数据库监管系统说明书.docx

《数据库监管系统说明书.docx》由会员分享，可在线阅读，更多相关《数据库监管系统说明书.docx（22页珍藏版）》请在三一办公上搜索。

1、、前言随着网络安全技术在全球迅猛发展，人们在享受网络信息化给带来种种的方 便同时，也受到日益严重的来自网络的安全威胁。尽管我们广泛地使用各种复杂 的安全技术，如防火墙、数据加密技术、访问控制技术、通道控制机制等技术来 避免黑客或病毒的攻击，但是来自于内部的网络安全威胁，其危害程度更是远远 超过黑客攻击及病毒造成的损失，而这些威胁绝大部分与内部各种网络访问行为 有关。从信息安全角度来看，数据库的安全又是企业信息安全的关键。很多企业虽 然在这方面也做了很多的安全措施，但是从近年来发生的安全事情看，数据库安 全问题远远不只是物理层面安全和网络层面的安全，还面临这从安全管理到安全 技术等各方面的安全隐

2、患，这些风险将会给企业管理带来严重的影响，可能会造 成巨大的经济损失，甚至引起法律纠纷。如果没有一种专门的监控系统这些事件 将难以追查和弥补，给企业带来损失。如何有效的监控到数据库的操作信息，及时的发现违反了安全策略并实时的 告警，或事后追查取证用，这是企业关注并迫切需要解决的问题。DataMate数据库监管系统是福建毅康网络科技有限公司专门针对数据库安 全应用问题开发的产品。DataMate通过网络数据的采集、分析、识别，实时动 态监测数据库操作记录，兼并数据库本地审计的方式，发现并捕获数据库操作违 规行为，实时报警响应，全面记录各种操作事件，实现对记录的智能关联分析、 安全事件的准确全程跟

3、踪定位，为管理者和系统管理员提供及时、准确、详细的 数据异动信息，发现工作中的越权、违规、过失、恶意篡改等操作，起到电子警 察预防、威慑作用。DataMate监管系统实现对数据库的增删查改等各种操作行为进行捕获。对于 客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内 容。提供灵活丰富的查询功能，并能指定所需的统计和分析报表，以便企业管理 员查询、分析和跟踪使用。本系统针对ORACLE、sql server、mysql等主流数据 库，适用于金融、卫生、保险、电力和制造业等大中小型企业数据库审计的安全 需求。2.1系统组成DataMate监管系统包括数据库监管引擎（硬件）、解

4、析中心和展示终端三大部 分构成。构造图如下：展示终端业务pc使用PC监管引擎：主要是通过旁路监听的方式接入网络，在核心交换机上设置端口 镜像模式，使监控引擎能够实时动态监测到与数据库进行通讯的所有操作，并把 数据库操作采集、分析、识别，并把相应的数据发送到数据解析。解析中心：通过对监管引擎上采集的数据包或者本地数据库归档日志进行解 析和关联，形成最终的结果，供数据展示。展示终端：把采集到的数据解析关联，供用户配置、查询和定制报表。2.2核心功能引擎：对数据库操作包捕获硬件。解析：对包进行解析和归档写入数据备份库。定位：根据查询的信息，能准确从数据备份库中准确找到根源记录。 预警：对一些违规操作

5、，能及时发邮件通知，及时补救修复数据。 报表：提供多种图形化报表，更直观的查看数据的流动情况。三、系统环境3.1硬件环境DataMate监管引擎展示服务器：CPUi5四核2.0G,内存：4G,硬盘SATA 160G3.2软件环境展示服务器：MicroSoft Windows Server 2003, Oracle 10g, mysql 5.1, IE7.0I、监管引擎4.1主要功能模块瀚接入监管引擎 ms j协议踞J 协陟析J 馈螭数据输出存日库4.2配置镜像口DataMate监管引擎工作原理是在核心交换机上通过旁听接入网络的，所以要 在核心交换机上要配置镜像端口，接入DataMate监管引擎

