汉领数据库风险分析与安全监控审计系统(简称:DbXpert)作为国内外“流技术”数据库审计产品第一品牌,结合各类法案法规(如等级保护、企业内控管理、SOX法案、PCI等)对数据库审计的要求,运用当今最先进的流技术加以全协议解码,完成海量数据的完整审计与精准分析。
DbXpert以独立硬件审计、旁路监听的工作模式,完整的协议解析,灵活的审计策略配置,智能的建模白名单自学习机制,完整的数据库审计与操作回溯,实时的性能监控和快速精确的全文检索,解决各行业核心数据库所面临的“完整数据审计、越权使用、权限滥用、异常接入”等安全威胁,满足合规性要求。广泛适用于“金融、运营商、能源、医疗、教育、政府、税务、工商、社保、交通、企业及上市公司”等所有使用数据库的各个行业。
数据库审计系统通过旁路侦听的方式对访问数据库的数据流进行采集、分析和识别。实时监视数据库的运行状态,记录多种访问数据库行为,发现对数据库的异常访问,并对访问数据库的相关行为、发送和接收的相关内容进行存储、分析、排名和查询。系统在网络中实 现对数据库的访问行为、内容进行审计、报警、过滤和分析,支持主流的多种数据库的审计,如:oracle、informix、 DB2、SQL server、Sybase、Cache、达梦、人大金仓、南大通用等。
1、“细粒度”数据库审计
完整记录用户数据库会话细节,包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程、函数、SQL DML操作影响行数、SQL语句执行时间、原始数据库记录包等。
2、全协议解析
DbXpert在流技术基础上,实现了全协议解析。支持各主流商用数据库,包括:Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本,能够实现变量绑定、超长SQL命令和字段级的审计;
3、三层应用审计
DbXpert在流技术、深度全解码的基础上,通过SQL语句和变量绑定的完整审计,可以重溯整个业务流程,追踪信息的来龙去脉。
4、高精细度告警策略
提供完善的违规实时告警,包括异常告警、策略告警等;告警信息可根据数据库地址、数据库名称、访问源IP地址、高危SQL命令、客户端网络地址、客户端应用程序、数据库用户名称、客户端主机名称、客户端系统名称、SELECT返回值以及数据库表组(关键表名、组名)等信息进行组合配置;
多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过WEB告警、邮件告警等方式通知数据库管理员。
5、实用创新的IO存储
DbXpert首创的输入输出模型,不仅解决了海量数据的有效存取,同时也满足审计数据的合规性和有用性要求。提供策略告警的完整数据查询,白名单无危险记录的过滤,危险事件的无漏存储,使小概率安全事件无缝可逃;同时对于无法用逻辑语言判定的攻击意图,DbXpert能准确还原场景,辨识攻击企图的目的性。
![20120711095109[1].jpg](/uploads/201706/1497748710777357.jpg "1497748710777357.jpg")
6、灵活生成审计报表
数据库访问可根据数据库地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等排序、统计和报表,可生成年报、季报、月报、周报和日报,可对特定数据库、用户名称等进行报表统计;
能够形成符合等级保护、SOX法案等法规符合性的综合报表。统计报表以饼状图、柱状图、表格形式输出,统计结果支持HTML、PDF、EXCEL格式导出。
7、系统监控
完善的性能监控,实时呈现运行指标:
对DbXpert自身性能的监控(CPU使用率、内存使用率和接口速率);
对数据库性能的监控(网络流量、数据包数量、突发链接数、并发连接数、SQL语句数)。
8、全文检索功能
通过多级优化索引结构化存储技术,解决海量存储问题。通过细粒度的过滤条件,在海量数据中快速定位审计日志。
9、权职分离
《计算机信息系统安全等级保护数据库管理技术要求》、《企业内部控制规范》、SOX法案或PCI等法案法规中明确要求职责分离,DbXpert提供超级管理员、资产管理员和审计管理员三权分立;支持角色按模块灵活授权。
传统的数据库审计系统与DbXpert数据库审计系统的根本区别是什么?
传统的数据库审计系统大多是基于IDS产品改造而成,只能对单个网络数据包进行分析,数据是离散无关联的。DbXpert数据库审计系统使用流会话技术,通过状态相关使网络中杂乱无序传输的数据包梳理成有序传输的会话流,完整还原会话周期。
什么是超长SQL语句?
在以太网传输中,链路层所能承受的最大数据长度(MTU)为1500字节,除去IP/TCP头长度最大报文段长度有1460字节。若总长度大于1500字节,数据包将会被分片。所以我们把超过1460个字节的SQL语句称之为超长SQL语句。
逃避审计的通道是如何产生的?
一个超长SQL语句在网络传输中将被分包且无序传输,而传统的数据库审计系统基于单个网络数据包进行分析,加之协议解码的不完全,导致其端口镜像抓取的数据包只能单包分析而无法关联组合,进而产生逃避审计的通道,造成了审计数据的不完整。
DbXpert数据库审计系统能够过滤重放数据包吗?
DbXpert数据库审计系统能够过滤重放数据包,而传统的数据库审计系统基于单个网络数据包分析,高速重放攻击数据包,会造成数据库审计产品CPU负载过高,系统IO负载过高,分析查询数据过大,进而使数据库协议审计产品发生崩溃,无法使用,产生“拒绝服务”。
DbXpert数据库审计系统能够对非法行为进行阻断吗?
DbXpert数据库审计系统不能对非法行为进行阻断,对异常事件和非法事件进行实时的告警。
