一、产品介绍

极元数据库审计系统（简称DBA），是由江苏极元信息技术有限公司开发的具有完全自主知识产权的数据库安全审计产品。

DBA数据库审计系统重要可以实现记录各种数据库类型的访问行为，以及对风险访问行为及时做出告警，具体功能包括单/双向审计、三层审计、日志检索、风险告警、策略库、智能翻译、策略同步、自动发现、数据库监控扫描、运维审计、报表分析、AGENT集管、审计集群、双因子认证。

DBA数据库审计产品可提供10Gbps流量级别的超大数据库集群的完整解决方案，由分流器、解析器、存储器和管控中心四大模块组成，用户可以根据实际的数据库流量进行横向扩展，灵活且高效。

二、产品功能

DBA主要功能有单/双向审计、三层审计、日志检索、风险告警、策略配置、审计集群、探针集管、策略同步、报表等。

1)  单/双向审计

DBA审计系统能够对数据库的访问行为进行全方面的监控，实现对数据库往来信息的全面记录，既能记录操作者发起的对数据库的访问操作行为，又能解析并记录数据库返回的结果内容，从而实现了上行和下行两个方向的全面审计。

数据审计系统可审计的内容主要有：

*数据库实例名、数据库名；

*数据库用户、操作系统用户、主机名；

*数据库IP、数据库端口号、客户端IP、客户端端口号；

*数据库MAC地址、客户端MAC地址；

*客户端工具名称；

*SQL关键字、表、列、视图、触发器、存储过程、函数等多种数据对象；

*请求发生时间；

*SQL语句；

*SQL语句的执行时长以及响应状态；

*SELECT语句的结果集；

*UPDATE/DELETE语句影响的行数；

*SELECT语句返回的行数。

2)  三层审计

三层审计是指对用户、应用、数据库这三层进行有效关联审计。DBA审计系统的三层审计功能可以准确记录到用户在WEB端的操作行为，结合数据库层的SQL信息，进行精密而准确的分析，最终实现WEB端用户行为和数据库行为的有效关联，从而提供包含WEB端用户名、URL和SQL语句等信息的全面、完整的审计记录。

3)  日志检索

日志检索可以对日志进行综合查询、精确查询和实时查询，主要功能有：

*20余种检索匹配条件；

*支持正则表达式或自定义检索；

*可展示会话回放记录；

*日志检索条数、检索结果格式自定义；

*支持导出PDF、EXCEL、WORD文件格式；

*用户行为轨迹分析；

*业务流量监控。

4) 风险告警

对风险告警进行分级、分类等聚合统计，方便对告警信息的查看、管理和风险趋势的预判。告警日志可提供SYSLOG、EMAIL、FTP、SNMP、短信多种日志外发方式，用户可根据自身需求灵活选择。

5)策略库

数据库安全审计系统策略库能够为用户提供众多专业且实用的审计策略，有效提升审计日志对用户的价值。策略库根据不同的数据库类型具有不同的访问行为特征，结合多年数据安全经验以及大量实践，制定了符合数据库类型的专业策略系，为客户提供丰富的审计策略选择。

策略库中包含内置策略和自定义策略，内置策略可以直接选用，自定义策略用户可以根据业务的实际需要进行手工配置，并提供全局对象设置。

*自定义策略。系统提供多维度、多层级的审计规则，帮助用户制定精细化的审计策略。同时提供了默认的策略类型供用户选择，主要的类型有：a.白名单：被判定为无风险的访问行为的集合，命中该策略的访问行为不会记录审计日志；b.风险访问：被判定为存在一定风险的访问行为的集合。该类型的策略，可以按照“高、中、低”三个等级调整风险级别，命中该策略后，会生成告警日志，并通过多种途径像第三方平台推送告警日志；c.黑名单：判定为具有高风险，不应该在数据库内执行的行为集合。该类型的策略等级不可修改，命中该策略时，生成告警日志，并可以通过多种途径向第三方平台推送告警日志。

