【正文】 安裝到19”標(biāo)準(zhǔn)機(jī)柜中去。數(shù)據(jù)保護(hù)擁有數(shù)據(jù)存儲(chǔ)區(qū)磁盤空間預(yù)警和數(shù)據(jù)保護(hù)功能?；垩蹟?shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)不參與被監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)傳輸活動(dòng)，因此不對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和性能產(chǎn)生任何影響，具有很好的透明性和安全性。許多因素都可能破壞數(shù)據(jù)的完整性并導(dǎo)致非法訪問(wèn)，這些因素包括密碼安全性較差、誤配置、未被察覺(jué)的系統(tǒng)后門以及自適應(yīng)數(shù)據(jù)庫(kù)安全方法的強(qiáng)制性常規(guī)使用等。多級(jí)管理中，上級(jí)AMC支持策略調(diào)度下發(fā)。審計(jì)服務(wù)器審計(jì)服務(wù)器指數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)庫(kù)運(yùn)維服務(wù)器以及web中間件服務(wù)器。 查詢操作（Select） o 數(shù)據(jù)查詢操作（SELECT） o 數(shù)據(jù)表結(jié)構(gòu)查詢操作（show/desc） 慧眼數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)用戶使用手冊(cè)國(guó)都興業(yè)信息審計(jì)系統(tǒng)技術(shù)（北京）有限公司2012年3月79 / 83目 錄1 引言 1 文檔目的 1 術(shù)語(yǔ)和縮寫 12 產(chǎn)品簡(jiǎn)介 3 產(chǎn)品背景 3 產(chǎn)品特點(diǎn) 4 產(chǎn)品功能 43 硬件安裝 5 拆箱檢查 5 設(shè)備上架 6 1U設(shè)備上架 6 2U設(shè)備上架 7 設(shè)備連接 9 設(shè)備面板指示 9 設(shè)備接口說(shuō)明 10 鏡像端口接入 10 TAP接入 114 連接登錄 14 連接方式 14 修改通信口的ip設(shè)置 14 登錄系統(tǒng) 165 慧眼數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)管理 17 首頁(yè) 17 門戶框架 19 個(gè)人設(shè)置 19 實(shí)時(shí)監(jiān)控 21 系統(tǒng)消息提示 22 時(shí)間設(shè)置 23 注銷 23 審計(jì)中心 23 數(shù)據(jù)庫(kù)審計(jì) 24 其它審計(jì) 25 實(shí)名審計(jì) 29 DOMINO審計(jì) 30 本地審計(jì) 31 攻擊監(jiān)測(cè) 32 如何開(kāi)啟或關(guān)閉攻擊監(jiān)測(cè) 32 攻擊事件查詢 33 監(jiān)測(cè)引擎配置 36 性能分析 38 如何指定時(shí)間范圍進(jìn)行延時(shí)分析 38 如何查看分析結(jié)果 40 如何設(shè)置詳細(xì)分析條件 40 統(tǒng)計(jì)分析 41 SQL操作類型統(tǒng)計(jì) 41 事件類型統(tǒng)計(jì) 43 流量統(tǒng)計(jì) 44 策略中心 46 策略配置 46 資產(chǎn)配置 49 來(lái)源規(guī)則 52 時(shí)間規(guī)則 56 內(nèi)容規(guī)則 58 報(bào)表中心 59 如何手動(dòng)生成報(bào)表 59 如何使用自動(dòng)報(bào)表 60 如何使用歷史報(bào)表 61 系統(tǒng)配置 62 審計(jì)數(shù)據(jù)庫(kù)服務(wù)器 62 審計(jì)WEB中間件 63 知識(shí)庫(kù) 64 IP采集條件 65 工作參數(shù) 66 角色管理 72 補(bǔ)丁管理 74 授權(quán)管理 76 備份/還原 78 重啟/關(guān)機(jī) 82 用戶管理 83 如何添加用戶 84 如何編輯用戶 85 如何刪除用戶 85 系統(tǒng)日志管理 85 如何進(jìn)行日志查詢 86 如何查看日志的詳細(xì)信息 90 如何進(jìn)行日志刪除 90 如何導(dǎo)出系統(tǒng)日志 91 如何調(diào)整日志展示列 911 引言 文檔目的版權(quán)聲明本手冊(cè)包含了慧眼數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)的硬件上架安裝、快速使用指南、系統(tǒng)功能配置以及FAQ等內(nèi)容。 