6、，数据库服务器接入 核心交换机被镜像口，这样就可以捕获到所有被镜像端口的数据库操作记录。4.3引擎参数设置在捕获到数据操作记录后，要把捕获到的数据传输出去，这样才不会因为捕 获到的数据量积累起来，导致硬盘爆满而引起的一系统问题，所以这边要设置一个ip地址，把数据及时的传输出去。五、解析中心5.1主要功能模块解析中心系编啪化5.2系统初始化第一次运行程序，要初始化系统。点击安装路径下面的解析中心程序，会弹 出提示审计数据库连接不上，点击ok按钮，跳转到初始化界面，输入相关信息， 初始化成功。图5.2初始化页面5.3自动解析5.3.1网络审计网络审计是对监管引擎采集到数据进行解析和归库，是展示终端

7、的数据源。 初始化成功，进入解析中心，如图5.3.1，点击开始解析，就会对数据进行解析。5.3.2本地审计本地审计主要是对客户的生产机器数据库产生的归档日志文件做解析，在解 析之前要先提取生产机器数据库的数据字典，然后解析的过程中会根据字典解出 对应的日志信息。本地审计刚开始是不会出现在界面的，必须在“设置”界面的“启用本地审 计”的选项打钩，并保存参数，主要才可见。点击“本地审计”按钮可以跳转到 本地审计的界面。如图5.3.2，点击设置按钮设置对象文件和日志路径，返回主 页面，点击开始解析就可以解析。5.4手动解析是对网络审计备份出来的数据的回放补充，也就是把早期导出来的 数据再重新导入到数

8、据库中，然后通过客户端来查看。手动解析是基于网络解析 的，所以在使用手动解析之前必须先安装有网络审计并且初始化。点击手动解 析.exe，图5.4,选择备份的文件路径，然后选择解析的时间范围，点击开始解 析，就可以解析。5.5参数设置5.5.1网络审计参数设置网络审计参数设置主要对数据提取、邮件预警、数据索引、短信预警、启动 本地设置和手动备份的设置。图5.5.1本地审计参数设置主要对系统运行模式、数据保存模式，日志解析设置等一 些常规应用的设置。图5.5.2六、展示终端6.1主要功能模块I计展示终端预拶姚预警规师瞄预澈计报表6.2系统登录登录系统需要提供三类数据：帐号、密码和验证码。只有三者均

9、正确才能进 入系统，保证了系统的安全性。（初始帐号：admin,密码：888888）登录界面如图6.2：.匕lLI6.3系统首页展示端主界面分为两大部分，“菜单栏”，“主界面”。如图6.3.1：菜单栏：包括【实时审计】、【综合查询】、【预警数据】、【报表数据】、【数据 配置】、【系统管理】六大功能菜单，分别管理不同的功能子模块，还有修改密码 和用户信息两个用户模块。点击相应的功能菜单，就会在窗口左边显示相应的子 模块。如图6.3.2：图6.3.2主界面菜单栏6.4实时审计6.3.2：6.5综合查询综合查询是对捕获到的所有数据进行按条件查询，找到您想要的准确信息， 如图6.5.1。双击某行数据，

10、即可显示相应的详细数据信息，如图6.5.2。填入 你所有查询的数据信息，点击【查询】按钮，就可以显示该条件的数据记录，点 击【导出】按钮，就可以把数据以execl的形式导出。图6.5.1综合查询主界面6.6据。6.6.1预警数据查询预警数据是触发了预警规则而被记录下来的数据。根据您的要查询的条件， 显示相关的记录。如图6.6.1。双击某行数据，即可显示相应的详细数据信息， 如图6.6.2。填入你所有查询的数据信息，点击【查询】按钮，就可以显示该条 件的数据记录，点击【导出】按钮，就可以把数据以execl的形式导出。图6.6.1预警查询页面IF卷戒警数据详SB信息-Windows Interne

11、t Explorer http:/192.16B.200.5&:8099/fzamms/rule.do?task=alertnfo8isid=14馈害数据详翅信息用户名:SYSTEM操作时间:2005-03-07 21:56:43操作表:FATS IN HOSPITAL操作方式:UPDATE计算机名:D0MAINML570-2使用程序名:NULLupdate INPADM. PATS_IN_HDSPITAL set TOTAL.COSTS =n 2947. 02 TOTAL.CHARGES = n 2947. 02?操作内容:where TOTAL.COSTS = ? 2936.02, and

