1.基础

1.介绍

天玥数据库审计系统是针对数据库操作行为进行细粒度审计的合规性管理系统。它通过各类数据库访问行为进行解析、分析、记录、汇报，用来帮助用户事前规划预防，事中实时监视、违规行为响应，事后合规报告、事故追踪溯源，同时加强内外部行为监管、促进核心资产的正常运营，是国内审计数据库类型最全，解析粒度最细的审计产品。

2.工作原理

审计系统由引擎、审计管理中心两部分组成，二者可以在一台硬件，也可以是不同硬件

3.功能架构

4.数据库支持类型

数据库协议全面支持、支持各种数据库

5.数据库审计功能

1.数据发现与分类

自动发现数据库类型、IP、端口、表名、字段以及敏感数据等信息，支持对数据进行自定义分类；

2.告警与防护

1.细粒度审计策略定义，基于IP/时间/规则/响应方式等因子配置，方便客户分类分级审计和响应。

2.内置安全规则，对于提权操作、库表删除等数据库操作，SQL注入、XSS攻击等攻击操作实时上报。

3.审计数据防护，对于审计到的敏感数据进行模糊化处理，防止数据泄露。

4.数据库防火墙：可全面、细粒度的控制数据传输，基于角色、内容、操作、时间等因子的细粒度数据库管控，可达到数据库命令级控制。

3.分析与挖掘

1.通过审计数据，对数据库、响应时间、账号、数据库性能等进行分析，及时发现异常。

2.基于异常场景分析：内置异常分析算法，对于暴力破解、频次异常、撞库攻击等行为可自动生成审计报告

4.审计与追溯

1.丰富报表：内置大量默认报表模板，提供不同身份、不同行业客户所需的审计结果，多维度分数据库系统的风险。

2.行为轨迹：图形化展示数据库操作行为，可从账号、IP、命令等各维度追踪用户操作，发现异常行为。

3.三层架构前后台关联：业务操作先访问应用系统，应用再访问数据库，存在账号、路径追溯的问题

4.常规审计：只能审计页面访问或数据库访问的单一过程，无法追踪溯源

关联审计：前后台关联，得到SQL的业务用户ID，得到页面动作引发的数据库变化

6.应用场景

1.敏感数据防泄密

敏感数据查询发现，数据泄露发现追溯

2.非法操作

数据库提权发现。审计追溯

2.深入

1.机器区分

分体机：是指审计引擎与管理中心分离，单独部署在一个设备上

一体机：指在同 1 个设备中部署审计引擎、管理中心

2.管理方式

1.串口登陆方式

1.串口连接管理中心，波特率为9600，使用config/Admin@123登录系统后台账号（首次登录修改密码，请妥善保管新密码）
2.选择“2.Configure IP or Routing”配置管理口ip以及路由
3.串口连接引擎，按照1、2方法配置引擎的配置管理口ip以及路由 （一体机不用配置引擎）

2.SSH登陆方式

1.网线直连设备管理口，采用SSH登录config账号配置
2.分体管理中心/一体机默认管理口IP：192.168.1.100/24，路由为空
3.分体引擎默认管理口IP：192.168.1.101/24，路由为空

3.引擎部署模式

管理中心+引擎（旁路或串行）（分体机）===一体机系列

采用网络捕包分析的形式工作，交换机镜像或者插件部署

部署流程步骤一：配置管理中心IP与路由&引擎IP与路由步骤二：登录Web页面导入功能授权（如无需导入授权，忽略此步骤）步骤三：添加引擎步骤四：配置审计策略步骤五：下发策略步骤六：在日志查询》审计事件中查询事件是否入库

1.旁路引擎

1.旁路方式部署
2.业务口通常连接在交换机的镜像口上
3.对原有网络不造成影响，审计产品的故障不影响现有网络的正常运行

审计单级部署
1.审计引擎旁路部署在核心交换机或数据交换机上
2.将核心交换机与数据交换机之间的流量通过镜像的方式发给审计引擎
3.审计引擎的管理口与管理中心（数据中心）直连通信
4.管理终端通过访问管理中心的管理口对其进行管理常见场景：不改变原有的网络环境进行单个数据域进行审计

