数据库安全审计产品选型功能特性

三、数据库安全审计产品选型功能特性

1.灵活的网络接入模式

系统具有灵活的接入、多样的部署方式，具备各类网络环境的适应能力；支持端口镜像方式和TAP方式的部署；支持多点集中管理的方式部署；支持多路负载分担的方式部署；适用于各类网络环境，不影响用户现有网络环境状态，实现灵活的接入。

2.完整的全审计

采用的正向模式解析技术充分利用对TCP/IP的逐层解码，快速确定SQL语句在网络数据包中的位置，避免从网络数据包的数据段中搜索SQL语句关键字的过程，极大地提高了效率。

正向模式解析采用的基于独特的TCP流重组的技术能够实现复杂会话内容（如超长SQL语句）的审计记录和维护状态链表的动态更新；支持对MSSQL、DB2、Sybase、MySQL、Oracle等主流数据库协议和私有协议（如TNS）的解析。通过完整的协议解析系统能够全部还原数据库所有的操作内容；数据库安全审计系统采用了数据库绑定变量技术，实现跨多个包或者跨语句的审计；采用绑定变量交叉关联技术，通过系统中数据库类型识别定位模块、SQL语句定位及变量提取模块、变量赋值提取模块的流程处理，对数据库操作过程中使用绑定变量的SQL语句进行变量提取、赋值及深入审计。克服了数据库绑定变量的SQL语句审计的准确性问题。

3.精确定位到人

追踪已建立连接的TCP会话链接，通过对会话标识符分析，区分不同的会话过程，对每个会话过程记录状态，从登录包中取得用户名和数据库名，同时记入会话信息中。后续会话过程会把已获取的用户名和数据库名填入审计记录中，通过对会话状态链接表的维护实现精确定位到具体操作用户；采用中间件关联审计技术，在应用服务器中有对应于每个客户端的线程或标记来区别来自于不同浏览器或不同会话的请求，通过前端浏览器与Web服务器之间的HTTP进行分析，根据对URL、时间片以及一些关键信息进行分析，然后再与后端的数据库操作进行关联来实现；浏览器URL地址的访问操作能够根据时间、命令内容参数等要素进行信息筛选，同时提取到用户账号、口令等信息，以确定谁做的访问及操作请求，发现最终用户的真实身份。

4.细粒度的审计层次

基于会话的审计，将一次数据库访问的全部数据包采集完整后，再提取分析相关的SQL语句；基于操作的审计，实时检测每次执行的SQL语句，精确识别解析每一条SQL语句的提交与执行，实时性好，可以在第一时间审计到新的数据库操作；完整记录超长、跨包等复杂的SQL语句，实时检测数据库操作。

5.数据库的优化和防护

系统采用边缘追踪技术，遍历数据库中执行的SQL语句，及时发现、预警占用过多系统资源和使用被死锁资源的SQL语句，并准确定位死锁事件；系统通过最大延时、平均延时、性能影响等多角度监测技术，对可能引起数据库的异常行为进行预警和追踪；审计数据库返回错误代码有助于管理者及时了解数据库运行情况，可以对重要的可能引起数据库崩溃的代码进行及时响应和处理；通过对数据库每条语句跨表的数量和对表中影响行数的统计分析，对可能引发数据库性能问题的操作进行预警和追踪；系统内置数百种安全规则库，自动根据预设置策略针对诸如SQL注入、已知数据库漏洞、口令猜解、缓冲区溢出等违规行为实时监测、预警；系统提供权限预警机制，实时监控数据库的所有操作。针对最高权限滥用、误操作、恶意操作等行为进行告警和定位。

6.完备的自身安全性

通过设定系统管理员、用户管理员、系统审计员并赋予相应权限以达到完整的三权分立。

（1）安全密码。通过要求密码设定为字母、数字、符号的组合增强密码安全强度。

（2）资源监控：通过实时采集系统探针的状态，系统CPU、内存、磁盘的资源使用状况进行监测统计，在系统管理界面直观展示，随时了解系统资源使用状况。

（3）磁盘预警。系统采用磁盘预警机制，通过对磁盘预警功能进行配置，设定磁盘空间预警阈值，当达到阈值时通过设定的邮件地址进行邮件报警，同时设定保护阈值，当磁盘空间达到保护阈值时，可以选择采取删除或备份等方式处理历史审计数据，避免造成审计数据的丢失。

（4）转储备份。通过连接设置数据备份服务器，配置转储备份策略，选择备份周期等要素，定期自动备份审计数据，保证审计数据完整备份保存。