刪除操作（Delete） o 刪除數(shù)據(jù)操作（DELETE， TRUNCATE TABLE， TRUNCATE DATABASE， …） o 刪除數(shù)據(jù)表、數(shù)據(jù)庫(kù)、視圖、索引等操作（DROP TABLE， DROP DATABASE， DROP VIEW， DROP INDEX， …） 審計(jì)客戶端審計(jì)客戶端指訪問(wèn)審計(jì)服務(wù)器的用戶終端。數(shù)據(jù)轉(zhuǎn)儲(chǔ)數(shù)據(jù)轉(zhuǎn)儲(chǔ)指將慧眼數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)的審計(jì)記錄，導(dǎo)出轉(zhuǎn)存到系統(tǒng)之外的空間，并能通過(guò)手段查詢轉(zhuǎn)存到系統(tǒng)外的歷史記錄的功能。針對(duì)以上破壞數(shù)據(jù)完整性的威脅都來(lái)自于數(shù)據(jù)庫(kù)本身的安全策略的漏洞和使用方面的問(wèn)題，然而對(duì)于數(shù)據(jù)庫(kù)合法用戶的違規(guī)操作，以及內(nèi)部用戶對(duì)數(shù)據(jù)資源的故意泄露或破壞等問(wèn)題，對(duì)企業(yè)帶來(lái)的危害會(huì)更加嚴(yán)重，損失也會(huì)相當(dāng)巨大。 產(chǎn)品功能數(shù)據(jù)庫(kù)操作和數(shù)據(jù)庫(kù)運(yùn)維監(jiān)控、審計(jì)、報(bào)警能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫(kù)的各種操作進(jìn)行記錄審計(jì)并報(bào)警，提供詳細(xì)的審計(jì)信息（4W：何時(shí) When 、何地 Where 、何人 Who以及何種行為 What）查詢功能和郵件、syslog報(bào)警方式。在數(shù)據(jù)存儲(chǔ)區(qū)磁盤空間使用率達(dá)到預(yù)設(shè)的預(yù)警閥值時(shí)通過(guò)界面顯示和郵件方式實(shí)現(xiàn)預(yù)警，達(dá)到預(yù)設(shè)的保護(hù)閥值時(shí)根據(jù)設(shè)定的數(shù)據(jù)保護(hù)機(jī)制采取相應(yīng)的處理對(duì)審計(jì)數(shù)據(jù)進(jìn)行保護(hù)。 1U設(shè)備上架安裝支架，都包括一個(gè)支架。外側(cè)導(dǎo)軌安裝（固定在機(jī)柜上）在機(jī)箱料包盒里，有前面（短）和后面（長(zhǎng)）各一副導(dǎo)軌片。4 連接登錄 連接方式產(chǎn)品為B/S架構(gòu)，使用IE瀏覽器軟件即可以對(duì)產(chǎn)品進(jìn)行配置和管理。通信口 IP地址：掩碼： 網(wǎng)關(guān)： 備用通信口 IP地址：掩碼： 系統(tǒng)內(nèi)置用戶和初始密碼：內(nèi)置默認(rèn)用戶用戶名密碼權(quán)限系統(tǒng)管理員sysadminsysadmin1234首頁(yè)、審計(jì)中心、攻擊監(jiān)測(cè)、性能分析、策略中心、報(bào)表中心、系統(tǒng)配置用戶管理員useradminuseradmin1234普通用戶的創(chuàng)建和刪除等管理系統(tǒng)審計(jì)員auditadminauditadmin1234查看系統(tǒng)自身操作日志的審計(jì)信息amp。其中，上面部分列出了所有數(shù)據(jù)庫(kù)審計(jì)服務(wù)器，可點(diǎn)擊后面的單個(gè)圖標(biāo)查看針對(duì)各個(gè)服務(wù)器的統(tǒng)計(jì)信息。注：與登錄時(shí)的用戶名不同。若顯示密碼被勾選，顯示輸入的密碼，否則以“*”代替。2） 若點(diǎn)擊，將顯示當(dāng)前實(shí)時(shí)審計(jì)的數(shù)據(jù)，最多顯示1000條數(shù)據(jù)。選中某一條事件，將在界面的下方顯示出詳細(xì)信息（紅色框內(nèi)區(qū)域）。