帕拉迪数据库风险分析与安全监控审计系统(UMA-DbXpert技术建议书.doc

帕拉迪数据库风险分析与安全监控审计系统 （PLDSEC DbXpert） 技术建议书 、 杭州帕拉迪网络科技有限公司 2011年11月 目录 1.产品简介 3 1.1客户需求 3 1.2产品概述 5 1.3功能简介 5 2.系统架构 6 2.1系统组成 6 2.2系统部署 6 3.产品功能 7 3.1功能介绍 7 3.2功能特点 8 3.2.1完整的会话与“细粒度”数据库审计： 8 3.2.2国内领先超长SQL语句、绑定变量解析技术： 11 3.2.3灵活的数据库访问策略： 11 3.2.4全面完整的数据库审计与操作回溯： 13 3.2.5权职分离： 15 4.产品应用 16 4.1数据库服务器的应用优化 16 4.2数据库服务器的运维正常运行 16 4.3敏感数据信息的泄密防护 17 4.4法律责任的规避 17 1.产品简介 1.1客户需求 随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、成败。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一。20世纪90年代，各企业展开了以计算机技术代替手工业务的研究。到了90年代中后期，随着信息技术和互联网应用的发展，我国行业已经完成了以业务核算为核心的信息化发展历程，开始向管理信息化的方向转型，为今后的信息化奠定了良好的基础。目标是实现信息的充分共享。 深度解码数据库网络数据流传输协议，完整、细粒度分析并再现用户数据库操作活动会话过程。完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程 、函数、SQL DML操作影响行数、SQL语句执行时间、原始数据库记录包、超长SQL语句、绑定变量解析等。此功能国内唯一。 完整解析、记录、关联SQL操作语句参数，可自动回溯重构完整SQL操作语句。 实时监控来自各个层面的所有数据库活动，包括网络流量、数据包、突发连接、并发连接、SQL语句的实时数量，并且提供实时的视图窗口查看数据库的运行状态。它可以帮助DBA更好的管理数据库。 提供灵活的数据库访问行为来源限制，可选择忽略审计特定网络和主机产生的数据库SQL操作；亦可限制仅对特定“嫌疑”对象进行细粒度、全方位审计，包括记录整个数据库操作会话过程所有网络数据包。 覆盖主流商用数据库，包括：Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本。 3.2.2国内领先超长SQL语句、绑定变量解析技术： DbXpert是基于流和会话技术，进行全状态、全协议解码，能完整的、细粒度的解析超长SQL语句、绑定变量。目前五大商用数据库客户端与服务端之间是基于数据库的查询是通过Bind Variable完成的，这就要求审计系统不光要记录查询中Bind Variable的变量的名字，还要记录Bind Variable的数值。该功能国内唯一。 Bind Variable解析： 超长SQL语句解析： 3.2.3灵活的数据库访问策略： 提供来源（客户端）登录IP异常探测、数据库登录用户名称异常探测、数据库操作源终端异常探测、数据库操作源程序名称异常探测、数据库操作源终端用户名称异常探测。 提供数据库SQL语句执行时间、数据库操作闲置时间策略报警，提供数据库DML、DDL等操作影响行数策略报警，提供数据库SELECT SQL操作语句返回行数策略报警。 提供全方位的策略规则匹配，策略因子包括：数据库操作来源IP地址、数据库服务器IP/端口、数据库类型、数据库名称、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句（DDL、DML、DCL）、数据库表组（表、列）、数据库SCHEMA等。 多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过WEB告警、邮件告警等方式通知数据库管理员。 根据设定的数据库策略，可选择对关键资源操作行为进行数据包录像、深度分析解析开关。 审计记录记录原始数据网络流量包，可下载至本地： 3.2.4全面完整的数据库审计与操作回溯： 记录数据库会话详细细节，当发生数据库安全事件时，用户可根据数据库地址、源客户端地址、事件时间、SQL语句关键