明御数据库审计与风险控制系统V6—用户使用手册.docx-淘文阁

资源描述

《明御数据库审计与风险控制系统V6—用户使用手册.docx》由会员分享，可在线阅读，更多相关《明御数据库审计与风险控制系统V6—用户使用手册.docx（16页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、明御数据库审计与风险控制系统V6用户使用手册明御数据库审计与风险限制系统 V4.6 6 用户运用手册杭州安恒信息技术有限公司二一六年一月书目 1 产品简介错误! 未定义书签。1.1 产品概述错误! 未定义书签。1.2 产品功能错误! 未定义书签。1.3 产品特点错误! 未定义书签。2 WEB 概述错误! 未定义书签。2.1 功能简介错误! 未定义书签。2.2 WEB 登录错误! 未定义书签。2.2.1 通用版本错误! 未定义书签。2.2.2 医疗防统方专业版错误! 未定义书签。2.3 退出 WEB 登录错误! 未定义书签。2.4 WEB 页面布局错误! 未定义书

2、签。3 主页错误! 未定义书签。3.1 数据分析错误! 未定义书签。3.1.1 整体概况错误! 未定义书签。3.1.2 趋势分析错误! 未定义书签。3.1.3 对比分析错误! 未定义书签。3.2 行为模型错误! 未定义书签。3.2.1 新增行为错误! 未定义书签。3.2.2 账号视图错误! 未定义书签。3.2.3 源 IP 视图错误! 未定义书签。3.2.4 工具视图错误! 未定义书签。3.2.5 权限视图错误! 未定义书签。3.2.6 具体查询错误! 未定义书签。3.3 医疗防统方专业版错误! 未定义书签。3.3.1 统方监控错误! 未定义书签。4 审计配置错误

3、! 未定义书签。4.1 基本步骤错误! 未定义书签。4.2 探测器错误! 未定义书签。4.2.1 组件配置错误! 未定义书签。4.2.2 物理端口错误! 未定义书签。4.2.3 物理端口配置举例错误! 未定义书签。4.2.4 探测器错误! 未定义书签。4.2.5 探测器配置举例错误! 未定义书签。4.3 审计查询错误! 未定义书签。4.3.1 查询参数错误! 未定义书签。4.3.2 综合查询错误! 未定义书签。4.3.3 WEB 查询错错误误! 未定义书签。4.3.4 会话查询错误! 未定义书签。4.3.5 回放错误! 未定义书签。4.4 审计过滤错误! 未定义

4、书签。4.4.1 审计选项错误! 未定义书签。4.4.2 指定源 IP 审计错误! 未定义书签。4.4.3 IP 过滤错误! 未定义书签。4.4.4 报文过滤错误! 未定义书签。5 告警错误! 未定义书签。5.1 告警通知错误! 未定义书签。5.1.1 通知告警错误! 未定义书签。5.1.2 发送配置错误! 未定义书签。5.1.3 发送状况错误! 未定义书签。5.1.4 邮件错误! 未定义书签。5.1.5 短信错误! 未定义书签。5.1.6 FTP 错误! 未定义书签。5.1.7 SYSLOG 错误! 未定义书签。5.1.8 SNMP 错误! 未定义书签。5.2 告警查询

5、错误! 未定义书签。5.2.1 高危(未处理) 错误! 未定义书签。5.2.2 全部(未处理) 错误! 未定义书签。5.2.3 告警分析错误! 未定义书签。5.2.4 查询错误! 未定义书签。6 规则配置错误! 未定义书签。6.1 规则配置（DB）错误! 未定义书签。6.1.1 功能简介错误! 未定义书签。6.1.2 配置 DB 规则错误! 未定义书签。6.1.3 配置举例错误! 未定义书签。6.2 规则配置（WEB）错误! 未定义书签。6.2.1 功能简介错误! 未定义书签。6.2.2 配置 WEB 规则错误! 未定义书签。6.3 规则白名单错误! 未定义书签。6.

