【正文】 ........................................................... 76 如何編輯用戶 ..................................................................................... 77 如何刪除用戶 ..................................................................................... 77 系統(tǒng)日志管理 ............................................................................................ 77 如何進行日志查詢 .............................................................................. 78 如何查看日志的詳細信息 ................................................................... 82 如何進行日志刪除 .............................................................................. 82 如何導出系統(tǒng)日志 .............................................................................. 83 如何調(diào)整日志展示列 .......................................................................... 83 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 1 1 引言 文檔目的 版權(quán)聲明 本手冊包含了 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 的硬件上架安裝、快速使用指南、系統(tǒng)功能配置以及 FAQ等內(nèi)容。手冊中涉及相關(guān)文檔、文字內(nèi)容、標識等信息均受版權(quán) 保護，手冊的任何部分未經(jīng)許可均不得復(fù)制或者傳播，違者必究。 術(shù)語和縮寫 數(shù)據(jù)庫審計 數(shù)據(jù)庫審計是通過記錄 數(shù)據(jù)庫的操作 行為 作為審計記錄，反映出數(shù)據(jù)庫被使用的狀況；數(shù)據(jù)庫審計支持通過網(wǎng)絡(luò)訪問方式把對數(shù)據(jù)庫的操作及內(nèi)容進行實時的監(jiān)控審計。 數(shù)據(jù)庫 sql操作類型 數(shù)據(jù)庫審計支持的 sql操作類型，包括 ? 插入操作（ Insert） o 數(shù)據(jù)插入操作（ INSERT， SELECT ? INTO） o 新建數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（ CREATE TABLE， CREATE DATABASE， CREATE VIEW， CREATE INDEX， ?） ? 查詢操作（ Select） o 數(shù)據(jù)查詢操作（ SELECT） o 數(shù)據(jù)表結(jié)構(gòu)查詢操作（ show/desc） ? 刪除操作（ Delete） 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 2 o 刪除數(shù)據(jù)操作（ DELETE， TRUNCATE TABLE， TRUNCATE DATABASE， ?） o 刪除數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（ DROP TABLE， DROP DATABASE， DROP VIEW， DROP INDEX， ?） ? 更新操作（ Update） o 數(shù)據(jù)更新操作（ UPDATE） o 數(shù)據(jù)表結(jié)構(gòu)更新操作（ ALTER， RENAME ? TO ?， MERGE INTO ? USING ?） ? 用戶訪問（ Access） o 用戶登錄 ? 特權(quán)操作（ Privilege） o 用戶權(quán)限改變（ GRANT， DENY， REVOKE） o 用戶建立與刪除 o 備份 與恢復(fù)操作（ BACKUP， RESTORE） o 事務(wù)操作（ COMMIT， ROLLBACK TO） ? 數(shù)據(jù)庫特有操作 o Microsoft SQL Server 特有操作： DBCC， SP_*， OPENDATASOURCE， ? o ORALCE特有操作 ? 其他操作 o 特定字符串審計 數(shù)據(jù)庫運維審計 數(shù)據(jù)庫運維是針對用戶數(shù)據(jù)庫的軟件安裝、配置、備份及實施，數(shù)據(jù)恢復(fù)、遷移，故障排除、預(yù)防性巡檢等一系列服務(wù)；數(shù)據(jù)庫運維審計是對通過遠程訪問方式，對數(shù)據(jù)庫進行運維操作的行為及內(nèi)容審計，如 tel、 ftp、 ssh等 。 審計服務(wù)器 審計服務(wù)器指數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫運維服務(wù)器以及 web中間件服務(wù)器。 審計記錄 用戶訪問審計服務(wù)器產(chǎn)生的每一個 sql操作、運維操作或者 web訪問記錄下來的行為及內(nèi)容作為一條 審計記錄。 