安恒数据库审计及风险控制系统用户手册.docx-淘文阁

资源描述

《安恒数据库审计及风险控制系统用户手册.docx》由会员分享，可在线阅读，更多相关《安恒数据库审计及风险控制系统用户手册.docx（54页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、数据库审计及风险控制系统用户手册杭州安恒信息技术有限公司 2010年5月数据库审计及风险控制系统用户手册第2 页共 54页版权申明本文档包含了来自杭州安恒信息技术有限公司机密的技术和商业信息，提供给杭州安恒信息技术有限公司的客户或合作伙伴使用。接受本文档表示同意对其内容保密并且未经杭州安恒信息技术有限公司书面认可，不得复制、泄露或散布本文档的全部或部分内容。本文档及其描述的产品受有关法律的版权保护，对本文档内容的任何形式的非法复制，泄露或散布，将导致相应的法律责任。杭州安恒信息技术有限公司保留在不另行通知的情况下修改本文档的权利，并保留对本文档内容的解释权。 This

2、document contains confidential technical and commercial information from Hangzhou Anheng Info & Tech Co.Ltd. No part of it may be reproduced or transmitted in any form or means without the permission of Hangzhou Anheng Info & Tech Co.Ltd. This document and the product it describes are protected by c

3、opyright according to the applicable laws. The information in this document is subject to change without notice and describes only the product defined in the introduction of this documentation. Hangzhou Anheng Info & Tech Co.Ltd will, if necessary, explain issues, which may not be covered by the doc

4、ument. Anheng logo is a registered trademark of Hangzhou Anheng Info & Tech Co.Ltd. The other product names mentioned in this document may be trademarks of their respective companies, and they are mentioned for identification purposes only. Copyright 2007 Hangzhou Anheng Info & Tech Co.Ltd. All righ

5、ts reserved. 杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第3 页共 54页目录 1 系统简介. 6 快速入门. 7 2.1 2.2 2.3 2 数据中心. 12 物理端口. 12 新增. 12 全部. 12 3.1.2.1 3.1.2.2 3.1.3 3.1.4 3 系统登录. 7 系统布局. 7 快速配置. 8 系统功能. 12 3.1探测器. 12 3.1.1 3.1.2 探测器. 12 所有探测器. 13 功能应用. 13 引擎配置. 14 选择采集设备. 14 动作引擎. 14 3.2.2.1 3.2.2.2 3.3审计. 15 3.3.1 3.3.2

6、 3.3.2.1 3.3.2.2 3.3.2.3 3.3.2.4 3.3.3 3.2 3.4 功能配置. 13 3.2.1 3.2.2 关注行为. 15 日常行为. 15 查询. 15 查看详细信息. 16 查看会话. 16 回放会话. 17 回放. 17 审计规则. 18 3.4.1 审计规则快速配置. 18 常规. 20 审计对象组. 20 新增. 21 全部. 21 3.4.2 3.4.3 3.4.3.1 3.4.3.2 3.4.4规则组. 21 杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第4 页共 54页 3.4.4.1 3.4.4.2 3.4.5 新增. 21 全部

7、. 22 规则. 22 3.4.5.1 3.4.5.2 3.4.6 新增. 22 全部. 24 规则白名单. 24 风险. 24 3.5.1 3.5.2 3.5.3 3.5.4 3.5 3.6.1.1 3.6.1.2 3.6.1.3 3.6.1.4 3.6.1.5 3.6.1.6 3.6.1.7 3.6.1.8 3.6.2设备. 29 参数. 29 系统链路. 29 采集设备. 30 阻断设备. 30 高危. 25 全部. 25 查询. 25 其他. 26 3.6常规配置. 26 3.6.1常规. 26 引擎管理. 26 数据来源. 26 指定IP审计. 26 客户端IP用途. 27 数据来源

8、等级. 28 报文等级. 28 IP等级. 29 查询参数. 29 3.6.2.1 3.6.2.2 3.6.2.3 3.6.2.4 3.6.3通知. 30 短信. 30 3.6.3.1 3.6.3.2 3.6.3.3 3.6.4syslog服务. 31 代理服务器. 31 syslog服务器. 32 邮件. 30 SNMP服务. 31 3.6.4.1 3.6.4.2 3.7系统. 32 杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第5 页共 54页 3.7.1权限管理. 32 新增用户. 33 全部用户. 33 角色. 33 用户安全设置. 33 3.7.1.1 3.7.1.2