例如：在策略配置中，添加了一條事件類型，并且為它新建了一條策略，此時(shí)，點(diǎn)擊氣泡，將有如下提示： 提示內(nèi)容：策略發(fā)生了變化，點(diǎn)擊“同步”按鈕，進(jìn)行系統(tǒng)同步配置。 數(shù)據(jù)庫(kù)審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心數(shù)據(jù)庫(kù)審計(jì)”，即可進(jìn)入數(shù)據(jù)庫(kù)審計(jì)界面。點(diǎn)擊播放，界面展示SQL語(yǔ)句已經(jīng)SQL語(yǔ)句的返回狀態(tài)。點(diǎn)擊“其它審計(jì)”右側(cè)的單選框，可以切換到具體的審計(jì)頁(yè)面。用戶關(guān)聯(lián)： 對(duì)操作來(lái)源IP可以通過(guò)點(diǎn)擊“用戶關(guān)聯(lián)”，在新的頁(yè)面上設(shè)置時(shí)間關(guān)聯(lián)到來(lái)源IP的用戶名，同數(shù)據(jù)庫(kù)審計(jì)中的該功能。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬(wàn)條記錄。詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁(yè)面可以查看到選中數(shù)據(jù)的詳細(xì)信息。選擇查看日期： 通過(guò)點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊和分別向左和向滑動(dòng)日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。進(jìn)入SNMP日志審計(jì)頁(yè)面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的數(shù)據(jù)庫(kù)所在主機(jī)的SNMP日志審計(jì)記錄。通過(guò)設(shè)置查詢條件，可以更精確的查詢到審計(jì)記錄。則查詢結(jié)果為所有登入時(shí)間大于等于開(kāi)始時(shí)間和登出時(shí)間小于等于結(jié)束時(shí)間的記錄。例如：在用戶名輸入框中輸入admin為關(guān)鍵字，就可以查詢出用戶名含有admin字段的所有用戶。 本地審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心本地審計(jì)”，即可進(jìn)入本地審計(jì)界面。當(dāng)攻擊檢測(cè)引擎處于停止?fàn)顟B(tài)時(shí)，該按鈕顯示如下圖所示： 切換開(kāi)/關(guān)狀態(tài)時(shí)，會(huì)彈出如下對(duì)話框： 點(diǎn)擊“確定”按鈕，返回到監(jiān)測(cè)引擎配置界面。如果查詢條件所設(shè)置的時(shí)間范圍的跨度比較大，例如：，則可通過(guò) 和進(jìn)行上翻和下翻，通過(guò)和 進(jìn)行翻到最前和最后。設(shè)置條件后，點(diǎn)擊“查詢”按鈕后詳細(xì)條件將隱藏，相應(yīng)的查詢結(jié)果將會(huì)顯示在界面上。修改后，用戶可點(diǎn)擊右下方的“保存”按鈕保存相應(yīng)的設(shè)置。 如何設(shè)置詳細(xì)分析條件在“延時(shí)分析”界面，點(diǎn)擊按鈕右側(cè)的下拉三角按鈕，即可在下方彈出詳細(xì)查詢條件設(shè)置菜單，如下圖所示：通過(guò)勾選和手動(dòng)填寫可以增加查詢條件注：當(dāng)鼠標(biāo)移動(dòng)到相應(yīng)查詢條件時(shí)，在“說(shuō)明”對(duì)話框?qū)ο鄳?yīng)查詢條件進(jìn)行詳細(xì)說(shuō)明。如下圖所示：時(shí)間范圍的查詢條件有：今天、昨天、最近7天、最近30天、自定義。以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄中的“統(tǒng)計(jì)分析事件類型統(tǒng)計(jì)”菜單，進(jìn)入事件類型統(tǒng)計(jì)界面（默認(rèn)為全部服務(wù)器的“今天”的所有事件類型的統(tǒng)計(jì)）。通過(guò)查看統(tǒng)計(jì)到的流量類型協(xié)助用戶分析服務(wù)器在所選時(shí)間內(nèi)進(jìn)行的數(shù)據(jù)流量。 