慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)v302-用戶使用手冊(cè)

1、慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)用戶使用手冊(cè)國都興業(yè)信息審計(jì)系統(tǒng)技術(shù)（北京）有限公司2012年3月慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)-用戶使用手冊(cè) 目 錄1 引言. 12 文檔目的. 1 術(shù)語和縮寫 . 1 產(chǎn)品簡(jiǎn)介. 32.3 產(chǎn)品背景. 3 產(chǎn)品特點(diǎn). 3 產(chǎn)品功能. 33 硬件安裝. 43.2 拆箱檢查. 4 設(shè)備上架. 53.3 1U設(shè)備上架. 5 2U設(shè)備上架. 6 設(shè)備連接. 83.3.4 設(shè)備面板指示. 8 設(shè)備接口說明. 8 鏡像端口接入. 9 TAP接入 . 94 連接登錄. 124.3 連接方式. 12 修改通信口的ip設(shè)置 . 12 登錄系統(tǒng). 135 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)管理 . 145.

2、2 首頁. 14 門戶框架. 165.3 個(gè)人設(shè)置. 17 實(shí)時(shí)監(jiān)控. 17 系統(tǒng)消息提示. 18 時(shí)間設(shè)置. 20 注銷. 20 審計(jì)中心. 20I5.4 數(shù)據(jù)庫審計(jì) . 20 其它審計(jì). 22 實(shí)名審計(jì). 25 DOMINO審計(jì) . 26 本地審計(jì). 26 攻擊監(jiān)測(cè). 275.4.3 如何開啟或關(guān)閉攻擊監(jiān)測(cè) . 27 攻擊事件查詢. 28 監(jiān)測(cè)引擎配置. 305.5 性能分析. 315.5.3 如何指定時(shí)間范圍進(jìn)行延時(shí)分析. 32 如何查看分析結(jié)果. 33 如何設(shè)置詳細(xì)分析條件. 335.6 統(tǒng)計(jì)分析. 345.6.3 SQL操作類型統(tǒng)計(jì) . 34 事件類型統(tǒng)計(jì). 36 流量統(tǒng)計(jì). 385

3、.7 策略中心. 395.7.5 策略配置. 39 資產(chǎn)配置. 41 來源規(guī)則. 44 時(shí)間規(guī)則. 47 內(nèi)容規(guī)則. 495.8 報(bào)表中心. 505.8.3 如何手動(dòng)生成報(bào)表. 50 如何使用自動(dòng)報(bào)表. 50 如何使用歷史報(bào)表. 525.9 系統(tǒng)配置. 525.9.4 審計(jì)數(shù)據(jù)庫服務(wù)器. 52 審計(jì)WEB中間件. 53 知識(shí)庫 . 54 IP采集條件 . 55II5.10 工作參數(shù). 56 角色管理. 61 補(bǔ)丁管理. 63 授權(quán)管理. 64 備份/還原 . 66 重啟/關(guān)機(jī) . 70 用戶管理. 71如何添加用戶. 71如何編輯用戶. 725.11 系統(tǒng)日志管理. 73如何進(jìn)行日志查詢. 7

4、3如何查看日志的詳細(xì)信息 . 77如何進(jìn)行日志刪除. 77如何導(dǎo)出系統(tǒng)日志. 77III1 引言1.1 文檔目的版權(quán)聲明本手冊(cè)包含了慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的硬件上架安裝、快速使用指南、系統(tǒng)功能配置以及FAQ等內(nèi)容。手冊(cè)中涉及相關(guān)文檔、文字內(nèi)容、標(biāo)識(shí)等信息均受版權(quán)保護(hù)，手冊(cè)的任何部分未經(jīng)許可均不得復(fù)制或者傳播，違者必究。適用范圍本手冊(cè)適用于慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的最終用戶。1.2 術(shù)語和縮寫數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì)是通過記錄數(shù)據(jù)庫的操作行為作為審計(jì)記錄，反映出數(shù)據(jù)庫被使用的狀況；數(shù)據(jù)庫審計(jì)支持通過網(wǎng)絡(luò)訪問方式把對(duì)數(shù)據(jù)庫的操作及內(nèi)容進(jìn)行實(shí)時(shí)的監(jiān)控審計(jì)。審計(jì)類型審計(jì)類型指慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)支持的各種

5、類型，包括數(shù)據(jù)庫類型（Oracle、DB2、MSSql、MySql、Sybase、Infomix）、數(shù)據(jù)庫運(yùn)維類型（Ssh、Ftp、Telnet）以及web中間件類型。數(shù)據(jù)庫sql操作類型數(shù)據(jù)庫審計(jì)支持的sql操作類型，包括 插入操作（Insert）o 數(shù)據(jù)插入操作（INSERT， SELECT INTO）o 新建數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（CREATE TABLE， CREATE DATABASE， CREATEVIEW， CREATE INDEX， ） 查詢操作（Select）o 數(shù)據(jù)查詢操作（SELECT）o 數(shù)據(jù)表結(jié)構(gòu)查詢操作（show/desc） 刪除操作（Delete）o 刪

