当前位置：文档库 › 安恒玄武盾技术白皮书-网络行为审计

安恒玄武盾技术白皮书-网络行为审计

1.安全背景

随着越来越多的用户将传统的业务系统迁移至云平台中，而目前众多云平台企业关注的更多是基础实施的完善和业务的开展，对于安全层面的关注较少，对于云端安全形势非常严峻，而目前基本都采用传统的硬件WAF部署，一方面部署比较废时废力，而且用户需要重复投资安全设备，另一方面用户需要自己管理和运营安全产品，对于缺乏安全专业知识的用户带来困扰。

从传统的安全市场总体规模分析，目前的安全市场只是冰山一角，在互联网、大数据、云计算的大趋势下，我们会接触到很多新的领域，相信我们的玄武盾能给安全市场带来新的开始。

2.产品介绍

2.1工作原理

玄武盾基于大数据和云防护平台，采用零部署的云计算解决方案，用户无需在本地部署任何安全设备，只需将DNS映射至玄武盾CNAME别名地址或NS方式，即可完成WEB安全防护、DDOS防护。

2.2产品功能

2.2.1网站防护

玄武盾提供了目前业界覆盖范围最广、防护能力最强的安全防护，对Web网站或应用进行严格的保护。安全策略来自于Snort、CWE、OWASP组织，以及安恒安全研究院对国内典型应用的深入研究成果，覆盖范围如下：

?HTTP协议规范性检查

检查提交的报文是否符合HTTP协议框架，如异常的请求方法、不同

字段的合规性、特殊字符、重点字段的缺失、HTTP方法控制、超长报

文造成的溢出攻击以及对高危文件的访问等，黑客在使用非浏览器工

具调试时可迅速拦截。

?文件B超

对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell

的上传和访问。

?注入攻击防护

对用户提交的URL、参数、Cookie等字段进行检查，采用SQL语义解

析技术防止风险系数极高的SQL注入攻击，采用字符偏移技术对代码、

命令、文件、LDAP、SSI等注入攻击的检测，有效地防护了对操作系

统和应用的注入攻击。

?跨站脚本攻击防护

采用字符差分技术对用户提交的脚本进行检查，防止不合法跨站脚

本。

?网页木马防护

对页面内容进行逐行扫描，检查是否存在网页木马，防止客户端被感

染。

?信息泄漏防护

对服务器响应状态码、服务器错误信息、数据库错误信息、源代码信

息泄露进行过滤，防止服务器信息被黑客利用进行有效攻击。

?扫描器防护

对常见的wvs、appscan、nessus等扫描器指纹进行有效识别进行防

护。

?第三方组件漏洞防护

对WEB服务器容器、应用中间件、CMS系统等漏洞进行有效防护。

?CSRF跨站请求伪造防护

通过Referer算法和token算法有效对CSRF攻击进行防护。

?防盗链

通过Referer和Cookie算法有效防止非法外链，和对用户资源内容

的盗链。

2.2.2内容加速

内置Webcache及Webrar模块，Webcache模块对静态页面进行高速缓存，提升WEB服务器连接可用性，Webrar模块对页面内容进行文件压缩，提升服务器带宽使用率。

2.2.3防DDOS、CC攻击

拥有专利级防DDOS/CC算法，有效防护实现对Syn-flood、upd-flood、tcp-flood、应用层CC等DDOS攻击，一方面解决了用户网站被DDOS攻击时的可用性问题，另一方面对玄武盾本身也加强了防护，这样可持续保证用户的网站稳定运行。

2.2.4用户独立数据报表

每个用户拥有自身网站的数据和报表，用户可查看访问流量报表、安全防护报表，安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP 统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等。

2.3用户接入流程

用户纳入玄武盾防护的流程如下：

2.31.域名登记

用户联系当地销售告知需要防护的域名信息，并提供环境调研表，安恒安全工程师将域名进行登记入库；

2.3.2.配置防护

安恒安全工程师将用户域名添加至防护列表，添加域名、回源IP、策略等信息；

2.3.3.DNS映射

安恒工程师配置完成后会通知用户进行接入，用户可登陆到DNS管理系统，将网站域名解析指向到玄武盾的别名地址https://www.wendangku.net/doc/e74826430.html,，下面以DNSPOD为例：1、添加CNAME记录：

2、停止用A记录：

2.3.4.验证网站

1、验证网站是否能正常访问；

2、验证网站是否能被玄武盾正常防护。

2.3.5.索要帐号

用户向当地销售索要玄武盾帐号，可随时查看被防护站点可查看访问流量报表、安全防护报表，安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等报表；

2.3.6.可视化安全防护

可实时查看可视化态势感知，实时了解安全防护状态。

3.玄武盾优势

3.1企业级安全解决方案

安恒具备多年企业级安全解决方案，玄武盾核心防护引擎来源于安恒WEB应用防火墙产品，高效稳定，误判率和漏报率业内最低，产品成熟度高，8年产品研发历程，历经数十万网站的考验。

●产品功能完善，可满足不同行业用户的安全需求；

●安全研究院定期输送安全成果到玄武盾，增强防护能力；

●部署简便快捷，用户端无需部署任何安全设备即可完成云防护、云加速；

●用户可对自身业务进行自定义防护和例外策略，杜绝一套策略用于所有

网站，避免误报和漏报；

●用户使用成本低廉，可按需购买。

3.2风暴中心整体解决方案

风暴中心以安恒信息长达8年在信息安全领域的经验积累为核心，借力成熟的大数据及云计算技术构建了基于大数据的安全搜索引擎，从而为实现全国基至全球互联网络在线业务系统的安全基础数据采集、大范围风险评估、威胁情报分析、重大安全事件监测等提供了有力的技术支撑和管理决策参考。

