烟草财务数据库审计系统

神眼数据库安全审计系统神州数码信息系统有限公司目录1.背景.............................................................12．概述.............................................................13．产品特色.........................................................24．系统结构.........................................................25．系统部署.........................................................26．功能特点.........................................................37．产品实施.........................................................98.产品部分硬件参数.................................................99.烟草财务数据库审计系统案例分析..................................109.1业务需求....................................................109.1.1数据库安全威胁与风险..................................109.1.2数据库安全需求........................................119.2财务数据库审计系统功能说明..................................119.2.1安装环境..............................................119.2.2测试过程..............................................129.2.3功能测试..............................................129.2.4解决方案..............................................14烟草财务数据库安全审计系统解决方案第1页1.背景企业数据库安全是信息安全的重中之重，通过安全数据库审计系统能很好地解决数据库安全审计问题，它通过对网络数据的实时采集分析、监控来自网络内部和外部的用户对数据库的访问活动，及时识别和发现其中是否存在安全威胁和违规行为。系统的审计分析结果能帮助管理员对数据库安全策略进行分析，提升数据库安全性，并为管理员调整数据库安全策略、收集证据及事后追踪起诉提供有力的帮助。该产品通过旁路监听，实时采集网络中的数据库访问信息，进行审计分析，恢复和还原用户的数据库访问过程，自动记录访问过程，协助网管人员掌握数据库的访问情况，及时发现和制止非法访问行为。财务数据库面临的风险：1．严重的攻击来自系统内部(53%来自内部攻击)；2.企业最重要的数据集中在数据库；3.交换网络环境难于实施网络入侵检测；4.基于主机的IDS/IPS开始成熟，可以减轻网络传输攻击级别安全威胁，但不是全部能够解决威胁；5.用户操作难于事后审计；6.操作/管理/维护不善，造成的安全威胁和损失日趋严重；7.目前烟草行业大部分单位还没有内外网隔离，使得财务数据库面临更大的风险。2．概述传统的审计系统只审计来自互联网或内部网络的信息，不能够跟业务信息系统有效的整合。神州数码数据库审计系统对网络流出的信息，内部业务的数据库操作、数据库访问信息自动地进行截获和检查，提供安全检查的策略设置界面，按已设置的策略对信息进行分析和处理，提供多种截获信息的查看和报表形式，与防火墙系统、认证系统、业务系统（C/S或B/S架构，如：用友NC等）配合使用，证据为凭，用于封堵违法违规的行为和IT审计提供平台。神州数码安全数据库审计系统对数据库的访问信息进行实时采集，自动进行处理和记录，非常适用于对数据安全性要求较高的单位和部门，如烟草、金融、电信、保险、税务、海关、电力、铁路、民航和政府机关等。系统能有效防范数据库中机密数据的泄露或非法篡改，减少由此带来的损失，并为侦破网络犯罪提供用力证据。烟草财务数据库安全审计系统解决方案第2页3．产品特色1．硬件一体化设计：安装简单、系统运行速度快、稳定可靠。2．可扩展性强：系统结构设计易于扩充，支持分布式处理。3．强而灵活的安全保护：网络用户无法感知审计系统存在，不影响网络运行，透明性和隐蔽性好。内置防火墙和基于角色的授权管理。4.系统维护方便：系统升级时,客户端不用做任何改变,无需客户端软件的安装与维护。5.基于WEB用户操作管理：系统采用流行的B/S架构，简单、实用的图形化用户界面用户通过浏览器方式进行操作管理、界面友好、操作简便，实现远程管理，支持多用户操作等。5.串口管理：提供功能强大的CLI命令串口管理功能。6.实时的日志记录：详细提供事件的分析依据。7．与业务系统、财务系统、认证系统的日志有效集成，可更完整的记录、分析审计信息。4．系统结构5．系统部署每台审计探针都部署在交换机镜像口，分布式部署要求探针与审计服务器之间通讯正常，用于汇总数据。探针是硬件产品，核心审计管理平台可以提供硬件产品，也支持软件单独安装。系统要求Linux操作系统。烟草财务数据库安全审计系统解决方案第3页6．功能特点6.1.灵活的敏感特征定义系统用敏感词的“与”“或”关系来表达敏感特征，大大降低了单一敏感词捕获的误报问题。为了便于敏感特征的管理，用户可以对不同性质的敏感特征进行分类。