6、除數(shù)據(jù)操作（DELETE， TRUNCATE TABLE， TRUNCATE DATABASE， ）o 刪除數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（DROP TABLE， DROP DATABASE， DROP VIEW，DROP INDEX， ） 更新操作（Update）o 數(shù)據(jù)更新操作（UPDATE）o 數(shù)據(jù)表結(jié)構(gòu)更新操作（ALTER， RENAME TO ， MERGE INTO USING ） 用戶訪問（Access） o 用戶登錄 特權(quán)操作（Privilege）o 用戶權(quán)限改變（GRANT， DENY， REVOKE）o 用戶建立與刪除o 備份與恢復(fù)操作（BACKUP， RESTORE）o

7、 事務(wù)操作（COMMIT， ROLLBACK TO） 數(shù)據(jù)庫特有操作o Microsoft SQL Server特有操作：DBCC，SP_*， OPENDATASOURCE， o ORALCE特有操作其他操作o 特定字符串審計(jì) 數(shù)據(jù)庫運(yùn)維審計(jì)數(shù)據(jù)庫運(yùn)維是針對(duì)用戶數(shù)據(jù)庫的軟件安裝、配置、備份及實(shí)施，數(shù)據(jù)恢復(fù)、遷移，故障排除、預(yù)防性巡檢等一系列服務(wù)；數(shù)據(jù)庫運(yùn)維審計(jì)是對(duì)通過遠(yuǎn)程訪問方式，對(duì)數(shù)據(jù)庫進(jìn)行運(yùn)維操作的行為及內(nèi)容審計(jì)，如telnet、ftp、ssh等。Web中間件審計(jì)web中間件泛指客戶端訪問web應(yīng)用服務(wù)器，web應(yīng)用服務(wù)器再訪問數(shù)據(jù)庫的應(yīng)用環(huán)境中的web應(yīng)用服務(wù)；web中間件審計(jì)支持對(duì)客戶

8、端訪問web應(yīng)用服務(wù)器的行為及內(nèi)容的審計(jì)，同時(shí)支持客戶端訪問web應(yīng)用服務(wù)器和web應(yīng)用服務(wù)器訪問數(shù)據(jù)庫關(guān)聯(lián)行為及內(nèi)容的審計(jì)。審計(jì)服務(wù)器審計(jì)服務(wù)器指數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫運(yùn)維服務(wù)器以及web中間件服務(wù)器。審計(jì)客戶端審計(jì)客戶端指訪問審計(jì)服務(wù)器的用戶終端。審計(jì)記錄用戶訪問審計(jì)服務(wù)器產(chǎn)生的每一個(gè)sql操作、運(yùn)維操作或者web訪問記錄下來的行為及內(nèi)容作為一條審計(jì)記錄。自身日志自身日志指慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的配置或狀態(tài)的變更時(shí)生成的記錄。AMCAMC是審計(jì)管理中心（Audit Management Center）的簡(jiǎn)寫，它實(shí)現(xiàn)了產(chǎn)品功能服務(wù)層面的功能，其目標(biāo)是對(duì)安全產(chǎn)品的管理。探針探針是慧眼數(shù)據(jù)庫安全審

9、計(jì)系統(tǒng)用于采集各種審計(jì)數(shù)據(jù)的分布式模塊。探針支持獨(dú)立安裝，或和AMC一體安裝。策略對(duì)監(jiān)控?cái)?shù)據(jù)進(jìn)行處理，生成審計(jì)記錄以及執(zhí)行某種操作的集合。多級(jí)管理中，上級(jí)AMC支持策略調(diào)度下發(fā)。數(shù)據(jù)轉(zhuǎn)儲(chǔ)數(shù)據(jù)轉(zhuǎn)儲(chǔ)指將慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的審計(jì)記錄，導(dǎo)出轉(zhuǎn)存到系統(tǒng)之外的空間，并能通過手段查詢轉(zhuǎn)存到系統(tǒng)外的歷史記錄的功能。TAP設(shè)備TAP是分路器設(shè)備，提供網(wǎng)絡(luò)流量的副本，以便進(jìn)行實(shí)時(shí)監(jiān)控和分析；接口分為電口和光接口。2 產(chǎn)品簡(jiǎn)介2.1 產(chǎn)品背景薩班斯法案（SOX）誕生之日起，為數(shù)不少的安全公司就已經(jīng)預(yù)測(cè)到數(shù)據(jù)安全審計(jì)將成為企業(yè)無法回避的問題。只要是正規(guī)的企業(yè)，都無法回避自身的數(shù)據(jù)安全問題。當(dāng)然，上市公司就更加需要

10、重視。事實(shí)上，這里所說的數(shù)據(jù)庫安全審計(jì)，不僅包括了數(shù)據(jù)源的安全，而且也涵蓋了審計(jì)方法與企業(yè)IT流程的結(jié)合。數(shù)據(jù)庫是每個(gè)企業(yè)數(shù)據(jù)管理的基礎(chǔ)，盡管這些系統(tǒng)的數(shù)據(jù)完整性和安全性是相當(dāng)重要的，但對(duì)數(shù)據(jù)庫采取的安全檢查措施的級(jí)別還比不上操作系統(tǒng)和網(wǎng)絡(luò)的安全檢查措施的級(jí)別。許多因素都可能破壞數(shù)據(jù)的完整性并導(dǎo)致非法訪問，這些因素包括密碼安全性較差、誤配置、未被察覺的系統(tǒng)后門以及自適應(yīng)數(shù)據(jù)庫安全方法的強(qiáng)制性常規(guī)使用等。針對(duì)以上破壞數(shù)據(jù)完整性的威脅都來自于數(shù)據(jù)庫本身的安全策略的漏洞和使用方面的問題，然而對(duì)于數(shù)據(jù)庫合法用戶的違規(guī)操作，以及內(nèi)部用戶對(duì)數(shù)據(jù)資源的故意泄露或破壞等問題，對(duì)企業(yè)帶來的危害會(huì)更加嚴(yán)重，損失也

