数据库审计系统功能

【功能一：数据库发现与管理】

系统可基于流量识别技术，自动发现、添加数据库并快速进行审计。自动识别的数据库信息包括：服务器 IP 地址、数据库类型、数据库版本、字符集等内容。系统针对网络内未知的数据库信息进行有效梳理，可以解决现场网络环境复杂、数据库资产不清晰等问题。

【功能二：探针式数据采集】

系统的部署方式多样，除了常规的旁路审计部署之外，还可以基于“探针”方式捕获数据库流量，可适用于复杂的虚拟化网络环境。产品在应用端或数据库服务器部署Rmagent 组件(产品提供)，通过虚拟环境分配的审计管理网口进行数据传输，完成数据库流量采集。系统支持多探针部署，并提供批量安装和统一管理功能。Rmagent 具备良好的兼容性，可适用于 CentOS、RedHat、Solaris、AIX 等主流操作系统。

【功能三：加密协议解析】

系统审计基于数据库通讯协议解析，例如 TNS、Telnet 等多种协议类型。市场上MySQL5.7、SQL Server 等数据库有时会采用加密协议通讯，为审计解析带来了困难。针对 SQL Server 默认的数据库用户加密，系统无须插件可以通过“授权账户”方式获取数据库账户信息；针对更深层次的加密协议，系统可以通过“导入加密证书”的方式进行通讯协议解密。

【功能四：应用关联审计与监控】

常规的数据库通讯协议解析只能解析到客户端一层的信息，包括：客户端 IP、数据库用户、主机名、操作系统用户名等。利用上述信息可以实现运维侧的风险追溯，但是无法对应用侧风险行为进行追溯,因为在客户端之前还有应用系统信息，甚至业务中间件信息。

【功能五：数据库入侵行为监测】

系统提供针对数据库漏洞攻击的“检测”功能：当外部系统利用数据库漏洞进行数据库攻击时，系统可以实时捕获到对应的 SQL 语句及相关会话信息并发送告警，帮助用户实时监控数据库漏洞风险并有效追溯风险来源。

除了数据库漏洞攻击行为，系统还可以针对 SQL 注入和 XSS 攻击行为进行审计和规则命中。基于精准的 SQL 语法分析，系统可以准确定位 SQL 语句中的操作谓词及常量表达式，保障注入、攻击行为监测的准确性。系统提供缺省的 SQL 注入特征库，并支持用户自定义规则。

【功能六：数据库异常行为监测】

数据库审计产品的主体价值是帮助用户高效的完成风险行为的定责追溯。系统可针对数据库通讯协议进行完全解析；可学习、归类 SQL 语句模板，并结合会话信息、应用关联信息，实现数据库行为建模。基于建模语句波动情况，进行有效的分析和深入的挖掘。当

数据库访问行为异常时，系统可提供实时的告警能力，降低数据泄露的损失。

【功能七：数据库违规行为监测】

系统提供丰富的规则类型，可以针对不同的数据库访问来源，提供对敏感表的访问权限、操作权限和影响行数的有效监控，并结合对 NO WHERE 语句风险的判断，避免大规模数据泄露和篡改。

系统利用审计到的数据库账号和客户端 IP 信息,针对指定周期内，同一 IP 或账号的频次性失败登录行为进行监控并形成告警，并将关联审计到的应用 IP 和应用账号，纳入数据库访问规则。

【功能八：多维度关联分析】

系统在纵向维度，提供数据库全局查询、分组查询和独立查询三种分析视角，用户可以根据业务需求进行综合分析。用户可以从访问源入手对多个数据库进行全局查询，快速定位风险访问来源；也可以针对某一数据库进行深度钻取分析，有效评定数据库风险。

系统在横向维度，提供三种分析维度，包括风险分析、语句分析、会话分析。

【功能九：丰富的报表展现】

系统将报表划分为以下几类，帮助安全管理人员更加便捷、深入的剖析数据库运行风险。

综合报表：日报、周报、月报，基于系统级和单库级别对审计信息做全量综合分析；

合规性报表：根据法案构成，包括 SOX、PCI、等保分析报表

专项报表：根据风险、性能、客户端、失败信息等多个维度分别建立独立分析报表；

自定义报表：用户可基于报表模型，自定义生成符合自身业务关注点的报表;系统为提高报表的展现效率，提供报表预存和定时推送功能。

报表预存：用户可以对关注的报表按照查询周期生成预存文件。当用户按周期查询报表时，系统调用预存文件可以快速生成报表。

定时推送：用户可以对关注的报表设置定时推送功能，定时查询周期内报表并生成 Word、PDF、HTML 等文件格式，推送到指定的邮件或服务器，便于用户查阅。

【功能十：数据库性能分析】

系统的审计内容全面，可以对数据库的 SQL 吞吐量、会话并发量进行实时监控，从而评估数据库运行状态和资源使用情况。

【功能十一：数据备份与恢复】

系统将存储空间进行合理划分，分别存储“在线语句量”和“备份语句量”。系统提供在线语句量全文检索分析能力；并支持对备份语句的自动压缩、存储。根据不同的业务场景，可以按“高压缩比”存储，有效利用存储空间，或者按照“高性能”存储，有效利用系统资源。

【功能十二：对外数据传输接口】

为便于第三方平台接收日志进行二次分析，系统提供数据对外传输能力，并提供标准化接口。

【功能十三：集群管理】

系统提供多设备分布式部署能力，并支持数据集中化管理和分析。在网络内已部署多个审计节点的前提下，建立独立的集群管理中心。集群管理中心对各节点具备远程登录和系统管理，各节点通过上报、审批加入集群管理列表。