*内置策略。系统内置了风险访问策略、SQL攻击策略、超级白名单策略等多项实用的数据安全策略。a.风险访问策略:内置了多种数据库的具有危险性的操作行为特征，例如：拖库、撞库、删库、批量修改数据等。启用该策略时，能够有效的监控数据库的特权操作、内部数据盗取、删库等内部的越权操作行为，及时的将告警日志通过接口推送至第三方的监管平台。b.攻击检测规则:提供了几百种SQL注入和缓冲区溢出的攻击行为特征，启用该策略时能够有效的监控针对数据库的发生的攻击行为，及时的将告警日志通过接口推送至第三方的监管平台。c.超级白名单策略：系统收集了常用客户端连接工具访问数据库时自动产生的SQL操作，此类操作均由工具自动执行，即不属于业务操作行为，也不属于运维操作行为，非必要情况下无需进行审计。启用该策略时，各类数据库客户端工具在连接数据库时执行的SQL语句将不被系统记录日志，当用户频繁使用客户端工具连接数据库时，能够减少系统的存储压力。

6)智能翻译

数据库审计系统提供智能翻译功能，是指将审计日志中的SQL语句翻译为更加贴近业务，便于管理员（运维人员）理解的内容。

7)策略同步

策略同步功能将一个审计策略同步至其他所有相同类型的IP下，方便快捷，极大的减轻安全策略管理的工作量。

8)自动发现

系统能够自动发现用户网络中活跃的数据库节点，帮助用户快速上线。

9)数据库监控扫描

数据库监控扫描具备敏感数据自动发现、数据库运行状态监控、数据库漏洞扫描三大功能，能够对主流数据库系统进行自动化的检测，自动发现敏感数据所在的位置、实时展现数据库运行状态，智能扫描数据库存在的漏洞，并提供修复建议，避免漏洞攻击导致的数据泄露。a.敏感数据发现：系统能够对需要精细化审计的数据库进行敏感数据扫描，发现数据库中敏感数据存放的位置，同时将敏感的表和列推送给策略库，帮助用户快速制定敏感数据的审计策略。b.状态监控:系统能够对数据库的运行状态进行监控，提供包括数据库的基本信息、补丁信息、表空间使用状态、SGA共享分区等各类数据库字典监控和展示，帮助用户通过图形化的方式了解数据库的各种运行状态和健康状态。c.漏洞扫描:

系统就认证方式、系统配置、授权管理、漏洞以及弱口令等方面对数据库进行扫描，发现数据库在管理和运行时存在的风险点，给出合理化的修改建议，提升数据库整体的安全管控能力。

10)运维审计

系统能够对多种运维环境下的远程管理协议进行解析并审计所有操作行为，支持的协议类型有：TELNET、SSH、FTP、POP3、SMTP、IMAP、VNC。

11)报表分析 

系统提供多个维度的统计分析报表，包括：访问量、访问来源、操作类型分布等。能够帮助用户通过多个量化的指标分析数据库的访问压力，同时结合数据下钻，能够对某一类的行为进行精准溯源。统计报表提供数据预览功能，可以预览1小时内的数据分析情况，帮助用户提前了解每个报表能够分析的维度和深度；支持以邮件、FTP的方式，将已经完成的统计报表发送至接收人或者指定位置，同时支持短信提醒功能，能有帮助用户及时掌握数据库的访问态势和动向；报表包括访问来源分析、操作行为分析、操作对象分析、攻击行为分析等报表模板。

12)    Agent集管

系统为虚拟化的数据库部署场景提供了Agent集中管理功能，能够帮助用户完成批量的Agent部署，同时监控每个Agent的运行状态，帮助用户减轻数据库集群部署探针时的配置和管理压力：