6、3.1 配置打算错误! 未定义书签。6.3.2 配置规则白名单错误! 未定义书签。6.3.3 配置举例错误! 未定义书签。7 统计告警错误! 未定义书签。7.1 统计告警配置错误! 未定义书签。7.2 统计告警查询错误! 未定义书签。8 反向代理错误! 未定义书签。9 报表错误! 未定义书签。9.1 报表预览错误! 未定义书签。9.1.1 功能简介错误! 未定义书签。9.1.2 配置预览报表错误! 未定义书签。9.2 自动发送错误! 未定义书签。9.2.1 功能简介错误! 未定义书签。9.2.2 配置自动发送错误! 未定义书签。10 数据库扫描错误! 未定义书签。

7、10.1 端口扫描错误! 未定义书签。10.2 风险评估错误! 未定义书签。10.3 评估结果错误! 未定义书签。11 权限管理错误! 未定义书签。11.1 全部用户错误! 未定义书签。11.2 用户平安设置错误! 未定义书签。11.3 IP 访问限制错误! 未定义书签。12 数据维护错误! 未定义书签。12.1 自动备份及复原错误! 未定义书签。12.2 手工备份及复原错误! 未定义书签。12.3 出厂设置错误! 未定义书签。13 系统错误! 未定义书签。13.1 常规错误! 未定义书签。13.1.1 引擎管理错误! 未定义书签。13.1.2 客户端工具错误!

8、未定义书签。13.1.3 来访客户网络错误! 未定义书签。13.2 运行状态错误! 未定义书签。13.2.1 系统资源错误! 未定义书签。13.2.2 采集设备错误! 未定义书签。13.2.3 同步验证错误! 未定义书签。13.3 系统管理错误! 未定义书签。13.3.1 网络配置错误! 未定义书签。13.3.2 时钟同步错误! 未定义书签。13.3.3 SNMP 配置错误! 未定义书签。13.3.4 许可证错误! 未定义书签。13.3.5 手动升级错误! 未定义书签。13.3.6 系统调试错误! 未定义书签。13.3.7 关机错误! 未定义书签。14 日志错误!

9、未定义书签。14.1 操作日志错误! 未定义书签。14.2 系统日志错误! 未定义书签。1 产品简介 1.1产品概述明御®数据库审计与风险限制系统（简称：DAS-DBAuditor）是安恒信息在多年数据库平安理论探讨与实践的基础上，结合各类法令法规（如等级爱护、分级爱护、企业内控、SOX、PCI 等）对数据库平安的要求，自主研发的业界首创细粒度审计、双向审计、全方位风险限制的数据库平安审计产品。可帮助用户带来如下价值点：全面记录数据库访问行为，识别越权操作等违规行为，并完成追踪溯源供应细粒度、敏捷的规则和查询条件，对违规行为进行告警（通过邮件、短信、SYSLOG 等方式）跟

10、踪敏感数据访问行为轨迹，建立访问行为模型，刚好发觉敏感数据泄漏检测数据库配置弱点、发觉 SQL 注入等漏洞、供应解决建议为数据库平安管理与性能优化供应决策依据供应符合法律法规的报告，满意等级爱护、企业内控等审计要求本系统采纳目前业界最流行的 B/S 架构，用户可以便利的通过网络对系统的运行状况、数据库的受攻击程度进行操作、监控。同时在很大程度上削减用户对系统成本的投入，削减维护成本。1.2产品功能 DAS-DBAuditor 产品功能分成原始信息收集、审计信息标准化、审计信息筛选、预警与报表共四大模块。1. 原始信息收集通过旁路镜像的模式部署不变更用户现有网络结构不占用数据库服务

11、器资源不影响数据库性能支持分布式部署实现配置与报表的集中管理并发流量采集与处理、多点存储、多级管理自动定期发觉功能，刚好发觉一些未知数据库 2. 审计信息标准化支持国内外主流数据库，包括 Oracle、SQL server、DB2、MySQL、Informix、Sybase、PostgreSQL 、神通 OSCAR、达梦 DM、人大金仓、南大通用 Gbase、CACHé 、Teradata共 13 种协议将不同数据库协议根据标准化的格式进行展示，便利管理人员阅读和分析3. 审计信息筛选依据 5W1H(WHAT，WHERE，WHEN，WHO，WHY，HOW)分析模型

12、进行规制设计，供应丰富的规则条件和向导式的规则配置方法内置了 300 多条平安相关的审计分析规则依据采集到的数据进行数据分析和产生行为模型审计结果综合查询、WEB 查询、会话回放功能；还有针对历史数据的旧版本数据查询、复原内容查询 4. 预警与报表供应 SYSLOG、短信、邮件、SNMP、FTP 等丰富的告警通知方式，可第一时间通知管理人员可与 SOC、安管平台等进行日志的整合内置了 40 多种高价值、符合法律法规的分析报表，可从数据库账号增删、密码修改、权限变更、高危操作、违规告警、账号复用、数据库性能分析等角度进行分析支持自定义的方式定制更多报表 1.3产品特点 1. 采纳多

