【正文】 X的基本方法是$.ajax()，該方法是 jQuery 的底層 AJAX 實現(xiàn)，返回其創(chuàng)建的 XMLHttpRequest 對象。)。).html(39。 }) } 本章總結(jié)本章介紹了在數(shù)據(jù)庫審計系統(tǒng)中將要用到的相關(guān)技術(shù)。4) 可擴展性高在信息技術(shù)高速發(fā)展的時代，數(shù)據(jù)庫技術(shù)也在不斷發(fā)展變化，企業(yè)對數(shù)據(jù)的組織和管理也必然會隨之產(chǎn)生新的變化，數(shù)據(jù)安全審計也會隨著這些變化產(chǎn)生新的要求。用戶可以自行選擇需要檢測的規(guī)則，并配置相關(guān)參數(shù)。系統(tǒng)提供電子郵件、短信、系統(tǒng)彈出等報警方式。7) 系統(tǒng)設置系統(tǒng)管理模塊對審計系統(tǒng)進行初始配置，在這里的配置將影響后臺審計程序的行為。前后臺通過數(shù)據(jù)庫和Shell進行通信。 審計事件記錄相關(guān)ER圖 用戶權(quán)限設置用戶訪問權(quán)限是審計系統(tǒng)自身操作安全的最主要的保障方式之一，在本系統(tǒng)中，為了實現(xiàn)管理員、審計員和系統(tǒng)安全審計員三者三權(quán)分立，以實現(xiàn)相互監(jiān)督、相互制約的安全策略，將系統(tǒng)功能分為互不重疊的三個權(quán)限組。系統(tǒng)應該將用戶最關(guān)心的功能或服務放在最顯眼的地方，使用戶能夠?qū)ο到y(tǒng)提供的功能一目了然。系統(tǒng)導航欄和功能導航欄分離使界面上的導航信息更加清晰，用戶能夠更加清楚的看到當前狀態(tài)，更加明確的找到功能導航的位置。在對系統(tǒng)進行交互設計時，可以遵循以下的準則：1) 可視性2) 反饋3) 限制4) 映射5) 一致性6) 啟發(fā)性在數(shù)據(jù)庫審計管理系統(tǒng)中用戶通過功能導航菜單進入功能模塊，在功能模塊中根據(jù)系統(tǒng)提示或用戶說明進行操作。 通過標簽實現(xiàn)頁面內(nèi)容切換信息提示是系統(tǒng)對用戶行為進行反饋的主要方式，用戶通過信息提示判斷當前操作的結(jié)果。 Flash Chart實時監(jiān)控CPU和內(nèi)存使用率隨時間變化的曲線圖。本章在第一節(jié)中介紹了統(tǒng)計報告模塊的設計思想，通過面向?qū)ο蟮脑O計方法提高了模塊的可擴展性。同時，隨著系統(tǒng)在實際環(huán)境中的應用，用戶可能會需要新的統(tǒng)計數(shù)據(jù)。目前，對數(shù)據(jù)統(tǒng)計的表達方式主要是通過圖表的方式，根據(jù)數(shù)據(jù)源的不同，可以向用戶提供峰值圖、柱狀圖、餅圖等多種圖表。這時，在功能組織上可以將功能相似或邏輯關(guān)系相近的功能模塊在同一個頁面中以標簽切換的形式組織。功能操作區(qū)的內(nèi)容塊與四個邊界間適當留白，會使操作區(qū)與導航區(qū)的分隔更加明顯，也會使內(nèi)容不會顯得擁擠，提高視覺效果。界面總體結(jié)構(gòu)由三部分組成：l 系統(tǒng)導航欄，顯示用戶當前正在使用的功能，用戶登錄信息等；l 功能導航，用戶使用具體功能的入口；l 功能操作區(qū)，用戶使用功能的操作區(qū)域。2） 認為網(wǎng)站的導航太難用。入侵檢測規(guī)則分為專家?guī)煲?guī)則、系統(tǒng)分析的用戶行為模式規(guī)則和數(shù)據(jù)庫用戶權(quán)限規(guī)則三部分，因此入侵檢測規(guī)則有入侵檢測規(guī)則總表、內(nèi)置規(guī)則表、數(shù)據(jù)挖掘表和用戶權(quán)限規(guī)則表以及入侵檢測白名單表組成。