。當(dāng)然，數(shù)據(jù)庫系統(tǒng)本身會(huì)提供一些日志審計(jì)功能，但是想要審計(jì)較為細(xì)致的操作日志就必然要影響到數(shù)據(jù)庫服務(wù)器的性能，一般應(yīng)用數(shù)據(jù)庫的企業(yè)用戶 ，都不愿意開設(shè)多一些的日志審計(jì)功能，這樣必然會(huì)對(duì)數(shù)據(jù)庫的安全埋下了安全隱患。當(dāng)產(chǎn)生數(shù)據(jù)安全問題時(shí)，為了尋找案件線索，執(zhí)法機(jī)構(gòu)需要從網(wǎng)絡(luò)上尋找犯罪嫌疑人的活動(dòng)和留下的痕跡并獲取可靠的犯罪證據(jù)，對(duì)于偵破犯罪案件，保障社會(huì)穩(wěn)定，維護(hù)公民利益具有十分重要的意義。因此，安全管理要從網(wǎng)絡(luò)系統(tǒng)安全和應(yīng)用安全兩個(gè)方面推進(jìn)，才能有效地全面解決安全問題。數(shù)據(jù)庫網(wǎng)絡(luò)安全審計(jì)是網(wǎng)絡(luò)安全管理工作中的一個(gè)重要組成部分，它可以通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫的“信息活動(dòng)”實(shí)時(shí)地進(jìn)行監(jiān)控審計(jì)，使管理者對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫的“信息活動(dòng)”一目了然，能夠及時(shí)掌握數(shù)據(jù)庫服務(wù)器的應(yīng)用情況，及時(shí)發(fā)現(xiàn)客戶端的使用問題，存在著哪些安全問題和隱患并予以糾正，預(yù)防應(yīng)用安全事件的發(fā)生，即便發(fā)生了也能夠可以快速查證并追根尋源。 產(chǎn)品特點(diǎn)慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)是集數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫安全檢測、數(shù)據(jù)庫優(yōu)化分析三大功能為一體的綜合監(jiān)控審計(jì)系統(tǒng)。該系統(tǒng)采用網(wǎng)絡(luò)旁路實(shí)時(shí)偵聽方式，全線速采集網(wǎng)絡(luò)上所有會(huì)話流，對(duì)網(wǎng)絡(luò)中的各種應(yīng)用行為和應(yīng)用內(nèi)容進(jìn)行監(jiān)控、報(bào)警、記錄?；垩蹟?shù)據(jù)庫安全審計(jì)系統(tǒng)不參與被監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)傳輸活動(dòng)，因此不對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和性能產(chǎn)生任何影響，具有很好的透明性和安全性。 產(chǎn)品功能數(shù)據(jù)庫操作和數(shù)據(jù)庫運(yùn)維監(jiān)控、審計(jì)、報(bào)警能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫的各種操作進(jìn)行記錄審計(jì)并報(bào)警，提供詳細(xì)的審計(jì)信息（4W：何時(shí) When 、何地 Where 、何人 Who以及何種行為 What）查詢功能和郵件、syslog報(bào)警方式。同時(shí)提供多種審計(jì)條件，實(shí)現(xiàn)分類審計(jì)或組合審計(jì)。