1、Copyright 2015 Neusoft Corporation東軟NetEye數(shù)據(jù)庫審計系統(tǒng)PPT東軟公司數(shù)據(jù)庫面臨的風(fēng)險及產(chǎn)品需求面臨的風(fēng)險產(chǎn)品需求功能概述數(shù)據(jù)庫訪問審計WhoWhenWhereWhatMS SQLOracleDB2SybaseMySQLftptelnet審計記錄統(tǒng)計報表異常告警InformaxDBA實時監(jiān)控審計策略設(shè)置審計數(shù)據(jù)協(xié)議分析數(shù)據(jù)庫策略設(shè)置策略匹配數(shù)據(jù)庫管理員網(wǎng)頁告警 郵件告警 完整審計專家系統(tǒng)故障診斷專家數(shù) 據(jù) 庫 健 康 體 檢故障診斷專家操作記錄FTP/Telnet業(yè)務(wù)失敗SQL數(shù)據(jù)安全專家系統(tǒng)優(yōu)化專家統(tǒng)計報表IP數(shù)據(jù)頭源地址目的地址IP數(shù)據(jù)內(nèi)容TDS、

2、TNSDRDAMYSQLL2-L4檢測：網(wǎng)絡(luò)層感知L7檢測：應(yīng)用層感知精準(zhǔn)的協(xié)議與應(yīng)用分析零風(fēng)險部署操作界面展示我的導(dǎo)航IE窗口式設(shè)計配置審計策略3.1進入審計與防火墻=策略中心進行策略配置，點擊添加策略。3.3設(shè)置delete（刪除操作）為高風(fēng)險。3.2在添加的策略下面添加規(guī)則。3、策略 配置默認(rèn)規(guī)則4.1、在規(guī)則中若如右圖設(shè)置一條默認(rèn)規(guī)則，代表對于數(shù)據(jù)庫的所有訪問都是記錄的。若無審計信息就要看一下這里是否配置了規(guī)則。4.2、若無最新流量請查看數(shù)據(jù)庫引擎是否啟動，緩存策略是否改為了1條，所添加的策略是否應(yīng)用到了數(shù)據(jù)庫引擎。*緩存策略設(shè)置在通用配置=采集器配置模塊下。4、數(shù)據(jù)庫審計 其他說明規(guī)

3、則的優(yōu)先級4.3對于策略，規(guī)則的解釋在策略下添加規(guī)則有四種類型，若同一條策略下有多條規(guī)則；那么匹配的優(yōu)先級為：黑名單=白名單=優(yōu)先級無優(yōu)先級若有多條無優(yōu)先級的默認(rèn)規(guī)則那匹配的順序為從上往下，切默認(rèn)規(guī)則可以上下調(diào)整順序。黑名單（阻斷，記錄，具有優(yōu)先級） 白名單（通過，不記錄，具有優(yōu)先級） 優(yōu)先級（優(yōu)先匹配，具有優(yōu)先級）默認(rèn)規(guī)則(無優(yōu)先級)默認(rèn)規(guī)則：可以調(diào)換，可以設(shè)置很多條；若有多條默認(rèn)規(guī)則，在上者優(yōu)先匹配。黑白名單優(yōu)先級規(guī)則都是具有優(yōu)先級的當(dāng)一條策略中有多條具有優(yōu)先級的規(guī)則的時候匹配順序從上往下，命中則停止匹配。全局參數(shù)配置對應(yīng)策略配置下的目標(biāo)表、表組兩個概念；表組是多個表的集合,用于匹配SQL

4、語句同時關(guān)聯(lián)多張表的情況。數(shù)據(jù)庫Schema集：對于Oracle可理解為多張表的集合，對于Mysql數(shù)據(jù)庫就是數(shù)據(jù)庫名，對于Sqlserver數(shù)據(jù)庫Schema就是架構(gòu)。存儲過程是在數(shù)據(jù)庫端用于完成特定操作的SQL語句集，在調(diào)用存儲過程的時候是使用的存儲過程名，這里要填寫使用的就是存儲過程名。數(shù)據(jù)庫列就是數(shù)據(jù)庫表的列名4.4全局參數(shù)配置規(guī)則配置說明4.5規(guī)則配置說明通過對數(shù)據(jù)庫訪問的各種特征如SQL來源IP、SQL訪問的目標(biāo)數(shù)據(jù)庫表等，來組合設(shè)置訪問匹配規(guī)則；達(dá)到對數(shù)據(jù)庫細(xì)粒度的訪問審計記錄告警或進行訪問控制。增、刪、改、查、特權(quán)操作、登錄、登出。一條對數(shù)據(jù)庫的SQL操作，同時（操作）影響數(shù)據(jù)

