明御数据库审计与风险控制系统产品简介

明御®数据库审计与风险控制系统（DAS-DBAuditor）
产品简介
杭州安恒信息技术有限公司
二〇二二年四月
目录
1.产品概述 (3)
2.典型部署 (4)
3.主要功能 (4)
4.产品特点 (7)
5.产品规格 (8)
6.典型应用案例 (10)
7.典型客户清单 (13)
明御®数据库审计与风险控制系统
业界首创细粒度审计、高性能精准化行为回溯
三层关联真正全业务审计、双向审计、全方位风险控制的系统
1. 产品概述
明御®数据库审计与风险控制系统（简称：DAS-DBAuditor）是安恒信息结合多年数据库安全的理论和实践经验积累的基础上，结合各类法令法规（如SOX、PCI、企业内控管理、等级保护等）对数据库审计的要求，自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库全业务审计产品。

DAS-DBAuditor以独立硬件审计的工作模式，灵活的审计策略配置，解决企业核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁，满足各类法令法规（详细内容见附录）对数据库审计的要求，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”等所有使用数据库的各个行业。

DAS-DBAuditor支持Oracle、MS-SQL Server、DB2、Sybase、MySQL、Informix、OSCAR等业界主流数据库以及众多远程操作协议，如RDP(远程桌面)、SSH、VNC、Xwindow、TELNET、FTP、SFTP等，可以帮助用户提升数据库和主机运行监控的透明度，降低人工审计成本，真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

2. 典型部署
DAS-DBAuditor可以在不改变现有网络体系结构、不占用数据库服务器任何资源、不影响数据库性能的情况下，快速部署到业务系统网络中。

简单部署模式
组合部署模式
3. 主要功能
多层业务关联审计：
通过应用层访问和数据库操作请求进行多层业务关联审计，实现访问者信息的完全追溯，包括：操作发生的URL、客户端的IP、请求报文等信息，通过多层业务关联审计更精确地定位事件发生前后所有层面的访问及操作请求，使管理人员对用户的行为一目了然，真正做到数据库操作行为可监控,违规操作可追溯。

✧细粒度数据库审计：
通过对不同数据库的SQL语义分析，提取出SQL中相关的要素（用户、SQL操作、表、字段、视图、索引、过程、函数、包…）
实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等
通过远程命令行执行的SQL命令也能够被审计与分析，并对违规的操作进行阻断
系统不仅对数据库操作请求进行实时审计，而且还可对数据库返回结果进行完整的还原和审计，同时可以根据返回结果设置审计规则精准化行为回溯：
一旦发生安全事件，提供基于数据库对象的完全自定义审计查询及审计数据展现，彻底摆脱数据库的黑盒状态
✧全方位风险控制：
灵活的策略定制：根据登录用户、源IP地址、数据库对象（分为数据库用户、表、字段）、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件
多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警等方式通知数据库管理员
✧多协议层的远程访问监控：
支持对客户端工具、应用层以及对服务器的远程访问（如：RDP、SSH、FTP、TELNET、VNC、Xwindow）实时监控及回放功能，有助于安全事件的定位查询、成因分析及责任认定
✧职权分离：
《计算机信息系统安全等级保护数据库管理技术要求》、《企业内部控制规范》、SOX法案或PCI中明确提出对工作人员进行职责分离，系统设置了权限角色分离。

✧友好真实的操作过程回放：
对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内容
对于远程操作实现对精细内容的检索，如执行删除表、文件命令、数据搜索等
✧业界首创的审计模式：
除了提供实时的动态审计功能，还提供了可选的扫描审计模块对数据库的不安全配置、弱口令等进行检测和审计
4. 产品特点
完整性：独一无二的多层业务关联审计，可针对WEB层、应用中间
层、数据层各层次进行关联审计
细粒度：细粒度的审计规则、精准化的行为检索及回溯、全方位的
风险控制
有效性：独有专利技术实现对数据库安全的各类攻击风险和管理风
险的有效控制；灵活的、可自定义的审计规则满足了各类内控和外
审的需求（有效控制误操作、越权操作、恶意操作等违规行为）
公正性：基于独立审计的工作模式，实现了数据库管理与审计的分
离，保证了审计结果的真实性、完整性、公正性
零风险：无需对现有数据库进行任何更改或增加配置，即可实现零
风险部署
高可靠：提供多层次的物理保护、掉电保护、自我监测及冗余部
署，提升设备整体可靠性
易操作：充分考虑国内用户的使用和维护习惯，提供Web-based全
中文操作界面及在线操作提示
5. 产品规格
数据库审计与风险控制系统（DBAuditor）
类别管理单元分布式部署管理中心产品型号DAS-A500 DAS-A1000 DAS-A3000 DAS-AC1000 DAS-AC3000 规格1U 2U 2U 2U 2U 吞吐能力1000M 2000M 4000M
峰值事务处理能
力（条/秒）
9000 18000 36000
被审计数据库实
例数
1 4 8
日志数量 (最详
细日志)
4亿条7亿条10亿条20亿条>20亿条
RAID 无RAID 1（可
选）
RAID 1 RAID5
RAID1~RAID5
可选
HBA 无无无无有网口数量 4 6 10 2 2 网路类型电口电口电口/光口电口电口
审计防护端口二个审计防
护端口
四个审计防
护端口
八个审计防
护端口
电源单电源1+1冗余电源1+1冗余电
源
1+1冗余电源1+1冗余电源
输入电压AC 100~240V 50~60Hz
功率350W 350W 450W 450W 450W 产品认证3C、RoHS、CE、FCC、UL
堡垒主机(DAS-SA1000)
序号名称描述
1 硬件平台标准2U机箱
2 日志保存量不少于3个月保存期，RAID1可转储
3 工作口RJ45,4*10/100/1000自适应电口（两对Bypass），2*SFP口, SFP多模模块（LC-LC跳线）
4 管理口模块RJ45,10/100/1000自适应电口
5 电源1+1冗余电源
6. 典型应用案例
某省级电信运营商
由于电信运营商数据库系统用户众多，涉及数据库管理员、内部员工及合作方人员等，因此网络管理更加复杂，单位数据库面临的主要安全威胁与风险总结如下：
数据库账户和权限的滥用
数据库自身日志审计的缺陷
数据库与业务系统无法关联分析
数据库自身存在问题
数据库系统的运维存在安全隐患
安恒信息解决方案：
我们根据电信用户的需求进行分析，从全审计的角度出发考虑整体的数据库全业务安全审计，主要包括以下几个方面：
采用静态审计实现数据库软件自身安全隐患的审计，依托安恒信息
其权威性的数据库安全规则库，自动完成对几百种不当的数据库不
安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据
库潜藏木马等数据库软件存在的问题，为后续的动态防护与审计的
安全策略设置提供了有力的依据。