數(shù)據(jù)庫事件審計(jì)分析能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫接收發(fā)送的流量包數(shù)進(jìn)行統(tǒng)計(jì)，并提供詳細(xì)的統(tǒng)計(jì)條件（如：時(shí)間、IP地址、協(xié)議類型等），并根據(jù)歷史的數(shù)據(jù)庫操作數(shù)量做出基于：天、周、月的趨勢分析。日志信息查詢 能夠?qū)W(wǎng)絡(luò)中其他設(shè)備發(fā)來的syslog和SNMP日志信息進(jìn)行接收和查詢，并提供多種查詢條件，實(shí)現(xiàn)分類或組合查詢。報(bào)表系統(tǒng)可以實(shí)現(xiàn)手動(dòng)報(bào)表和自動(dòng)定制報(bào)表郵件發(fā)送功能。同時(shí)提供靈活的可定制報(bào)表策略和rtf、html和pdf多種報(bào)表格式。系統(tǒng)狀態(tài)配置、查看可以通過界面查看系統(tǒng)狀態(tài)、進(jìn)行系統(tǒng)管理，并提供智能診斷功能。數(shù)據(jù)保護(hù)擁有數(shù)據(jù)存儲(chǔ)區(qū)磁盤空間預(yù)警和數(shù)據(jù)保護(hù)功能。在數(shù)據(jù)存儲(chǔ)區(qū)磁盤空間使用率達(dá)到預(yù)設(shè)的預(yù)警閥值時(shí)通過界面顯示和郵件方式實(shí)現(xiàn)預(yù)警，達(dá)到預(yù)設(shè)的保護(hù)閥值時(shí)根據(jù)設(shè)定的數(shù)據(jù)保護(hù)機(jī)制采取相應(yīng)的處理對(duì)審計(jì)數(shù)據(jù)進(jìn)行保護(hù)。自身日志支持完善的自身日志記錄和查詢功能。補(bǔ)丁升級(jí)可以通過界面上傳補(bǔ)丁包進(jìn)行補(bǔ)丁的升級(jí)和卸載。用戶/角色權(quán)限管理實(shí)現(xiàn)用戶權(quán)限三權(quán)分立，支持基于用戶、產(chǎn)品功能模塊和內(nèi)容訪問三級(jí)的權(quán)限管理。3 硬件安裝 拆箱檢查在打開包裝之后，請(qǐng)您先檢查隨機(jī)附帶的電源線、網(wǎng)線、隨機(jī)光盤等附件是否齊全，所有部件請(qǐng)對(duì)照裝箱單進(jìn)行檢查，如有缺損請(qǐng)及時(shí)和銷售人員聯(lián)系。注意：取出設(shè)備后，不要將外包裝丟棄，在需要搬運(yùn)時(shí)，請(qǐng)務(wù)必使用原包裝，它是為您的審計(jì)設(shè)備專門設(shè)計(jì)的包裝，具備良好的防震功能。物 品 名 稱數(shù)量數(shù)據(jù)庫審計(jì)設(shè)備1電源線1網(wǎng)線2隨機(jī)光盤1小托架1裝箱單1每臺(tái)設(shè)備有固定的序列號(hào)，且是唯一的。設(shè)備序列號(hào)的位置隨設(shè)備類型不同而不同，一般分3種情況：設(shè)備左側(cè)靠前位置設(shè)備左側(cè)后部位置設(shè)備后部中間位置 設(shè)備上架數(shù)據(jù)庫審計(jì)設(shè)備機(jī)箱符合工業(yè)機(jī)柜的標(biāo)準(zhǔn)，它的高度為1U或者2U，可以順利的安裝到19”標(biāo)準(zhǔn)機(jī)柜中去。 1U設(shè)備上架安裝支架，都包括一個(gè)支架。，將A點(diǎn)安裝在機(jī)架內(nèi)側(cè)。如圖所示:設(shè)備上架，調(diào)整好位置。，加螺絲固定。 2U設(shè)備上架安裝內(nèi)側(cè)導(dǎo)軌（固定在機(jī)箱上）1. 在每個(gè)導(dǎo)軌裝置中，都包括一副內(nèi)側(cè)可抽拉導(dǎo)軌和外側(cè)導(dǎo)軌。