12、 TOTAL.CHAEGES =? 2936. 02, and ROWID = ,AAAA51AAAAAAAAAAAA?;图6.6.2预警数据详细页面6.6.2预警规则设置客户析的配置生成预警数据的规则，也就是预警数据时根据预警规则来生成的。所以 可以根据自己的实际需要，在数据解析之前配置好相应的预警规则，后台解 时候就会根据这些规则来生成预警数据。如图6.6.3图6.6.3预警规则页面点击Q凰也，会弹出一个对话框，就可以添加预警规则。点击醐隆1 就可以把选中的记录给删除掉。双击某条记录，就可以弹出修改界面。如图6.6.4。系统初始化的时候会默 认生成两条预警规则，用户可以根据实际情况加以删除

13、或修改。预警方式有两种: 记录和邮件。记录表示只记录，邮件表示既记录又给客户发预警邮件。所以选择 邮件的时候下面的邮件地址必须填写。邮件地址选择框的内容必须在预警收件人 那边先配置好。6.6预警统计报表主要是用来查看具体时间段内触发预警规则的操作情况。报表 的时间可以按年、月、日和小时来细化的查看具体对象的访问情况。系统提供了 报表类型有两种：饼图和柱图，提供了图形化报表可以更直观的查看数据操作情 况。图6.6.5预警统计主界面选择报表类型如果选择年，那么下面只能是年份可选，其他选项不可选；如 果选择月，那么年和月份的选项可选；如果选择日，那么年份、月份和日可选； 如果选择小时，那么所有的都可

14、以选，图6.6.5为报表的主界面。对象提供了预 警规则、数据库用户、数据库表和操作方式查询。选择您的数据是本地或者是网 络，默认是本地类型。点击确认，在当前页面会显示太对象的访问量列表，然后 可以点击柱囹报去或者懦囹报去，能查看当前页的图形报表。（当查询到数据为 空的时候，这边是不让查看）图6.6.6为柱图，图6.6.7为饼图。200160tIlLUl-s.EHN3visitsbar）：访问里像）2006年10月数据库表预警报表dsQ.2】IHL卷 o工i-w-lskwq:OJ.8ndl-nolDJolziiJJJI_JMoMt:liiJL.数据库表图6.6.6预警柱图报表2006年，0月数据

15、库表预警报表 CLINIC_M ASTER0.52% INP_BILL_DETAIL95.34% ORDERS2.07% Q UTP_DOCTOR_ASSI STANT1.55% PE PERSONAL ITEM DICT0.52%图6.6.7预警饼图报表6.7报表数据该模块主要有由趋势报表、统计报表和报表设置三大功能块组成。报表的主 要数据分网络审计和本地审计数据，可以显示具体时间段的报表，报表的时间可 以是按年、月、日和小时来细分，报表的横坐标也会跟着时间类型做相应变化。纵坐标也会跟着访问量的变化而调整最大值。6.7.1趋势报表趋势报表主要是用来查看具体时间段的数据走向情况。报表的时间可以

16、按 年、月、日和小时来细化的查看具体对象其数据走向情况。系统提供了报表类型 有两种：曲线和柱图，用图形化可以更直观的查看数据变化的整体情况。图6.7.1趋势报表主界面对象和具体对象是联动关系，就是先选择对象，然后具体对象框才是可选状 态，总访问量除外.。选择数据类型是本地或者是网络，默认是本地类型；选择 报表图型是柱图还是曲线，默认是曲线类型。点击确认就可以显示具体的数据图 形。图6.7.2为柱图，图6.7.3为曲线图visitsbar）：访问里除）2006年10月总访问量访问趋势报表日期（日）总访M京图6.7.2趋势曲线报表visitsbar）：访问里保）2006年10月总访问量访问柱图报表

