防护隔离产品线
天地和兴主机防勒索系统防护隔离产品线
文件保险箱系统国密改造产品线
服务器密码机国密改造产品线
VPN安全网关国密改造产品线
签名验签服务器边缘物联产品线
供热专用数采网装置边缘物联产品线
二供泵房专用安全网关边缘物联产品线
分布式能源安全数采装置平台管理产品线
数据备份与恢复一体机防护隔离产品线
天地和兴病毒防护网关系统监测审计产品线
天地和兴上网行为审计系统智慧运维产品线
IT安全运维服务平台边缘物联产品线
天地和兴物联网安全管理系统智慧运维产品线
天地和兴便携式运维网关平台管理产品线
集团级安全运营平台检测评估产品线
天地和兴脆弱性扫描系统防护隔离产品线
电力专用横向安全隔离装置(正向型)智能安监产品线
天地和兴智能安全分析平台监测审计产品线
网络准入管理系统平台管理产品线
工控信息安全监管与分析平台监测审计产品线
数据库审计系统监测审计产品线
工控安全审计平台监测审计产品线
日志审计与分析系统监测审计产品线
账号管理及运维审计系统防护隔离产品线
USB安全隔离系统防护隔离产品线
入侵防御系统平台管理产品线
天地和兴安全管理平台(等保一体机)防护隔离产品线
安全隔离与信息单向导入系统防护隔离产品线
工业安全隔离与信息交换系统防护隔离产品线
主机安全卫士防护隔离产品线
天地和兴第二代防火墙防护隔离产品线
工控防火墙检测评估产品线
工控漏洞扫描管理系统检测评估产品线
高级威胁检测系统检测评估产品线
入侵检测系统-
▍产品功能
细粒度审计策略
为了让审计系统完成审计工作,用户需要提前确定审计目标和审计范围,也就是审计策略,包括被审计的业务服务器地址、服务类型、业务用户等等。数据库审计系统依据RBAC模型,提供了灵活而丰富的策略配置功能,协助用户完成审计策略的精确定义。审计策略可根据业务主机和业务用户(包括业务服务器IP范围,业务用户IP范围、业务用户认证身份、业务用户访问服务器使用的资源账号)、时间(即策略生效时间,可以是某一固定时间,也可以是某个周期性时间)、规则集(定义需要被审计的操作集合)、动作(包括阻断或者放行)、响应方式(包括事件风险级别、是否记录入库等)等要素来定义。很多情况下,用户只关注部分业务用户的关键访问行为,因而需要审计系统提供操作级的策略定义,细粒度的审计策略定义乃是精确审计的保障。
定制审计事件规则细粒度审计的前提是能定义细粒度的操作规则,数据库审计系统内置了针对不同协议的各种规则集模板,用户可自由选择。同时,也支持事件规则自定义,允许用户自行设定和调整各种安全审计事件的触发条件与响应策略。例如,用户特别关注在Telnet过程中出现rm、passwd、shutdown等命令的行为,那么用户就可以利用数据库审计系统定义相应的审计事件规则。将此规则集应用到审计策略中,数据库审计系统就可以针对网络中发生的这些行为进行审计和响应。
特定账号行为跟踪数据库审计系统能够实现对“用户网络环境中出现的特定账号或特定账号执行某种操作后”的场景进行账号跟踪,提供对后继会话和事件的审计。这样,管理员能够对出现在网络中的特权账号,比如root、DBA等,进行重点的监控,特别是哪些本不应出现在网络上的特权账号突然出现的事件。
强大的数据库规则集
数据库审计系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件,对用户关心的违规行为进行响应,特别是针对重要表、重要字段的各种操作,能够通过简单的规则定义,实现精确审计,降低过多审计数据给管理员带来的信息爆炸。
命令及字段智能分析数据库审计系统能够根据审计协议的类型进行命令和字段的自动提取,用户可以选择提取后的命令或字段作为重点对象进行分析。针对数据库类协议,可分析并形成数据库名、表名、命令等列表;针对运维类协议,可分析并形成命令等列表;针对文件操作类协议,可分析并形成文件名、操作命令等列表。通过该智能分析功能,可以简化用户对审计数据的分析过程,大大提高分析的效率。
多编码环境支持数据库审计系统适用于多种应用环境,特别是在异构环境中,比如IBM AS/400通常采用EBCDIC编码方式实现Telnet协议的传输、某些数据库同时采用几种编码与客户端进行通讯,若系统不能识别多种编码,会导致审计结果出现乱码,对多编码的支持是衡量审计系统环境适应性的重要指标之一,目前数据库审计系统支持如下编码格式:ASCII、Unicode、UTF-8、GB2312、GBK、EBCDIC。
