数据库审计原设备参数指标

2023年8月1日发(作者：)

数据库审计原设备参数指标 产品须采用专用工控机硬件架构，非普通PC服务器， MTBF(平均故障间隔时间)≥65000小时；

硬件指标

系统须启动采用CF卡加硬盘方式，保证稳定可靠不可篡改。

规格：1U机架式设备，硬盘可用容量：≥1TB，千兆电口≥4。

吞吐能力：≥1000M，日处理业务操作数：≥1亿条。

处理能力 数据采集性能：≥1万条/秒。

审计日志检索能力：≥1500万条/秒。

旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计。

软件代理模式：支持在目标数据库安装软件代理（agent）解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计。

部署方式 支持分布式部署，管理中心可实现统一配置、统一报表生成、统一查询。

管理中心和探测器都可存储审计数据，实现大数据环境下磁盘空间的有效利用和扩展。

管理中心和探测器直接的数据传输速率、时间、端口都可自定义。

支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等六种主流数据库审计。

支持对SQLserver 2005以上版本加密用户名的审计。

协议支持

支持PostgreSQL、Teradata、Cache等数据库审计。

支持主流业务协议 HTTP、Telnet、FTP、SMTP、POP3、DCOM。

支持对各种协议自动识别编码及在web界面手工配置特定编码。

审计功能 支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计。

支持对操作时间、SQL语句、执行结果、返回结果集、影响行数、执行时长、数据库用户名、实例名、源/目的IP、源/目的端口、源/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、业务主机群、SQL模板、会话ID、事件唯一ID等至少21个条件进行审计。

数据库请求和返回的双向审计：支持审计返回时长、SQL错误代码、返回行数、返回结果集的审计，以及客户端发送的数据库操作指令。

支持跨语句、跨多包的绑定变量名及绑定变量值的审计。

支持对超长SQL操作语句审计，可以正常记录单条长度<=64K个字节的SQL语句内容。

支持在IPV6环境中部署，且支持所有数据库IPV6协议的审计。

支持数据库防火墙功能，支持对根据IP、账号、客户端工具名、时间等定制规则进行阻断。

支持导入审计关联的账号信息，支持通过IP和账号关联到具体SQL是哪个自然人操作。

自动识别流量中存在的数据库，也可通过扫描发现网络中的数据库。

智能发现

数据库风险评估：支持对主流数据库的安全漏洞扫描。

支持B/S业务系统三层关联审计，客户端访问WEB服务器执行SQL操作，应用关联

系统需支持将URL和SQL语句关联，记录客户端地址等信息。

(三层关支持C/S、B/S三层架构下的真实用户名关联配置。

联)

支持通过部署agent实现java web环境100%准确关联。 支持旁路自动学习三层审计关联功能。

支持网络TCP会话审计。

运维审计 支持数据库协议解析成会话形式，并支持一键关联到具体的SQL操作会话。

支持与堡垒主机自动关联审计通过ssh、rdp等加密协议操作数据库行为。

支持审计记录中敏感数据的模糊化处理，内置常见敏感数据掩码规则，支持自定义敏感数据掩码规则。

安全审计

内置安全特征库规则不少于300条，支持对数据库安全进行检查，如SQL注入，缓冲区溢出，数据库漏洞、弱口令等。

内置审计规则库不少于200条。支持事件类型和策略分组，同时支持黑白名单方式策略。

可自定义审计策略。审计策略至少支持18个条件。

规则各条件之间支持与或非逻辑关系。

审计策略

告警数量需支持最大告警数量限制，超过告警阈值之后便不告警。

告警分析应支持根据SQL模板排行分析，便于告警处理。

告警查询应支持根据登陆用户、客户端工具名、客户端IP、规则进行归并分析，能详细展示每类告警占总告警数量百分比，便于告警分析处理。

具有高效的查询性能，后台采用SPHINX全文检索引擎检索。

查询条件易于使用，审计查询条件均为非正则表达式形式进行。

审计查询

支持采用部分匹配模糊查询方式检索审计日志。

支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登陆账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询。