13、核、多线程并行处理技术，处理性能遥遥领先该产品选用国际领先的、最适合审计产品特性的硬件平台，通过 intel 多核 CPU 的强大计算实力，以及安恒信息独有的多线程分布式处理技术，使得安恒数据库审计系统的处理实力大大提升，真正领先于国内同类型产品。2. 数据库平安配置分析和漏洞评估该产品继承了安恒信息数据库平安漏洞扫描技术优势，形成了从漏洞扫描、平安审计为一体的解决方案。可通过定制化任务方式实现周期性的自动扫描，发觉数据库的配置不合理项、弱口令、平安漏洞。并可依据漏洞状况供应合理的平安建议和审计规则，生成平安漏洞扫描报告。3. 智能关联分析通过同时提取 WEB 业务端和数据库端的协议流量

14、，提取出详细业务操作恳求 URL、POST/GET值、业务账号、原始客户端 IP、MAC 地址、提交参数等。通过智能自动多层关联，关联出每条 SQL语句所对应 URL，以及其原始客户端 IP 地址等信息，实现追踪溯源。4. 独有的双向审计该产品可以实现真正的双向审计。双向审计不但包含了 SQL 语句执行状态、返回行数、返回时间等基本信息，最为关键是包含了数据库的返回结果内容。如错误! 未找到引用源。所示。图1-1 双向审计 5. 数据库行为轨迹分析该产品通过创新的行为轨迹分析方法，使得审计员摆脱了从成千上万条日志进行枯燥分析的苦恼，大大提高了分析效率，提高了审计的易读性和价值。如错误!

15、未找到引用源。所示。图1-2 行为轨迹分析6. 数据库行为模型分析该产品通过自动学习建立数据库行为模型，行为模型是基于总分逻辑分析思维，一层一层展示整个数据库的行为状态。通过行为模型的变更分析，可便利用户驾驭最新访问动态。通过行为模型的对比分析则可以分析出两个不同时间段的模型差异，可以特别便利的发觉数据库账号、源 IP、访问工具类型、权限的增删变更状况，便利进一步追踪分析。如错误! 未找到引用源。所示。图1-3 对比分析 2 WEB 概述 2.1功能简介通过 WEB 方式管理数据库审计系统。2.2WEB登录 2.2.1通用版本 (1) 在阅读器中输入 https:/Admin 管理 I

16、P，进入登录窗口。如错误! 未找到引用源。所示。(2) 在登录窗口中输入用户名、密码。图2-1 登录 (3) 单击lt;登录gt;后即可登录到整体概况页面，如错误! 未找到引用源。所示。出厂默认 Admin 管理 IP 为：192.168.1.100 出厂默认用户名/密码为：admin/Dbapp2013 2.2.2医疗防统方专业版登录步骤和通用版本一样，登录窗口有医疗防统方专版标识，如错误! 未找到引用源。所示。图2-2 医疗防统方专版 2.3退出WEB登录在数据库审计系统页面上点击 (如错误! 未找到引用源。)，退出 WEB 登录。退出系统时，系统不会自动保存当前配置。因此建

17、议用户在退出系统前先设置保存当前配置。通过干脆关闭阅读器标签的方式，已登录到设备上的用户不能自动退出登录。2.4WEB页面布局 WEB 页面布局共分为：功能页签、管理链接、导航树和操作区四部分。如图 2-3 所示。图2-3WEB 页面布局 WEB 页面布局序号说明参见表 2-1。表2-1 WEB 页面布局序号说明序号名称说明 (1) 功能页签以不同的角度供应了各类管理功能的配置入口，便利管理员依据实际须要进行切换 (2) 管理链接显示了当前登录的操作员信息以及退出等相关功能链接 (3) 导航树列出了当前功能页签对应的操作链接 (4) 操作区该区域主要用于信息展示以及相关功能的操作

18、 3 主页 3.1数据分析 3.1.1整体概况 1. 功能简介整体概况可以帮助用户了解被审计服务器的整体状况和状态，详细包括以下几个方面的内容：当前数据库核心指标审计记录数对比最新告警行为模型用户 WEB 登录后，默认进入整体概况菜单的页面。如错误! 未找到引用源。所示。图3-1 整体概况 2. 当前数据库核心指标在数据库 IP 列表中，选择 IP，查看对应数据库核心指标。指标说明参见错误!。未找到引用源。表3-1 数据库核心指标指标说明本日审计记录数统计本日审计的总记录数在线用户数显示当前的在线用户数并发会话数显示在线的并发会话数3. 审计记录数对比 (1)