9、 3.7.1.3 3.7.1.4 3.7.2数据维护. 33 自动备份. 33 手动备份. 34 3.7.2.1 3.7.2.2 3.7.2.3 3.7.2.4 3.7.2.5 3.7.3运行状态. 36 服务器. 36 探测器. 36 采集设备. 36 备份导入. 35 自动清理. 35 出厂设置. 35 3.7.3.1 3.7.3.2 3.7.3.3 3.7.4 3.7.5 系统工具. 37 其他. 37 3.7.5.1 3.7.5.2 升级. 37 系统日志. 38 3.8 操作日志. 38 报表. 38 3.9.1 3.9.2 3.9.3 3.9 串口连接配置. 46 Console配

10、置. 47 5https根证书安装. 52 管理. 38 预览别和名称. 38 报表导出. 45 4Console控制台. 46 4.1 4.2 杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第6 页共 54页 1 系统简介数据库审计系统主要用于监视并记录对数据库服务器的各类操作行为及返回信息，并可以根据设置的规则，智能的判断出各种风险行为，并对违规行为进行报警（邮件、短信）等。有效地弥补现有应用业务系统在数据库安全使用上的不足，为数据库系统的安全运行提供了有力保障。本系统采用目前业界最流行的 B/S 架构，用户可以方便的通过网络对系统的运行状况、数据库的受攻击程度进

11、行操作、监控。采用 B/S 架构将很大程度上减少用户对系统成本的投入，其中包括维护成本。特点支持旁路技术，不影响被保护数据库的性能；使用简单，不需要对被保护数据库进行任何设置；适用面广，可以支持 Oracle、MS SQL Server、Sybase，db2,Informix, MySQL 等多类常用数据库；审计精细度高，可审计并还原SQL操作语句；可解析出SQL操作的返回信息；提供细粒度、灵活的审计规则和查询条件严格的权限管理机制，防止非授权用户修改数据；内置安全策略，自动识别各种典型攻击，并及时采取措施，更有力的保障数据库的安全运行。多级管理模式，一个数据库和服务

12、器可以配置多个探测器，实现多个探测器同时采集数据的功能。杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第7 页共 54页 2 快速入门 2.1 系统登录在需要操作数据库审计及风险控制系统的机器（称为客户机）上打开 IE，在 IE 地址栏内输入数据库审计及风险控制系统访问地址（如：https:/192.168.3.61）。请确保客户机能够顺利访问数据库审计及风险控制系统。进入登录页面后，输入用户名、密码进行登录（初次登录的用户名、密码默认都是 admin）。由于系统采用严格的权限鉴别机制，admin用户默认角色是系统管理员，只有系统管理和探测器管理权限，所以只能看到系

13、统和探测器的两个菜单。如果想看到所有功能菜单，需要配置相应的角色，具体参考权限管理。 2.2 系统布局登录成功后，用户可以看到明御系统的大致分布情况，如下图：系统布局大致分为三个区域：选项卡、功能列表区和操作区。选项卡这里是整个数据库审计及风险控制系统的功能模块选择区。功能列表区当选择不同的选项卡选项后，本区域内将显示针对选项的子功能。操作区杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第8 页共 54页在功能列表区中选择某子功能后，在操作区显示对应的相关详细信息。用户可以在本区域内进行查询、编辑等具体的操作。系统登录后，默认进入审计信息查询页面。明御系统

14、的数据库审计部分的功能大致分为审计、风险、报表、审计规则、功能配置和探测器、常规配置、系统、日志九个功能选项。审计选项卡，查看关注行为（根据审计规则配置）、自定义查询、审计内容回放；风险选项卡，查看告警事件及当前阻断情况；报表选项卡，查看报表信息；审计规则选项卡，配置审计规则；功能配置选项卡，进行业务主机群级别的引擎配置（引擎加载、采集设备配置、动作配置等）；综合审计选项卡，对syslog和snmp发送过来的日志进行查询。探测器选项卡，查看或配置探测器信息；常规配置选项卡，进行系统引擎、链路管理、阻断设备、来访客户网络、邮件、 syslog服务器等常规配置；系统选项卡

15、，进行权限管理（用户管理）、数据维护、升级等功能；日志选项卡，查看系统自身操作日志，记录所有修改及登录操作； 2.3 快速配置第一步：添加物理端口进入探测器菜单，新增物理端口，填入 IP 地址、选择物理端口、版本、端口和运行环境，点保存。如下图所示：（添加 IP:192.168.3.21、业务类型:oracle 版本:10g 端口：1521 运行环境：linux）杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第9 页共 54页第二步：添加探测器和挂载物理端口按顺序分别添加,如下图所示： a添加探测器，输入探测器名称和对应的 IP，点保存。（如：探测器 35，IP