11、會(huì)相當(dāng)巨大。當(dāng)然，數(shù)據(jù)庫系統(tǒng)本身會(huì)提供一些日志審計(jì)功能，但是想要審計(jì)較為細(xì)致的操作日志就必然要影響到數(shù)據(jù)庫服務(wù)器的性能，一般應(yīng)用數(shù)據(jù)庫的企業(yè)用戶 ，都不愿意開設(shè)多一些的日志審計(jì)功能，這樣必然會(huì)對(duì)數(shù)據(jù)庫的安全埋下了安全隱患。當(dāng)產(chǎn)生數(shù)據(jù)安全問題時(shí)，為了尋找案件線索，執(zhí)法機(jī)構(gòu)需要從網(wǎng)絡(luò)上尋找犯罪嫌疑人的活動(dòng)和留下的痕跡并獲取可靠的犯罪證據(jù)，對(duì)于偵破犯罪案件，保障社會(huì)穩(wěn)定，維護(hù)公民利益具有十分重要的意義。 因此，安全管理要從網(wǎng)絡(luò)系統(tǒng)安全和應(yīng)用安全兩個(gè)方面推進(jìn)，才能有效地全面解決安全問題。數(shù)據(jù)庫網(wǎng)絡(luò)安全審計(jì)是網(wǎng)絡(luò)安全管理工作中的一個(gè)重要組成部分，它可以通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫的“信息活動(dòng)”實(shí)時(shí)地進(jìn)行監(jiān)控審計(jì)，使

12、管理者對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫的“信息活動(dòng)”一目了然，能夠及時(shí)掌握數(shù)據(jù)庫服務(wù)器的應(yīng)用情況，及時(shí)發(fā)現(xiàn)客戶端的使用問題，存在著哪些安全問題和隱患并予以糾正，預(yù)防應(yīng)用安全事件的發(fā)生，即便發(fā)生了也能夠可以快速查證并追根尋源。2.2 產(chǎn)品特點(diǎn)慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)是集數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫安全檢測(cè)、數(shù)據(jù)庫優(yōu)化分析三大功能為一體的綜合監(jiān)控審計(jì)系統(tǒng)。該系統(tǒng)采用網(wǎng)絡(luò)旁路實(shí)時(shí)偵聽方式，全線速采集網(wǎng)絡(luò)上所有會(huì)話流，對(duì)網(wǎng)絡(luò)中的各種應(yīng)用行為和應(yīng)用內(nèi)容進(jìn)行監(jiān)控、報(bào)警、記錄?；垩蹟?shù)據(jù)庫安全審計(jì)系統(tǒng)不參與被監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)傳輸活動(dòng)，因此不對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和性能產(chǎn)生任何影響，具有很好的透明性和安全性。2.3 產(chǎn)品功能數(shù)據(jù)庫操作和數(shù)據(jù)庫運(yùn)維監(jiān)控、審計(jì)

13、、報(bào)警能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫的各種操作進(jìn)行記錄審計(jì)并報(bào)警，提供詳細(xì)的審計(jì)信息（4W：何時(shí) When 、何地 Where 、何人 Who以及何種行為 What）查詢功能和郵件、syslog報(bào)警方式。同時(shí)提供多種審計(jì)條件，實(shí)現(xiàn)分類審計(jì)或組合審計(jì)。數(shù)據(jù)庫事件審計(jì)分析能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫接收發(fā)送的流量包數(shù)進(jìn)行統(tǒng)計(jì)，并提供詳細(xì)的統(tǒng)計(jì)條件（如：時(shí)間、IP地址、協(xié)議類型等），并根據(jù)歷史的數(shù)據(jù)庫操作數(shù)量做出基于：天、周、月的趨勢(shì)分析。日志信息查詢能夠?qū)W(wǎng)絡(luò)中其他設(shè)備發(fā)來的syslog和SNMP日志信息進(jìn)行接收和查詢，并提供多種查詢條件，實(shí)現(xiàn)分類或組合查詢。報(bào)表系統(tǒng)可以實(shí)現(xiàn)手動(dòng)報(bào)表和自動(dòng)定制報(bào)表郵件發(fā)送功能。同時(shí)提供靈活

14、的可定制報(bào)表策略和rtf、html和pdf多種報(bào)表格式。系統(tǒng)狀態(tài)配置、查看可以通過界面查看系統(tǒng)狀態(tài)、進(jìn)行系統(tǒng)管理，并提供智能診斷功能。數(shù)據(jù)保護(hù)擁有數(shù)據(jù)存儲(chǔ)區(qū)磁盤空間預(yù)警和數(shù)據(jù)保護(hù)功能。在數(shù)據(jù)存儲(chǔ)區(qū)磁盤空間使用率達(dá)到預(yù)設(shè)的預(yù)警閥值時(shí)通過界面顯示和郵件方式實(shí)現(xiàn)預(yù)警，達(dá)到預(yù)設(shè)的保護(hù)閥值時(shí)根據(jù)設(shè)定的數(shù)據(jù)保護(hù)機(jī)制采取相應(yīng)的處理對(duì)審計(jì)數(shù)據(jù)進(jìn)行保護(hù)。自身日志支持完善的自身日志記錄和查詢功能。補(bǔ)丁升級(jí)可以通過界面上傳補(bǔ)丁包進(jìn)行補(bǔ)丁的升級(jí)和卸載。用戶/角色權(quán)限管理實(shí)現(xiàn)用戶權(quán)限三權(quán)分立，支持基于用戶、產(chǎn)品功能模塊和內(nèi)容訪問三級(jí)的權(quán)限管理。3 硬件安裝3.1 拆箱檢查在打開包裝之后，請(qǐng)您先檢查隨機(jī)附帶的電源線、網(wǎng)線