并行分布式部署
1.审计引擎旁路部署于各汇聚交换机上
2.将核心交换机与汇聚交换机之间的流量通过镜像的方式发给审计引擎。
3.审计引擎的管理口与管理中心通过交换机互联
4.单管理中心可实现对多个审计引擎的管理常见场景：不改变原有的网络环境进行多个数据域进行审计，采用一个管理中心进行管理

2.串行引擎

1.在线部署
2.业务口串接在实际的网络环境中
3.支持透明桥模式
4.支持硬件Bypass，设备异常时不影响网络的正常运行

串行HA部署
1.审计引擎串行部署于核心交换机与数据域汇聚交换机之间
2.两个审计引擎之间通过心跳线实现双机热备
3.审计引擎的管理口与管理中心直连管理终端通过访问管理中心的管理口对其进行管理常见场景：主要进行审计引擎双机热备

4.设备配置

1.设备控制台登陆

连接出厂设备Eth0管理口，WEB登录 https://192.168.1.100，config/Admin@123

2.授权导入

系统管理员登录，在【系统管理】->【授权】->【功能授权】中点击“导入授权”上传授权文件。

3.系统升级

系统管理员登录，在【系统管理】->【维护】->【升级操作】中点击“选择升级包”上传升级包对设备进行升级。

4.用户管理

系统默认三权分立，也就是默认存在的三个账号

admin/Admin@123：系统管理员，用于管理系统用户及权限分配；
audit/Admin@123：审计管理员，用于审计配置管理员与系统管理员的操作；
config/Admin@123：配置管理员，用于管理系统进行各项配置和查看统计信息。admin 管理员可以新增、删除、编辑除系统内置用户外的其它用户。系统内置的admin、audit、config用户配置可以修改但不可被删除。用户不可将自身删除注：首次登录需修改密码，且需定期修改密码

1.添加用户

系统管理员登录，在【系统管理】->【用户相关管理】中点击“ 添加”添加用户，设置用户基础信息。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wmL5FfSj-1648559554646)(C:\Users\huashuo\AppData\Roaming\Typora\typora-user-images\image-20220329201802396.png)]

2.重置密码

运维用户密码忘记后，管理员可以在用户属性中进行密码重置

3.资产发现

1.资源账号发现：系统通过对审计数据进行分析，自动发现被使用的用户资源账号
2.服务器自识别：服务器自识别可以帮助用户发现系统所在环境内的应用系统/服务器

4.数据发现

1.敏感级别管理:系统提供内置的 **A、B、C、D、E** 五种敏感级别，敏感级别通过风险值高低进行排序，风 险值越高级别越高。同时系统允许对敏感级别进行新增、编辑和删除。
2.敏感数据定义:内置敏感数据定义供用户发现数据库中敏感数据并进行分类，当内置不满足使用时可进行新增。

5.数据字典

1.字典分为与用户相关的资源和与数据库相关的资源，可以将用户指定字段翻译成用户指 定的内容，方便用户对系统资源进行辨识

5.策略配置

1.实现原理：通过配置审计策略下发至数据库审计系统，交换机将用户镜像流量引流到审计设备上，流量匹配上审计策略中的条件后，则按配置的响应方式进行处理

2.IP-MAC 审计策略用于审计主机的 IP 和 MAC 跟配置不一致的情况。IP-MAC 审计策略中需要定义待审计主机的 IP 地址和 MAC 地址。当网络中发现 IP 地址跟策略指定的相同而 MAC 地址不同，或者 MAC 地址跟策略指定的相同而 IP 地址不同，则执行审计策略中指定的响应方式。

3.事件策略：包含4个要素（审计源、事件配置、规则、响应方式）

4.会话策略：包含 3个要素（审计源、时间配置、响应方式）

6.统计报表

1.在审计到用户数据后需要对其进行统计分析，发现用户的异常行为
2.异常业务场景：内置异常分析算法，对于暴力破解、频次异常、撞库攻击、账号登录异常、行为异常等行为可自动发 现

7.风险分析

1.数据库访问审计：对各种环境下(包括ipv6)的数据库访问操作进行记录，支持关系型和非关系型的各种 主流数据库
2.行为轨迹：图形化展示数据库操作行为，可从账号、IP、命令等各维度追踪用户操作，发现异常行为