玄武盾依托于风暴中心的实时监测和大数据分析技术，云监测模块在发现问题可快速与玄武盾进行联动响应，可将漏洞结果生成虚拟补丁方式下发到玄武盾进行防护，通过大数据分析技术对海量日志进行分析挖掘，有效发现0day攻击，并同步到玄武盾生成防护策略。

3.3特点

3.3.1DNS聚焦

DNS服务器支持多线路、多节点，可满足用户对DNS的弹性需求，DNS解析速度快，可完成快速切换，DNS服务器安全性高，可有效防护大流量DNS攻击。

3.3.2集群

玄武盾中所有模块均采用集群方式承载，从最前端的DNS服务器到DDOS防护、LB、WAF防护、LOG等模块均采用集群方式部署，无论哪个模块出现问题，整体不会受影响。

3.3.3大数据分析

玄武盾可结合远程安全风险检测、安全事件监测、网站日志分析、流量分析、告警日志分析等多维度数据，进行综合运营，及时发现有针对性的攻击行为和未被拦截到的攻击，同时互联网上任何新型攻击都会被玄武盾第一时间感知，避免系统被入侵产生恶劣影响。

风暴中心采用基于Hadoop的大数据集群计算架构，依据监测分析的规模增大，可进行平滑的弹性扩容，可按需插入硬件设备，实现即插即用，方便地扩大计算集群。风暴中心的弹性计算架构，可应用于国家级的网络空间安全分析，也适用于地区性的辖区安全监控，能够支撑海量数据存储分析，目前已经累计采集了过亿个域名，超过百万个设备IP，其中有25万个政府网站，数据量达到了几百TB。

3.3.4保姆式安全体验

用户无需自行维护安全设备，玄武盾安全工程师将7×24小时待命，用户无需专业知识分析日志、不需要再为调整复杂的安全规则而烦恼，用户在碰到任何问题时只需一个电话就可以，剩下的交给玄武盾。

4.市场分析

玄武盾产品具备部署快速、运维简单、云计算集群、按需付费等特点，适用于整体行业用户和带有区域性质的政府用户。

4.1行业用户群体

某教育信息中心下属500个学校网站，每个学校网站有的托管到IDC机房，有的是自建机房维护，网站安全性参差不齐，无法统一管理，一旦发生安全问题造成的影响非常大，然而通过部署传统硬件WAF解决安全问题，需要为每个学校网站前端部署硬件WAF，会存在实施成本高、实施难度大、无法统一运维等问题。

采用玄武盾解决方案，用户只需统一将所有学校网站统一纳入到玄武盾中，用户就可享受云防护、云加速、DDOS防护等，同时用户精力只需放在自身的业务上，无需为安全运维操心，玄武盾专业的安全人员将会全程负责。

4.2区域用户群体

2014年，我国境内政府网站被篡改数量为1763个，虽然近几年被篡改次数有所下降，但安全情况仍刻不容缓，下图是2014年我国境内被篡改的政府网站数量和其占被篡改网站总数比例按月度统计。

目前某市政府下属多个部门，每个部门都有自已的门户网站，而门户网站安全性参差不齐，有的部署了WAF，有的则未做任何安全防护，对所有网站都通过部署硬件WAF防护，会存在实施成本高、实施难度大、无法统一运维等问题。

采用玄武盾+风暴中心一体化解决方案，纳入玄武盾前通过远程安全评估对网站进行统一健康体检，通过玄武盾进行定制化防护策略，纳入玄武盾后实时进行监测，一旦发现安全问题通过玄武盾快速完成防护。

4.3云政务网

随着越来越多的政府用户将传统的业务系统迁移至私有云中，而目前众多云

平台企业关注的更多是基础实施的完善和业务的开展，对于安全层面的关注较少，即使有提供安全产品的云服务商，很多政府用户为满足等保等要求仍然会选择第三方安全提供商解决，因此这部分用户群体十分庞大，玄武盾可以以服务方式进行提供。

5.竞争分析

5.1传统安全厂商

传统安全厂商基本以硬件WAF为主要解决方案，也有部分厂商推出了虚拟化解决方案，但面对大量网站仍存在部署困难、运维困难、成本高昂等问题，而且在没有风暴中心的大数据分析和运营安全价值难以体现。

5.1.1部署困难

大行业用户网站群众多，而且分布在不同的地址位置，采用硬件WAF解决方案需要将硬件盒子部署到用户端，不仅实施困难，而且成本高昂。

玄武盾无需在用户端部署任何安全设备，用户可以以服务方式按需购买不同的防护模块，成本上可以有效控制。

5.1.2难以防护DDOS攻击

大部分传统硬件WAF不具备DDOS攻击防护，即使具备DDOS攻击防护，也难以防护大流量DDOS攻击和应用层CC攻击；

玄武盾具备大流量DDOS清洗攻击引擎，可防护百G以上的DDOS攻击流量和应用层CC攻击。

5.1.3用户数据无法隔离

传统硬件WAF所有用户数据都存放在一起，数据报表未做分离，缺乏安全性和机密性。

玄武盾数据基于用户视图，所有用户的数据、日志、报表都会进行隔离，用户登陆到管理平台上只能查看自己相关的数据报表，保护了不同用户的隐私。

5.1.4缺乏事前检测、事中实时监测、事后大数据分析

传统硬件WAF用户的日志数据都在本地存放，大多数处于无人管理、无人分析的状态，这样会导致安全设备长期封闭，会导致防护滞后造成安全事件的发生，同时

玄武盾可结合远程安全风险检测、安全事件监测、网站日志分析、流量分析、告警日志分析等多维度数据，进行综合运营，及时发现有针对性的攻击行为和未

被拦截到的攻击，同时互联网上任何新型攻击都会被玄武盾第一时间感知，避免系统被入侵产生恶劣影响。

5.2互联网安全厂商

近几年互联网安全厂商也开始以云加速和云防护的概念推出云防护产品，但主要以个人用户群体为主，缺乏企业级用户的运营经验和技术沉淀，对企业用户的需求把握不准，难以满足用户安全需求，另外也缺乏像风暴中心对预警、监测和大数据分析的平台。

