数据库审计与风险控制系统

admin管理员组

文章数量:1534856

2024年6月22日发(作者：)

明御®数据库审计与风险控制系统

业界首创细粒度审计、双向审计、全方位风险控制系统

1. 产品概述

明御®数据库审计与风险控制系统（简称：DAS-DBAuditor）作为国内数据

库审计产品领域第一品牌，是安恒信息结合多年数据库安全的理论和实践经验

积累的基础上，结合各类法令法规（如SOX、PCI、企业内控管理、等级保护

等）对数据库审计的要求，自主研发完成的业界首创细粒度审计、精准化行为

回溯、全方位风险控制的数据库全业务审计产品。

明御®数据库审计与风险控制系统可以帮助您解决以下问题:

识别越权使用、权限滥用，管理数据库帐号权限

跟踪敏感数据访问行为，及时发现敏感数据泄漏

检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议

为数据库管理与优化提供决策依据

满足法律、法规要求，提供符合性报告

低成本且有效推行IT管理制度

DAS-DBAuditor以独立硬件审计的工作模式，灵活的审计策略配置，解决

企事业单位核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威

胁，满足各类法令法规对数据库审计的要求，广泛适用于“政府、金融、运营

商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”

等所有使用数据库的各个行业。DAS-DBAuditor支持Oracle、MS-SQL Server、

DB2、Sybase、MySQL、Informix、CACHÉ、teradata、神通（原OSCAR）、达

梦、人大金仓（kingbase）等业界主流数据库以及TELNET、FTP、HTTP、

POP3、SMTP等，可以帮助用户提升数据库运行监控的透明度，降低人工审计成

本，真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、

所有行为可审计、安全事件可追溯。

2. 技术优势

技术优势 功能价值

多核、多线程处理：采用多核处理技术，结合自主研

发的多线程应用系统，单台最大可以达到50000条/秒的处

超高的性能

理能力，支持多台数据库服务器，降低用户成本；

分布式部署：支持分布式部署，并行处理，成倍提升业

务处理能力，满足大型业务环境需求，兼顾未来扩容计

划；

通过对大量项目实施经验总结，已经形成了丰富的行业

规则包和合规报表，包括合规性要求、帐号管理、权限管

丰富规则和理、认证管理、敏感数据安全等多个维度的规则，系统默

报表 认配置60多种报表，解决普通审计产品规则设置困难、审

计分析无从下手、报表过于简单且无实际分析价值等问

题。

精准的协议

解析

领先的存储

能力

采用专利技术提升协议的准确率。支持oracle、DB2、

sqlserver等10多种主流协议，满足复杂环境应用；

采用专用存储技术大大提升存储能力，最大可以存储

7-10亿条审计日志，可以满足客户3-6个月的日志存储要

求；

日志存储在自主研发的专用数据库中，并为日志记录标

识唯一序号，采用先进的检索引擎，达到百万级每秒的查

询能力，并大大提高查询准确度；

采用RAID、冗余电源等硬件架构，以及三权分立、数

自身安全性 据自动备份、详尽的操作日志等技术确保审计记录不丢

失，不被违规删除，满足法律法规要求；

高效的查询

能力

3. 功能价值

丰富的协议支持

主流数据库 Oracle、SQL server、DB2、Mysql、Informix、

CACHÉ、Sybase、PostgreSQL

国产数据库