5、庫的行數(shù)。對數(shù)據(jù)庫進行的除增刪改查之外的其他一些操作的匹配，如授權(quán)操作grant.規(guī)則配置說明續(xù)關(guān)鍵字（詞）執(zhí)行失敗的SQL語句的匹配審計。在防火墻模式下對某些語句進行替換，格式為：原詞/替換詞多個替換詞之間使用回車進行分割與系統(tǒng)設(shè)備和敏感數(shù)據(jù)掃描模塊下的敏感數(shù)據(jù)發(fā)現(xiàn)結(jié)合使用。用于匹配用戶登錄、退出成功與失敗。數(shù)據(jù)庫防火墻模塊1、數(shù)據(jù)庫防火墻模塊提供屏蔽、訪問控制、阻斷功能。DB服務(wù)器2.1防火墻模式將設(shè)備串接在網(wǎng)絡(luò)中在數(shù)據(jù)庫服務(wù)器之前，設(shè)備默認(rèn)第一個、第二個網(wǎng)口為防火墻接口。2、設(shè)備連接方式2.2在防火墻模式下，WEB頁面管理IP使用fire1的IP地址。3、給fire1配置IP地址。登錄系

6、統(tǒng)管理員進入系統(tǒng)配置=系統(tǒng)配置=接口配置=訪問控制防火墻多路設(shè)置。編輯給fire1填寫一個IP地址，此IP地址與eth3管理口IP不可在同一個網(wǎng)段。應(yīng)用服務(wù)器NetEye數(shù)據(jù)安全平臺數(shù)據(jù)庫防火墻模塊續(xù)一4、添加數(shù)據(jù)庫加固點，通用配置=數(shù)據(jù)庫加固點。添加加固點后添加審計與防火墻功能。5、添加規(guī)則防火墻策略規(guī)則（同審計策略規(guī)則）添加一條策略對查詢行為進行阻斷。數(shù)據(jù)庫防火墻模塊續(xù)二6、執(zhí)行一條select語句查看審計日志信息可以看到此條對數(shù)據(jù)庫發(fā)起的select語句被成阻斷了。還有更多阻斷策略組合請參照數(shù)據(jù)庫審計策略規(guī)則進行設(shè)置。數(shù)據(jù)庫防火墻模塊續(xù)三7、其它注意事項先用兩臺PC分別接設(shè)備的eth0、

7、eth1進行模擬測試，若網(wǎng)絡(luò)能通并可以正常審計阻斷則把設(shè)備接入實際網(wǎng)絡(luò)中。接入實際網(wǎng)絡(luò)環(huán)境，進行測試；觀察網(wǎng)絡(luò)是否通暢，在檢索中查看最新流量是否有數(shù)據(jù)。硬件具有Bypass功能，若設(shè)備發(fā)生故障，如斷電等情況，會自動進入全通狀態(tài)。fire1的IP與eth3也就是默認(rèn)WEB管理IP不能在同一個網(wǎng)段。可以使用fire1的IP進行WEB管理。數(shù)據(jù)發(fā)現(xiàn)模塊設(shè)備數(shù)據(jù)發(fā)現(xiàn)分為服務(wù)掃描和數(shù)據(jù)掃描兩大功能，可分別用于掃描網(wǎng)絡(luò)中存在的服務(wù)以及核心敏感數(shù)據(jù)。l服務(wù)掃描引擎將掃描到的設(shè)備自動添加到加固點。設(shè)置掃描的網(wǎng)段。本網(wǎng)段：只掃描與設(shè)備同網(wǎng)段的服務(wù)；選擇IP地址組：選擇在高級中添加的IP地址組。設(shè)定網(wǎng)段：手動指定