系統(tǒng)對審計記錄進行增量備份。用戶輸入的過濾條件有：數(shù)據(jù)庫、協(xié)議、關(guān)鍵字、審計策略、是否報警事件、風險等級、SQL類型、時間、客戶端IP等。對于一條審計記錄，用戶能夠查看該記錄在數(shù)據(jù)事務中的會話回放，當用戶點擊該會話時，系統(tǒng)將回放整個會話的操作記錄。用戶通過設置每個數(shù)據(jù)庫的審計策略來控制審計系統(tǒng)在審計數(shù)據(jù)庫事件時應用的策略和規(guī)則。在設計過程中要考慮系統(tǒng)運行的穩(wěn)定性、數(shù)據(jù)的安全存儲、用戶的安全管理、用戶行為可審計等。).html(data)。inputError39。 $(39。l 過濾器jQuery過濾器能夠過濾掉選擇器選擇的不需要的元素，通過選擇器與過濾器的復合使用能夠靈活的得到需要的HTML元素?；A(chǔ)語法是：$(selector).action()。對于服務器返回的數(shù)據(jù)，可以有兩種處理方式：1）responseText：將響應數(shù)據(jù)作為字符串文本處理；2）responseXML：將響應數(shù)據(jù)格式化為XMLDOM對象，在Javascript中通過對XML對象處理進行數(shù)據(jù)更新。因此第六章中重點介紹了管理安全及用戶訪問控制，提出了三權(quán)分立的RBAC模型。使用戶的定制成為一個生成報告模板的具體工廠，這增加了用戶的擴展能力。能夠全面地分析得到市場上現(xiàn)有數(shù)據(jù)庫的通信協(xié)議2） 用戶可配置的數(shù)據(jù)庫行為記錄方式。數(shù)據(jù)庫審計與風險控制系統(tǒng)（簡稱：DASDBAuditor）是安恒信息自主研發(fā)的數(shù)據(jù)庫審計產(chǎn)品[26]。此外提供相關(guān)配套上市法律法規(guī)（如SOX薩班斯法案、DATA PRIVACY隱私保護法規(guī)、HIPPA、PCI、Basel II、ISO1779ISO25001等）遵從的審計模塊，可以生成各種合規(guī)性報告。這既保證了“最少權(quán)限”原則，又增加了角色管理的靈活性。并設定A1到A2的值以及判斷正常行為模式的閾值，當F值超過閾值時則認為是正常行為，添加到正常用戶行為的規(guī)則庫中。對于基于用戶個體的異常檢測，首先使用聚類算法對日志中的SQL語句進行聚類并作為分類器。4）自身安全：系統(tǒng)應該保證自身的安全性，提供合理的權(quán)限管理和訪問控制等。管理安全，是指數(shù)據(jù)庫的日常維護是否安全可靠。User experience目錄第1章 引言 1 選題背景及意義 1 文獻綜述 3 國內(nèi)外產(chǎn)品概述 6 主要工作和組織結(jié)構(gòu) 9 主要工作 9 本文的組織結(jié)構(gòu) 11第2章 相關(guān)技術(shù)介紹 12 12 AJAX技術(shù) 12 jQuery 14 jQuery選擇器 14 jQuery與AJAX 16 本章總結(jié) 17第3章 數(shù)據(jù)庫審計系統(tǒng)的分析與設計 18 系統(tǒng)需求分析 18 系統(tǒng)設計目標 18 功能性需求分析 19 安全性需求分析 22 系統(tǒng)架構(gòu) 23 數(shù)據(jù)庫設計 24 審計規(guī)則配置 24 審計事件記錄 25 用戶權(quán)限 26 本章總結(jié) 27第4章 數(shù)據(jù)庫審計管理系統(tǒng)的界面設計 28 結(jié)構(gòu)設計 