6.销售模式

6.1服务模式

用户以服务模式购买玄武盾服务，可选择域名个数和防护模块，安全运维只需交给玄武盾专业安全人员。

用户可与安恒进行合作共建，用户一次性投入硬件+带宽，安恒负责玄武盾子中心的建立，并负责整体安全运营服务。

5-企业案例-网络安全审计系统(数据库审计)解决方案

数据库审计系统技术建议书

目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。

1.综述随着计算机和网络技术发展，信息系统的应用越来越广泛。数据库做为信息技术的核心和基础，承载着越来越多的关键业务系统，渐渐成为商业和公共安全中最具有战略性的资产，数据库的安全稳定运行也直接决定着业务系统能否正常使用。围绕数据库的业务系统安全隐患如何得到有效解决，一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商，结合多年的安全研究经验，提出如下解决思路：管理层面：完善现有业务流程制度，明细人员职责和分工，规范内部员工的日常操作，严格监控第三方维护人员的操作。技术层面：除了在业务网络部署相关的信息安全防护产品（如FW、IPS 等），还需要专门针对数据库部署独立安全审计产品，对关键的数据库操作行为进行审计，做到违规行为发生时及时告警，事故发生后精确溯源。不过，审计关键应用程序和数据库不是一项简单工作。特别是数据库系统，服务于各有不同权限的大量用户，支持高并发的事务处理，还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求，还会降低数据库性能并增加管理费用。 2.需求分析随着信息技术的发展，XXX已经建立了比较完善的信息系统，数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露，轻则造成企业或者社会的经济损失，重则影响企业形象甚至社会安全。通过对XXX的深入调研，XXX面临的安全隐患归纳如下：

用户行为审计解决方案(UBA)

用户行为审计解决方案（UBA）应用场景随着网络基础设施建设的迅速发展，网络使用人数快速增长，网络在企业生产经营和人们的生活中的作用也日益重要。然而随着网络技术的普及和网络用户使用水平的不断提高，在网络建设和应用过程中也出现了很多难以监控与管理的用户行为：网络帐号盗用严重。政府、企业、高校等用户出于网络运营和信息安全等需要，通常对网络用户采用AAA服务器进行认证管理，但盗用他人帐号密码和IP地址的行为仍然时有发生。访问不健康、非法站点，散布非法言论。当前，网络也成为某些人攻击政府、危害社会的工具。由于目前尚没有简单有效的技术手段追查非法网站的访问者和不当言论的传播人，此类行为往往难以治理。非法的网络行为同网络用户人数一样呈高速增长趋势。为了解决上述问题，公安部门在2005年颁布了《互联网安全保护技术措施规定》，要求网络管理者或者运营者必须记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名等信息，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系，并保留3个月以上的上网日志信息备查，以便公安机关公共信息网络安全监察部门在需要时可以进行追查。解决方案介绍针对公安机关保留上网记录的要求，帮助政府、企业、高校等单位管理和审计用户的上网行为，H3C推出了用户行为审计解决方案（UBA）。UBA通过与多种网络设备共同组网，实现了对终端用户的上网行为进行事后审计，追查用户的非法网络行为的功能。UBA支持多种日志格式（包括NAT、Flow、NetStream、DIG），可实现2到7层的用户行为审计。针对不同的日志类型，管理员可以获得如源IP地址、源端口、目的IP地址、目的端口、开始/结束时间、协议类型、协议摘要（目前支持HTTP、SMTP、FTP协议）等信息。

数据库安全审计解决方案

一、数据库安全审计需求概述数据库系统是一个复杂而又关键的系统，数据库存在各种管理和技术上的风险，如果这些风险变为事实，那么企业数据将遭受严重的经济损失和法律风险。而面对数据库的安全问题，企业常常要面对一下问题：数据库被恶意访问、攻击甚至数据偷窃，而企业无法及时发现、追踪并阻截这些恶意的行为。数据库遭受恶意访问、攻击后，不能追踪到足够的证据。不了解数据使用者对数据库访问的细节，从而无法保证数据安全，特别是敏感数据的管理。来自内部的威胁：特权用户随意修改配置、改变或盗取数据，没有明确职责分工。针对数据库、应用系统日志的审计只能做事后分析，周期长，且无法进行持续性审计。审计缺乏规范性，无法有效成为公司的安全管理规范且满足外部审计需求。人工审计面对海量数据，无法满足可见性，造成审计不完整。权责未完全区分开，导致审计效果问题。二、企业数据管理综合解决方案提供的一组集成模块，使用一个统一的控制台和后端数据存储，管理整个数据库的安全与合规周期。通过，现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库，又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越，而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零，无需对数据库作任何变更，甚至不依赖本地数据库日志或审计工具。三、通过管理数据安全发现、分类并且自动寻找、分类和保护敏感信息使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置，然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策