6.2无差错的协议还原系统的主要工作原理是对网络中传递的协议数据进行连接重组以及协议还原。系统当前支持的协议包括HTTP,FTP,SMTP,POP3,TELNET，NETBIOS等。6.3传输内容的分析识别采集到的网络信息的文件格式、判断压缩类型，并进行全文检索处理，产生敏感记录数据结果库。1）FTP监控能记录、查询访问服务上FTP用户名、口令字；能记录和回放用户在服务器上的操作过程；对指定端口，指定IP或IP地址段进行监控；根据设定的关键词或关键字组合对传输的内容查询、分析、统计，检查可以是自动的;；对符合条件的相关内容形成证据文件，提供强有力的监控证据文件。设定的条件包括指定时间、指定IP地址或IP段、协议、用户名、文件名根据用户指定条件，生成报表2）HTTP监控能完全截获，记录，回放，归档被监测网络网段中所有用户浏览WEB页的内容，包括：各种文件，如HTML文件、图像文件、文本文件等。强大的网页内容过滤功能烟草财务数据库安全审计系统解决方案第4页可对用户访问的某个特定网站进行监控可对指定端口，指定IP地址或IP段进行监控可根据设定的关键词或关键字组合对网页内容查询、分析、统计，检查可以是自动的；强大的网页数据管理功能根据用户选择的条件，如按时间，IP地址，URL等，对网页数据查询，排序，删除等操作根据用户指定条件，如某时间段，对数据导出，导入，方便系统管理员或安全审计员对上网者进行细致监控。根据用户指定条件，生成报表3）电子邮件监控能完全截获，记录，回放，归档被监测网络中所有用户收发的电子邮件，其内容包括：收件人和发件人各自的邮件地址收件人和发件人各自的IP地址电子邮件的主题电子邮件的内容电子邮件附件的完全还原，并可将附件导出能对压缩的附件进行最多十四层的解压强大的电子邮件过滤功能对指定收件人，发件人进行监控对指定端口，IP地址或IP段进行监控根据设定关键词，截取涉密或敏感邮件，进行邮件内容过滤强大的邮件数据管理功能根据用户选择的组合条件，如按时间，IP地址，邮箱地址等，对邮件数据查询，排序，删除等操作根据用户指定条件，如某时间段，对邮件数据导出，导入，方便系统管理员或安全审审计员对泄密的邮件进行细致监控。烟草财务数据库安全审计系统解决方案第5页根据用户指定条件，生成报表4）远程登陆监控能记录、查询访问服务上TELNET用户名、口令字；能记录和回放用户在服务器上的操作过程；对指定端口，指定IP或IP地址段进行监控根据设定的关键词或关键字组合对传输的内容查询、分析、统计，检查可以是自动的对符合条件的相关内容形成证据文件，提供强有力的监控证据文件。设定的条件包括指定时间、指定IP地址或IP段、协议、用户名根据用户指定条件，生成报表5）DB2数据库能记录、查询访问服务器上的数据库名，用户名；能记录和回放用户在服务器上的操作过程；对指定端口，指定IP或IP地址段进行监控对符合条件的相关内容形成证据文件，提供强有力的监控证据文件。设定的条件包括指定时间、指定IP地址或IP段、用户名、Sql语句根据用户指定条件，生成报表6）Oracle数据库能记录、查询访问服务器上的数据库名，用户名；能记录和回放用户在服务器上的操作过程；对指定端口，指定IP或IP地址段进行监控对符合条件的相关内容形成证据文件，提供强有力的监控证据文件。设定的条件包括指定时间、指定IP地址或IP段、用户名、Sql语句根据用户指定条件，生成报表7）Mysql数据库烟草财务数据库安全审计系统解决方案第6页能记录、查询访问服务器上的数据库名，用户名；能记录和回放用户在服务器上的操作过程；对指定端口，指定IP或IP地址段进行监控对符合条件的相关内容形成证据文件，提供强有力的监控证据文件。设定的条件包括指定时间、指定IP地址或IP段、用户名、Sql语句根据用户指定条件，生成报表8）SqlServer数据库能记录、查询访问服务器上的数据库名，用户名；能记录和回放用户在服务器上的操作过程；对指定端口，指定IP或IP地址段进行监控对符合条件的相关内容形成证据文件，提供强有力的监控证据文件。设定的条件包括指定时间、指定IP地址或IP段、用户名、Sql语句根据用户指定条件，生成报表6.4强大的包重组和流重组能力具有强大的IP碎片重组（IPFragmentsReassembly）能力，和TCP流重组（TCPFragmentsReassembly）能力，可以监控各种基于协议碎片的逃避检测行为。6.5网络信息采集根据IP地址、关键字和邮件地址等采集规则，从网络上获取电子邮件，网页和FTP文件等网络信息。6.6网络信息分析处理识别采集到的网络信息的文件格式、判断压缩类型，并进行全文检索处理，产生敏感记录数据结果库。6.7关键词库管理以主题方式来组织管理关键词，用户根据实际需要来配置相应的主题词和关键字。如设置政治、经济、军事等主题词，然后在相应的主题词内配置相应的涉密关键字，同时也可对关键字进行增加、删除、修改等操作。6.8审计内容范围设置审计系统能够提供对特定用户或者对特定应用进行审计。例如对于某些内部网络上运行的某些应用系统，可以在审计系统中配置这些应用中所采用的端口号或者IP地址，以实现对此应用的审计，也可以对某个IP地址不进行审计、某些IP网段需要进行内容审计等。烟草财务数据库安全审计系统解决方案第7页6.9对特定的信息进行阻断用户通过设置关键字采用旁路阻断的方式，对应用中的违规操作情况进行连接阻断，使违规操作不能继续下去。旁路式的阻断不同于传统防火墙的过滤措施，对现有网络数据传输不产生影响，不影响正常的应用。6.10预警功能预警的添加界面。界面中包括两部分内容：预警规则信息和DB2信息。其中预警规则信息包括预警类型，预警级别，起始日期，结束日期，负责人ID，电话号码，预警发出方式，email，起始时间，结束时间，预警描述。DB2信息包括服务器IP，服务端网关，客户端IP，客户端网关，操作表名，操作类型，这些DB2信息被拼凑成字符串，放到预警规则字符串。如