29 交互設計 30 視覺設計 32 本章總結(jié) 34第5章 統(tǒng)計報告的設計與實現(xiàn) 35 模塊設計 35 交互設計 39 RSS 40 本章總結(jié) 41第6章 系統(tǒng)自身安全的實現(xiàn) 42 訪問控制 42 基于角色的訪問控制 42 三權(quán)分立的RBAC模型 44 訪問控制過程 45 系統(tǒng)授權(quán)模塊的實現(xiàn) 46 認證碼的生成 46 授權(quán)文件的生成 47 驗證過程 47 本章總結(jié) 49第7章 總結(jié)與展望 50 總結(jié) 50 下一步的工作 50參考文獻 52致 謝 54聲 明 55個人簡歷、在學期間發(fā)表的學術(shù)論文與研究成果 56第1章 引言 選題背景及意義隨著信息技術(shù)的飛速發(fā)展，數(shù)據(jù)庫得到了廣泛的應用，已經(jīng)成為政府機關(guān)、企事業(yè)單位、團體以及個人組織和管理數(shù)據(jù)的重要方式。數(shù)據(jù)庫審計系統(tǒng)能夠記錄對數(shù)據(jù)庫服務器進行的各種操作，并對操作日志進行語法解析和語義分析，以達到監(jiān)控用戶行為、審計用戶操作、發(fā)現(xiàn)非法入侵的目的。本文比較了國內(nèi)外市場上現(xiàn)有的數(shù)據(jù)庫審計系統(tǒng)，并且調(diào)研了用戶對數(shù)據(jù)庫審計系統(tǒng)的需求。近年來，由于數(shù)據(jù)庫用戶的非法操作和外界的惡意入侵造成數(shù)據(jù)破壞和泄露的事件屢見不鮮。在2011年8月的一起非法獲取公民信息案中，有超過三分之一的被告分別來自移動、電信、聯(lián)通等公司的內(nèi)部，正是他們泄露了本該保密的用戶個人信息。本文在調(diào)研了最終用戶對數(shù)據(jù)庫審計系統(tǒng)的需求之后詳細分析了數(shù)據(jù)庫審計系統(tǒng)應該具有的功能，設計并實現(xiàn)了既滿足安全性要求又具有良好用戶體驗的數(shù)據(jù)庫審計管理系統(tǒng)。Yi Hu等人提出基于數(shù)據(jù)庫事物日志挖掘數(shù)據(jù)更改過程中的數(shù)據(jù)讀寫的依賴關(guān)系的思想[11]，例如SQL語句UPDATE TABLE1 set x = a+b+c where d=90。根據(jù)國家標準《信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法》[18]中對審計系統(tǒng)自身安全的要求，系統(tǒng)應該提供基于角色的訪問控制。Moyer 等人提出了一種泛化的角色訪問控制模型[22]，將角色分為目標角色、對象角色和環(huán)境角色。基于代理的監(jiān)控以軟件代理的形式監(jiān)控特許的活動和網(wǎng)絡流量。另外，系統(tǒng)只提供內(nèi)置的審計報告。根據(jù)需求，本文設計并實現(xiàn)了數(shù)據(jù)庫審計系統(tǒng)。另外，由于增加了用戶自主定制的內(nèi)容，也使得系統(tǒng)的內(nèi)容在用戶的控制之下，提高了用戶體驗性。用戶可以定制網(wǎng)絡服務的內(nèi)容，網(wǎng)絡服務會主動向用戶提供其關(guān)心的信息，并且具有更快的響應速度和更優(yōu)質(zhì)的視覺效果。new$(“l(fā)astname”)選取id=“l(fā)astname”的第一個元素。$.ajax()方法的所有參數(shù)都是可選的，通過這些可選參數(shù)可以設置請求的類型、URL、參數(shù)、回調(diào)函數(shù)等。 $(39。