略。评估加固漏洞、配置和行为评估，锁定与追踪的数据库安全评估功能会扫描整个数据库架构，查找漏洞，并使用实时和历史数据提供持续的数据库安全状态评估。它预先配置了一个综合测试库，建立在特定平台漏洞和业界最佳实践案例的基础之上，可以通过的订阅服务得到定期更新。也可以自定义测试，以满足特定的要求。评估模块还会标记与合规相关的漏洞，如遵从和法规提供非法访问和数据表的行为。监控￥执行—可视性，监控和执行各项策略，主动实时安全通过定制细粒化的实时策略来防止特权用户进行非法或可疑的行为，同时抵挡欺诈用户或外来者的攻击。审计报表—细粒度审计追踪，合规工作流自动化创建一个覆盖所有数据库活动的连续、详细的追踪记录，并实时的语境分析和过滤，从而实现主动控制，生成需要的具体信息。生成的结果报表使所有数据库活动详细可见。四、数据库安全审计解决方案的突出特点和优势： .可以同时支持监控管理多种数据库（）的各种版本； .同时支持多种企业级应用（）、应用服务器中间件服务器（）；.非入侵式部署，不影响网络、数据库服务器现有运行方式及状况，对用户、网络、服务器透明，不在数据库内安装，不需要数据库建立用户；.具有实时阻断非法访问，抵御攻击能力； .可以实现从用户、应用服务器到数据库的全程跟踪即可记录； .可以实现全方位准确监控（来自网络的访问和本地登录访问）； .具备分布式部署和分层架构能力，支持企业级不同地域、多种数据库的应用； .部署容易简单； .独特跟踪下钻（）功能，追查问题可以一步步到最底层； .多行业、众多客户成功应用案例的证明； .对、、等法律遵从性的良好支持； .国际著名审计公司的认同、认可； .第三方国际著名咨询评测机构的认可和赞赏； .支持多种异构操作系统； .记录的日志不可更改，完全符合法律要求；

网络安全审计系统需求分析复习过程

网络安全审计系统需求分析

安全审计系统需求分析关键字：行为监控，内容审计摘要：系统集内容审计与行为监控为一体，以旁路的方式部署在网络中，实时采集网络数据，并按照指定策略对数据进行过滤，然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能，以及后期取证功能。需求背景按等级进行计算机信息系统安全保护的相关单位或部门，往往需要对流经部门与外界接点的数据实施内容审计与行为监控的，以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况，提高单位或部门的工作效率。所涉及的单位类型有政府、军队机关的网络管理部门，公安、保密、司法等国家授权的网络安全监察部门，金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心，大中型企业网络管理中心等。一、实现的效果和目的 a. 对用户的网络行为监控、网络传输内容审计（如员工是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了公司的机密信息，是否通过网络传播了反动言论等）。 b. 掌握网络使用情况（用途、流量），提高工作效率。 c. 网络传输信息的实时采集、海量存储。

d. 网络传输信息的统计分析。 e. 网络行为后期取证。 f. 对网络潜在威胁者予以威慑。二、典型的系统组成安全审计系统由三部分组成：审计引擎、数据中心、管理中心。图1 ：典型的单点部署审计引擎（硬件）：审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析，并把分析后的数据流发送给数据中心。数据中心（软件）：对审计引擎传送过来的数据流进行存储；按照用户的指令对数据进行还原、解码、解压缩，并可进行关键字查询审计、统计分析。管理中心（软件）：提供WEB形式的管理界面，可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。

上网行为管理解决方案

深信服上网行为管理解决方案深信服科技有限公司 2014年5月5日目录

一、项目概况随着信息技术的快速发展，网络应用更新换代频繁，新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。随着互联网的普及，单位业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施，共同构成业务信息化平台。但是在内部网络中，除了这些关键业务系统外，还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用，形成了复杂的网络应用“脉络”。由于单位职工拥有访问互联网的全部权限，在日常工作中对职工的上网行为难以实行有效管理。一些职工上班时间玩游戏、看网络视频、长时间进行I聊天，不仅违反了《公务员管理条例》，而且挤占有限的带宽资源，造成大量基于网络的办公应用受到影响，极大地降低了办公效率；同时无法管控的信息渠道可能导致机密信息的泄漏，导致内部局域网感染病毒而瘫痪。如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。在复杂的互联网环境下，如何管理好单位内部职工的日常上网行为呢？深信服上网行为管理系统（以下简称AC）将彻底解决这些问题。二、深信服上网行为管理产品介绍深信服上网行为管理产品可以阻止人员访问无关的网络，杜绝带宽资源滥用，加快上网速率，提升工作效率；记录上网轨迹，管控外

发信息，规避泄密和法规风险；防止PC中毒，防止组织机密外泄，保障内部数据安全；智能数据分析提供可视化报表和详细报告，为网络管理和优化提供决策依据。可以帮助用户管理员工使用互联网行为的管理，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。深信服是上网行为管理产品品类的创始者，在2005年最早开创了上网行为管理的市场；深信服上网行为管理获得了多项产品专利技术和媒体奖项，已服务于1万多多家客户，受到了市场的一致认可；自2009年以来在其市场占有率一直排在第一的位置。三、具体功能介绍（一）对内网具有安全防控功能深信服上网行为管理在提高用户的上网安全方面提供了大量的技术保证。既能保障AC网关自身的稳定可靠，又能提升组织内网的可用性和安全性。一是，可以过滤恶意网页，防范恶意攻击。AC内置了庞大的恶意网址库，并且实时更新。它通过检测恶意脚本的写注册表、写文件、系统调用等危险行为，以此过滤恶意脚本。独有专利根据插件签名合法性、有效期、插件名称等校验来自网站的插件并过滤，避免无安全防护的终端染毒、被劫持，提升内网安全。二是，可以监测出异常