15、、隨機(jī)光盤等附件是否齊全，所有部件請(qǐng)對(duì)照裝箱單進(jìn)行檢查，如有缺損請(qǐng)及時(shí)和銷售人員聯(lián)系。注意：取出設(shè)備后，不要將外包裝丟棄，在需要搬運(yùn)時(shí)，請(qǐng)務(wù)必使用原包裝，它是為您的審計(jì)設(shè)備專門設(shè)計(jì)的包裝，具備良好的防震功能。3種情況：3.2 設(shè)備上架數(shù)據(jù)庫審計(jì)設(shè)備機(jī)箱符合工業(yè)機(jī)柜的標(biāo)準(zhǔn)，它的高度為1U或者2U，可以順利的安裝到19”標(biāo)準(zhǔn)機(jī)柜中去。3.2.1 1U設(shè)備上架安裝支架1.在每個(gè)1U設(shè)備附件中，都包括一個(gè)支架。2.將支架安裝在機(jī)柜上，將A點(diǎn)安裝在機(jī)架內(nèi)側(cè)。如圖所示:設(shè)備上架1.將設(shè)備放到剛裝好的支架上，調(diào)整好位置。2.將位于設(shè)備前面耳朵的孔與機(jī)架前側(cè)的孔對(duì)應(yīng)，加螺絲固定。3.2.2 2U設(shè)備上架安裝內(nèi)

16、側(cè)導(dǎo)軌（固定在機(jī)箱上）1. 在每個(gè)導(dǎo)軌裝置中，都包括一副內(nèi)側(cè)可抽拉導(dǎo)軌和外側(cè)導(dǎo)軌。2. 按住內(nèi)側(cè)抽拉導(dǎo)軌裝置上的卡鎖，將內(nèi)導(dǎo)軌抽出并安裝在機(jī)箱側(cè)面。(內(nèi)側(cè)導(dǎo)軌安 裝在機(jī)箱兩側(cè)，外側(cè)導(dǎo)軌安裝在機(jī)柜兩側(cè)上)3. 將位于內(nèi)側(cè)抽拉導(dǎo)軌的五個(gè)孔和機(jī)箱上側(cè)身的五個(gè)孔相對(duì)應(yīng)，加螺絲固定。4. 固定好一側(cè)導(dǎo)軌在機(jī)箱上，重復(fù)以上步驟再安裝另一側(cè)導(dǎo)軌在機(jī)箱上即可。外側(cè)導(dǎo)軌安裝（固定在機(jī)柜上）在機(jī)箱料包盒里，有前面（短）和后面（長）各一副導(dǎo)軌片。請(qǐng)按照導(dǎo)軌片上箭頭標(biāo)注的方向排好。1. 排好后固定前面的導(dǎo)軌片（短）在外側(cè)導(dǎo)軌上；2.再附上后面的導(dǎo)軌片（長）固定在外側(cè)導(dǎo)軌上；3. 量出外側(cè)導(dǎo)軌安裝到機(jī)柜的具體深度和長度

17、，調(diào)節(jié)好短、長副導(dǎo)軌片和外側(cè)導(dǎo)軌合適機(jī)柜的距離；4. 重復(fù)相同的步驟安裝另一側(cè)的導(dǎo)軌到機(jī)柜上；5. 將機(jī)箱插入機(jī)柜上的外側(cè)導(dǎo)軌并推進(jìn)時(shí)，聽見“咔”的聲響后，機(jī)箱便順利裝入機(jī)柜中（第一次安裝時(shí)，機(jī)箱上導(dǎo)軌插入機(jī)柜外部導(dǎo)軌的過程和推入過程不是很容易，在推入時(shí)不要用力過猛）；6. 當(dāng)拉出機(jī)箱時(shí)，只要扳動(dòng)機(jī)箱兩側(cè)導(dǎo)軌上的卡鎖扣即可拉出。3.3 設(shè)備連接3.3.1 設(shè)備面板指示設(shè)備面板指示：（以1U服務(wù)器為例）如圖：（自右至左）分別為：電源開關(guān)、重新復(fù)位按鈕、電源指示燈、硬盤工作指示燈、通信口指示燈、備用通信口指示燈、CPU溫度過高指示燈；電源開關(guān)：軟件式開關(guān)，按一下為開，再按一下為關(guān)；重新復(fù)位按鈕：暗

