绿盟科技企业信息审计解决方案

绿盟安全审计系统(NSFOCUS SAS)绿盟科技自主知识产权的安全产品，是通过网络数据的采集、分析、识别，实时监控网络中企业数据库的所有访问操作，同时支持自定义内容关键字库，实现企业数据库操作的内容监测识别，发现各种违规企业数据库操作行为，及时报警响应、全过程操作还原，从而实现安全事件的准确全程跟踪定位，全面保障企业数据库系统安全。

　　1.1 企业审计方案收益

　　通过布署绿盟安全审计系统会给企业带来：

　　实时监控企业数据库各种帐户(如超级管理员、临时帐户等)的数据库操作行为，准确发现各种非法、违规操作，并及时告警响应处理，降低数据库安全风险，保护企业数据库资产安全;

　　全面记录还原数据库操作信息，提供丰富的审计信息查询方式和报表，方便安全事件定位分析，事后追查取证。

　　　1.2 体系架构

　　绿盟安全审计系统的体系架构主要由安全中心/WEB控制台、网络引擎及升级站点三个部分组成，方便各种网络环境的灵活部署和管理。如下图1 所示：

　　图 1 绿盟安全审计体系结构

　　绿盟安全中心具有系统监控和日志管理功能，可以集中管理多台网络引擎;并可以实现安全中心的主辅管理;支持任意层次的级联部署，实现多级管理，满足不同管理模式的需要;同时可以统一管理绿盟安全审计系统、内容安全管理系统、入侵检测系统、入侵保护系统，提供针对网络正常行为和异常行为的全面行为检测手段，实现安全数据的整体挖掘、关联分析管理;

　　绿盟WEB控制台具有系统配置管理、系统监控和日志管理功能，适合在任何IP可达地点远程管理。

　　网络引擎采用协议识别、特征检测和智能关联分析技术，全面监测网络数据包，及时发现违反安全策略的事件并实时告警记录;

　　1.3 产品特点

　　1. 全面丰富的审计类型

　　系统支持SQL-92标准，覆盖ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等主流数据库系统。

　　2. 精细灵活的审计策略

　　支持基于内容关键字、IP地址、用户/用户组、时间、数据库类型、数据库操作类型、数据库表名、字段名等精细组合数据库审计策略，从而全面监测发现各种非法操作及合法用户的违规操作。如图 2 所示。

　　图 2 数据库审计组合策略

　　3. 精细数据库操作信息还原

　　实时审计用户对数据库系统所有操作(如：插入、删除、更新、用户自定义操作等)，精细还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等，实现安全事件准确全程跟踪定位，为事后追查取证提供有力支持。如图3 所示。

　　图 3 数据库审计信息

　　4. 审计信息“零管理”

　　从实时升级系统到报表系统，从审计告警到日志备份，所有管理员需要日常进行的操作均可由系统定时自动后台运行;

　　系统提供全面的数据库审计事件信息的备份、恢复、清除、归并等功能;日志信息保存到SQL Server，Oracle等大型数据库中， 如图 4 所示;

　　图 4 审计事件维护

　　丰富的数据查询检索。支持基于时间、IP地址、数据库服务器IP地址、用户名、数据库操作命令、数据库表名/字段名等多种丰富的查询检索条件;

　　系统提供了详细的综合分析报表、自定义三种类型10多个类别的报表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG等格式导出。

　　5. 高可靠的自身安全性

　　系统具有安全、可靠、高效的硬件运行平台;采用强加密的SSL加密传输告警日志与控制命令，完全避免了可能存在的嗅探行为，保证了数据传输的安全;

　　设备支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性。

　　1.4 安全审计系统部署

　　1.4.1 部署图

　　根据安全风险分析、安全目标和设计原则，我们在充分利用现有资源、尽量在少投入、少改动的基础上，建议使用以下安全审计解决方案。如图 5 所示：

　　图 5 数据库安全审计部署图

　　1.4.2 部署说明

　　具体部署方式说明如下：

　　在企业内网核心交换机上旁路部署2台绿盟安全审计系统网络引擎，实时审计所有用户对数据库服务器的操作;

　　在企业的网络管理区部署1台服务器作为绿盟安全审计系统的安全中心，具有系统监控和日志管理功能，管理绿盟安全审计系统网络引擎。