策略中心 策略配置以擁有“策略配置”功能權(quán)限的用戶登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“策略中心—策略配置”，即可打開(kāi)“策略配置”界面。在事件類型列表處，選中一條記錄，即可顯示“編輯”、“刪除”按鈕。策略的應(yīng)用對(duì)象有三種方式，如下圖所示：：策略將應(yīng)用于當(dāng)前勾選的服務(wù)器組，匹配其下的數(shù)據(jù)庫(kù)服務(wù)器。資產(chǎn)配置界面左側(cè)列出已有的審計(jì)數(shù)據(jù)庫(kù)服務(wù)器，界面右側(cè)列出服務(wù)器所屬的資產(chǎn)組列表。全部應(yīng)用： 點(diǎn)擊全部應(yīng)用，界面上所有的配置都將被應(yīng)用并生效。復(fù)制資產(chǎn)組功能對(duì)選定資產(chǎn)組復(fù)制為另一個(gè)資產(chǎn)組， 包括資產(chǎn)組下的資產(chǎn)也被復(fù)制。 新建/編輯/刪除部門1．新建部門在來(lái)源規(guī)則頁(yè)面，點(diǎn)擊“新建部門”按鈕后，可進(jìn)入新建部門頁(yè)面，如下圖添加部門示例：2．編輯部門在來(lái)源列表中點(diǎn)擊部門右側(cè)的“編輯”，即可對(duì)部門重新進(jìn)行配置，同點(diǎn)擊“添加部門”。 新建時(shí)間規(guī)則在時(shí)間規(guī)則頁(yè)面，點(diǎn)擊“新建”按鈕后，可進(jìn)入新建時(shí)間頁(yè)面。 編輯內(nèi)容規(guī)則在內(nèi)容規(guī)則頁(yè)面，點(diǎn)擊內(nèi)容規(guī)則列表上的內(nèi)容規(guī)則右側(cè)的“編輯”，可對(duì)內(nèi)容規(guī)則進(jìn)行編輯。 注意：如果下載報(bào)表時(shí)選擇“html”格式，導(dǎo)出文件為壓縮包，需解壓。編輯各項(xiàng)信息后，點(diǎn)擊界面右下方的“保存”按鈕，報(bào)表成功保存，回到報(bào)表模板管理界面。2． 自動(dòng)報(bào)表的郵件服務(wù)器在“系統(tǒng)管理—工作參數(shù)”的“郵件SMTP服務(wù)器”中配置，具體可參見(jiàn)“”。歷史報(bào)表管理界面的左側(cè)“報(bào)表模板”下面有一個(gè)下拉按鈕，可以根據(jù)系統(tǒng)設(shè)定的分類標(biāo)準(zhǔn)對(duì)報(bào)表模板進(jìn)行快速過(guò)濾。點(diǎn)擊“添加”按鈕，進(jìn)入“審計(jì)數(shù)據(jù)庫(kù)設(shè)置”界面，用戶可自定義配置審計(jì)服務(wù)器組名稱、數(shù)據(jù)庫(kù)類型、版本以及該組下的多個(gè)審計(jì)數(shù)據(jù)庫(kù)服務(wù)器的詳細(xì)信息。注意：配置數(shù)據(jù)庫(kù)服務(wù)器信息后（包括添加、編輯、刪除），在門戶界面的右上角紅色氣泡處生成消息，提醒同步，如下圖所示：需要點(diǎn)擊“同步”，并看到“同步成功”的提示后，配置才能生效 審計(jì)WEB中間件以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“系統(tǒng)配置審計(jì)WEB中間件”，即可進(jìn)入中間件配置界面。知識(shí)庫(kù)是用來(lái)配置慧眼數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)的內(nèi)置事件類型、策略、來(lái)源、時(shí)間規(guī)則。，需要點(diǎn)擊右下角的“同步”按鈕配置才能生效；或在門戶界面的消息提醒處點(diǎn)擊策略“同步”并看到“同步成功”的提示后配置生效。點(diǎn)擊“保存”按鈕，將彈出如下提示：點(diǎn)擊“確定”按鈕，進(jìn)入登錄界面。 并且，在所填寫的郵件地址中會(huì)收到一封郵件，內(nèi)容為：“恭喜您，當(dāng)您 收到該郵件時(shí)，您的郵件服務(wù)器測(cè)試已通過(guò)！” 若測(cè)試失敗，將彈出錯(cuò)誤告警提示，如下圖所示：同時(shí)在服務(wù)器測(cè)試方框下面，給出如下發(fā)送失敗提示：所有信息都輸入完成，單擊“保存”按鈕保存當(dāng)前輸入信息，并彈出如下提示： 點(diǎn)擊“關(guān)閉”按鈕，返回到工作參數(shù)設(shè)置界面。 