【正文】 （審計(jì)中心IP）地址，只能通過網(wǎng)線直連，不支持將備用通信口連到交換機(jī)。電口TAP接入示意圖：光接口TAP接入示意圖：冗余電源：（以2U服務(wù)器為例）如圖所示：為2U設(shè)備的冗余電源；要求上下兩個電源都要接入220V交流電源；任何一個未接入，即會報(bào)警；若不想使用兩個電源供電，可任意拔出一個電源，就不會產(chǎn)生報(bào)警（如下兩圖）；拔電源時，按住電源上面的按鈕，向右側(cè)按，同時拉電源后面的把手，即可將單個電源拉出；復(fù)原時，直接推電源到底，同時聽到“卡“一聲時，表示電源推到位并鎖住。 設(shè)備連接 設(shè)備面板指示設(shè)備面板指示：（以1U服務(wù)器為例）如圖：（自右至左）分別為：電源開關(guān)、重新復(fù)位按鈕、電源指示燈、硬盤工作指示燈、通信口指示燈、備用通信口指示燈、CPU溫度過高指示燈；電源開關(guān)：軟件式開關(guān)，按一下為開，再按一下為關(guān)；重新復(fù)位按鈕：暗埋式設(shè)計(jì)，使用時用細(xì)物按下，設(shè)備在任何情況下重新啟動；電源指示燈：此燈亮?xí)r指示電源為開（只有此燈亮?xí)r代表電源打開）；硬盤工作指示燈：此燈亮?xí)r指示硬盤工作；通信口指示燈：LAN0號網(wǎng)口接通指示燈（此燈亮?xí)r只代表網(wǎng)口接通，不代表電源打開）；備用通信口指示燈：LAN1號網(wǎng)口接通指示燈（此燈亮?xí)r只代表網(wǎng)口接通，不代表電源打開）；CPU溫度過高指示燈：此燈亮?xí)r說明CPU溫度超過BIOS中設(shè)定溫度。4. 固定好一側(cè)導(dǎo)軌在機(jī)箱上，重復(fù)以上步驟再安裝另一側(cè)導(dǎo)軌在機(jī)箱上即可。，加螺絲固定。設(shè)備序列號的位置隨設(shè)備類型不同而不同，一般分3種情況：設(shè)備左側(cè)靠前位置設(shè)備左側(cè)后部位置設(shè)備后部中間位置 設(shè)備上架數(shù)據(jù)庫審計(jì)設(shè)備機(jī)箱符合工業(yè)機(jī)柜的標(biāo)準(zhǔn)，它的高度為1U或者2U，可以順利的安裝到19”標(biāo)準(zhǔn)機(jī)柜中去。用戶/角色權(quán)限管理實(shí)現(xiàn)用戶權(quán)限三權(quán)分立，支持基于用戶、產(chǎn)品功能模塊和內(nèi)容訪問三級的權(quán)限管理。數(shù)據(jù)保護(hù)擁有數(shù)據(jù)存儲區(qū)磁盤空間預(yù)警和數(shù)據(jù)保護(hù)功能。日志信息查詢 能夠?qū)W(wǎng)絡(luò)中其他設(shè)備發(fā)來的syslog和SNMP日志信息進(jìn)行接收和查詢，并提供多種查詢條件，實(shí)現(xiàn)分類或組合查詢?；垩蹟?shù)據(jù)庫安全審計(jì)系統(tǒng)不參與被監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)傳輸活動，因此不對網(wǎng)絡(luò)結(jié)構(gòu)和性能產(chǎn)生任何影響，具有很好的透明性和安全性。因此，安全管理要從網(wǎng)絡(luò)系統(tǒng)安全和應(yīng)用安全兩個方面推進(jìn)，才能有效地全面解決安全問題。許多因素都可能破壞數(shù)據(jù)的完整性并導(dǎo)致非法訪問，這些因素包括密碼安全性較差、誤配置、未被察覺的系統(tǒng)后門以及自適應(yīng)數(shù)據(jù)庫安全方法的強(qiáng)制性常規(guī)使用等。只要是正規(guī)的企業(yè)，都無法回避自身的數(shù)據(jù)安全問題。多級管理中，上級AMC支持策略調(diào)度下發(fā)。AMCAMC是審計(jì)管理中心（Audit Management Center）的簡寫，它實(shí)現(xiàn)了產(chǎn)品功能服務(wù)層面的功能，其目標(biāo)是對安全產(chǎn)品的管理。