AMC AMC 是審計管理中心（ Audit Management Center）的簡寫，它實現(xiàn)了產(chǎn)品功能服務(wù)層面的功能，其目標是對安全產(chǎn)品的管理。探針和 AMC一體安裝。 數(shù)據(jù)轉(zhuǎn)儲 數(shù)據(jù)轉(zhuǎn)儲指將 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 的審計記錄，導出轉(zhuǎn)存到系統(tǒng)之外的空間，并能通過手段查詢轉(zhuǎn)存到系統(tǒng)外的歷史記錄的 功能。 2 產(chǎn)品簡介 產(chǎn)品背景 薩班斯法案（ SOX）誕生之日起，為數(shù)不少的安全公司就已經(jīng)預(yù)測到數(shù)據(jù)安全審計將成為企業(yè)無法回避的問題。當然，上市公司就更加需要重視。 數(shù)據(jù)庫是每個企業(yè)數(shù)據(jù)管理的基礎(chǔ)，盡管這些系統(tǒng)的數(shù)據(jù)完整性和安全性是相當重要的，但對數(shù)據(jù)庫采取的安全檢查措 施的級別還比不上操作系統(tǒng)和網(wǎng)絡(luò)的安全檢查措施的級別。 針對以上破壞數(shù)據(jù)完整性的威脅都來自于數(shù)據(jù)庫本身的安全策略的漏洞和使用方面的問題，然而對于數(shù)據(jù)庫合法用戶的違規(guī)操作，以及內(nèi)部用戶對數(shù)據(jù)資源的故意泄露或破壞等問題，對企業(yè)帶來的危害會更加嚴重，損失也會相當巨大。 當產(chǎn)生數(shù)據(jù)安全問題時，為了尋找案件線索，執(zhí)法機構(gòu)需要從網(wǎng)絡(luò)上尋找犯罪嫌疑人的活動和留下的痕跡并獲取可靠的犯罪證據(jù)，對于偵破犯罪案件，保障社會穩(wěn)定，維護公民利益具有十分重要的意義。數(shù)據(jù)庫網(wǎng)絡(luò)安全審計是網(wǎng)絡(luò)安全管理工作中的一個重要組成部分，它可以通過對網(wǎng)絡(luò)數(shù)據(jù)庫的“信息活動”實時地進行 監(jiān)控 審計，使管理者對網(wǎng)絡(luò)數(shù)據(jù)庫的“信息活動 ”一目了然，能夠及時掌握數(shù)據(jù)庫服務(wù)器的應(yīng)用情況，及時發(fā)現(xiàn)客戶端的使用問題，存在著哪些安全問題和隱患并予以糾正，預(yù)防應(yīng)用安全事件的發(fā)生，即便發(fā)生了也能夠可以快速查證并追根尋源。該系統(tǒng)采用 網(wǎng)絡(luò)旁路 實時偵聽方式，全線速采集網(wǎng)絡(luò)上所有會話流，對網(wǎng)絡(luò) 中 的 各種應(yīng)用行為和應(yīng)用內(nèi)容進行監(jiān)控、報警、記錄 。 產(chǎn)品功能 數(shù)據(jù)庫 操作和數(shù)據(jù)庫運維監(jiān)控、 審計 、報警 能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫的各種操作進行記錄審計 并報警 ，提供詳細的審計信息（ 4W：何時 When 、何地 Where 、何人 Who 以及何種行為 What）查詢功能 和郵件、 syslog 報警方式 。 數(shù)據(jù)庫事件 審計分析 能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫接收發(fā)送的流量包數(shù)進行統(tǒng)計，并提供詳細的統(tǒng)計條件（如：時間、 IP 地址、 操作類型等） 。 日 志信息查詢 能夠 對網(wǎng)絡(luò)中其他設(shè)備發(fā)來的 syslog 和 SNMP 日志信息進行接收和查詢，并提供多種查詢條件，實現(xiàn)分類或組合查詢。同時提供靈活的可定制報表和 doc、 html 和 pdf多種報表格式。 數(shù)據(jù)保護 擁有數(shù)據(jù)存儲區(qū)磁盤空間預(yù)警和數(shù)據(jù)保護功能。 自身日志 支持完善的自身日志記錄和查詢功能 。 用戶 /角色權(quán)限管理 實現(xiàn)用戶權(quán)限三權(quán)分立， 支持基于用戶、產(chǎn)品功能模塊和內(nèi)容訪問三級的權(quán)限管理。 注意：取出設(shè)備后，不要將外包裝丟棄，在需要搬運時，請務(wù)必使用原包裝，它是為您的審計設(shè)備專門設(shè)計的包慧眼數(shù)據(jù)庫安全審計系統(tǒng) 6 裝，具備良好的防震功能。設(shè)備序列號的位置隨設(shè)備類型不同而不同，一般分 3 種情況： 設(shè)備上架 數(shù)據(jù)庫審計設(shè)備機箱符合工業(yè)機柜的標準，它的高度為 1U 或者 2U，可以順利的安裝到 19”標準機柜中去。 ，將 A 點安裝在機架內(nèi)側(cè)。 ，加螺絲固定。 2. 按住內(nèi)側(cè)抽拉導軌裝置上的卡鎖，將內(nèi)導軌抽出并安裝在機箱側(cè)面。 4. 固定好一側(cè)導軌在機箱上，重復(fù)以上步驟再安裝另一側(cè)導軌在機箱上即可。請按照導軌片上箭頭標注的方向排好。 