18、埋式設(shè)計(jì)，使用時(shí)用細(xì)物按下，設(shè)備在任何情況下重新啟動(dòng)；電源指示燈：此燈亮?xí)r指示電源為開（只有此燈亮?xí)r代表電源打開）；硬盤工作指示燈：此燈亮?xí)r指示硬盤工作；通信口指示燈：LAN0號(hào)網(wǎng)口接通指示燈（此燈亮?xí)r只代表網(wǎng)口接通，不代表電源打開）；備用通信口指示燈：LAN1號(hào)網(wǎng)口接通指示燈（此燈亮?xí)r只代表網(wǎng)口接通，不代表電源打開）； CPU溫度過高指示燈：此燈亮?xí)r說明CPU溫度超過BIOS中設(shè)定溫度。（該設(shè)備為4網(wǎng)口，LAN2、LAN3指示燈在機(jī)箱背面網(wǎng)口處。）3.3.2 設(shè)備接口說明1U設(shè)備：2U設(shè)備：A：鼠標(biāo)鍵盤B：USB接口C：COM/Video接口D：通信口: 用于用戶訪問系統(tǒng)的通信接口E：備用通

19、信口: 用于通過網(wǎng)絡(luò)進(jìn)行設(shè)備內(nèi)部維護(hù)時(shí)使用F、G：采集口: 用于采集網(wǎng)絡(luò)數(shù)據(jù)包的接口，可以使用兩個(gè)接口中的任何一個(gè)或兩個(gè)同時(shí)使用H、I：擴(kuò)展卡插口（可以為光接口卡或者電接口卡）3.3.3 鏡像端口接入數(shù)據(jù)庫審計(jì)設(shè)備一般采用鏡像端口的接入方式，將一個(gè)采集口連接到交換機(jī)的鏡像端口，交換機(jī)鏡像端口的具體配置視不同廠家和型號(hào)的交換機(jī)會(huì)有所不同，具體配置方法參見相應(yīng)廠家和型號(hào)的交換機(jī)配置手冊(cè)。3.3.4 TAP接入當(dāng)現(xiàn)場(chǎng)情況由于鏡像端口已經(jīng)被其他設(shè)備占用，或者因?yàn)槟撤N原因無法接鏡像端口，建議采用TAP的接入方式。電口TAP接入示意圖：光接口TAP接入示意圖：冗余電源：（以2U服務(wù)器為例）如圖所示：為2U

20、設(shè)備的冗余電源；要求上下兩個(gè)電源都要接入220V交流電源；任何一個(gè)未接入，即會(huì)報(bào)警；若不想使用兩個(gè)電源供電，可任意拔出一個(gè)電源，就不會(huì)產(chǎn)生報(bào)警（如下兩圖）；拔電源時(shí)，按住電源上面的按鈕，向右側(cè)按，同時(shí)拉電源后面的把手，即可將單個(gè)電源拉出；復(fù)原時(shí)，直接推電源到底，同時(shí)聽到“卡“一聲時(shí)，表示電源推到位并鎖住。4 連接登錄4.1 連接方式產(chǎn)品為B/S架構(gòu)，使用IE瀏覽器軟件即可以對(duì)產(chǎn)品進(jìn)行配置和管理。將管理計(jì)算機(jī)通過交換機(jī)和通信口相連即可對(duì)設(shè)備進(jìn)行管理。通信口為ETH0，備用通信口為ETH1。4.2 修改通信口的ip設(shè)置將慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的默認(rèn)IP修改修改為用戶管理環(huán)境要求的IP，通過備用通信

21、口（ETH1）進(jìn)入到慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)中，修改通信口ETH0（審計(jì)中心IP）地址，ETH1出廠默認(rèn)的IP地址54，子網(wǎng)掩碼，只能通過網(wǎng)線直連，不支持將備用通信口連到交換機(jī)。在使用命令行修改通信口的IP時(shí)，首先要保證筆記本的IP地址和ETH1的IP在同一個(gè)網(wǎng)段，如果不在同一個(gè)網(wǎng)段，要先修改筆記本的IP，如下圖以windows xp為例：然后，用戶可以使用隨機(jī)光盤中的putty.exe程序或者支持ssh連接的遠(yuǎn)程訪問工具，通過備用口的IP連接到后臺(tái)系統(tǒng)，賬號(hào)是system，密碼是system。用戶登錄后臺(tái)系統(tǒng)后可以看到如下界面：用戶可以依次輸入help

22、，network，如下圖所示：依次按照提示修改IP、子網(wǎng)掩碼以及網(wǎng)關(guān)。具體操作方法參見“命令手冊(cè)2.1 修改網(wǎng)絡(luò)配置network”。4.3 登錄系統(tǒng)使用IE瀏覽器(要求用IE7或以上版本，IE6不能完全支持)，在地址欄中輸入：http:/審計(jì)中心IP （此處的審計(jì)中心IP指審計(jì)中心通信口的IP） 如：54 按照以下步驟進(jìn)行即可登錄系統(tǒng)。系統(tǒng)內(nèi)置用戶和初始密碼：說明：慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)目前只支持使用IE 7及以上版本瀏覽器，使用其他瀏覽器有可能出現(xiàn)部分功能顯示異常現(xiàn)象。Flash支持8以上版本。1) 輸入用戶名和密碼，即可登錄系統(tǒng)。2)

23、部署首次安裝的慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)應(yīng)以系統(tǒng)管理員身份登錄系統(tǒng)，系統(tǒng)管理員默認(rèn)用戶名和密碼為sysadmin，sysadmin1234。3) 用戶首次登錄系統(tǒng)的時(shí)候需要更改當(dāng)前的密碼，且密碼必須符合以下規(guī)范：1. 字母、數(shù)字、特殊字符的組合2. 長度大于8位3. 不能與原密碼相同注意：當(dāng)用戶連續(xù)5次輸入錯(cuò)誤的密碼進(jìn)行登錄，系統(tǒng)將彈出提示，如下圖所示：此時(shí)需要等待5分鐘后再刷新界面進(jìn)行登錄。5 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)管理5.1 首頁“首頁”主要反映該審計(jì)系統(tǒng)的全局信息，包括審計(jì)服務(wù)器及策略相關(guān)配置情況、事件類型及SQL操作延時(shí)及安全攻擊事件趨勢(shì)、磁盤信息、CPU、內(nèi)存以及網(wǎng)口通信狀態(tài)信息等。如下