用戶名已存在，請重新輸入39。向用戶提供數(shù)據(jù)庫審計簡報。數(shù)據(jù)庫審計系統(tǒng)應該能夠提供高可擴展性，適應這些新的變化。專家?guī)焓窍到y(tǒng)內(nèi)置的一系列安全審計規(guī)則。系統(tǒng)在監(jiān)控到需要報警的事件時會按照配置的方式進行報警。具體功能有部署方式設置、數(shù)據(jù)庫服務器設置、審計事件記錄方式設置、響應行為管理。本論文主要關(guān)注前臺系統(tǒng)的設計與開發(fā)，以及數(shù)據(jù)庫和shell腳本的開發(fā)。在本系統(tǒng)實現(xiàn)的基于角色的訪問控制系統(tǒng)中，每個角色只能擁有其中的一組權(quán)限中的子集。否則會給用戶造成系統(tǒng)功能不夠豐富的第一印象。界面的下部采用左右結(jié)構(gòu)，左側(cè)是功能導航欄，右側(cè)是功能操作區(qū)。用戶與系統(tǒng)的交互主要集中在導航、信息提示、輸入輸出操作等過程中。在數(shù)據(jù)庫審計管理系統(tǒng)中，信息提示的方式主要有文字提示和彈出窗口兩種方式。通過柱狀圖可以清晰地看到每個被審計數(shù)據(jù)庫的報警事件的分布情況。隨后介紹了用戶模版和RSS源的實現(xiàn)，在實現(xiàn)中應用了大量的jQuery、。某些用戶認為不必要，甚至是不應該出現(xiàn)在系統(tǒng)中的數(shù)據(jù)源可能對某些用戶來說是必要的。數(shù)據(jù)分析和統(tǒng)計是審計系統(tǒng)的一個主要功能，如何讓用戶對被審計數(shù)據(jù)庫的運行狀態(tài)一目了然也是視覺設計中要考慮的問題。然而，導航菜單的精簡必然會導致某些功能無法從導航菜單點擊進入。當查詢表單的內(nèi)容比較多時，要考慮對部分查詢條件實現(xiàn)隱藏/顯示的效果，使用戶更關(guān)心的查詢結(jié)果在界面的第一屏中得到更多的展示。數(shù)據(jù)庫審計系統(tǒng)是向數(shù)據(jù)庫安全用戶提供的功能性系統(tǒng)，因此界面結(jié)構(gòu)應以功能為中心，簡單明了，避免在頁面上堆積過多的信息。系統(tǒng)的使用門檻太高，需要用戶記憶的操作太多或太繁瑣，往往使用戶在使用過程中產(chǎn)生挫折感，因而不再喜歡訪問這樣的系統(tǒng)。因此，事件審計規(guī)則有審計策略表、審計規(guī)則表、對象表和對象組、審計策略白名單表等幾個表以及其映射關(guān)系組成。自動備份由用戶配置備份周期、備份位置。通過用戶自定義的分析條件，還能夠統(tǒng)計用戶定義事件的發(fā)生頻率、分布情況等以此作為分析數(shù)據(jù)庫業(yè)務的依據(jù)。審計記錄查詢需要提供基于數(shù)據(jù)庫服務器名、數(shù)據(jù)庫協(xié)議類型、開始時間、結(jié)束時間、客戶端IP地址、登錄名、數(shù)據(jù)庫服務名 、數(shù)據(jù)庫操作類型、SQL語句類型（數(shù)據(jù)庫操作類型為“執(zhí)行sql語句”時，此項才可選）、SQL語句內(nèi)容（關(guān)鍵字匹配）、 操作返回時間（返回此項內(nèi)容大于該值的審計記錄）、數(shù)據(jù)庫對象名、執(zhí)行結(jié)果等查詢條件的查詢。系統(tǒng)可以根據(jù)審計規(guī)則進行業(yè)務統(tǒng)計、事件追溯和回放。2) 系統(tǒng)安全數(shù)據(jù)庫審計系統(tǒng)在保障數(shù)據(jù)庫安全的同時，也要保障系統(tǒng)自身的安全。riskDetail39。).addClass(39。).removeClass()。]) 