系统提供内置多种报表模板库，内置的报表不少于35种。

支持根据单个数据库或逻辑数据库组生成报表。

报表支持严格按照塞班斯（SOX）法案、等级保护标准要求生成多维度综合报告。

支持按照源IP地址、客户端工具、帐号、告警数等源信息生成报表。

支持按照数据库访问行为生成报表，智能识别帐号的增删、权限变更、密统计报表

码修改、特权操作等行为。

支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操作数、执行量最多的SQL语句等报表。

支持性能分析，准确提炼出SQL语句执行频率和执行时间异常的报表。

支持Word、PDF、ppt等格式的报表导出。

支持定期自动生成审计报表且以电子邮件方式自动进行发送。

支持报表自定义，自定义的条件不少于20个。

支持对数据库自动建模及智能对异常行为告警功能；模型包括但不限于：新增行为、帐号视图、源IP视图等，并自动对模型以外的行为进行告警。

可通过行为轨迹图方式展示数据库访问行为。

模型分析

可基于账号、IP地址、访问权限、客户端工具等维度对行为模型做钻取分析、变更分析，对学习的安全基线以外的行为自动智能的进行告警。

可以自动对比不同时期的行为模型，以区分其审计日志数趋势、用户、IP地址、工具、访问权限的差异情况。 支持根据保留天数和占用百分比自动清理最早的数据。

备份文件需要加密，支持审计数据自动备份审计日志，并外送到独立FTP数据管理

服务器。

提供审计策略和系统配置信息的单独导入、导出功能。

提供用户界面告警、Syslog告警、SNMP告警、邮件告警、短信告警、ftp实时监视

告警等六种方式。

支持本地和数据中心查看CPU、内存、磁盘、网口、运行状态等信息。

采用B/S架构管理，支持中英文两种管理界面。

支持系统安全配置（会话锁定、超时退出、IP地址访问控制、密码复杂性管理、验证码登陆等安全措施）。

支持NTP时间同步、SNMP(v1、V2、V3)网络管理协议。

系统管理

支持离线手工自动升级，升级数据和配置均需保留。

支持三权分立，系统默认设定系统管理员、规则配置员、审计查看员、操作日志查看员等角色。

具有自身安全审计功能，可以对审计系统的所有用户操作进行审计记录。

系统内置独立的故障排错系统，可以支持一键导出加密的系统调试日志，故障排错

支持一键检测服务、许可证、流量等大部分常见常见故障的检测。

支持流量分析功能，包括抓包、包内容查看、自动探测sql语句等。

2023年8月1日发(作者：)

数据库审计原设备参数指标 产品须采用专用工控机硬件架构，非普通PC服务器， MTBF(平均故障间隔时间)≥65000小时；

硬件指标

系统须启动采用CF卡加硬盘方式，保证稳定可靠不可篡改。

规格：1U机架式设备，硬盘可用容量：≥1TB，千兆电口≥4。

吞吐能力：≥1000M，日处理业务操作数：≥1亿条。

处理能力 数据采集性能：≥1万条/秒。

审计日志检索能力：≥1500万条/秒。

旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计。

软件代理模式：支持在目标数据库安装软件代理（agent）解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计。

部署方式 支持分布式部署，管理中心可实现统一配置、统一报表生成、统一查询。

管理中心和探测器都可存储审计数据，实现大数据环境下磁盘空间的有效利用和扩展。

管理中心和探测器直接的数据传输速率、时间、端口都可自定义。

支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等六种主流数据库审计。

支持对SQLserver 2005以上版本加密用户名的审计。

协议支持

支持PostgreSQL、Teradata、Cache等数据库审计。

支持主流业务协议 HTTP、Telnet、FTP、SMTP、POP3、DCOM。

支持对各种协议自动识别编码及在web界面手工配置特定编码。

审计功能 支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计。

支持对操作时间、SQL语句、执行结果、返回结果集、影响行数、执行时长、数据库用户名、实例名、源/目的IP、源/目的端口、源/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、业务主机群、SQL模板、会话ID、事件唯一ID等至少21个条件进行审计。

数据库请求和返回的双向审计：支持审计返回时长、SQL错误代码、返回行数、返回结果集的审计，以及客户端发送的数据库操作指令。

支持跨语句、跨多包的绑定变量名及绑定变量值的审计。

支持对超长SQL操作语句审计，可以正常记录单条长度<=64K个字节的SQL语句内容。

支持在IPV6环境中部署，且支持所有数据库IPV6协议的审计。

支持数据库防火墙功能，支持对根据IP、账号、客户端工具名、时间等定制规则进行阻断。

支持导入审计关联的账号信息，支持通过IP和账号关联到具体SQL是哪个自然人操作。

自动识别流量中存在的数据库，也可通过扫描发现网络中的数据库。

智能发现

数据库风险评估：支持对主流数据库的安全漏洞扫描。

支持B/S业务系统三层关联审计，客户端访问WEB服务器执行SQL操作，应用关联

系统需支持将URL和SQL语句关联，记录客户端地址等信息。

(三层关支持C/S、B/S三层架构下的真实用户名关联配置。

联)