业务黑白名单数据库审计系统提供业务用户和操作的黑白名单功能,通过调整规则集设置和策略生效顺序,就能顺利达到这一目的。例如,我们想把操作员冯杰放入某个数据库访问者的黑名单,则可以将业务用户为“冯杰”的策略,规则集定义为任意操作,响应方式设置为阻断。将此策略提前至此数据库所有策略的第一条,则冯杰对于此数据库的所有访问均被阻断,黑名单设置成功。如果此条策略的响应方式为通过不记录,则冯杰进入了白名单。如果我们想把针对某数据库的DCL操作放入黑名单。可以定义一条针对此数据库的策略,选择所有业务用户,规则集定义为DCL操作,响应方式设置为阻断,同时将此策略提前至此服务器的第一条。
自动化策略为了方便用户配置,实现一键配置功能,数据库审计系统增加自动化策略功能,用户只需一键启用,即可自动学习规则,学习结束后生成符合当前环境的审计策略,解决了用户配置的烦恼。启用后,在设定时间结束时,生成相应的审计策略便可直接对数据库进行审计,避免了其他产品复杂的配置。
风险扫描数据库审计系统依托公司在漏洞扫描行业的多年经验,结合公司的漏洞扫描系统产品,实现了专门针对数据库服务器系统的配置核查、漏洞扫描以及弱口令检测功能。配置核查功能主要针对数据库的一些风险项进行配置检查,帮助用户提前规避风险,系统内置上百条配置核查规则,能有效解决市面上主流数据库的潜在风险。弱口令检测主要针对数据库用户的账号密码的安全性进行检测,防止由于安全性过低,遭到不法分子暴力破解,目前系统内置有上万条数据库弱口令检测字典,能有效帮助用户提高账号安全。漏洞扫描以系统漏洞,关键服务漏洞以及数据库漏洞等的近万条漏洞,帮助用户掌握数据库服务器存在的漏洞,并及时防范,降低被攻击的风险。
行为模型数据库审计系统将整体的审计结果建模,从服务器IP、账号、源IP、客户端工具、表对象、操作类型等维度直观的展示给用户,并提供日志和图形化的详情查看,方便用户掌握业务环境的运行细节。
安全监控
数据库审计系统提供了对数据库服务器进行实时监控的功能,监控30余种重点参数,并可以对超出阈值范围的参数进行告警,及时了解数据库服务器运行状况。
端口扫描数据库审计系统提供端口扫描功能,可以主动扫描业务环境中存在的数据库服务器,并支持一键配置策略
强身份认证传统的网络安全审计系统通过网络层捕获实现审计数据的解析,对网络行为的定位往往局限于IP地址和MAC地址,在某些场景,比如要求自然人和网络行为关联的情况下,由于IP地址或MAC地址不具备源头可信任,追踪稽查效果大打折扣。针对这种情况,数据库审计系统提供了静态口令、Radius、Tacacs、LDAP、MSAD、POP3认证方式,可同时支持六种方式进行认证,用户可选择适合自身使用习惯的认证方式实现对自然人的绑定,当自然人在进行网络操作时,其真实身份将会和网络行为进行关联,从而实现对自然人的追踪和稽查。
多种响应方式数据库审计系统对审计到的网络操作,可以及时的进行各种响应,协议网络和安全管理人员及时了解和控制各种网络访问行为。数据库审计系统提供了多种响应方式,包括:
◆在天地和兴数据库审计系统审计服务器中记录相应的操作过程;
◆在日常审计报告中标注;
◆向天地和兴数据库审计系统管理控制台发出告警信息;
◆实时RST阻断会话连接;
◆管理人员通过本系统手工RST阻断会话连接;
◆通过Syslog方式进行告警
◆通过SNMP Trap方式进行告警
◆通过邮件方式进行告警
◆通过短信方式进行告警
◆通过机器蜂鸣声音方式进行告警客户化审计报表
数据库审计系统从安全管理的角度出发,设计了一套完善的审计报告输出机制,方便运维管理员、数据库DBA、高层管理者等不同身份的用户查看审计结果。
多种筛选条件数据库审计系统提供了强大、灵活的日志筛选条件设置机制。在设置筛选条件时,审计员可基于以下要素的组合进行设置:时间、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别、引擎名、业务用户身份、资源账号等条件。审计员可根据需要灵活地设置审计报表的各种要素,迅速生成自己希望看到的审计内容。同时系统提供了30余种报表模板功能,审计员无需重复输入,只需要设置模板后,即可按模板进行报表生成。系统中任意两个条件都可以由用户进行定义,生成相应的统计报表。
宏观事件到微观事件钻取数据库审计系统提供了从宏观报表到微观事件的关联,审计员可以在统计报表、取证报表(包括离线的报表)中查看宏观的审计数据统计信息,通过点击相应链接即可逐步下探到具体的审计事件。