数据库安全审计建设立项申请报告

数据库安全审计建设立项申请报告 1数据库系统安全隐患分析我单位的信息系统中关键数据库服务器群中的数据服务器存储着大量涉密、重要数据信息。用户数据服务器通过数据库管理系统实现对信息资源的存储管理。我单位信息系统网络系统用户数量众多，用户相互差别较大，对数据库涉密信息、重要业务信息的访问频繁。用户对数据库的任何恶意修改或误操作，都关系我单位信息系统业务数据信息的可用性、完整性与机密性，目前数据库安全隐患集中在： ●信息存储加密：数据的安全性； ●系统认证：口令强度不够，过期账号，登录攻击等； ●系统授权：账号权限，登录时间超时等； ●系统完整性：特洛伊木马，审核配置，补丁和修正程序等； 2建立数据库安全审计体系的必要性 2.1数据安全保护形势严峻随着信息技术的不断发展，数字信息逐渐成为一种重要资产，尤其是在过去的20多年里，作为信息的主要载体——数据库，其相关应用在数量和重要性方面都取得了巨大的增长。几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高，各种数据信息都成为了关系组织生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾，网络技术使得数字信息的泄漏和篡改变得更加容易，而防范则更加困难。更为严重的是，所有信息泄漏事件中，源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过85%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元

的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。因此，近两年来，大多数企事业单位和政府机关纷纷把关注的目光投向信息系统数据的安全问题，尤其是内部网络的管理和防护。 2.2现有数据安全防护体系存在不足现在较为普遍的做法是在原有网络安全防护（防火墙、IDS、UTM等传统安全设备）的基础上，采用上网行为管理类、终端管理类等具备较强防止内部信息外泄功能的产品，筑起了一道由内向外的安全防线，典型的安全防护体系如下图所示：图：数据库安全防线的缺失从这幅典型的网络拓扑图中，我们不难看出，安全防护体系中缺失的正是对服务器区的防护，对数据库的防护,对内部PC访问业务系统的防护！尽管可能使用的数据库系统是Oracal、MS SQL是国际大品牌的产品，其本身有非常强的安全性，但依然可能存在诸多隐患： 1）对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾

安恒玄武盾技术白皮书-网络行为审计资料教学内容

1.安全背景随着越来越多的用户将传统的业务系统迁移至云平台中，而目前众多云平台企业关注的更多是基础实施的完善和业务的开展，对于安全层面的关注较少，对于云端安全形势非常严峻，而目前基本都采用传统的硬件WAF部署，一方面部署比较废时废力，而且用户需要重复投资安全设备，另一方面用户需要自己管理和运营安全产品，对于缺乏安全专业知识的用户带来困扰。从传统的安全市场总体规模分析，目前的安全市场只是冰山一角，在互联网、大数据、云计算的大趋势下，我们会接触到很多新的领域，相信我们的玄武盾能给安全市场带来新的开始。 2.产品介绍 2.1工作原理玄武盾基于大数据和云防护平台，采用零部署的云计算解决方案，用户无需在本地部署任何安全设备，只需将DNS映射至玄武盾CNAME别名地址或NS方式，即可完成WEB安全防护、DDOS防护。 2.2产品功能 2.2.1网站防护玄武盾提供了目前业界覆盖范围最广、防护能力最强的安全防护，对Web网站或应用进行严格的保护。安全策略来自于Snort、CWE、OWASP组织，以及安恒安全研究院对国内典型应用的深入研究成果，覆盖范围如下： ?HTTP协议规范性检查检查提交的报文是否符合HTTP协议框架，如异常的请求方法、不同字段的合规性、特殊字符、重点字段的缺失、HTTP方法控制、超长报文造成的溢出攻击以及对高危文件的访问等，黑客在使用非浏览器工具调试时可迅速拦截。 ?文件B超对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell 的上传和访问。 ?注入攻击防护对用户提交的URL、参数、Cookie等字段进行检查，采用SQL语义解析技术防止风险系数极高的SQL注入攻击，采用字符偏移技术对代码、

面向业务的信息系统的安全审计系统

面向业务的信息系统的安全审计系统近些年来，IT系统发展很快，企业对IT系统的依赖程度也越来越高，就一个网络信息系统而言，我们不仅需要考虑一些传统的安全问题，比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫等，但是，随着信息化程度的提高，各类业务系统也变得日益复杂，对业务系统的防护也变得越来越重要，非传统领域的安全治理也变得越来越重要。根据最新的统计资料，给企业造成的严重攻击中70％是来自于组织中的内部人员，因此，针对业务系统的信息安全治理成为一道难题，审计应运而生。一、为什么需要面向业务的信息安全审计？面向业务的信息安全审计系统，顾名思义，是对用户业务的安全审计，与用户的各项应用业务有密切的关系，是信息安全审计系统中重要的组成部分，它从用户的业务安全角度出发，思考和分析用户的网络业务中所存在的脆弱点和风险。我们不妨先看两个鲜活的案例。不久前，中国青年报报道，上海一电脑高手，方某今年25岁，学的是计算机专业，曾是某超市分店资讯组组长。方某利用职务之便，设计非法软件程序，进入超市业务系统，即超市收银系统的数据库，通过修改超市收银系统的数据库数据信息，每天将超市的销售记录的20%营业款自动删除，并将收入转存入自己的账户。从2004年6月至2005年8月期间，方某等人截留侵吞超市3家门店营业款共计397万余元之多。程某31岁，是X公司资深软件研发工程师，从2005年2月，他由A

地运营商系统进入B地运营商的业务系统--充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，非法获利380万。通过上述两个案例，我们不难发现，内部人员，包括内部员工或者提供第三方IT支持的维护人员等，他们利用职务之便，违规操作导致的安全问题日益频繁和突出，这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题，但是，对于这类与业务息息相关的操作行为、违规行为的安全问题，必须要有强力的手段来防范和阻止，这就是针对业务的信息安全审计系统能够带给我们的价值。二、如何理解面向业务的信息安全审计？信息安全审计与信息安全管理密切相关，信息安全审计的主要依据为信息安全管理相关的标准，例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而达到信息安全审计的目的，提高信息系统的安全性。因此，面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。根据国外的经验，如在美国的《萨班斯-奥克斯利法案