審計(jì)服務(wù)器審計(jì)服務(wù)器指數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫運(yùn)維服務(wù)器以及web中間件服務(wù)器。 特權(quán)操作（Privilege） o 用戶權(quán)限改變（GRANT， DENY， REVOKE） o 用戶建立與刪除 o 備份與恢復(fù)操作（BACKUP， RESTORE） o 事務(wù)操作（COMMIT， ROLLBACK TO） 查詢操作（Select） o 數(shù)據(jù)查詢操作（SELECT） o 數(shù)據(jù)表結(jié)構(gòu)查詢操作（show/desc） 術(shù)語和縮寫數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì)是通過記錄數(shù)據(jù)庫的操作行為作為審計(jì)記錄，反映出數(shù)據(jù)庫被使用的狀況；數(shù)據(jù)庫審計(jì)支持通過網(wǎng)絡(luò)訪問方式把對數(shù)據(jù)庫的操作及內(nèi)容進(jìn)行實(shí)時的監(jiān)控審計(jì)?；垩蹟?shù)據(jù)庫安全審計(jì)系統(tǒng)用戶使用手冊國都興業(yè)信息審計(jì)系統(tǒng)技術(shù)（北京）有限公司2012年3月79 / 83目 錄1 引言 1 文檔目的 1 術(shù)語和縮寫 12 產(chǎn)品簡介 3 產(chǎn)品背景 3 產(chǎn)品特點(diǎn) 4 產(chǎn)品功能 43 硬件安裝 5 拆箱檢查 5 設(shè)備上架 6 1U設(shè)備上架 6 2U設(shè)備上架 7 設(shè)備連接 9 設(shè)備面板指示 9 設(shè)備接口說明 10 鏡像端口接入 10 TAP接入 114 連接登錄 14 連接方式 14 修改通信口的ip設(shè)置 14 登錄系統(tǒng) 165 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)管理 17 首頁 17 門戶框架 19 個人設(shè)置 19 實(shí)時監(jiān)控 21 系統(tǒng)消息提示 22 時間設(shè)置 23 注銷 23 審計(jì)中心 23 數(shù)據(jù)庫審計(jì) 24 其它審計(jì) 25 實(shí)名審計(jì) 29 DOMINO審計(jì) 30 本地審計(jì) 31 攻擊監(jiān)測 32 如何開啟或關(guān)閉攻擊監(jiān)測 32 攻擊事件查詢 33 監(jiān)測引擎配置 36 性能分析 38 如何指定時間范圍進(jìn)行延時分析 38 如何查看分析結(jié)果 40 如何設(shè)置詳細(xì)分析條件 40 統(tǒng)計(jì)分析 41 SQL操作類型統(tǒng)計(jì) 41 事件類型統(tǒng)計(jì) 43 流量統(tǒng)計(jì) 44 策略中心 46 策略配置 46 資產(chǎn)配置 49 來源規(guī)則 52 時間規(guī)則 56 內(nèi)容規(guī)則 58 報(bào)表中心 59 如何手動生成報(bào)表 59 如何使用自動報(bào)表 60 如何使用歷史報(bào)表 61 系統(tǒng)配置 62 審計(jì)數(shù)據(jù)庫服務(wù)器 62 審計(jì)WEB中間件 63 知識庫 64 IP采集條件 65 工作參數(shù) 66 角色管理 72 補(bǔ)丁管理 74 授權(quán)管理 76 備份/還原 78 重啟/關(guān)機(jī) 82 用戶管理 83 如何添加用戶 84 如何編輯用戶 85 如何刪除用戶 85 系統(tǒng)日志管理 85 如何進(jìn)行日志查詢 86 如何查看日志的詳細(xì)信息 90 如何進(jìn)行日志刪除 90 如何導(dǎo)出系統(tǒng)日志 91 如何調(diào)整日志展示列 911 引言 文檔目的版權(quán)聲明本手冊包含了慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的硬件上架安裝、快速使用指南、系統(tǒng)功能配置以及FAQ等內(nèi)容。