◆自动任务支持:数据库审计系统提供报表任务功能,审计员可根据实际情况定制报表生成任务;系统支持HTML、EXCEL、PDF、WORD、PPT等多种文档格式的报表输出,可以通过邮件方式自动发送给审计员。
◆报表备份:数据库审计系统提供了报表的手动和自动备份功能,可以将压缩后的数据自动传输到指定的FTP服务器,提供每天、每周、每月、时刻的定义方式。
全面系统管理能力◆系统管理
数据库审计系统的管理控制中心提供了集中的管理控制界面,审计员通过管理控制台就能管理和综合分析所有审计引擎的审计信息和状态信息,并形成审计报表。
数据库审计系统支持权限分级管理模式,可对不同的角色设定不同的管理权限,符合三权分立原则。例如,超级管理员拥有所有的管理权限;而某些普通管理员则可能仅拥有查看审计报表的权限,某些管理员可以拥有设置审计策略或安全规则的权限。系统提供专门的自身审计日志,记录所有人员对数据库审计系统的操作,方便审计员对日志进行分析和查看。◆状态管理
数据库审计系统提供CPU、内存、磁盘状态、网口等运行信息,管理员可以很轻松的通过管理界面实现对审计数据中心、审计引擎的工作状态进行查看。同时数据库审计系统提供问题诊断功能,对系统的磁盘空间,主要程序状态,网口连接等进行直观的检查展示,用户可以在页面查看系统整体的健康状况,包括每个设备资源占用、系统进程是否正常运行等信息,也可以通过问题反馈页面将故障信息反馈给厂家。
◆时间同步管理
数据库审计系统提供手工和NTP两种时间同步方式,通过对全系统自身的时间同步,保证了审计数据时间戳的精确性,避免了审计事件时间误差给事后审计分析工作带来的影响,提升了工作效率。
◆日志和报表维护
审计系统需要经常对审计日志库进行维护,以保证系统的稳定运行和可检索。数据库审计系统可以对日志库进行定时或者手工的备份或删除,以保证在存储一定期限的审计日志前提下,用户能查询到最新的日志。同样,对于审计系统生成的报表,用户也可以定时或者手工删除或者导出,以清理过期报表,促进系统的有效使用。
如果用户忘记设置日志的自动维护,当系统存储日志超过某一限定值,可能会威胁系统的正常运行,为了防止这一状况发生,数据库审计系统会自动删除最老日期的审计日志。
▍产品特点
广泛的协议解析
天 地 和 兴 数 据 库 审 计 系 统 支 持 Oracle、SQL Server、Mysql、南大通用、达梦等 20 多种主机数据库及国产数据库,还支持邮件协议、互联网协议、认证协议、文件操作协议等协议类型,实现了对数据库和业务系统访问的全面审计。
快速的数据处理
天地和兴数据库审计系统具备高速的日志处理能力,采用特有的数据索引技术,提高海量日志检 索的速度,默认条件查询无延迟,对于多变量的复杂查询场景响应时间快速,采用归一化处理、批量写入、多级存储等技术,确保日志信息的快速入库。
全面的风险分析
天地和兴数据库审计系统提供 IP、用户、客户端工具、访问时间、操作对象、SQL 操作类型、成功与否、访问时长、影响行数等多维度风险关联分析,可以根据数据库返回结
果设置审计规则,及时发现违规行为。便捷的使用体验
天地和兴数据库审计系统采用人性化 UI 界面,提供丰富的配置向 导和业务向导,用户可以根据需要定制化信息展示内容,通过简单的点击即可实现数据库挖掘与钻取,快速实现数据库业务分析和问题定位。
独立审计与三权分立
从内控的角度来看,工业系统的使用权、管理权与监督权必须三权分立。天地和兴数据库审计系统基于网络旁路监听的方式实现独立的审计与三权分立,完善了工业系统内控机制。
直观掌握安全状况
工业业务系统的正常运行需要一个安全、稳定的 网络环境。对管理部门来说,网络环境的安全状况事关重大。天地和兴数据库审计系统提供业务流量监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况。
▍客户价值
全跟踪细腻度审计实现精细监控天地和兴数据库审计系统能够针对业务层、应用层、数据库等各个层面的操作进行跟踪定位,包括数据库SQL执行情况、数据库返回值等,精确到表、对象、记录内容的细粒度审计策略,实现对敏感信息的精细监控。
有效减少核心数据库的破坏和泄露
天地和兴数据库审计系统能够加强对数据库系统的审计和管控,从而有效地减少对核心数据库的破坏和泄漏。
追踪溯源便于事后追查原因与界定责任
天地和兴数据库审计系统提供基于角色的审计,能够有效地区分不同维护人员的身份, 便于事后追查原因与界定责任。
-
关键词:
- 安全
- 企业
- 工控
- 认证
- 天地
- 首家
- 投入
- 通过
- 覆盖
在线咨询