24、圖所示。其中，上面部分列出了所有數(shù)據(jù)庫審計(jì)服務(wù)器，可點(diǎn)擊后面的單個(gè)圖標(biāo)查看針對(duì)各個(gè)服務(wù)器的統(tǒng)計(jì)信息。系統(tǒng)初裝無審計(jì)服務(wù)器時(shí)顯示如下：點(diǎn)擊“添加”即可跳轉(zhuǎn)到“審計(jì)數(shù)據(jù)庫服務(wù)器”界面。第二部分顯示過去的12個(gè)小時(shí)數(shù)據(jù)庫操作事件的統(tǒng)計(jì)情況，如下圖所示：第三部分是針對(duì)數(shù)據(jù)庫服務(wù)器的各事件類型、SQL操作的延時(shí)、服務(wù)器遭受安全攻擊的數(shù)量進(jìn)行展示。鼠標(biāo)移到折線整點(diǎn)處，可看到當(dāng)時(shí)時(shí)間段的數(shù)據(jù)統(tǒng)計(jì)數(shù)：事件類型排名：?jiǎn)吸c(diǎn)顯示過去的12小時(shí)內(nèi)數(shù)據(jù)庫服務(wù)器發(fā)生的相應(yīng)事件類型的審計(jì)記錄總數(shù)，總體顯示總數(shù)前5名的事件類型，如上圖所示單點(diǎn)為過去的12小時(shí)發(fā)生名為“SQLSERVER”事件的記錄數(shù)為1411條；延時(shí)趨勢(shì)：?jiǎn)?/p>

25、點(diǎn)顯示當(dāng)時(shí)的1小時(shí)內(nèi)數(shù)據(jù)庫服務(wù)器操作的平均延時(shí)時(shí)間（以毫秒為單位），總體顯示過 去的12個(gè)小時(shí)的延時(shí)趨勢(shì)；攻擊事件趨勢(shì)：?jiǎn)吸c(diǎn)顯示當(dāng)時(shí)的1小時(shí)內(nèi)數(shù)據(jù)庫服務(wù)器遭受攻擊的總數(shù)，總體顯示過去12小時(shí)的攻擊事件趨勢(shì)，如下圖所示單點(diǎn)為11：00至12：00的數(shù)據(jù)庫服務(wù)器遭受攻擊的總數(shù)為12。首頁下方顯示的是當(dāng)前系統(tǒng)磁盤的使用情況（以百分比表示），以及各以太網(wǎng)口的使用狀態(tài)（當(dāng)網(wǎng)口未連接網(wǎng)線時(shí)，顯示紅色，否則顯示綠色），鼠標(biāo)移到相應(yīng)的圖標(biāo)處，可顯示具體信息。如下圖所示：5.2 門戶框架以系統(tǒng)管理員sysadmin登錄系統(tǒng)后，在界面的右上角可以看到如下圖所示的門戶菜單欄：從左依次為：個(gè)人設(shè)置、實(shí)時(shí)監(jiān)控、系統(tǒng)消息

26、提示、時(shí)間設(shè)置、注銷。5.2.1 個(gè)人設(shè)置以系統(tǒng)管理員sysadmin登錄系統(tǒng)后，點(diǎn)擊按鈕，彈出個(gè)人設(shè)置界面，如下圖所示：個(gè)人設(shè)置包括用戶名全名、電子郵箱、密碼三項(xiàng)。全名：輸入系統(tǒng)用戶的名稱，默認(rèn)的全名是sysadmin。注：與登錄時(shí)的用戶名不同。當(dāng)輸入“全名”后，“保存”和“重置”兩個(gè)按鈕變?yōu)榭捎脿顟B(tài)。若點(diǎn)擊“重置”按鈕，狀態(tài)變?yōu)橛脩羯弦淮伪４鏁r(shí)的“全名”；若點(diǎn)擊“保存”按鈕，將輸入信息進(jìn)行保存，然后“保存”和“重置”兩個(gè)按鈕再次變?yōu)椴豢捎脿顟B(tài)，并且，再次登錄系統(tǒng)后，保存了的名稱將顯示在門戶菜單中，例如：輸入用戶全名為：abcdef，如下圖所示：電子郵箱：輸入電子郵箱地址。同上，當(dāng)輸入“電子