数据仓库

神通（原OSCAR）、达梦、人大金仓（kingbase）

Teradata

其他协议

细粒度的操作审计

细粒度审计

FTP、HTTP、Telnet、SMTP、POP3、DCOM等

通过对不同数据库的SQL语义分析，提取出SQL中相关

的要素（用户、SQL操作、表、字段、视图、索引、过程、

函数、包…）

双向审计 不仅对数据库操作请求进行实时审计，而且还可对数据

库执行状态、返回结果、返回内容进行完整的还原和审

计，同时可以根据返回结果设置审计规则

多行为审计 实时监控来自各个层面的所有数据库活动，包括来自应

用系统发起的数据库操作请求、来自数据库客户端工具的

操作请求以及通过远程登录服务器后的操作请求等

多层业务关联审计

B/S三层架构 支持HTTP请求审计，提取URL、POST/GET值、

cookie、操作系统类型、浏览器类型、原始客户端IP、MAC

地址、提交参数等；

通过智能自动多层关联，关联出每条SQL语句所对应

URL，以及其原始客户端IP地址等信息，实现追踪溯源；

C/S三层架构 在企业、医院等行业客户中，也部分采用C/S/S三层架

构，同样面临追踪溯源的难题，DAS-DBAuditor支持基于

DCOM的三层架构自动关联。

运维审计关

联

通过运维审计产品进行统一认证、授权后，也将面临追

踪溯源的难题，DAS-DBAuditor支持与运维审计产品关联，

实现原始操作者信息的追踪

全方位风险控制

灵活的策略

定制

根据登录用户、源IP地址、数据库对象（分为数据库

用户、表、字段）、操作时间、SQL操作命令、返回的记录

数或受影响的行数、关联表数量、SQL执行结果、SQL执行

时长、报文内容的灵活组合来定义客户所关心的重要事件

和风险事件

自动建模 DAS-DBAuditor支持自动建模，可以非常方便了解整个

数据库的允许状态，帮助管理员形成有效的审计规则，快

速识别越权操作、帐号复用、违规操作等行为。

多形式的实

时告警

当检测到可疑操作或违反审计规则的操作时，系统可以

通过监控中心告警、短信告警、邮件告警、Syslog告警、

SNMP告警、FTP告警等方式通知数据库管理员

报表

DAS-DBAuditor报表系统包括预定义报表和自定义报表两大模块，可以快速

生成对安全事件的报表，并以PDF等格式导出。

审计管理员

报表

系统管理员

报表

合规性报告

支持从审计设备运行状况、安全事件、帐号的增删、密

码是否修改等角度形成报表

支持从权限的变更、数据库权限分配状况、DDL/DML等

特权操作、SQL语句的类型和使用比率等角度形成报表

能够形成符合SOX（塞班斯）法案、等级保护、分级保

护等法规符合性的综合报告

静态审计

除了提供实时的动态审计功能，还提供了可选的扫描审计模块对数据库的不

安全配置、弱口令等进行检测和审计，并提供安全加固建议。

友好真实的操作过程回放：

对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏

幕显示内容，并可以通过精细内容的检索，对特定行为进行精确回放，如执行

删除表、文件命令、数据搜索等。

4. 典型部署

DAS-DBAuditor可以在不改变现有网络体系结构、不占用数据库服务器任

何资源、不影响数据库性能的情况下，快速部署到业务系统网络中。

数据库审计

镜像 或

TAP

数据库

客户端

应用中间件

数据库管理员

简单部署模式

分布式部署模式

5. 产品规格

类别

DAS

产品型号

-

A50

0

规格

吞吐能力

峰值事务

处理能力

（条/

秒）

被审计数

据库实例

数

日志数量 4

(最详细

日志)

