计算机视频信息保护.docVIP

数据库审计子系统技术白皮书 一、汉邦数据库审计系统的功能与特点 汉邦的数据库审计系统采用旁路侦听的方式从网络设备中获取流向数据库服务器的数据包，从数据库访问操作入手，通过对抓到的数据包中数据操作语法的分析，记录用户感兴趣的或所有的（规则可由用户制订并设置）数据库操作行为，并可对违规的数据库操作行为产生报警事件。这些数据库操作行为包括：对表、表中的字段、视图、索引、存储过程、触发器、授权与收回授权等的任何数据库操作行为。采用侦听的方式工作，不消耗数据库服务器的任何资源（如CPU处理时间，I/O，磁盘占用等），不占用数据库服务器的网络带宽。 审计一般是由客观、公正的第三方来实施的。例如，一家单位的财务报表不能由本单位的审计部门来审计，而必须由具备相应资格的、独立的会计师事务所来审计。同样地，汉邦的数据库审计系统给用户提供了这样一种技术手段，它既不依赖于提供数据库管理系统的原厂商（一般为美国的公司），也不依赖于数据库管理系统本身提供的功能，而能够完整、准确地记录施加于数据库系统的所有操作，并且提供了功能强大的分析与查询工具以便对这些记录进行最细粒度的审计。 汉邦数据库审计系统的用户界面设计简洁，审计规则的设置以及审计记录的分析与查询对用户来说相当简单、易于使用，将对数据库专业管理人员的水平和经验的依赖程度降到最低。 二、汉邦数据库审计系统的工作原理 汉邦数据库审计系统是由监控中心和引擎两部份组成。其中，监控中心可以分等级形成多级；引擎是基于网络的，可以有多个；监控中心和引擎可以形成一对多的关系。监控中心把设置的审计规则发给引擎端。引擎按照设置的审计规则抓取从数据库客户端发往数据库服务器的数据包。通过对包中的数据内容进行分析，如果包含SQL语句并与审计规则相匹配，则把这个SQL语句发往监控中心并记录。用这个SQL语句与每条报警规则相匹配，如果符合报警规则，那么就向监控中心发送报警信息并记录。 因为数据库管理系统的种类比较多，所以数据库审计从网络方面入手，监控数据库的操作。可以审计所有的数据库操作。如下图所示： 三、汉邦数据库审计系统功能介绍 1、系统功能 （1）审计对数据库的记录数据操作 通过在用户控制中心的设置，数据库审计传感器根据用户设置，对相应的数据库操作进行审计。 用户可以设置对重要的表或字段名数据的增加(INSERT)、删除(DELETE)、修改(UPDATE)、查询(SELECT)等操作进行审计，也可以对全部表、字段数据操作进行审计。 （2）审计对数据库结构定义修改操作 通过用户控制中心设置，对用户重要的数据表或字段等数据结构进行更改操作进行审计，审计内容包括对数据库的增加(ADD DATABASE)、删除(DROP DATBASE)，对数据库中的表(TABLE)、字段(FIELD)、视图(VIEW)、触发器(TRIGGER)、存储过程(PROCEDURE)等对象的增加、修改和删除操作。 （3）审计对数据库用户操作 通过在用户控制中心的设置，可以对数据库用户的操作进行审计，审计内容包括用户的创建(CREATE USER)、用户的修改(ALTER USER)、用户删除(DROP USER)、用户权限的提升(GRANT)或降低(REVOKE)等。 （4）审计其它数据库操作 审计其它的数据库辅助操作，如调用数据库的存储过程、开始和提交事务等，包括某些数据库的特殊命令，如Oracle的表空间操作等。 （5）报警功能 当数据库审计传感器审计到相关信息时，根据风险等级，做出相应处理。及时向报警中心发出报警信息，以便管理员可以及时做出处理。 （6）日志功能 记录相关的日志，使管理员可以方便管理和查询有关信息。所有审计日志信息包括操作的远程IP地址、操作时间、操作对象、操作行为以及完整的操作语句等信息。 3、系统的安全性 （1）认证和传输方式 系统的网络传输采用一次性密码认证的帧传输方式。每个帧包括帧头、内容和帧尾，对整个帧进行加密，后面增加完整性验证。传感器组件和监控中心连接后首先必须发送一个特殊的身份认证包，经中心确认无误后中心将产生一个随机串作为本次连接的加密密码，经公共密码加密后发往传感器，双方以该加密密码对所传输的帧进行加解密。 （2） 记录方式 各传感器启动时按最近的一次策略设置进行审计，如果没有与监控中心连接成功，则审计的日志事件数据加密后临时保存于本地文件中，等与监控中心连接后这些信息发往监控中心，同时本地信息删除；连接成功之后的日志事件信息直接发往监控中心，而不在本地保存。监控中心收到的日志事件信息存放于大型数据库中，采用专用的API接口对信息数据进行存取。 对于保存于大型数据库中的重要数据进行加密处理，同时对大型数据库的访问