選取所有帶有 href 值等于 的元素。jQuery 語法是以選取 HTML 元素為核心，通過選擇HTML元素并對選中的元素調(diào)用處理函數(shù)實現(xiàn)對HTML頁面的操作。AJAX通過XmlHttpRequest向服務器發(fā)起異步請求，通過XML或者JSON等數(shù)據(jù)格式與服務器進行信息交互，并運用Javascript操作文檔對象（DOM），實現(xiàn)頁面的局部信息更新的效果。第六章講述系統(tǒng)自身安全的實現(xiàn)，系統(tǒng)自身安全包括管理安全、數(shù)據(jù)安全和審計日志三部分，數(shù)據(jù)安全和審計日志作為數(shù)據(jù)庫審計管理系統(tǒng)的兩個功能模塊在第三章中進行了介紹。在設計中，本文使用了面向?qū)ο蟮脑O計原則，使用抽象工廠的設計模式?；趯鴥?nèi)外產(chǎn)品的分析，我們的數(shù)據(jù)審計系統(tǒng)對現(xiàn)有產(chǎn)品的缺點進行了改進，我們的特點有：1） 豐富的協(xié)議分析經(jīng)驗，通過對Oracle、SQL Server、DBMySQL等數(shù)據(jù)庫各個版本的協(xié)議分析積累了大量的經(jīng)驗，并提出了一套有效的協(xié)議分析方法。杭州安恒信息技術(shù)有限公司的明御174。它采用獨立的硬件平臺，避免了影響數(shù)據(jù)庫本身的性能。把相同權(quán)限賦給項目成員，而測試工程師和開發(fā)工程師都繼承項目成員的角色，構(gòu)成了基本的角色等級。并定義公式：F = A1 * EndComment + A2 * UNION + A3 * ORTautology + A4 * TSQC + A5 * Shellcode + A6* VulnerabilitySP + A7 * GrantDBA + A8 * NASP + A9 * NSNUP + A10 *SensitiveField，其中Ai滿足A1 + A2 + … + A10 = 1。當新來一條查詢時，判斷查詢屬于哪一個分類，如果該分類的包含角色與用戶的角色不一致，則認為是異常訪問。3）高效性：系統(tǒng)應該能夠適應數(shù)據(jù)庫的大量頻繁訪問，而不會遺漏數(shù)據(jù)庫操作事件。防護安全，是指數(shù)據(jù)庫是否有數(shù)據(jù)加密、安全審計、數(shù)據(jù)庫防火墻等防護手動。 Web ?？梢哉f，數(shù)據(jù)庫審計系統(tǒng)就是為了滿足這種需要而產(chǎn)生的。結(jié)合國家關(guān)于安全審計產(chǎn)品的要求標準，分析了數(shù)據(jù)庫審計系統(tǒng)的功能性和非功能性要求，設計了數(shù)據(jù)庫審計系統(tǒng)的系統(tǒng)結(jié)構(gòu)和數(shù)據(jù)庫結(jié)構(gòu)。2011年12月CSDN網(wǎng)站和天涯社區(qū)等多個著名站點的用戶名、密碼泄露事件在整個互聯(lián)網(wǎng)行業(yè)引起了巨大的恐慌，雖然當時整個業(yè)界和廣大網(wǎng)民所詬病的大多是這些網(wǎng)站用明文保存用戶密碼，但是事件背后更值得我們關(guān)注的應該是如何保護數(shù)據(jù)的安全。這種來自內(nèi)部的安全問題往往帶來更大的社會信息安全隱患，而且通常比外部入侵更加難以發(fā)現(xiàn)、識別。 文獻綜述1980年P(guān). Anderson 在技術(shù)報告中提出安全審計蹤跡可以在計算機安全機制中發(fā)揮重要作用[6]，安全審計技術(shù)開始得到重視。在更改x屬性時需要讀取a、b、c和d四個屬性的值?；诮巧脑L問控制（RoleBased Acc