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 9 設(shè)備連接 設(shè)備面板指示 設(shè)備面板指示：（以 1U 服務(wù)器為例） 如圖：（自右至左）分別為： 電源開關(guān)、重新復(fù)位按鈕、電源指示燈、硬盤工作指示燈、通信口指示燈、備用通信口指示燈、 CPU溫度過高指示燈； 電源開關(guān)：軟件式開關(guān)，按一下為開，再按一下為關(guān)； 重新復(fù)位按鈕：暗埋式設(shè)計，使用時用細物按下，設(shè)備在任何情況下重新啟動； 電源指示燈：此燈亮時指示電源為開（只有此燈亮時代表電源打開）； 硬盤工作指示燈：此燈亮時指示硬盤工作； 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 10 通信口指示燈： LAN0 號網(wǎng)口接通指示燈（此燈亮時只 代表網(wǎng)口接通，不代表電源打開）； 備用通信口指示燈： LAN1 號網(wǎng)口接通指示燈（此燈亮時只代表網(wǎng)口接通，不代表電源打開）； CPU 溫度過高指示燈 ：此燈亮時說明 CPU 溫度超過 BIOS 中設(shè)定溫度。） 設(shè)備接口說明 1U設(shè)備： 2U設(shè)備： A：鼠標鍵盤 B： USB 接口 C： COM/Video 接口 D：通信口 : 用于用戶訪問系統(tǒng)的通信接口 E：備用通信口 : 用于通過網(wǎng)絡(luò)進行設(shè)備內(nèi)部維護時使用 F、 G：采集口 : 用于采集網(wǎng)絡(luò)數(shù)據(jù)包的接口，可以使用兩個 接口中的任何一個或兩個同時使用 H、 I：擴展卡插口 （可以為光接口卡或者電接口卡） 鏡像端口接入 數(shù)據(jù)庫審計設(shè)備一般采用鏡像端口的接入方式，將一個采集口連接到交換機的鏡像端口，交換機鏡像端口的具體配置視不同廠家和型號的交換機會有所不同，具體配置方法參見相應(yīng)廠家和型號的交換機配置手冊。 電口 TAP 接入示意圖： 光接口 TAP 接入示意圖： 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 12 冗余電源：（以 2U 服務(wù)器為例） 如圖所示：為 2U 設(shè)備的冗余電源； 要求上下兩個電源都要接入 220V 交流電源；任何一個未接入，即會報警； 若不想使用兩個電源供電，可任意拔出一個電源，就不會產(chǎn)生報警（如下兩圖）； 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 13 拔電源時，按住電源上面的按鈕，向右側(cè)按，同時拉電源后面的把手，即可將單個電源拉出；復(fù)原時，直接推電源到底，同時聽到“卡“一聲時，表示電源推到位并鎖住。將管理計算機通過交換機和通信 口相連即可對設(shè)備進行管理。 修改 通信口 的 ip設(shè)置 將 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 的默認 IP 修改修改為用戶管理環(huán)境要求的 IP，通過 備用通信 口（ ETH1）進入到 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 中，修改 通信 口 ETH0（審計中心 IP）地址， ETH1 出廠默認的 IP 地址，子網(wǎng)掩碼 ，只能通過網(wǎng)線直連，不支持將 備用通信 口連到交換機。 用戶登錄后臺系統(tǒng)后可以看到如下界面： 用戶可以 依次輸入 help， work，如下圖所示： 依次按照提示 修改 IP、子網(wǎng)掩碼以及網(wǎng)關(guān)。 登錄系統(tǒng) 使用 IE瀏覽器 (要求用 IE8 或以上版本， IE6 不能完全支持 ， 或以上版本 )，在地址欄中輸入： IP （ 此處的審計中心 IP 指審計中心 通信 口的 IP） 如： 按照以下步驟進行即可登錄系統(tǒng)。 Flash 支持 以上版本。 2) 部署首次安裝的 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 應(yīng)以系統(tǒng)管理員身份登錄系統(tǒng)，系統(tǒng)管理員默認用戶名和密碼為 sysadmin， sysadmin1234。 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 17 5 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 管理 首頁 “首頁”主要反映該審計系統(tǒng)的全局信息，包括審計服務(wù)器及策略相 關(guān)配置情況、 事件類型及 SQL操作延時及安全攻擊事件趨勢、磁盤信息、 CPU、內(nèi)存以及網(wǎng)口通信狀態(tài)信息等。 其中，上面部分列出了所有數(shù)據(jù)庫審計服務(wù)器，可點擊后面的單個圖標查看針對各個服務(wù)器的統(tǒng)計信息。 慧眼數(shù)據(jù)庫安全審計系統(tǒng) 18 第二部分顯示過去的 12 個小時數(shù)據(jù)庫操作事件的統(tǒng)計情況，如下圖所示： 第三部分是針對數(shù)據(jù)庫服務(wù)器的各事件類型、 SQL 操作的延時、服務(wù)器遭受安全攻擊的數(shù)量進行展示。 首頁下方顯示的是當前系統(tǒng)磁盤的使用情況（以百分比表示），以及各以太網(wǎng)口的使用狀態(tài)（當網(wǎng)口未連接網(wǎng)線時，顯示紅色，否則顯示綠色），鼠標移到相應(yīng)的圖標處，可顯示具體信息。 個人設(shè)置 以系統(tǒng)管理員 sysadmin 登錄系統(tǒng)后，點擊 按鈕，彈出個人設(shè)置界面，如下圖所示： 個人設(shè)置包括用戶名全名、電子郵箱、密碼三項。 注：與登錄時的用戶名不同。若 點擊“重置”按鈕，狀態(tài)變?yōu)橛脩羯弦淮伪４鏁r的“全名”； 若點擊“保存”按鈕，將輸入信息進行保存，然后 “保存”和“重置”兩個按鈕再次變?yōu)椴豢捎?狀態(tài)，并且，再次登錄系統(tǒng)后，保存了的名稱將顯示在門戶菜單中，例如：輸入用戶全名為： abcdef，如下圖所示： 電子郵箱：輸入電子郵箱地址。若