27、郵箱”后，“保存”和“重置”兩個(gè)按鈕變?yōu)榭捎脿顟B(tài)。若點(diǎn)擊“重置”按鈕，狀態(tài)變?yōu)橛脩羯弦淮伪４鏁r(shí)的“電子郵箱”；若點(diǎn)擊“保存”按鈕，將輸入信息進(jìn)行保存，然后“保存”和“重置”兩個(gè)按鈕再次變?yōu)椴豢捎脿顟B(tài)。密碼：是否修改密碼。若要修改密碼，密碼長度不能少于8位，并且密碼必須包含字母、數(shù)字和特殊字符。例如：abc1234。 若顯示密碼被勾選，顯示輸入的密碼，否則以“*”代替。輸入新密碼后，“保存”和“重置”兩個(gè)按鈕變?yōu)榭捎?，點(diǎn)擊“保存”按鈕，保存新密碼，再次登錄系統(tǒng)時(shí)，要使用新設(shè)定的“密碼”進(jìn)行登錄；點(diǎn)擊“重置”按鈕，不保存。然后，返回到初始登錄個(gè)人設(shè)置界面的狀態(tài)。5.2.2 實(shí)時(shí)監(jiān)控如上圖所示，報(bào)警

28、信息以紅、黃、綠三個(gè)顏色圓圈代表審計(jì)數(shù)據(jù)庫服務(wù)器監(jiān)控到的數(shù)據(jù)風(fēng)險(xiǎn)級(jí)別為高、中、低。數(shù)字表示審計(jì)數(shù)據(jù)庫服務(wù)器按相應(yīng)風(fēng)險(xiǎn)級(jí)別所實(shí)時(shí)監(jiān)控到的數(shù)據(jù)。注：提示數(shù)據(jù)個(gè)數(shù)范圍為0-9999條。當(dāng)超過9999條數(shù)據(jù)時(shí)，以“9999+”形式表示。1） 點(diǎn)擊三個(gè)風(fēng)險(xiǎn)級(jí)別的顏色圓圈，分別會(huì)彈出當(dāng)前風(fēng)險(xiǎn)級(jí)別的審計(jì)記錄頁面。2）若點(diǎn)擊，將顯示當(dāng)前實(shí)時(shí)審計(jì)的數(shù)據(jù)，最多顯示1000條數(shù)據(jù)。同時(shí)，數(shù)據(jù)列表按照風(fēng)險(xiǎn)級(jí)別（包括高、中、低、無）的不同顯示顏色也不同，與門戶菜單的風(fēng)險(xiǎn)級(jí)別圓圈相對(duì)應(yīng)，即“高”對(duì)應(yīng)紅色，“中”對(duì)應(yīng)黃色，“低”對(duì)應(yīng)綠色，“無”對(duì)應(yīng)無色。如下圖所示：數(shù)據(jù)列表顯示數(shù)據(jù)范圍為0-1000條。每5秒鐘刷新一次進(jìn)行

29、數(shù)據(jù)更新，最新監(jiān)控到的數(shù)據(jù)將顯示在列表的最下方。并且，監(jiān)控?cái)?shù)據(jù)具有排重功能。數(shù)據(jù)列表區(qū)域的顏色與門戶菜單代表風(fēng)險(xiǎn)級(jí)別的圓圈顏色相同，如上圖，風(fēng)險(xiǎn)級(jí)別為“中”，門戶菜單中以黃色圓圈表示，那么數(shù)據(jù)列表的區(qū)域顯示為黃色。并且，可以對(duì)列表的數(shù)據(jù)進(jìn)行排序，如上圖所示，按事件ID進(jìn)行排序，那么點(diǎn)擊“”后面的三角即可，上三角表示時(shí)間ID從小到大排序，下三角與其相反。同理，也可按風(fēng)險(xiǎn)級(jí)別、審計(jì)數(shù)據(jù)庫服務(wù)器、事件類型、操作來源、操作時(shí)間中的任意一項(xiàng)進(jìn)行排序。選中某一條事件，將在界面的下方顯示出詳細(xì)信息（紅色框內(nèi)區(qū)域）。點(diǎn)擊，可配置來源、操作類型及風(fēng)險(xiǎn)級(jí)別的過濾條件，過濾條件創(chuàng)建后，對(duì)界面上已展示數(shù)據(jù)進(jìn)行過濾。5

30、.2.3 系統(tǒng)消息提示，此圖片代表系統(tǒng)消息提示，氣泡里面的數(shù)字，代表消息條數(shù)。系統(tǒng)默認(rèn)有6條消息提示。即：配置IP過濾條件、配置郵件服務(wù)器、配置時(shí)間服務(wù)器、配置審計(jì)服務(wù)器、配置授權(quán)告警、配置磁盤預(yù)警閥值。若增加配置或完成某個(gè)配置，那么系統(tǒng)會(huì)實(shí)時(shí)監(jiān)測(cè)，數(shù)字會(huì)相應(yīng)增加或減小，配置過的消息提示將不再進(jìn)行提示。點(diǎn)擊氣泡，可查看具體提示信息。當(dāng)有授權(quán)告警時(shí)，會(huì)在此增加提示，如下圖所示：當(dāng)有磁盤預(yù)警時(shí)，會(huì)在此增加提示，如下圖所示：另外，還有“同步”提示，當(dāng)系統(tǒng)修改某一信息或者配置后，需要點(diǎn)擊氣泡，進(jìn)行同步。例如：在策略配置中，添加了一條事件類型，并且為它新建了一條策略，此時(shí)，點(diǎn)擊氣泡，將有如下提示：提示內(nèi)