審計(jì)類型審計(jì)類型指慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)支持的各種類型，包括數(shù)據(jù)庫類型（Oracle、DBMSSql、MySql、Sybase、Infomix）、數(shù)據(jù)庫運(yùn)維類型（Ssh、Ftp、Telnet）以及web中間件類型。 刪除操作（Delete） o 刪除數(shù)據(jù)操作（DELETE， TRUNCATE TABLE， TRUNCATE DATABASE， …） o 刪除數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（DROP TABLE， DROP DATABASE， DROP VIEW， DROP INDEX， …） 數(shù)據(jù)庫特有操作 o Microsoft SQL Server特有操作：DBCC，SP_*， OPENDATASOURCE， … o ORALCE特有操作 審計(jì)客戶端審計(jì)客戶端指訪問審計(jì)服務(wù)器的用戶終端。探針探針是慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)用于采集各種審計(jì)數(shù)據(jù)的分布式模塊。數(shù)據(jù)轉(zhuǎn)儲數(shù)據(jù)轉(zhuǎn)儲指將慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的審計(jì)記錄，導(dǎo)出轉(zhuǎn)存到系統(tǒng)之外的空間，并能通過手段查詢轉(zhuǎn)存到系統(tǒng)外的歷史記錄的功能。當(dāng)然，上市公司就更加需要重視。針對以上破壞數(shù)據(jù)完整性的威脅都來自于數(shù)據(jù)庫本身的安全策略的漏洞和使用方面的問題，然而對于數(shù)據(jù)庫合法用戶的違規(guī)操作，以及內(nèi)部用戶對數(shù)據(jù)資源的故意泄露或破壞等問題，對企業(yè)帶來的危害會更加嚴(yán)重，損失也會相當(dāng)巨大。數(shù)據(jù)庫網(wǎng)絡(luò)安全審計(jì)是網(wǎng)絡(luò)安全管理工作中的一個重要組成部分，它可以通過對網(wǎng)絡(luò)數(shù)據(jù)庫的“信息活動”實(shí)時地進(jìn)行監(jiān)控審計(jì)，使管理者對網(wǎng)絡(luò)數(shù)據(jù)庫的“信息活動”一目了然，能夠及時掌握數(shù)據(jù)庫服務(wù)器的應(yīng)用情況，及時發(fā)現(xiàn)客戶端的使用問題，存在著哪些安全問題和隱患并予以糾正，預(yù)防應(yīng)用安全事件的發(fā)生，即便發(fā)生了也能夠可以快速查證并追根尋源。 產(chǎn)品功能數(shù)據(jù)庫操作和數(shù)據(jù)庫運(yùn)維監(jiān)控、審計(jì)、報(bào)警能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫的各種操作進(jìn)行記錄審計(jì)并報(bào)警，提供詳細(xì)的審計(jì)信息（4W：何時 When 、何地 Where 、何人 Who以及何種行為 What）查詢功能和郵件、syslog報(bào)警方式。報(bào)表系統(tǒng)可以實(shí)現(xiàn)手動報(bào)表和自動定制報(bào)表郵件發(fā)送功能。在數(shù)據(jù)存儲區(qū)磁盤空間使用率達(dá)到預(yù)設(shè)的預(yù)警閥值時通過界面顯示和郵件方式實(shí)現(xiàn)預(yù)警，達(dá)到預(yù)設(shè)的保護(hù)閥值時根據(jù)設(shè)定的數(shù)據(jù)保護(hù)機(jī)制采取相應(yīng)的處理對審計(jì)數(shù)據(jù)進(jìn)行保護(hù)。