当前数据库安全现状及其安全审计

当前数据库安全现状及其安全审计大学数据库原理教科书中，数据库是这样被解释的：数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式，如文字/数码/符号/图形/图象以及声音。数据库安全现状数据库系统立足于数据本身的管理，将所有的数据保存于数据库中，进行科学地组织，借助于数据库管理系统，并以此为中介，与各种应用程序或应用系统接口，使之能方便地使用并管理数据库中的数据，如数据查询/添加/删除/修改等。数据库无所不在。海量的数据信息因为数据库的产生而变得更加容易管理和使用。政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等行业，纷纷建立起各自的数据库应用系统，以便随时对数据库中海量的数据进行管理和使用，国家/社会的发展带入信息时代。同时，随着互联网的发展，数据库作为网络的重要应用，在网站建设和网络营销中发挥着重要的作用，包括信息收集/信息查询及搜索/产品或业务管理/新闻发布/BBS论坛等等。然而，信息技术是一把双刃剑，为社会的进步和发展带来遍历的同时，也带来了许多的安全隐患。对数据库而言，其存在的安全隐患存在更加难以估计的风险值，数据库安全事件曾出不穷：某系统开发工程师通过互联网入侵移动中心数据库，盗取冲值卡某医院数据库系统遭到非法入侵，导致上万名患者私隐信息被盗取某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡黑客利用SQL注入攻击，入侵某防病毒软件数据库中心，窃取大量机密信息，导致该防病毒软件公司严重损失某证券交易所内部数据库造黑客股民入侵，盗窃证券交易内部报告 …… 数据库安全面临内部恶意操作以及外部恶意入侵两大夹击。如何有效保护数据库信息成为当前信息安全界最为关注的课题。数据库安全分析三大安全风险

玄武盾技术白皮书和用户手册

【文档密级：内部使用】安恒玄武盾技术白皮书杭州安恒信息技术股份有限公司二〇二〇年三月

目录 1.安全背景 (4) 2.产品介绍 (4) 2.1.产品概述 (4) 2.2.WEB监测功能 (5) 2.2.1.基础信息采集模块 (5) 2.2.2.安全漏洞检测模块 (5) 2.2.3.服务质量监测模块 (6) 2.2.4.安全事件监测模块 (6) 2.3.防护功能 (6) 2.3.1.网站防护 (6) 2.3.2.CDN加速 (7) 2.3.3.防DDOS、CC攻击 (8) 2.3.4.永久在线 (8) 2.3.5.可视化安全防护 (8) 2.3.6.玄武盾态势分析 (8) 2.3.7.网页防篡改模块 (9) 2.4.大数据分析服务 (9) 2.4.1.可视化分析展现模块 (9) 2.4.2.用户数据报表 (10) 2.4.3.手机APP管家服务 (10) 2.5.用户接入流程 (11) 2.5.1.域名登记 (11) 2.5.2.DNS映射 (11) 2.5.3.添加白名单 (12) 2.5.4.验证网站 (12) 2.5.5.登陆自助平台 (12) 2.5.6.可视化安全防护 (12) 3.玄武盾优势 (13) 3.1.企业级安全解决方案 (13) 3.2.风暴中心整体解决方案 (13) 3.3.特点 (14) 3.3.1.DNS聚焦 (14) 3.3.2.集群 (14) 3.3.3.大数据分析 (14) 3.3.4.保姆式安全体验 (14) 3.3.5.300G DDOS防护能力 (14) 4.行业解决方案 (15) 4.1.教育行业案例 (15) 4.2.省市政府网站 (15) 4.3.政务云 (16) 5.竞争分析 (17) 5.1.传统安全厂商 (17)

网络安全审计系统的实现方法

网络安全审计系统的实现方法司法信息安全方向王立鹏1 传统安全审计系统的历史传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中，其审计的重点也是本主机的用户行为和系统调用。在随后的20年间，其他的各个操作系统也有了自己的安全审计工具，如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。 2 常用安全措施的不足和基于网络的安全审计系统的出现近几年来，随着开放系统Internet的飞速发展和电子商务的口益普及，网络安全和信息安全问题日益突出，各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多，特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。 2.1防火墙技术的不足防火墙技术是发展时间最长，也是当今防止网络人侵行为的最主要手段之一，主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离，控制外部对受保护网络的访问，它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术，但是由于防火墙技术自身存在的一些缺陷，使其越来越难以完全满足当前网络安全防护的要求。包过滤型防火墙如只实现了粗粒度的访问控制，一般只是基于IP地址和服务端口，对网络数据包中其他内容的检查极少，再加上其规则的配置和管理极其复杂，要求管理员对网络安全攻击有较深人的了解，因此在黑客猖撅的开放Internet系统中显得越来越难以使用。而代理网关防火墙虽然可以将内部用户和外界隔离开来，从外部只能看到代理服务器而看不到内部任何资源，但它没有从根本上改变包过滤技术的缺陷，而且在对应用的支持和速度方面也不能令人满意 2.2入侵检测技术的不足人侵检测技术是防火墙技术的合理补充，能够对各种黑客人侵行为进行识别，扩展了网络管理员的安全管理能力。一般来说，人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。基于主机的IDS来源于系统的审计日志，它和传统基于主机的审计系统一样一般只能检测发生在本主机上面的人侵行为。基于网络的IDS系统对网络中的数据包进行监测，对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性…准实时性)，它能在出现攻击的时候发出警告，让管理人员在在第一时间了解到攻击行为的发生，并作出相应措施，以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要，因此决定了其采用的数据分析算法不能过于复杂，也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析，所以现在大