31、容：策略發(fā)生了變化，點(diǎn)擊“同步”按鈕，進(jìn)行系統(tǒng)同步配置。若有些配置已經(jīng)完成了，那么會(huì)對(duì)其他配置進(jìn)行提示，消息提示數(shù)目是實(shí)時(shí)更新顯示的。并且，當(dāng)鼠標(biāo)移開氣泡時(shí)，提示會(huì)關(guān)閉。注：每增加一個(gè)消息提示，都會(huì)顯示在消息提示的首頁。5.2.4 時(shí)間設(shè)置點(diǎn)擊門戶菜單的系統(tǒng)時(shí)間設(shè)置，那么直接跳轉(zhuǎn)到“系統(tǒng)配置-工作參數(shù)”界面，進(jìn)行時(shí)間設(shè)置。5.2.5 注銷在任意時(shí)刻，點(diǎn)擊門戶菜單的按鈕，彈出如下對(duì)話框：若點(diǎn)擊“確定”按鈕，跳轉(zhuǎn)到初始登錄界面；若點(diǎn)擊“取消”，關(guān)閉此對(duì)話框。5.3 審計(jì)中心審計(jì)中心包括： 數(shù)據(jù)庫審計(jì)， 其它審計(jì)，實(shí)名審、DOMINO審計(jì)和本地審計(jì)。通過審計(jì)中心，可以對(duì)系統(tǒng)已審計(jì)到的數(shù)據(jù)進(jìn)行查看，通

32、過設(shè)置時(shí)間等查詢條件對(duì)審計(jì)到的數(shù)據(jù)進(jìn)行更精確的查詢。5.3.1 數(shù)據(jù)庫審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心-數(shù)據(jù)庫審計(jì)”，即可進(jìn)入數(shù)據(jù)庫審計(jì)界面。數(shù)據(jù)庫審計(jì)是對(duì)系統(tǒng)記錄的對(duì)數(shù)據(jù)庫的操作行為進(jìn)行的審計(jì)。進(jìn)入數(shù)據(jù)庫審計(jì)頁面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的對(duì)數(shù)據(jù)庫的操作行為的記錄。選擇查看日期： 通過點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊向滑動(dòng)日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。 和分別向左和詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)

33、出前1萬條記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對(duì)應(yīng)的一條數(shù)據(jù)。SQL回放：點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面的詳細(xì)信息中點(diǎn)擊“SQL回放”,可對(duì)同一會(huì)話中的SQL語句進(jìn)行回放。點(diǎn)擊播放，界面展示SQL語句已經(jīng)SQL語句的返回狀態(tài)。播放時(shí)可進(jìn)行暫停、查看第一條和查看最后的操作。用戶關(guān)聯(lián)： 對(duì)操作來源IP可以通過點(diǎn)擊“用戶關(guān)聯(lián)”，在新的頁面上設(shè)置時(shí)間關(guān)聯(lián)到登錄SMP認(rèn)證系統(tǒng)的用戶名。下圖是點(diǎn)擊操作來源IP“08”右側(cè)的“用戶關(guān)聯(lián)”頁面以后，查到的關(guān)聯(lián)結(jié)果示例：排序： 可以通過點(diǎn)擊查詢結(jié)果中的列名進(jìn)行升、倒序排列。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢?cè)O(shè)置頁面，當(dāng)鼠標(biāo)移動(dòng)到

34、查詢條件上時(shí)，下方的說明框里是對(duì)查詢條件的詳細(xì)說明。通過設(shè)置查詢條件，可以更精確的查詢到審計(jì)記錄。5.3.2 其它審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心-其它審計(jì)”，即可進(jìn)入其它審計(jì)界面。其它審計(jì)中包含了：運(yùn)維，WEB中間件，WEB中間件關(guān)聯(lián)，SYSLOG日志，SNMP日志。 點(diǎn)擊“其它審計(jì)”右側(cè)的單選框，可以切換到具體的審計(jì)頁面。比如，點(diǎn)擊運(yùn)維單選框，運(yùn)維審計(jì)頁面被打開。 運(yùn)維運(yùn)維是對(duì)訪問數(shù)據(jù)庫服務(wù)器行為的審計(jì)。進(jìn)入運(yùn)維審計(jì)頁面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的對(duì)數(shù)據(jù)庫服務(wù)器訪問的記錄。選擇查看日期： 通過點(diǎn)擊下方的日

35、期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊向滑動(dòng)日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。 和分別向左和詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬條記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對(duì)應(yīng)的一條數(shù)據(jù)。用戶關(guān)聯(lián)： 對(duì)操作來源IP可以通過點(diǎn)擊“用戶關(guān)聯(lián)”，在新的頁面上設(shè)置時(shí)間關(guān)聯(lián)到來源IP的用戶名，同數(shù)據(jù)庫審計(jì)中的該功能。排序： 可以通過點(diǎn)擊查詢結(jié)果中的列名進(jìn)行升、倒序排列。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢?cè)O(shè)置頁面，當(dāng)鼠標(biāo)移動(dòng)到查詢條件上時(shí)，下方的說明框里是對(duì)查詢條件的詳細(xì)說明。 通過設(shè)置查詢條

36、件，可以更精確的查詢到審計(jì)記錄。 WEB中間件WEB中間件審計(jì)是對(duì)中間件訪問記錄的審計(jì)。進(jìn)入WEB中間件審計(jì)頁面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的對(duì)WEB中間件訪問情況的記錄。選擇查看日期： 通過點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊向滑動(dòng)日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。 和分別向左和詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬條記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對(duì)應(yīng)的一條數(shù)據(jù)。排序： 可以通過點(diǎn)擊查詢結(jié)果中的列名進(jìn)行升、倒序排列。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢?cè)O(shè)置頁面，如下圖：當(dāng)鼠標(biāo)移動(dòng)到