慧眼数据库审计系统v3.0.2_2011.7.29.pptVIP

国都兴业信息审计系统技术（北京）有限公司 IT审计，创造信息系统新价值 【公司简介】 慧眼信息审计系统，是国都兴业公司自主研发的专业的信息系统审计产品。国都兴业，作为国内最优秀的信息系统审计解决方案、产品和服务的提供商，不仅具有强大的自主研发实力，同时也是国内信息系统审计领域最具技术创新和产品研发实力的企业，是国内最早研发生产网络应用监控审计类产品的知名企业。 国都兴业推出的“网络慧眼”信息审计系列产品，能够针对IT基础设施、信息安全、网络应用、数据库应用以及业务操作等方面，提供全方位地实时监测和审计，被广泛地应用于企业内部控制、企业风险管理、信息系统安全保障等方面。 接下来，将对网络慧眼家族中的信息审计系统进行详细的介绍。 * * 我们来看一个实际的案例，这个案例是2006年运营商一个影响很大的案件，某运维人员通过VPN远程进入到运营商系统，从某省系统跳转到另一省的系统，篡改了充值卡数据，将作废的充值卡置为有效，并在taobao上进行销售，累计获利400多万，在最后一次修改系统时，由于自身疏忽，被购买者报告到客服，最终被发现。 通过该案件，我们可以看到合法的人做非法的事情隐蔽性很高，整个作案时间跨度4个多月，若不是这个人自己犯了错误又或许这个人提前收手了，那么这样的损失可能根本无法知道。而这样的事情给用户带来的损失是显而易见的，直接经济损失、间接的信誉损失、法律纠纷等； 发现合法的人做非法的事情对于用户来说是刻不容缓的事情。 * * * * * * * * 1、语法检查(syntax?check)? 检查此sql的拼写是否语法。? 2、语义检查(semantic?check)? 诸如检查sql语句中的访问对象是否存在及该用户是否具备相应的权限。? 3、对sql语句进行解析(prase)? 利用内部算法对sql进行解析，生成解析树(parse?tree)及执行计划(execution?plan)。? 4、执行sql，返回结果(execute?and?return)?  * 数据库处理过程一般分为硬解析和软解析，当一个sql语句提交后，数据库会首先检查一下共享缓冲池里有没有与之完全相同的语句，如果有的话只须执行软分析即可，否则就得进行硬分析。一个硬解析需要经分析、解析、安全检查 、制定执行路径、优化访问计划等等许多的步骤需消耗大量的cpu及资源。 说明，如要查询编号为001的儿童，下面两种写法都可以实现： ??? select * from t_child where childid=’001’;//不使用绑定变量 ??? select * from t_child where childid =: childid;//使用绑定变量 ???第一种情况实际应用中经常是查询编号为001的儿童一次以后,有可能再也不用;接着你有可能查询儿童’002’,然后查询’003’等等，这样每次查询都是新的查询，都需要硬解析;? * 中间件-数据库 策略生效 * * * * * * * * * 关联详细信息 前台用户与数据库操作关联 前台用户与中间件访问的关联 “深度解析”绑定变量交叉关联 数据库一般的处理过程： 例如： select * from t_child where childid=’001’;//不使用绑定变量 ???如果再查询“002”，“003”，”nnn”需要进行n次硬解析，大量浪费系统资源 例如： select * from t_child where childid =: c_did;//使用绑定变量 相同的查询语句只需要进行一次硬解析 数据库性能优化机制 用户登陆 操作1 操作2 用户登出 用户名、数据库名 SQL1、绑定变量1 SQL2、绑定变量2 交叉关联 绑定 变量 session SQL1+绑定变量1 SQL2+绑定变量2 正确的交叉关联 SQL1+绑定变量1 SQL2+绑定变量1 错误的关联导致结果错误 无交叉关联导致结果不准确 SQL1 绑定变量1 SQL2 绑定变量2 客户端 数据库 绑定变量交叉关联 绑定变量审计 详细信息 使人员、操作、变量相关联 审计结果展现 人员实名定位 系统通过与用户身份认证系统联动，精确定位事件责任人。 审计数据快速查询 数据库 基于时间 操作 客户端、状态等 所有条件组合查询，高速检索数据 内置多种策略； 用户自定义策略； 基于时间、来源、操作、类型、库、表、资产、事件、级别、状态、结果影响行数等设定策略； 过滤无关数据； 多种响应方式； 策略持续优化、改进， 完整审计； 多维度审计 全面还原sql语句； 中间件关联审计； 绑定变量关联审计； 精确定位； 多查询条件； 审计 Audit 监测