*实现对审计探针的集中管理配置和批量自动部署功能；

*可将探针部署至数据节点和应用节点，以IP为基础按需接入审计流量，同时可支持压缩传输；

*监控探针运行状态并记录自身和宿主关键资源（CPU、内存、网络）使用情况，可实时查看当前访问会话总数并提供资源占用历史数据查询；

*具有探针保护机制，当探针自身占用资源达到设定阈值或异常时可发出告警并即时重启恢复，保障审计业务稳定运行；

*具有宿主保护机制，当宿主资源使用率达到设定阈值时可发出告警并即时停止探针抓包线程，保障宿主业务稳定运行。

13)    集群审计

数据库安全审计集群，由流量转发节点、审计节点、存储节点和管理中心共计四大部分组成，除管理中心外，其余节点均具备横向扩展能力，能够根据流量大小灵活配置，为省级、集团级大规模数据库集群用户提供稳定、可靠、高性能的数据库审计能力：

*管理中心能够整个数据库审计集群提供配置和管理服务，包括各个节点的添加、删除以及状态监控；审计配置的下发，日志查询，统计分析等；

*流量转发节点采用高性能的硬件设备，能够对10GE级别的数据库流量进行分割后，转发给审计节点；

*审计节点负责接收管理中心下发的配置，对流量转发节点分配的流量进行协议解析，匹配审计策略后，将生成的审计日志发送至存储节点；

*存储节点负责接收由审计节点发送的日志数据进行存储，然后建立索引，供管理中心检索和分析。

14)    双因子认证

系统增加了用户双因子认证功能，提升了系统安全性，满足等保三级要求。

三、产品优势

*基于硬件零拷贝网络数据包捕获技术→高性能的抓包能力；

*采用多级缓存技术的协议解析和分析能力→高性能的协议分析能力；

*基于BigTable和MapReduce的海量存储引擎→高性能的入库能力；

*基于倒排索引的日志查询机制→高性能模糊检索能力；

*Agent集中管理。

高单机性能

*峰值处理能力：21万SQL/s；

*峰值数据库流量：700Mbps；

*日志检索速度：1亿条记录，带通配符模糊检索速度<1分钟；

*日志存储能力：35亿条SQL/TB。

Agent集管

*可将探针部署至数据节点和应用节点，适用云环境的数据库进行审计。实现统一配置、自动部署、集中管理。用户通过Agent管理平台能够实时监控探针的运行状态、资源占用等情况。

审计集群

*可为企业、集团的大流量数据库集群提供审计服务，通过审计管理中心，对集群审计系统进行集中管理、统一配置、统一查询；

*审计集群相比于传统审计，在性能方面有显著提升，主要体现在流量解析，日志存储，日志查询等方面，并且可以通过横向扩展，提高解析能力和存储能力。

四、部署方式

数据库安全审计系统采用旁路的方式部署到用户的网络环境中，根据用户的数据库环境不同，提供交换机镜像审计、Agent审计、集群审计三类部署场景供用户选择。当用户的网络环境比较复杂时，可采用混合的方式部署审计产品。

镜像部署

数据库系统与应用系统分离部署的场景，可以对访问流量镜像的场景，可以采用旁路镜像的部署方式，这个方式也是目前采用比较多的部署方式。如下图所示：

图-1.镜像部署

Agent探针方式部署

针对云上以及虚拟化的环境、数据库比较分散的场景，可以通过Agent探针方式部署，如下图所示：

图-2 Agent探针部署

混合部署

比较复杂，有线上和线下的数据库服务的网络环境时，可以使用镜像+Agent探针的混合模式部署，如下图所示：
 

图-3 混合部署

集群部署

针对大流量的数据库集群，可以使用集群部署的方式，如下图所示：

图-4 审计集群部署

DBA数据库审计系统可以帮助企业信息系统满足法律要求以及等保合规要求，并可帮助企业对敏感信息的全面监视和预警。

满足合规性要求

*助力企业顺利通过等保合规审计，提供等保二级以及其他行业合规审计依据；
*支持审计数据增量备份，满足等保规范对审计数据保存期限要求。

满足企业要求

*帮助企业记录、分析、追查数据库安全事件；

*通过数据库审计风险告警，追踪危险事件和不安全操作；

*提供数据库实时风险告警能力，及时响应数据库攻击；

*外部识别非法攻击，内部监控风险操作，助力企业记录、分析、追查数据。