支持通过部署agent实现java web环境100%准确关联。 支持旁路自动学习三层审计关联功能。

支持网络TCP会话审计。

运维审计 支持数据库协议解析成会话形式，并支持一键关联到具体的SQL操作会话。

支持与堡垒主机自动关联审计通过ssh、rdp等加密协议操作数据库行为。

支持审计记录中敏感数据的模糊化处理，内置常见敏感数据掩码规则，支持自定义敏感数据掩码规则。

安全审计

内置安全特征库规则不少于300条，支持对数据库安全进行检查，如SQL注入，缓冲区溢出，数据库漏洞、弱口令等。

内置审计规则库不少于200条。支持事件类型和策略分组，同时支持黑白名单方式策略。

可自定义审计策略。审计策略至少支持18个条件。

规则各条件之间支持与或非逻辑关系。

审计策略

告警数量需支持最大告警数量限制，超过告警阈值之后便不告警。

告警分析应支持根据SQL模板排行分析，便于告警处理。

告警查询应支持根据登陆用户、客户端工具名、客户端IP、规则进行归并分析，能详细展示每类告警占总告警数量百分比，便于告警分析处理。

具有高效的查询性能，后台采用SPHINX全文检索引擎检索。

查询条件易于使用，审计查询条件均为非正则表达式形式进行。

审计查询

支持采用部分匹配模糊查询方式检索审计日志。

支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登陆账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询。

系统提供内置多种报表模板库，内置的报表不少于35种。

支持根据单个数据库或逻辑数据库组生成报表。

报表支持严格按照塞班斯（SOX）法案、等级保护标准要求生成多维度综合报告。

支持按照源IP地址、客户端工具、帐号、告警数等源信息生成报表。

支持按照数据库访问行为生成报表，智能识别帐号的增删、权限变更、密统计报表

码修改、特权操作等行为。

支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操作数、执行量最多的SQL语句等报表。

支持性能分析，准确提炼出SQL语句执行频率和执行时间异常的报表。

支持Word、PDF、ppt等格式的报表导出。

支持定期自动生成审计报表且以电子邮件方式自动进行发送。

支持报表自定义，自定义的条件不少于20个。

支持对数据库自动建模及智能对异常行为告警功能；模型包括但不限于：新增行为、帐号视图、源IP视图等，并自动对模型以外的行为进行告警。

可通过行为轨迹图方式展示数据库访问行为。

模型分析

可基于账号、IP地址、访问权限、客户端工具等维度对行为模型做钻取分析、变更分析，对学习的安全基线以外的行为自动智能的进行告警。

可以自动对比不同时期的行为模型，以区分其审计日志数趋势、用户、IP地址、工具、访问权限的差异情况。 支持根据保留天数和占用百分比自动清理最早的数据。

备份文件需要加密，支持审计数据自动备份审计日志，并外送到独立FTP数据管理

服务器。

提供审计策略和系统配置信息的单独导入、导出功能。

提供用户界面告警、Syslog告警、SNMP告警、邮件告警、短信告警、ftp实时监视

告警等六种方式。

支持本地和数据中心查看CPU、内存、磁盘、网口、运行状态等信息。

采用B/S架构管理，支持中英文两种管理界面。

支持系统安全配置（会话锁定、超时退出、IP地址访问控制、密码复杂性管理、验证码登陆等安全措施）。

支持NTP时间同步、SNMP(v1、V2、V3)网络管理协议。

系统管理

支持离线手工自动升级，升级数据和配置均需保留。

支持三权分立，系统默认设定系统管理员、规则配置员、审计查看员、操作日志查看员等角色。

具有自身安全审计功能，可以对审计系统的所有用户操作进行审计记录。

系统内置独立的故障排错系统，可以支持一键导出加密的系统调试日志，故障排错

支持一键检测服务、许可证、流量等大部分常见常见故障的检测。

支持流量分析功能，包括抓包、包内容查看、自动探测sql语句等。