16、为 192.168.3.35）。这个必须要管理员去 CONSOLE 控制台里把这个探测器数据中心机IP改成对应的数据中心机IP就行了。 b添加业务主机群，输入业务主机群名称，选择类型，点保存。（如：后台数据库，类型为oracle），选择上传至数据中心机。在中心机添加的探测器的业务主机群，审计到的数据只能在中心机查看，探测器上看不到。登录到探测器35，添加业务主机群，可以选择上传或不上传数据中心。如果上传数据中心，在数据中心和探测器都可以看到采集的数据，如果选择不上传，只能在探测器本地查看对应的审计数据。 c挂载物理端口，选择物理端口，点挂载。如：192.168.3.21:152

17、1(ORACLE 10g)。杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第10 页共 54页注：如果需要用同一个探测器的话，那么只需要在业务主机群中添加业务主机群的名字即可；如果是通过一个业务主机群系统要添加多个物理IP端口的话，可以在业务主机群后直接挂载相应的物理端口。第三步: 切换到已添加的业务主机群选项卡区，点切换，下拉菜单中选择已添加的业务主机群，点业务主机群名称。(如下图中下拉菜单里显示的“35探测器”“义乌工商”) 第四步：开启审计引擎切换到单个业务主机群后，进入功能配置菜单，在引擎的功能应用里，选择引擎，点保存。（如下图中选择审计引擎，注：审计

18、引擎为必选的引擎，特征引擎为可选引擎）杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第11 页共 54页第五步：选择采集设备在功能配置菜单下，在引擎配置里选择采集设备，在全部采集设备列表中选择所需的采集设备组，添加到已挂载的采集设备列表中。（如下图添加采集设备组1（M4）注：如果是多个采集端口的话，可以同时添加。杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第12 页共 54页 3 系统功能 3.1 探测器 3.1.1 数据中心数据中心下的参数菜单，显示的是数据中心服务器的 IP，只能查看，不能修改。设置中心机或探测器首先要管理员到 console

19、的 8 选项里进行配置。只有数据中心机登录才能看到这个菜单，单个探测器登录是看不到的。 3.1.2 物理端口 3.1.2.1新增进入探测器功能项、在物理端口栏点击新增；输入 web 服务器的 IP 地址，根据数据库类型选择业务类型，版本指数据库版本，输入端口，选择数据库服务器的运行环境（即操作系统类型）。 3.1.2.2全部在此处可对物理端口进行修改和删除操作，只有在物理端口未挂载的状态下才能进行删除操作。 3.1.3 探测器 1 添加探测器进入探测器配置页面；点击添加，输入探测器名称和对应的IP，点击保存； 2 添加业务主机群杭州安恒信息技术有限公司数据库审计及风险控制系

20、统用户手册第13 页共 54页选中已添加的探测器；在业务主机群栏点击添加，输入名称，并选择WEB业务类型，点击保存；注：添加业务主机群的目的在于方便审计记录查询，可以通过切换业务主机群查看不同业务主机群的审计记录及风险信息。 3 挂载物理端口选中已添加的业务主机群，在右边物理端口栏点击挂载，勾选对应的物理主机，点击挂载。一个业务主机群可以挂载多个物理端口。 3.1.4 所有探测器提供所有探测器，在有多个业务主机群的情况下方便管理。提供查询，规则配置以及对各个探测器的管理等主要功能。 3.2 功能配置配置当前业务主机群的启动引擎、采集设备、动作引擎。首先切换到需要配置的业务

21、主机群，如果只有一个探测器，则登录后默认进入此探测器对应的业务主机群。进入功能配置选项卡 3.2.1 功能应用配置当前业务主机群的启动引擎。杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第14 页共 54页审计引擎所有对该服务主机群的操作将被记录，可在审计选项卡中查看详细内容。特征引擎即启动系统自带的安全策略库，在这里我们统一称之为特征。当发生符合特征的行为时系统将自动产生告警事件，在告警选项卡中可查看详细内容，即所有标记为特征的事件。日志引擎即启动系统发送日志的功能，启动后根据常规配置syslog 服务器的配置，就可以将系统的日常审计记录及告警信息实时发