数据库审计系统_技术白皮书V1.0

此处是Logo 数据库审计系统技术白皮书地址：电话：传真：邮编：

目录一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)

数据库安全审计解决实施方案

数据库安全审计解决方案

————————————————————————————————作者：————————————————————————————————日期： 2

一、数据库安全审计需求概述数据库系统是一个复杂而又关键的系统，数据库存在各种管理和技术上的风险，如果这些风险变为事实，那么企业数据将遭受严重的经济损失和法律风险。而面对数据库的安全问题，企业常常要面对一下问题： ?数据库被恶意访问、攻击甚至数据偷窃，而企业无法及时发现、追踪并阻截这些恶意的行为。 ?数据库遭受恶意访问、攻击后，不能追踪到足够的证据。 ?不了解数据使用者对数据库访问的细节，从而无法保证数据安全，特别是敏感数据的管理。 ?来自内部的威胁：特权用户随意修改配置、改变或盗取数据，没有明确职责分工。 ?针对数据库、应用系统日志的审计只能做事后分析，周期长，且无法进行持续性审计。 ?审计缺乏规范性，无法有效成为公司的安全管理规范且满足外部审计需求。 ?人工审计面对海量数据，无法满足100%可见性，造成审计不完整。?DBA权责未完全区分开，导致审计效果问题。二、Guardium企业数据管理综合解决方案 InfoSphere Guardium提供的一组集成模块，使用一个统一的控制台和后端数据存储，管理整个数据库的安全与合规周期。通过Guardium，IBM 现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库，又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越，而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零，无需对数据库作任何变更，甚至不依赖本地数据库日志或审计工具。三、通过Guardium管理数据安全 ?发现、分类并且自动寻找、分类和保护敏感信息使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置，然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策

数据库审计系统白皮书

360数据库审计系统产品白皮书

目录 1.产品概述 (3) 2.产品特点 (3) 2.1专业的数据库审计 (3) 2.2业务操作实时回放 (3) 2.3事件精准定位 (4) 2.4事件关联分析 (4) 2.5访问工具监控 (4) 2.6黑白名单审计 (5) 2.7变量审计 (5) 2.8关注字段值提取 (5) 2.9丰富完善的报表报告 (5) 3.产品价值 (5) 3.1未知数据库资产发现 (5) 3.2敏感数据信息管理 (6) 3.3数据库安全事件预警 (6) 3.4数据库安全事件追溯 (6) 3.5辅助用户数据库访问策略制定 (6) 3.6满足用户合规需求 (6) 4.主要功能 (6)

1.产品概述 360数据库审计系统是针对网络访问数据库的操作行为进行细粒度分析的安全设备，它可提供实时监控、违规响应、历史行为回溯等操作分析功能，是满足数据库风险管理和内控要求、提升内部安全监管，保障数据库安全的有效手段。 2.产品特点 2.1专业的数据库审计 360数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计，具体包括： 1)数据访问审计：记录所有对保护数据的访问信息，包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外部黑客入侵访问和内部人员非法获取敏感信息 2)数据变更审计：统计和查询所有被保护数据的变更记录，包括核心业务数据库表结构、关键数据文件的修改操作等等，防止外部和内部人员非法篡改重要的业务数据 3)用户操作审计：统计和查询所有用户的登录成功和失败尝试记录，记录所有用户的访问操作和用户配置信息及其权限变更情况，可用于事故和故障的追踪和诊断 4)违规访问行为审计：记录和发现用户违规访问。支持设定用户黑白名单，以及定义复杂的合规规则，支持告警 2.2业务操作实时回放 360数据库审计系统产品能对访问数据库操作进行实时、详细的监控和审计，包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过程回放，真实地展现用户的操作。

数据库内部安全审计

数据库内部安全审计一、背景在信息系统的整体安全中，数据库往往是最吸引攻击者的目标，许多网络攻击的根本目的就是获取存放在数据库中的重要信息。传统的数据库安全保障方法一定程度上提高了数据库系统的安全性，但是它们大多是被动的安全技术，以预防为主，无法有效地制止入侵行为，特别是对于数据库用户( 如数据库管理员等) 的权限滥用等内部攻击常常是无能为力的。内部威胁问题具体表现为: (1)非故意的授权用户攻击，即用户不小心访问到了通常不访问的敏感信息，严重的是无意间将其错误地修改或者删除了； (2)盗取了正常用户信息的攻击者对数据库进行操作，他们拥有合法的访问权限，对数据库数据进行肆意的盗窃和破坏； (3)心怀不轨的内部工作人员对数据库的恶意攻击。据统计，数据库安全问题近80%来自数据库系统内部，即数据库系统授权用户没有按照自身授权进行数据操作，而是跨越权限篡改或破坏数据。根据2013年Verizon的数据泄露调查报告:所有数据泄露事件中76%源自授权用户对敏感数据的访问；在47000多件安全事故中，69%的攻击来自于内部人员。京东发生的大型数据泄露事件造成5O亿条公民信息流出，导致用户损失数百万元，罪魁祸首就是内部工作人员。内部原因造成的数据库损失发生率和影响度都远远超过人们的想象。由于此类安全问题发生在系统集团内部，因此，对数据库的危害极大，并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题，即使一些防火墙软硬件也无法实时检测内部入侵。因此，针对数据库系统中用户异常行为检测研究就显得尤为重要。据统计，传统的数据安全模型是上个世纪 70 年代提出的，并且得到较好发展。到目前为止，在数据库上实现的安全策略基本上没有变化，仍旧为访问控制、用户认证、审计和加密存储。安全审计的任务是对用户已经完成的行为，给予回追式的分析，并对该行为的结果给出最终评价。这些安全机制在数据库管理上取得了较好成绩，但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境，这些安全机制将无法实时监测入侵行为，保护数据库与数据的安全。基于异常的入侵检测是入侵检测研究领域中的一个重要课题，并取得了一定的研究成果。但是，这些研究成果主要针对操作系统和计算机网络，针对数据库系统的研究成果则相对较少。以访问控制为例，虽然访问控制能够保证只有拥有相关权限的用户才可以访问数据，这也是防止数据泄露的第一道屏障，但是访问控制有一定的限制:如果采用严格的机制，访问控制的规则可能表达不够充分，在动态的环境中访问控制的规则可能需要频繁地更新，这些