8、掃描的網(wǎng)段。指定掃描的端口范圍，內(nèi)置有兩個端口組；也可以在高級中手動設(shè)置。選擇要掃描的服務(wù)類型。1、服務(wù)引擎配置數(shù)據(jù)發(fā)現(xiàn)模塊續(xù)自定義添加IP地址組自定義添加端口組2、高級配置3、開啟服務(wù)掃描功能4、在服務(wù)下查看服務(wù)掃描結(jié)果配置掃描引擎將掃描的敏感數(shù)據(jù)自動應(yīng)用到規(guī)則中敏感數(shù)據(jù)類型，也可以在高級中自定義敏感數(shù)據(jù)類型設(shè)置要掃描的數(shù)據(jù)庫設(shè)置要掃描的數(shù)據(jù)庫表l數(shù)據(jù)掃描引擎1、數(shù)據(jù)掃描引擎配置配置掃描引擎續(xù)一2、憑證：即數(shù)據(jù)掃描的范圍，可以根據(jù)服務(wù)掃描結(jié)果進行設(shè)定，也可以自定義進行設(shè)置。3、高級：設(shè)置要掃描的敏感數(shù)據(jù)，在系統(tǒng)中有內(nèi)置的12種敏感數(shù)據(jù)，也可以根據(jù)需要進行自定義添加。4、啟動掃描配置掃描引擎續(xù)

9、二5、在數(shù)據(jù)發(fā)現(xiàn)下查看數(shù)據(jù)發(fā)現(xiàn)結(jié)果6、查看數(shù)據(jù)掃描概要信息風(fēng)險掃描模塊通過制定和執(zhí)行安全策略，可以掃描出從口令過于簡單，權(quán)限控制到系統(tǒng)配置等一系列問題，生成易于用戶理解的報告，并且對于違背和不遵循安全性策略的做法提供可行性建議。1、添加策略組，可以從內(nèi)置的策略中選擇所關(guān)心的安全策略。2、弱口令檢測：檢測數(shù)據(jù)庫是否存在過于簡單的密碼問題風(fēng)險掃描模塊續(xù)一3、啟動風(fēng)險掃描，對數(shù)據(jù)庫進行風(fēng)險掃描4、風(fēng)險掃描完成后自動生成報表，存放在歷史報表中。5、查看報表，并且可以將報表導(dǎo)出數(shù)據(jù)庫狀態(tài)監(jiān)控模塊用線圖、表格、圖表等形式直觀的展現(xiàn)數(shù)據(jù)庫的配置信息和運行狀態(tài)1、在通用配置數(shù)據(jù)庫加固點中添加數(shù)據(jù)庫狀態(tài)監(jiān)控2、

10、查看數(shù)據(jù)庫狀態(tài)監(jiān)控信息，監(jiān)控信息可以導(dǎo)出報表數(shù)據(jù)庫透明加密模塊防止數(shù)據(jù)存儲介質(zhì)丟失、DBA權(quán)限泄漏、直接復(fù)制文件等情況造成的數(shù)據(jù)泄密。1、登錄安全管理員=通用配置=添加數(shù)據(jù)庫加固點2、以系統(tǒng)管理員登錄系統(tǒng)，添加需要進行加密的數(shù)據(jù)源；添加完成之后在需要加密的數(shù)據(jù)庫上安裝加密程序3、導(dǎo)入需要加密的表。數(shù)據(jù)庫透明加密模塊續(xù)一4、以安全管理員登錄，進入數(shù)據(jù)庫加密模塊配置寫入保護。5、選擇需要加密的數(shù)據(jù)表的行或列進行寫入保護操作。6、加密完成后查看數(shù)據(jù)庫加密表信息。明文對第四列，二、三行進行加密密文數(shù)據(jù)庫透明加密模塊續(xù)二7、對加密后的表對system用戶授予select權(quán)限，授權(quán)后執(zhí)行select * from asptt.table1，將會得到明文信息;8、使用asptt用戶登錄，執(zhí)行sel