22、送给外系统的SYSLOG服务器。 3.2.2 引擎配置 3.2.2.1选择采集设备配置采集数据的网口。点击挂载，选择采集设备，点击采集设备旁边的，挂载成功。 3.2.2.2动作引擎配置不同级别的系统采取的动作，如以下以高危事件为例进行配置。选择事件级别：高危事件阻断配置（需要交换机或防火墙联动支持）如级别为高的阻断3600秒：选择阻断设备，输入阻断时长，点击添加通知配置杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第15 页共 54页如级别为高的告警通过邮件发送给 admin 用户，admin 用户的邮箱地址在用户选项卡中配置。 Syslog配置如级别为高的

23、告警发送到用户 syslog 服务器，事件类别为 user-level messages，等级为Emergency，状态启用，点击添加。 3.3 审计功能说明：记录下用户对数据库的所有操作。例如数据库用户通过客户端 PL/SQL 连接到数据库，他对数据库进行的所有操作都将被记录到明御系统中。管理员通过明御系统可以查看此用户具体对数据库做了哪些操作，并且可以自定义回放这些操作。管理员还能自定义审计规则，将指定对象及操作列为危险动作，当违反此规则时系统将通过告警、发邮件等方式通知系统管理员或立即进行阻断。进入审计选项卡 3.3.1 关注行为查看所有审计规则定义成关注行为的审计事件。

24、自定义查询条件如下： 1 审计规则名称 2 时间段 3.3.2 日常行为 3.3.2.1查询自定义查询所有审计记录。 󰂄自定义查询选择查询条件，点击查询按钮，默认查询时间可以进行配置。查询条件如下： 1审计对象：选择查询的作用对象； 2操作类型：选择查询的操作类型，如select,insert,update,delete等操作；杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第16 页共 54页 3登录用户：按指定的用户名查询，如填入 lili，则查询以 lili 用户登录的所有操作； 4客户端 IP：按指定的源 IP 查询，如填入 192.168.3

25、.25，则查询源 IP 为 192.168.3.25的所有的操作； 5数据来源：其中的可选项由常规配置-常规-数据来源配置产生； 6来访客户网络：其中的可选项由常规配置-常规-客户端 IP 用途配置产生； 7时间段：按指定的时间段查询，查询在指定时间内对数据库进行的所有操作。为提高查询效率，默认搜索最近七天的数据； 8报文：通过自定义关键字进行模糊查询； 9报文等级：根据报文等级进行查询。报文有三个等级：重要、普通、系统，审计系统会根据预置的规则自动将每条审计记录划分等级，默认划分依据如下：重要：数据操纵语言（涉及到表的内容的修改，如 INSERT、UPDATE、 DELETE）、数

26、据定义语言（定义构成数据库的数据结构,如 CREATE、 ALTER、DROP、RENAME、TRUNCATE）、事务控制（对记录所做的修改永久性地存储到表中，或者取消这些修改操作，如 COMMIT、ROLLBACK、 SAVEPOINT）、数据控制语言（授予或撤消修改数据库结构的操作权限，如GRANT、REVOKE）；普通：一般的查询语句（用于检索数据库表中存储的行，如SELECT）；系统：各种客户端工具过程中工具自动产生的SQL。如果用户觉得这样的划分不符合自身的习惯的话，可对报文等级进行调整，在审计记录的详细信息页面提供报文等级调整的功能。 3.3.2.2查看详细信息查看某

27、条记录的详细信息左键点击记录，在弹出的菜单点击详细，就可以查看此条记录的详细信息 3.3.2.3查看会话会话含义：当一个用户通过客户端登录到退出，称为一次会话。杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第17 页共 54页查看会话指查看本次会话的所有操作,即此用户从本次登录到退出这段时间内对数据库所做的所有操作。 3.3.2.4回放会话回放会话指对用户从本次登录到退出这段时间内对数据库所做的所有操作按一定的时间间隔进行自动显示。 3.3.3 回放模拟终端对数据库的实际操作界面，对符合条件的审计信息进行回放。进入审计选项卡点击左边列表区的回放选择回放条件。条件选择请参考审计的自定义查询，如选择操作类型：create,点击回放，查询结果将以实际发生时间的先后进行回放，效果如下：杭州安恒信息技术有限公司数据库审计及风险控制系统用户手册第18 页共 54页点击播放，则再次进行播放；点击暂停，则暂停当前播放；点击清屏，则清除当前屏幕的显示，不影响后继显示。 3.4 审计规则可以在所有探测器下配置审计规则，可以挂载到各个业务主机群上作用于单个探测器，也可以在单个探测器下配置审计规则，只能对本探测器起作用。进入

展开阅读全文