数据库审计需求.pdf

《数据库审计需求.pdf》由会员分享，可在线阅读，更多相关《数据库审计需求.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 数据库审计需求 指标项 详细技术指标要求 架构及性能要求 软硬件一体化和标准机架式的 2U 设备，千兆电口6 个，磁盘2T，冗余双电源，处理器：Intel I5 或 I5 以上 CPU，至少 4 核，主频至少 3.4G，内存至少 8G；可审计数据库实例数 24 个，支持扩展至 32 个。日志存储量至少 40 亿条。支持旁路部署模式，部署在核心交换中，通过端口镜像方式捕获数据流量进行审计 支持在访问的数据库服务器上部署审计插件，获取数据库访问的数据流量进行审计 兼容性要求 支持 Oracle、MySQL、SQLServer、DB2、Sybase、Informix 等主流数据库协议的解析。支持

2、SQLServer2005 及以上版本的加密数据库账号的解析。支持国产数据库协议的解析。支持 PostgreSQL、Greenplum、Cache 等专用数据库协议的解析。支持主流大数据平台数据库/NoSQL 库的解析与审计，包括 HBase、Hive、MongoDB、Elasticsearch 等。支持 Hive 与 Kerberos 集成，Hive 传输加密的解析。支持 UTF-8、GBK、GB2312、UNICODE、UTF-32/16/16BE/16LE、ISO-8859-1、US-ASCII 等编码方式。支持智能识别数据库字符集编码。支持智能识别 IPv6、IPv4 地址。审计结果要

3、求 支持实时展示当前活跃会话详情信息。包括：会话开始时间、持续时长、访问来源 IP、目标服务端 IP、数据库协议类型、数据库账户、SQL 请求总数等。支持审计记录完整的语句详情信息。包括：SQL 执行时间、数据库账号、来源 IP、来源端口、来源 MAC、客户端工具名称、目标 IP、目标端口、目标MAC、数据库实例名、SQL 语句、执行耗时、SQL 类型、SQL 命令、对象名称、字段名称、SQL 行数、SQL 请求状态等至少 18 个条件进行审计。通过对双向数据包的解析，不仅对数据库操作请求进行审计，而且还可以对数据库系统返回结果进行完整的还原和审计，包括数据库命令执行时长、执行状态、返回行数、

4、执行的结果集等内容。支持对超长 SQL 操作语句审计，可以正常记录单条长度超过 3M 字节的 SQL语句内容。支持自动将 SQL 语句分为 login、logout、DDL、DML、DCL、privilege 等操作类型。支持将应用访问数据与数据库访问数据综合起来进行“关联分析”，从而将应用操作准确对应到数据库的操作。支持对非法、高危、中危、低危的数据库访问事件进行告警，并按照风险级别进行统计。支持根据服务端 IP、数据库实例名、数据库账号、客户端 IP、匹配规则、操作对象、操作命令、客户端 APP 和 SQL 模板等条件的审阅规则进行批量审阅。支持通过操作审计快速添加黑白名单、自定义规则或进

5、行用户行为模型的更新。支持对操作语句基于会话进行回放。支持通过 FTP、MAIL、SYSLOG 和 SNMP 方式进行告警外发。支持对操作语句中的 IP、账号、操作、操作对象进行业务翻译，支持按照业务语句模板进行操作语句翻译。支持通过时间、风险等级、操作命令、数据库账号、客户端 IP、风险类型、操作对象名、SQL 关键字、客户端 APP、客户端主机、客户端主机用户名、操作类型、操作对象类型、请求状态、应用端 IP、应用端用户、应用请求ID、事件类型、耗时执行、影响行数等条件进行审计检索并导出。审计检索分析 支持对告警日志进行多维下钻分析、自定义选择图类型（饼图、柱状图），展示分析结果，支持自定