19、单击本日审计记录数，查看本日与本周及历史最高日审计记录数对比曲线图。如错误! 未找到引用源。所示。图3-2 本日审计记录数对比 (2) 单击在线用户数，查看本日与本周及历史最高日用户数对比曲线图。如错误! 未找到引用源。所示。图3-3 用户数对比 (3) 并发会话数单击并发会话数，查看本日与本周及历史最高日并发会话数对比曲线图。如错误! 未找到引用源。所示。图3-4 并发会话数对比 4. 最新告警显示当日未处理的告警。包括高、中、低和关注行为四种告警，并循环显示每一条告警。如错误!未找到引用源。所示。图3-5 最新告警图中序号说明参见错误!。未找到引用源。表3-2 最新告警序号说

20、明序号说明 (1) 单击报警数，查看对应的告警列表 (2) 单击此图标，链接到风险/告警/查询页面 (3) 单击每一条告警，查看告警的具体信息5. 行为模型显示当前数据库用户行为模型。如错误! 未找到引用源。所示。图3-6 行为模型行为模型显示信息说明参见错误!。未找到引用源。表3-3 行为模型显示信息标题项说明服务器IP 数据库服务器IP 账号/应用账号统计分析登录数据库账号状况源IP/应用源IP 统计分析源IP/应用源IP状况客户端工具统计分析登录数据库服务器运用的客户端工具状况表对象统计分析操作数据库中表对象状况操作类型统计分析对数据库进行的操作类型行为

21、模型标题项后面的红色小球里面的数字表示新增行为。3.1.2趋势分析 1. 功能简介对不同数据库的审计数据进行趋势分析和对同一数据库不同源 IP 数据进行趋势分析。2. 趋势分析配置 (1) 通过主页/数据分析/趋势分析，进入趋势分析页面。如错误! 未找到引用源。所示。图3-7 趋势分析 (2) 趋势分析配置。选项说明参见错误! 未找到引用源。表3-4 趋势分析选项说明选项说明时间段可以快速选择本日、本周、本月、最近7天或最近30天，同时单击日期，支持自定义时间段。范围：1365天呈现粒度按小时、按天、按周或按月添加服务器IP 不同服务器之间分析分析不同数据库服务器的趋势，

22、最多支持3个服务器同一服务器不同来源IP分析分析同一服务器不同来源IP的趋势， (1) 先选择一个服务器 IP (2) 再添加来源 IP，最多支持 3 个来源 IP (3) 单击lt;查看审计记录数趋势gt;，查看趋势分析结果。如错误! 未找到引用源。所示。图3-8 趋势分析结果图 3.1.3对比分析 1. 功能简介对同一服务器不同时间审计状况对比分析和对不同服务器同一时间审计状况对比分析。2. 对比分析配置 (1) 通过主页/数据分析/对比分析，进入对比分析页面。如错误! 未找到引用源。所示。图3-9 对比分析 (2) 选择对比分析类型、服务器和对比分析时间段。选项说明参见错误!

23、未找到引用源。表3-5 对比分析选项说明选项说明对比类型同一服务器不同时间对比针对同一服务器，不同时间段对比分析不同服务器同一时间对比针对不同服务器，相同时间段对比分析服务器IP 选择对比分析的服务器IP 对比类型为同一服务器不同时间对比时，选择一个服务器 IP 对比类型为不同服务器同一时间对比时，选择两个服务器 IP 时间段按天、月、季度或自定义(3) 单击lt;查看对比结果gt;，查看对比分析的结果。如错误! 未找到引用源。所示。图3-10 对比分析结果图3.2行为模型 3.2.1新增行为 1. 功能简介新增行为页面主要是针对用户行为对服务器访问账号、源 IP、客户端

24、工具行为进行汇总统计。2. 新增行为配置通过主页/行为模型/新增行为进入新增行为页面。如错误! 未找到引用源。所示。图3-11 行为模型新增行为列表内容说明参见错误!。未找到引用源。表3-6 新增行为列表说明选项说明服务器IP 对应服务器IP，可通过输入服务器IP过滤查看某一详细的服务器统计信息账号/应用账号对应账号统计值，点击详细数字，可查看具体账号信息源IP/应用源IP 对应访问IP统计值，点击详细数字，可查看具体各个访问IP信息量客户端工具对应访问运用客户端工具统计值，点击详细数字，可查看具体客户端工具表对象对应表对象统计值，点击详细数字，可查看详细的对象信息操作类型对应数据库操作类型统计值，点击详细数字，可查看具体操作类型.

展开阅读全文