产品概述

   安华金和数据库监控与审计系统（简称DBAudit），是一款面向数据库运维和安全管理人员，集安全、诊断与维护能力为一体的安全管理工具；DBAudit实现了数据库访问的全面准确审计，100%准确应用用户关联审计；DBAudit具备风险状况、运行状况、性能状况、语句分布的实时监控能力。

   DBAudit具备数据库化的界面语言、智能化的协议识别、可视化的运行状况呈现、可交互可下钻的风险追踪能力，是一款完美实现免实施、免培训、免维护的新一代数据库审计产品。

 产品价值

  全量的业务审计

    为适应复杂的网络部署要求，产品除了常规的旁路审计部署之外，还可以基于“探针”，捕获并解析数据库的本机操作行为，实现应用与数据库的同机审计。通过SQL行为和业务用户的准确关联分析，使数据库的访问行为有效定位到业务工作人员、基于风险、语句、会话、客户端、应用端、响应时长、应答结果等形成数据库的全量行为记录，进行有效的追溯和定责。

  实时的风险告警

    系统提供数据库风险告警能力，对于外部发起的数据库漏洞攻击、恶意的SQL注入行为、非法的业务登录、高危的SQL操作和过量的数据下载，系统可以基于灵活的策略配置，设置风险规则，提供实时的风险告警。告警方式包括：短信、邮件、SNMP、Syslog等多种方式。

  数据库性能诊断

   系统提供实时的数据库运行状态监控，针对数据库访问流量、并发吞吐量、解析语句量、语句归类模板量、SQL语句的响应速度等进行专项的界面分析；可针对执行量最多、访问最慢的语句进行梳理和呈现，提供专业的性能诊断分析，帮助用户优化数据库性能。

  数据库行为建模

   可针对数据库通讯协议进行完全解析；可学习、归类SQL语句模板，并结合会话信息、应用关联信息，实现数据库行为建模。基于建模语句波动情况，进行有效的分析和深入的挖掘，当隐藏在软件中的后门程序启动时，提供实时告警能力。

 

  产品优势

   全面审计（全）

   挑战：基于网络流量镜像的数据库审计产品，无法有效实现加密通道下的审计,无法实现对数据库主机操作行为的审计、在网络流量过载时容易丢包，从而导致审计信息缺失，给入侵者提供了绕开审计设备的途径。

   优势：DBAudit在网络镜像技术基础上，通过可配置的主机探针技术实现对数据库主机的流量获取，从而实现对数据库访问流量的全捕获。

   准确审计（准）

   挑战：不准确的审计记录，对于审计信息的有效性具有致命的伤害，极大的失去可信性。

  传统数据库审计产品，存在巨大缺陷：

 1） 对于复杂应用，无法有效关联参数和语句，造成大量漏审。

 2） 对于复杂SQL语句，无法有效解析，出现访问对象误报。

 3） 基于三层关联技术的数据库审计产品，通过时间与参数实现模糊关联匹配，在并发量较高的系统下存在20%以上的失真率，造成业务用户与SQL语句的错误关联。

优势：DBAudit基于准确协议分析、完全SQL解析、参数化匹配和应用关联技术，创造了准确的数据库审计产品，为可信审计追踪提供了坚实的基础。

 高效审计（快）

   挑战：高端场景下，数据库审计产品需要在单位时间内执行上万甚至几十万条数据库操作，高效协议分析和审计数据入库成为巨大挑战。

   优势：DBAudit通过SQL语句规则分类技术实现高效SQL解析，通过分级存储和批量入库技术实现审计数据高效入库，入库性能达到万条/秒。

  高压缩比存储 (省)

    挑战：网络安全法后，6个月日志存储成为刚需；如何使每日上亿的数据，以低成本代价进行存储，并快速检索使用。

   优势：DBAudit提供3级存储机制，包括在线存储库、历史压缩库和远程备份库，使千亿级数据存储不再困难。通过在线存储库保证高效响应，在历史压缩库中提供10倍以上压缩比，通过远程备份库完成第三方存储设备利用。

  便捷使用 (易)

   挑战：用户数据库资产庞大，且动态变化，难以实现审计对象无死角；数据库审计记录仅提供SQL语句和IP地址，信息与业务和管理结构无法对应，审计记录价值无法发挥。

   优势：基于数据库流量可自动识别并添加审计数据库，深挖数据资产，有效梳理数据库信息。

    为便于业务型用户解读，DBAudit提供SQL语句业务化翻译能力，并对访问来源进行别名设置，最终形成业务用户可读的审计结果。

  功能特性

     支持数据库类型

     Oracle、SQL Server、MySQL、MariaDB、DB2、PostgreSQL、Sybase、Informix、      CacheDB、GP、SAP HANA、Teradata等国外主流数据库

     SgrDB、DM、GBase、KingBase、Oscar等国内主流数据库

     MongoDB、Redis等非关系型数据库

      Hive、HBase、Impala、Sentry、HDFS、ES等大数据组件

    风险行为监控

    口令攻击：针对不同客户端和账户的失败登录频次制定风险策略。

    访问规则：针对应用端信息、客户端信息、时间等条件监测非法账户登录行为。

    操作规则：针对高危语句操作、SQl注入、批量数据篡改和大规模数据泄露等风险行为监控。

   漏洞监控：针对数据库漏洞攻击行为监控。

   批次操作：针对高批次操作和语句支持，提供灵活的规则配置，实现频次行为监控。

    应用用户关联审计

   系统基于应用端插件部署，可基于应用系统捕获应用账户及登录IP等关联审计信息，并添加到风险策略，实现风险行为监控。针对应用端与业务服务器分离的【四层关联审计】，同样可基于插件部署捕获到应用的原始访问信息，实现应用用户的有效溯源。

    多维数据分析

    风险和危害线索：提供高中低的风险等级，包括漏洞攻击、SQL注入、黑名单语句、违反授权策略的行为。

    会话线索：根据时间、用户、IP、应用程序和客户端等多角度分析。

   详细语句线索：提供用户、IP、客户端工具、访问时间、操作对象、SQL操作类型、成功与否、访问时长、影响行数等多种检索条件。

   审计合规性报表

   综合报表：提供日报、周报、月报等各类报表，基于系统级和单库级别对审计信息做全量综合分析。

   合规性报表：根据法案构成，提供SOX、PCI、等保报表。

   专项报表：根据风险、性能、客户端、失败信息等多个维度分别建立独立分析报表。

    自定义报表：用户可基于报表模型，自定义生成符合自身业务关注点的报表。

   云化部署支持

    系统支持私有云及虚拟化部署，并提供多种数据采集能力；

    虚拟交换机引流：依赖虚拟交换机（VSwitch）进行流量镜像，类似于传统的审计产品网络部署。

    Rmagent插件引流：基于应用端或数据库服务器安装rmagent插件，通过虚拟环境分配的审计管理口进行数据传输，完成数据采集。

   集群管理

   提供分布式部署能力，可支持数据集中化管理和分析。在网络内已部署多个审计节点的前提下，建立独立的集群管理中心，各节点具备远程登录和管理的权限，可通过上报、审批加入集群管理列表，并支持如下功能：

  对外扩展接口开放

   为适应第三方平台对审计数据的集成需求，提供Syslog日志导出功能，可输出风险语句和全量审计数据；并开放webservice接口实现系统对接，完善审计日志的二次分析。