国都兴业慧眼数据库审计系统产品白皮书 v3.0

慧眼数据库审计系统产品白皮书（V3.0）国都兴业信息审计系统技术（北京）有限公司二〇一四年

版权声明本技术白皮书是对国都兴业信息审计系统技术（北京）有限公司慧眼数据库审计系统产品的描述。与内容相关的权利归国都兴业信息审计系统技术（北京）有限公司所有。白皮书中的任何内容未经本公司许可，不得转印、复制。本资料将定期更新，如欲索取最新资料，请访问本公司网站：https://www.wendangku.net/doc/e74826430.html, 您的意见或建议请发至：china@https://www.wendangku.net/doc/e74826430.html, 公司联系方式：国都兴业信息审计系统技术（北京）有限公司北京市海淀区东北旺西路8号中关村软件园10号楼106室邮政编码100193 106 Great Road Building, Zhongguancun Software Park, 8 Dongbeiwang Western RD, Haidian District, Beijing 100193, P.R.China 电话(Tel): +86-10-82585166 传真(Fax): +86-10-82825363 电子信箱: china@https://www.wendangku.net/doc/e74826430.html,

公司简介国都兴业信息审计系统技术（北京）有限公司创建于1998年，公司总部设立于北京中关村软件园，是最优秀的信息系统审计解决方案、产品和服务提供商，具有强大的自主研发实力，是通过ISO9001：2000质量管理体系认证的北京市高新技术企业。国都兴业致力于提升用户掌控信息系统风险的能力，在信息系统的安全性、可靠性、合规性等方面提供全面的IT审计解决方案和服务，开发和销售专业的IT审计产品，解决用户对信息系统监测、评估和控制管理等方面的各项需求。国都兴业是国内信息系统审计领域最具技术创新和产品研发实力的企业，是国内最早研发生产网络应用监控审计类产品的知名企业。国都兴业推出的“慧眼”信息审计系列产品，能够针对IT基础设施、信息安全、网络应用、数据库应用以及业务操作等方面，提供全方位地实时监测和审计，被广泛地应用于企业内部控制、企业风险管理、信息系统安全保障等方面。“慧眼数据库审计系统”连续两年入选中央国家机关网络安全产品协议供货商名录，通过国家、公安部、涉密、军队等信息安全产品认证，并被授予“2008年度最值得信赖品牌奖”。国都兴业拥有来自军队、科研机构、国内知名院校的专家与学者组成的研发团队，拥有与国家信息技术安全研究中心（N&A）共同组建的网络安全监控技术实验室，在为政府、军队、金融、电信、能源、医疗、教育等行业提供了完善的网络安全解决方案和服务的同时，还承担了多项国家、军队科研攻关项目的研究工作。国都兴业以雄厚的技术实力、优秀的产品和优质的服务获得业界的广泛认可，荣获“中国信息化建设30周年杰出贡献单位奖”、“中国信息化建设30周年杰出贡献人物奖”，入选北京信息安全服务平台2008年度运维支持单位，并圆满完成2008年奥运网络安全评估与保障任务，被授予“共铸网络利剑，携手平安奥运”的嘉奖。国都兴业将秉承“诚信、兴业、自信、创新”的企业精神，致力于成为最优秀的IT审计企业、最值得客户信赖的企业、最吸引优秀人才的企业，为“提升企业驾驭IT的能力，创造信息系统新价值”而不懈努力！

用户行为审计解决方案(UBA)

NAT、Flow、NetStream、DIG），可实现2到7层的用户行为审计。针对不同的日志类型，管理员可以获得如源IP地址、源端口、目的IP地址、目的端口、开始/结束时间、协议类型、协议摘要（目前支持HTTP、SMTP、FTP协议）等信息。图1 用户行为审计解决方案(UBA)逻辑组成 UBA具备全面的日志采集和强大的日志审计功能，能高效地收集用户上网数据，分析用户上网行为，掌握网络运行的状态，为网络管理员追查相关行为的责任人提供依据。UBA采用基于IP地址的日志审计方式，能够将进行非法网络行为的用户精确定义到该用户上一次上网使用的IP地址。但当网络中采用了动态IP地址分配（DHCP）技术，同一用户多次上网分配的IP地址不同时，网络管理员不能依据IP地址鉴定用户的身份，这也是传统的用户行为审计解决方案需要解决的共同问题。针对这点，UBA解决方案提供了创新性的基于用户身份的行为审计方案，通过与iMC UAM用户接入管理组件的联动，直接将上网IP的非法行为记录映射到上网者的用户帐号，管理者可以很容易查询到是访问非法网站的用户帐号，大大方便了管理部门对上网行为的管理。

网络安全审计系统需求分析

安全审计系统由三部分组成：审计引擎、数据中心、管理中心。图1 ：典型的单点部署审计引擎（硬件）：审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析，并把分析后的数据流发送给数据中心。数据中心（软件）：对审计引擎传送过来的数据流进行存储；按照用户的指令对数据进行还原、解码、解压缩，并可进行关键字查询审计、统计分析。管理中心（软件）：提供WEB形式的管理界面，可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。图2：适合多级管理的分布式部署