RAID

HBA

亿

条

无

无

7亿

条

RAID

1

1 4 8 10

900

0

1800

0

36000 50000

1U

100

DAS-

A100

0

2U

2000

采集器 分布式部署管理中心

DAS-

A3000

DAS-

A5000

DAS-

AC1000

DAS-

AC3000

2U 2U 2U

2U

0M M

4000M 6000M

10亿条 10亿条 20亿条 >20亿条

RAID 1 RAID 1 RAID5

可选

10

电口/

光口

有

2

RAID1~RA

ID5可选

有

2

可选 可选

6

电口

/光

口

单电

源

/(冗

10

电口/

光口

网口数量 4

电

口

单

电源 电

源

网路类型 电口 电口

1+1冗1+1冗1+1冗余1+1冗余

电源 余电源 余电源 电源

余电

源可

选）

功率

400

W

400W 460W 460W

450W 450W

注：详细配置仅供参考，实际交付以合同约定为准。

6. 典型应用案例

1.1 安恒信息助力“国信证券”通过“等级保护”三级测评

背景介绍和需求

国信证券在信息科技建设方面一直走在行业前列，2010年国信证券计划对集中

交易系统的网上交易系统、营业部交易系统、CRM系统等几个核心系统数据库

进行全面的升级改造，通过部署数据库安全审计系统来加强数据库的安全访问

管理，全方位提升集中交易系统及CRM系统安全应用级别，以实现对数据库非

法行为的事前预防、实时告警、事后追查等功能，并满足等级保护的测评要

求。

解决方案

集中交易系统是国信证券最核心的资产，而且数据流量比较大，安全可靠性要

求高，因此建议在集中交易系统的5个核心交易系统中分别部署一台明御数据

库审计与风险控制系统采集器。在总控系统中部署1台明御数据库审计与风险

控制系统采集器，并部署1台数据库审计管理中心。另外需要在CRM和网上交

易等系统中部署1-2台明御数据库审计与风险控制系统采集器。所有采集器通

过网络把数据上传到管理中心，客户通过管理中心统一进行查询管理等。

客户价值

全面满足国家等级保护三级测评要求，成功通过测评认证；

能够从合法、合规的方面满足证监会对信息化的监管要求；

从帐号管理、权限管理等多维度进行监控，助力IT管理制度实施；

建立数据库权限模型，为数据库安全建设提供优化经验；

1.2 中日友好医院部署明御数据库审计解决“违规统方”难题

中日友好医院是中日两国政府合作建设的大型综合性现代化医院。先后荣获

北京市“十佳”医院、全国“百佳”医院、 “全国百姓放心示范医院”等称

号。但是随着医院信息化的迅猛发展，信息的高度集中使得核心数据泄密的隐

患也越来越突出，在利益的驱使下非正常的统方行为、患者信息泄密风险非常

大，而且据资料显示同行其他单位有出现了违规统方的事件。为了防范与未

然，医院采取“教育为先、制度为主”的综合管理手段，虽然取得了一些不错

的效果，但是由于技术手段的缺失，一直无法为管理制度提供有效的执行监控

措施，完全依赖于人员的自觉性，还是存在很大的风险。

经过充分的调研，采用了杭州安恒的明御数据库审计系统，对敏感数据进行实

时监控，对违规操作进行追根溯源和智能控制，这样就形成了“教育为先、制

度为主、技术为辅”的综合管理手段，全面提升信息系统安全管理水平，有效

遏制违法、违纪统方活动的发生。

客户价值

定期评估数据库漏洞，防止数据库密码破解

数据库操作全审计，不放弃任何可疑统方行为

双向审计，准确判断违规统方行为

丰富的审计报表，满足纠风办审计需求

短信、邮件告警，第一时间了解违规统方行为

1.3 某省级电信运营商

由于电信运营商数据库系统用户众多，涉及数据库管理员、内部员工及合

作方人员等，因此网络管理更加复杂，单位数据库面临的主要安全威胁与风险

总结如下：

数据库账户和权限的滥用

数据库自身日志审计的缺陷

数据库与业务系统无法关联分析

数据库自身存在问题

数据库系统的运维存在安全隐患

安恒信息解决方案：

我们根据电信用户的需求进行分析，从全审计的角度出发考虑整体的数据

库全业务安全审计，主要包括以下几个方面：

采用静态审计实现数据库软件自身安全隐患的审计，依托安恒信息其权威性

的数据库安全规则库，自动完成对几百种不当的数据库不安全配置、潜在弱

点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等数据库软件存在

的问题，为后续的动态防护与审计的安全策略设置提供了有力的依据。

采用数据库实时审计解决数据库操作中的细粒度审计，包括采用细粒度的审

计策略对操作、访问及命令返回进行全监控，实现针对所有帐户对数据库操

作、访问及命令的全面监测审计，加强对数据库临时帐户与高权限帐户的审计

监测审计，加强针对重要敏感数据的访问审计监测，达到字段级的审计细粒

度，提供详细的数据库审计记录及分类报表统计，根据多年数据库安全经验提

供报表支持，实现数据库异常操作监测报警，并提供多种告警方式通知相关人

员处置，采用独立审计的工作模式，不对现有系统造成任何影响，弥补了因数

据库系统内置日志审计而带来的缺陷。

通过堡垒主机实现对所有远程操作的行为监测，堡垒主机基于网络、透明方

式工作，不影响网络结构和业务系统，覆盖运营商采用的远程协议，如RDP、

SSH、VNC、Xwindow、Telnet、FTP等协议，可以对操作进行回放和检索查询，

帮助构建全面的审计平台。

应用系统与数据库操作进行关联，有效解决操作行为的追溯,根据时间片、

关键字等要素进行信息筛选，以确定符合数据库操作请求的WEB访问，通过多

层业务审计更精确地定位事件发生前后所有层面的访问及操作请求。

用户部署示意图

省核心

SASA

BSS

销帐系统EIP系统OCS财务营销支撑

Web Services

DMZ

OSS

DA

DA

DA

DA

DA

DA

DA

DA

DA

DA

DA

DA

DADA

数据库审计设备

DA

堡垒主机

SA

审计中心平台

CA

CA

XX省中心数据库审计拓扑图

逻辑示意图

遵循的法律法规：

《计算机信息系统安全等级保护数据库管理技术要求》

《萨班斯-奥克斯利法案（2002 Sarbanes-Oxley Act）》

《企业内部控制规范》

《支付卡行业数据安全标准》（2008）

本文标签： 审计数据库操作系统进行