17、15000 1350012000105009000750060004500300015000 - ZE寸一，gfsmm二，=其挡胃号胃邛篙篙捋胃巨宥宥日昌时期（日）图6.7.3趋势柱图报表6.7.2统计报表统计报表主要是用来查看具体时间段的数据操作情况。报表的时间可以按 年、月、日和小时来细化的查看具体对象的访问情况。系统提供了报表类型有两 种：饼图和柱图，提供了图形化报表可以更直观的查看数据操作情况。图6.7.4统计报表主界面选择数据类型是本地或者是网络，默认是本地类型。点击确认，在当前页面 会显示具体对象的访问量列表，然后可以点击柱囹报表或者析囹报耒，能查看当 前页的图形报表。（当查询到数

18、据为空的时候，这边是不让查看）图6.7.5为饼图， 图6.7.6为柱图。2006年10月数据库用户访问报表CDAN10.55%.CHONG0.32%.CJHONG0.32%CU3.39%CSHUA5.16%口CXJUAN15.97%BCZRONG19.35%DLFENG2.42%BDPFS1.45%BEXAM2.42%FWZHENG10.15%FYYING35.65%BHHJUAN0.65%.HSJU0.81%.HYPING1.29%图6.7.5统计饼图报表vi5its(bar)：访问里廉)2006年10月数据库用户访问报表数据库用户I图6.7.6统计柱图报表(MSS1W写6.7.3报表配置该

19、配置是为自动报表功能服务的，这边可以设置自动报表的生成规则，然后 后台在预设的时间内才能生成相应的报表。如图6.7.7。图6.7.7报表配置主页面点击占昼8蚩！，会弹出一个对话框，就可以添加预警规则。点击 厕他 就可以把选中的记录给删除掉。双击某条记录，就可以弹出修改界面。如图 6.7.8。图6.7.8新增报表配置页面6.8数据配置数据配置包含：数据库用户名、数据库表名、计算机名、程序名、操作类型 和存储过程六个配置模块，主要是对采集到的信息进行中文解释和信息的扩展， 便于查看和理解相关的操作信息。6.8.1数据库用户名对数据库中数据库用户名数据进行相应的归类，客户对具体对象的细节做补 充，这

20、样在查询的时候明细信息就有对象的细节说明。图6.8.1数据库用户信息配置-提取前页面图6.82数据库用户信息配置-提取后页面操作说明和要点：1、刚初始化的时候该模块都是空的，如图6.8.1用户根据需要到具体的对象界 面点击：皿1按钮，后台会自动把数据库中的相应对象提取出来，并列 表显示，如图6.8.2。2、用户可以在查询框中填入想查询的用户信息，点击查询就可以得到想要的记 录。3、用户可以在提取后的界面，双击某一行数据，就可以填写相应的明细信息。 如图6.8.3。在部门选框中，没有您所在的部门，可以直接手动输入即可。图6.8.3数据库用户修改页面4、用户可以点击对数据库用户进行添加。对想要删除

21、的数据在勾选框中选中，然后点击就可以把相应的数据清除。6.8.2数据库表名对数据库中数据库表名数据进行相应的归类，客户对具体对象的细节做补 充，这样在查询的时候明细信息就有对象的细节说明。操作说明和要点：具体操作见数据库用户名说明。6.8.3计算机名对数据库中计算机名数据进行相应的归类，客户对具体对象的细节做补充， 这样在查询的时候明细信息就有对象的细节说明。操作说明和要点：具体操作见数据库用户名说明。6.8.4程序名对数据库中程序名数据进行相应的归类，客户对具体对象的细节做补充，这 样在查询的时候明细信息就有对象的细节说明。操作说明和要点：具体操作见数据库用户名说明。6.8.5操作类型对数据库中操作类型数据进行相应的归类，客户对具体对象的细节做补充， 这样在查询的时候明细信息就有对象的细节说明。操作说明和要点：具体操作见数据库用户名说明。6.8.6存储过程对数据库中存储过程数据进行相应的归类，客户对具体对象的细节做补充， 这样在查询的时候明细信息就有对象的细节说明。操作说明和要点：具体操作见数据库用户名说明。6.8系统管理6.8.1用户信息操作说明和要点：具体操作见数据库用户名说明。6.8.2角色信息操作说明和要点：具体操作见数据库用户名说明。