采用数据库实时审计解决数据库操作中的细粒度审计，包括采用细
粒度的审计策略对操作、访问及命令返回进行全监控，实现针对所
有帐户对数据库操作、访问及命令的全面监测审计，加强对数据库
临时帐户与高权限帐户的审计监测审计，加强针对重要敏感数据的
访问审计监测，达到字段级的审计细粒度，提供详细的数据库审计
记录及分类报表统计，根据多年数据库安全经验提供报表支持，实
现数据库异常操作监测报警，并提供多种告警方式通知相关人员处
置，采用独立审计的工作模式，不对现有系统造成任何影响，弥补
了因数据库系统内置日志审计而带来的缺陷。

通过堡垒主机实现对所有远程操作的行为监测，堡垒主机基于网
络、透明方式工作，不影响网络结构和业务系统，覆盖运营商采用
的远程协议，如RDP 、SSH 、VNC 、Xwindow 、Telnet 、FTP 等协议，
可以对操作进行回放和检索查询，帮助构建全面的审计平台。

应用系统与数据库操作进行关联，有效解决操作行为的追溯,根据
时间片、关键字等要素进行信息筛选，以确定符合数据库操作请求
的WEB 访问，通过多层业务审计更精确地定位事件发生前后所有层
面的访问及操作请求。

用户部署示意图
DMZ XX 省中心数据库审计拓扑图省核心
OSS
DA
CA
Web Services
数据库审计设备
DA DA
SA
堡垒主机
CA 审计中心平台
SA SA
DA DA OCS BSS DA DA DA DA 销帐系统DA DA EIP 系统DA DA 财务DA DA
营销支撑
逻辑示意图
7. 典型客户清单
金融
✓长城证券
✓海通证券
✓英大证券
✓浙商证券
✓众成证券
✓国信证券
✓湘财证券
✓安信证券
✓金元证券
✓长城基金
✓安诚财险
运营商
✓上海移动
✓江西联通
✓浙江电信
✓云南电信
✓甘肃联通
✓山西电信
✓内蒙古电信
电力能源
✓江西省电力公司
✓福建省电力有限公司
✓浙江省电力试验研究院
✓国网金融资产管理公司公安
✓北京市公安局
✓广州交警
✓绍兴市公安局
✓衢州交警
✓绍兴交警
✓温州交警
医疗卫生
✓北京市肿瘤医院
✓北京大学深圳医院
✓浙江省卫生厅
✓河南省人民医院
✓金华市中心医院
✓淄博市第一人民医院
✓中山市陈星海医院
✓武汉市中心医院
✓滨州医学院附属医院
✓山东中医药大学附属医院
政府
✓中国国家认证认可监督管理委员会✓浙江省科技信息研究院
✓江苏省信息安全攻防实验室
✓深圳市气象局
✓江西省财政厅
✓包头市市委
✓内蒙古交通运输管理局
✓内蒙古煤炭管理局
✓河南省新乡市财税局
✓湖南省邮政局
✓湖南省物价局
✓湖南省工商行政管理局
社保/公积金
✓江西省劳动就业局
✓衢州社保
✓新余社保
✓上饶社保
✓武汉社保
✓长沙市住房公积金管理中心
✓怀化市住房公积管理中心
教育
✓浙江警官职业学院
✓河南省招生办公室
✓重庆市教育考试院
✓浙江工商职业技术学院
✓浙江省教育考试院
✓福田区教育局
其它
✓中国长江三峡集团
✓步步高商业连锁股份有限公司
✓攀钢集团
✓中铁集团
✓浙江航天电子信息产业有限公司
……
遵循的法律法规：
《计算机信息系统安全等级保护数据库管理技术要求》《萨班斯-奥克斯利法案（2002 Sarbanes-Oxley Act）》《企业内部控制规范》
《支付卡行业数据安全标准》（2008）。