8.双机热备

作用：保证设备的冗余性，支持同步配置和审计数据，保证业务的连续性

一般分：管理中心HA、审计引擎HA

管理中心HA步骤1：在主机上启用HA。
配置说明：配置管理员config登录数据库审计主机，在【系统管理】->【配置】 ->【HA配置】界面，在HA配置下选择对应的HA口，配置IP、VID、虚拟IP；在选择对应的管理口，配置配置IP、VID、虚拟IP；选择对应的监控网口步骤2：在主机上添加备机
配置说明：配置管理员config登录数据库审计主机，在【系统管理】->【配置】 ->【HA配置】界面，在对端信息中填写备机的IP地址，启用HA。步骤3：在备机上启用HA
配置说明：配置管理员config登录数据库审计备机，在【系统管理】->【配置】 ->【HA配置】界面，在HA配置下选择对应的HA口，配置IP、VID、虚拟IP；在选择对应的管理口，配置配置IP、VID、虚拟IP；选择对应的监控网口步骤2：在备机上添加主机
配置说明：配置管理员config登录数据库审计备机，在【系统管理】->【配置】 ->【HA配置】界面，在对端信息中填写主机的IP地址，启用HA。

数据库审计系统（启明设备）相关推荐

数据库审计系统提供服务器,数据库审计系统通用解决方案
背景需求: 根据对其业务系统.数据中心的数据库系统的威胁与风险分析,用户数据库安全需求主要集中在以下方面:对一般操作行为如数据库的登录.注销动作,特定的操作如对数据表的插入.删除.修改,执行特定的存贮 ...
数据库审计系统基本原理与部署方式
数据库审计系统简介什么是数据库审计? 数据库审计是记录数据库被访问行为的日志系统. 访问数据库的一般有两种行为,一种是应用服务区的访问,一种是数据库运维人员的访问. 数据库审计(简称DBAudit) ...
数据安全入门产品——数据库审计系统详解
文章目录前言 1.数据库审计系统为什么会出现? 1.1合法权限滥用的监控需求 1.2高危操作访问数据库的监控 1.3安全合规需求 2.数据库审计系统是什么? 3.技术原理 4.性能指标参考 5.部署 ...
数据库服务器审计系统部署方式,数据库审计系统D2020，agent方式审计如何配置...
客户端(101.1.12.2): 用于访问数据库审计系统管理界面,进行数据库审计系统的相关配置. 数据库审计系统: 管理口IP(183.1.10.52):被访问的,实现数据库审计系统的管理. 业务口I ...
绿盟数据库审计系统hive_数据库审计系统
产品简介: 中安威士数据库审计系统(简称VS-AD),是由中安威士(北京)科技有限公司开发的具有完全自主知识产权的数据安全防护产品.该系统通过监控数据库的多重状态和通信内容,不仅能准确评估数据库所面临 ...
snmp获取交换机日志_日志审计系统和数据库审计系统的区别
今天就易混淆的日志审计系统与数据库审计系统进行辨析.从日志审计系统和数据库审计系统的技术特点和原理来切入,来分析日志审计系统与数据库审计系统的异同. 01.日志审计系统系统日志系统日志是记录系统中 ...
数据库审计系统在加密传输场景下的应用（SinoDB）
1. 简介在这个万物互联的时代,任何一家企业的发展都离不开数据,数据是每一个互联网企业的核心资产.在互联网安全事故频发的今天,如何保护企业的数据资产安全,避免客户隐私泄露,是每一家企业都重点关注和 ...
数据库审计系统 mysql_数据库审计系统
1.协议全面识别系统全面支持主流数据库,包括Oracle.SQL server.DB2.Mysql.Informix.Sybase.PostgreSQL .人大金仓.达梦DM.神通OSCAR.南大通 ...
数据库审计系统-数据库安全审计工具
安华金和数据库审计系统是基于数据库通讯协议准确分析和SQL完全解析技术的数据库安全审计系统.主要目的是对数据库操作.访问用户及外部应用用户的审计,可以用于安全合规.用户行为分析.运维监控.风控审计.事 ...
数据库审计系统在加密传输场景下的应用-SinoDB
1. 简介在这个万物互联的时代,任何一家企业的发展都离不开数据,数据是每一个互联网企业的核心资产.在互联网安全事故频发的今天,如何保护企业的数据资产安全,避免客户隐私泄露,是每一家企业都重点关注和 ...

数据库审计系统（启明设备）