3 硬件安裝 拆箱檢查在打開包裝之后，請您先檢查隨機(jī)附帶的電源線、網(wǎng)線、隨機(jī)光盤等附件是否齊全，所有部件請對照裝箱單進(jìn)行檢查，如有缺損請及時和銷售人員聯(lián)系。 1U設(shè)備上架安裝支架，都包括一個支架。 2U設(shè)備上架安裝內(nèi)側(cè)導(dǎo)軌（固定在機(jī)箱上）1. 在每個導(dǎo)軌裝置中，都包括一副內(nèi)側(cè)可抽拉導(dǎo)軌和外側(cè)導(dǎo)軌。外側(cè)導(dǎo)軌安裝（固定在機(jī)柜上）在機(jī)箱料包盒里，有前面（短）和后面（長）各一副導(dǎo)軌片。（該設(shè)備為4網(wǎng)口，LANLAN3指示燈在機(jī)箱背面網(wǎng)口處。4 連接登錄 連接方式產(chǎn)品為B/S架構(gòu)，使用IE瀏覽器軟件即可以對產(chǎn)品進(jìn)行配置和管理。在使用命令行修改通信口的IP時，首先要保證筆記本的IP地址和ETH1的IP在同一個網(wǎng)段，如果不在同一個網(wǎng)段，要先修改筆記本的IP，如下圖以windows xp為例：然后，通過備用口的IP連接到后臺系統(tǒng)，賬號是system，密碼是system。通信口 IP地址：掩碼： 網(wǎng)關(guān)： 備用通信口 IP地址：掩碼： 系統(tǒng)內(nèi)置用戶和初始密碼：內(nèi)置默認(rèn)用戶用戶名密碼權(quán)限系統(tǒng)管理員sysadminsysadmin1234首頁、審計(jì)中心、攻擊監(jiān)測、性能分析、策略中心、報(bào)表中心、系統(tǒng)配置用戶管理員useradminuseradmin1234普通用戶的創(chuàng)建和刪除等管理系統(tǒng)審計(jì)員auditadminauditadmin1234查看系統(tǒng)自身操作日志的審計(jì)信息amp。2) 部署首次安裝的慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)應(yīng)以系統(tǒng)管理員身份登錄系統(tǒng)，系統(tǒng)管理員默認(rèn)用戶名和密碼為sysadmin，sysadmin1234。其中，上面部分列出了所有數(shù)據(jù)庫審計(jì)服務(wù)器，可點(diǎn)擊后面的單個圖標(biāo)查看針對各個服務(wù)器的統(tǒng)計(jì)信息。首頁下方顯示的是當(dāng)前系統(tǒng)磁盤的使用情況（以百分比表示），以及各以太網(wǎng)口的使用狀態(tài)（當(dāng)網(wǎng)口未連接網(wǎng)線時，顯示紅色，否則顯示綠色），鼠標(biāo)移到相應(yīng)的圖標(biāo)處，可顯示具體信息。注：與登錄時的用戶名不同。若點(diǎn)擊“重置”按鈕，狀態(tài)變?yōu)橛脩羯弦淮伪４鏁r的“電子郵箱”；若點(diǎn)擊“保存”按鈕，將輸入信息進(jìn)行保存，然后“保存”和“重置”兩個按鈕再次變?yōu)椴豢捎脿顟B(tài)。若顯示密碼被勾選，顯示輸入的密碼，否則以“*”代替。數(shù)字表示審計(jì)數(shù)據(jù)庫服務(wù)器按相應(yīng)風(fēng)險(xiǎn)級別所實(shí)時監(jiān)控到的數(shù)據(jù)。2） 若點(diǎn)擊，將顯示當(dāng)前實(shí)時審計(jì)的數(shù)據(jù)，最多顯示1000條數(shù)據(jù)。并且，監(jiān)控?cái)?shù)據(jù)具有排重功能。選中某一條事件，將在界面的下方顯示出詳細(xì)信息（紅色框內(nèi)區(qū)域）。即：配置IP過濾條件、配置郵件服務(wù)器、配置時間服務(wù)器、配置審計(jì)服務(wù)器、配置授權(quán)告警、配置磁盤預(yù)警閥值。例如：在策略配置中，添加了一條事件類型，并且為它新建了一條策略，此時，點(diǎn)擊氣泡，將有如下提示： 提示內(nèi)容：策略發(fā)生了變化，點(diǎn)擊“同步”按鈕，進(jìn)行系統(tǒng)同步配置。 