2. 按住內(nèi)側(cè)抽拉導(dǎo)軌裝置上的卡鎖，將內(nèi)導(dǎo)軌抽出并安裝在機(jī)箱側(cè)面。(內(nèi)側(cè)導(dǎo)軌安裝在機(jī)箱兩側(cè)，外側(cè)導(dǎo)軌安裝在機(jī)柜兩側(cè)上)3. 將位于內(nèi)側(cè)抽拉導(dǎo)軌的五個(gè)孔和機(jī)箱上側(cè)身的五個(gè)孔相對(duì)應(yīng)，加螺絲固定。4. 固定好一側(cè)導(dǎo)軌在機(jī)箱上，重復(fù)以上步驟再安裝另一側(cè)導(dǎo)軌在機(jī)箱上即可。外側(cè)導(dǎo)軌安裝（固定在機(jī)柜上）在機(jī)箱料包盒里，有前面（短）和后面（長）各一副導(dǎo)軌片。請(qǐng)按照導(dǎo)軌片上箭頭標(biāo)注的方向排好。1. 排好后固定前面的導(dǎo)軌片（短）在外側(cè)導(dǎo)軌上；2. 再附上后面的導(dǎo)軌片（長）固定在外側(cè)導(dǎo)軌上；3. 量出外側(cè)導(dǎo)軌安裝到機(jī)柜的具體深度和長度，調(diào)節(jié)好短、長副導(dǎo)軌片和外側(cè)導(dǎo)軌合適機(jī)柜的距離；4. 重復(fù)相同的步驟安裝另一側(cè)的導(dǎo)軌到機(jī)柜上；5. 將機(jī)箱插入機(jī)柜上的外側(cè)導(dǎo)軌并推進(jìn)時(shí)，聽見“咔”的聲響后，機(jī)箱便順利裝入機(jī)柜中（第一次安裝時(shí)，機(jī)箱上導(dǎo)軌插入機(jī)柜外部導(dǎo)軌的過程和推入過程不是很容易，在推入時(shí)不要用力過猛）；6. 當(dāng)拉出機(jī)箱時(shí)，只要扳動(dòng)機(jī)箱兩側(cè)導(dǎo)軌上的卡鎖扣即可拉出。 設(shè)備連接 設(shè)備面板指示設(shè)備面板指示：（以1U服務(wù)器為例）如圖：（自右至左）分別為：電源開關(guān)、重新復(fù)位按鈕、電源指示燈、硬盤工作指示燈、通信口指示燈、備用通信口指示燈、CPU溫度過高指示燈；電源開關(guān)：軟件式開關(guān)，按一下為開，再按一下為關(guān)；重新復(fù)位按鈕：暗埋式設(shè)計(jì)，使用時(shí)用細(xì)物按下，設(shè)備在任何情況下重新啟動(dòng)；電源指示燈：此燈亮?xí)r指示電源為開（只有此燈亮?xí)r代表電源打開）；硬盤工作指示燈：此燈亮?xí)r指示硬盤工作；通信口指示燈：LAN0號(hào)網(wǎng)口接通指示燈（此燈亮?xí)r只代表網(wǎng)口接通，不代表電源打開）；備用通信口指示燈：LAN1號(hào)網(wǎng)口接通指示燈（此燈亮?xí)r只代表網(wǎng)口接通，不代表電源打開）；CPU溫度過高指示燈：此燈亮?xí)r說明CPU溫度超過BIOS中設(shè)定溫度。（該設(shè)備為4網(wǎng)口，LANLAN3指示燈在機(jī)箱背面網(wǎng)口處。） 設(shè)備接口說明1U設(shè)備：2U設(shè)備：A：鼠標(biāo)鍵盤B：USB接口C：COM/Video接口D：通信口: 用于用戶訪問系統(tǒng)的通信接口E：備用通信口: 用于通過網(wǎng)絡(luò)進(jìn)行設(shè)備內(nèi)部維護(hù)時(shí)使用F、G：采集口: 用于采集網(wǎng)絡(luò)數(shù)據(jù)包的接口，可以使用兩個(gè)接口中的任何一個(gè)或兩個(gè)同時(shí)使用H、I：擴(kuò)展卡插口（可以為光接口卡或者電接口卡） 鏡像端口接入數(shù)據(jù)庫審計(jì)設(shè)備一般采用鏡像端口的接入方式，將一個(gè)采集口連接到交換機(jī)的鏡像端口，交