6、义选择下级维度。支持一键保存多维分析模型，形成自定义报表模版。支持自动生成可视化的用户行为模型，支持自由切换模型中基线节点，显示模型中的其他基线。安全策略要支持自定义黑白名单策略，匹配条件至少包括数据库账号、策略周期、来源求 IP、客户端工具、SQL 命令、操作对象名、SQL 语句等条件。白名单命中后识别为信任行为，黑名单命中后可识别为非法行为。支持自定义操作行为策略，可设置风险级别、策略动作、数据库账号、策略周期、来源 IP、客户端工具、命令、操作对象、SQL 关键字、执行结果、行数、执行时长、时间周期、SQL 语句等条件。支持内置 SQL 注入特征库，对操作语句进行监测，发现 SQL 注入

7、行为。支持根据来源 IP 设定审计范围。包括：设定不审计指定来源 IP 的所有访问记录，其他 IP 均审计；设定仅审计指定来源 IP 的访问记录，其他 IP 均不审计。自定义表达式策略支持设置与或非条件表达式规则，规则设置具有灵活性。支持敏感数据审计策略，支持基于敏感数据发现结果设置相关的告警策略。支持将用户行为模型转化成数据库访问安全基线，实时识别偏离数据库访问安全基线的异常行为并告警。资产管理要求 支持自动发现镜像流量中的活跃数据库。支持自定义发现范围，包括数据库类型、IP 地址、端口范围。支持通过手动配置的方式进行数据库资产添加，配置包括资产名称、资产分组、资产类型、资产地址和端口、编码

8、方式等必要参数以及版本、数据库账号密码、服务名等其他参数。支持一键开启资产保护状态，对开启保护状态的数据库资产进行审计。通过连接地址和端口对数据库的连通性进行测试。通过数据库账号密码及连接地址和端口对数据库的可访问连接性进行测试。内置敏感数据标签，用于静态扫描方式对数据库资产进行扫描并打标。通过敏感数据扫描任务对数据库资产的敏感数据表、字段进行发现。支持 mysql、sqlserver 加密访问流量审计。统计报表要求 内置丰富的统计报表模板，至少提供 55 种。至少包括：综合报表，等保报表、PCI 报表、SOX-法案报表等类型。支持自定义报表功能，支持通过设置过滤条件和报表格式的方式创建自定义

9、报表模板，可对自定义报表进行编辑和预览。支持将关注的预定义和自定义报表模板添加到我的报表，减少下次重复操作。支持按周期（时间细化到分钟）定时生成报表并且自动通过邮件发送给相关管理员 报表支持导出为 PDF、CSV 等报表格式。支持报表预览，查看报表统计结果。系统管理要求 支持手动设置系统时间，支持从 NTP 服务器进行时间同步。支持将网口设置成管理接口，并配置接口 IP、网关和 DNS，支持将网口设置成审计口或心跳口。审计采集插件支持远程推送。审计采集插件支持自动休眠，当所在数据库服务器的 CPU、内存消耗超过阈值时，临时暂停抓包工作，避免与数据库服务器抢占资源。支持系统登录账号的添加、删除和

10、账号密码重置，支持通过导入方式进行账号添加 支持三权分立，默认提供系统管理员、安全管理员、审计管理员三个角色账户。支持对新添加的系统账号进行审核，支持根据操作员账号进行自动审核。支持对系统登录方式、超时时间等登录安全，密码长度和复杂度等账号密码安全及允许登录 IP 等进行设置。支持对系统自身审计，日志内容至少包括：用户名、来源 IP、操作时间、操作内容、操作结果等。支持将审计数据和配置数据备份到 FTP 服务器，支持将审计备份数据恢复到系统进行查看，支持将备份配置数据导入系统进行配置恢复。支持对审计数据和配置通过手动方式进行清理，支持通过配置磁盘阈值或时间限制进行自动清理。支持对系统自身运行状态进行实时监测，包括：CPU 使用率、内存使用率、磁盘使用率、网卡流量等。支持对系统内核、CPU&内存、磁盘及其 IO、网口、服务端口等进行实时诊断。支持对系统进行升级维护、恢复出厂设置等基础功能。