時間設(shè)置點(diǎn)擊門戶菜單的系統(tǒng)時間設(shè)置，那么直接跳轉(zhuǎn)到“系統(tǒng)配置工作參數(shù)”界面，進(jìn)行時間設(shè)置。 數(shù)據(jù)庫審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心數(shù)據(jù)庫審計(jì)”，即可進(jìn)入數(shù)據(jù)庫審計(jì)界面。詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。點(diǎn)擊播放，界面展示SQL語句已經(jīng)SQL語句的返回狀態(tài)。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢設(shè)置頁面，當(dāng)鼠標(biāo)移動到查詢條件上時，下方的說明框里是對查詢條件的詳細(xì)說明。點(diǎn)擊“其它審計(jì)”右側(cè)的單選框，可以切換到具體的審計(jì)頁面。選擇查看日期： 通過點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊和分別向左和向滑動日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。用戶關(guān)聯(lián)： 對操作來源IP可以通過點(diǎn)擊“用戶關(guān)聯(lián)”，在新的頁面上設(shè)置時間關(guān)聯(lián)到來源IP的用戶名，同數(shù)據(jù)庫審計(jì)中的該功能。 WEB中間件WEB中間件審計(jì)是對中間件訪問記錄的審計(jì)。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬條記錄。通過設(shè)置查詢條件，可以更精確的查詢到審計(jì)記錄。詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢設(shè)置頁面，如下圖：當(dāng)鼠標(biāo)移動到查詢條件上時，下方的說明框里是對查詢條件的詳細(xì)說明。選擇查看日期： 通過點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊和分別向左和向滑動日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。排序： 可以通過點(diǎn)擊查詢結(jié)果中的列名進(jìn)行升、倒序排列。進(jìn)入SNMP日志審計(jì)頁面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的數(shù)據(jù)庫所在主機(jī)的SNMP日志審計(jì)記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對應(yīng)的一條數(shù)據(jù)。通過設(shè)置查詢條件，可以更精確的查詢到審計(jì)記錄。查詢條件包括用戶活動開始時間、用戶活動結(jié)束時間、用戶名和IP。則查詢結(jié)果為所有登入時間大于等于開始時間和登出時間小于等于結(jié)束時間的記錄。通過DOMINO審計(jì)查詢可以根據(jù)查詢條件，把審計(jì)到的數(shù)據(jù)包括用戶名、服務(wù)器名、端口、流量、事務(wù)數(shù)、讀寫文檔數(shù)、會話時長以及數(shù)據(jù)庫等相關(guān)信息查詢出來。例如：在用戶名輸入框中輸入admin為關(guān)鍵字，就可以查詢出用戶名含有admin字段的所有用戶。點(diǎn)擊查詢結(jié)果標(biāo)題右上側(cè)的導(dǎo)出標(biāo)志，可以對符合查詢條件的記錄進(jìn)行導(dǎo)出，其中導(dǎo)出文件將以csv格式保存。 本地審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心本地審計(jì)”，即可進(jìn)入本地審計(jì)界面。 攻擊監(jiān)測攻擊監(jiān)測主要是監(jiān)測網(wǎng)絡(luò)上攻