如何設(shè)置授權(quán)預(yù)警授權(quán)預(yù)警，即系統(tǒng)的授權(quán)使用時(shí)間預(yù)警。系統(tǒng)默認(rèn)設(shè)置審計(jì)數(shù)據(jù)保留30天后刪除，可配保存范圍為0365天。系統(tǒng)默認(rèn)鎖定時(shí)間為5分鐘，可配鎖定時(shí)間范圍為19999分鐘。系統(tǒng)默認(rèn)的角色有：報(bào)表使用者、統(tǒng)計(jì)分析員、報(bào)表管理者、外審計(jì)員、安全觀察員、性能監(jiān)控員、策略管理員、內(nèi)審計(jì)員、系統(tǒng)管理員以及安全管理員。以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“系統(tǒng)配置角色管理”，即可進(jìn)入到角色管理界面，如下圖所示： 如何添加角色如果要添加新角色，點(diǎn)擊角色管理界面左下角的按鈕，進(jìn)入到角色設(shè)置界面，如下圖所示：（1）角色名稱和描述“角色名”是必填項(xiàng)且具有唯一性的，不允許重復(fù)，否則會(huì)給出提示：角色名已存在。設(shè)置好后，點(diǎn)擊“保存”按鈕，提示操作已成功，即對(duì)當(dāng)前設(shè)定進(jìn)行保存。 如何設(shè)置用戶登陸安全性用戶登陸安全性，即限定用戶安全登錄次數(shù)，連續(xù)登錄失敗超過(guò)設(shè)定次數(shù)，系統(tǒng)將自動(dòng)鎖定。當(dāng)審計(jì)中心的授權(quán)距離授權(quán)到期時(shí)間小于或等于此處配置的發(fā)送時(shí)間時(shí)，系統(tǒng)將每天向所配置的郵件地址發(fā)送一封授權(quán)到期提醒郵件。支持檢測(cè)系統(tǒng)的磁盤占用率功能，提供預(yù)警的配置界面，支持磁盤占用率的預(yù)警閥值設(shè)置。如下圖所示：姓名、郵件地址、SMTP服務(wù)器，可以按照提示信息輸入。以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“系統(tǒng)配置工作參數(shù)”，即可進(jìn)入到工作參數(shù)設(shè)置界面。如下圖所示： IP采集條件以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“系統(tǒng)配置IP采集條件”，即可進(jìn)入采集配置界面。如上圖。其中，端口顯示為數(shù)據(jù)庫(kù)的默認(rèn)端口，如DB2默認(rèn)為50000，oracle為1521等。歷史報(bào)表信息包括：報(bào)表名稱、報(bào)表模板、生成時(shí)間、接收人、生成格式、標(biāo)簽以及狀態(tài)。修改了相應(yīng)參數(shù)后，“保存”按鈕變?yōu)榭捎脿顟B(tài)，點(diǎn)擊“保存”后，系統(tǒng)回到報(bào)表列表界面。 如何配置報(bào)表任務(wù)在報(bào)表配置頁(yè)面的報(bào)表任務(wù)信息欄中，用戶可以對(duì)自動(dòng)報(bào)表進(jìn)行任務(wù)設(shè)置。根據(jù)用戶實(shí)際需要，系統(tǒng)內(nèi)置幾種不同的報(bào)表模板，用戶可以根據(jù)系統(tǒng)內(nèi)置的報(bào)表模板添加報(bào)表，并可以對(duì)其進(jìn)行編輯或刪除等操作。復(fù)制內(nèi)容規(guī)則功能對(duì)選定內(nèi)容規(guī)則復(fù)制為另一個(gè)內(nèi)容規(guī)則， 包括內(nèi)容規(guī)則下的配置也被復(fù)制。如下圖是設(shè)置周日歷時(shí)間為每周的周一到周五的9：00：0018：30：00的時(shí)間規(guī)則示例： 如下圖是設(shè)置時(shí)間段從2011/06/06 00：00：00到2011/06/16 23：59：59的時(shí)間規(guī)則示例： 編輯時(shí)間規(guī)則在時(shí)間規(guī)則頁(yè)面，點(diǎn)擊時(shí)間規(guī)則列表上的時(shí)間規(guī)則右側(cè)的“編輯”，可對(duì)時(shí)間規(guī)則進(jìn)行編輯。 新建/編輯/刪除來(lái)源1．新建來(lái)源在來(lái)源規(guī)則頁(yè)面，選中需要添加來(lái)源的部門，再點(diǎn)擊“新建來(lái)源