SecFox-NBA网络行为审计系统(业务审计型)v2.8产品白皮书rev0.doc

网神SecFox安全管理系统 SecFox-NBA（业务审计型）产品白皮书Legendsec SecFox Security Management SystemSecFox-NBA(BA )Product Whitepaper网神信息技术（北京）股份有限公司 SecFox-NBA（业务审计型）产品白皮书版权说明本文的内容是网神SecFox安全管理系统 SecFox-NBA（业务审计型）产品白皮书。文中的资料、说明等相关内容归网神信息技术（北京）股份有限公司所有。本文中的任何部分未经网神信息技术（北京）股份有限公司（以下简称“网神”）许可，不得转印、影印或复印、发行，不得以任何形式传播。2006-2012 版权所有 网神信息技术（北京）股份有限公司商标声明本白皮书中所涉及的网神产品的名称是网神的商标。白皮书中涉及的其他公司的注册商标，属各商标注册人所有，恕不逐一列明。联系信息北京海淀区上地开拓路 7 号先锋大厦二段 1 层 2Section 1F , Xianfeng Building , No. 7 Kaituo Road , Shangdi Information Industry Base, Haidian District , Beijing客服热线（Customer Service Hotline）：400-610-8220传真（Fax）邮编（Post Code）：100085 目 录1SecFox安全管理概述42SecFox-NBA（业务审计型）52.1需求背景52.2产品简介63产品特点73.1全方位的数据库审计73.1.1多数据库系统及运行平台支持73.1.2细粒度数据库操作审计83.1.3可视化的数据库审计93.2数据库操作实时回放103.3多角度的业务审计113.4应用服务实时监控123.5资源转换与审计控制133.6内置数据库防攻击策略133.7快速响应和协同防御133.8海量存储便于事后分析143.9部署灵活简单易用153.10详尽有效审计报表154产品简介174.1产品组成174.2功能列表184.3性能指标194.4部署方式194.4.1单一部署（Stand-Alone）194.4.2主从部署（Master-Slave）214.5系统自身安全性保证215产品价值和优势225.1产品价值225.2产品优势226关于网神231 SecFox安全管理概述SecFox是网神信息技术（北京）股份有限公司自主研发的新一代安全管理系统。网神信息技术（北京）股份有限公司作为一支长期在安全管理领域奋斗的高素质研发团队，凭借对安全管理的深刻理解和在安全领域丰富的研发经验，厚积薄发，打造出了一套高起点、全方位、多层次，集网络管理、安全管理、运维管理三位于一体的统一管理系统。SecFox的安全管理理念是：首先，通过对客户IT资源中包括网络设备、安全设备、主机和应用在内的节点进行统一监控，保障IT资源的整体运行安全，及时发现网络和系统主机的故障和性能瓶颈；其次，通过实时获取IT资源中的各类安全信息，进行关联分析，实现IT资源的安全态势感知，对内部违规和外部入侵行为进行审计；然后，将IT资源的所有资产和威胁信息汇集到一起，通过决策分析获得可测量的安全风险，并借助标准化的运维流程支撑平台对IT资源实施有效的安全策略调整。最后，整个监控、审计和决策过程都统一在一体化管理平台之下，构建起面向整体IT资源的全面可控安全管理体系。SecFox安全管理模型如下图所示。统一管理安全决策安全审计安全监控SecFox安全统一管理平台由安全监控、安全审计和安全决策三部分组成。本产品白皮书主要介绍的产品是隶属于安全审计的SecFox-NBA 网络行为审计系统（业务审计型）。2 SecFox-NBA（业务审计型）2.1 需求背景随着信息技术的不断发展，在过去的20多年里，作为信息的主要载体数据库，其相关应用在数量和重要性方面都取得了巨大的增长。包括政府机构、企事业单位、制造业、商业等在内的几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高，各种数据信息，尤其是一些财务数据、客户数据等成为了关系企业生存的重要资产。还有很多数据信息涉及公司知识产权、公民个人隐私，一旦发生泄露，后果十分严重。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾，网络技术使得数字信息的泄露和篡改变得更加容易，而防范则更加困难。更为严重的是，所有信息泄漏事件中，源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过 85%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据 中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。由于政府和企事业单位的数据库系统都实现了网络化访问，内部用户可以方便地利用内部网络通过各种通讯协议进行刺探，获取、删除或者篡改重要的数据和信息。同时，一些内部授权用户由于对系统不熟悉而导致的误操作也时常给数据库系统造成难以恢复的损失。此外，对于使用IT外包和代维的大型机构而言，如何限制外部人员对数据库系统的访问权限也是一个难题，外包方的技术工程师可能在开发数据库应用的时候留下后门或者幽灵帐号，为将来侵入数据库系统埋下隐患。另一方面，为了保护敏感信息、加强内控，国家强制机关和行业的主管部门相继颁布了各种保护公民隐私，以及合规和内控方面的法律法规和指引，例如企业内部控制基本规范、银行业信息科技风险管理指引、证券公司内部控制指引、保险公司风险管理指引（试行）等。其中中华人民共和国刑法（七）第253条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”此外，在国际上，美国政府针对上市公司的萨班斯（SOX）法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案，支付卡行业数据安全标准（PCI DSS）都对信息保护和内控提出了严格的要求。这些条例和指引都要求对网络中的重要数据库系统进行专门的安全审计。可以说，随着安全需求的不断提升，网络安全已经从以防范外部入侵和攻击为主逐渐转变为以防止内部违规和信息泄露为主了。在这种情况下，政府和企事业单位迫切需要一款专门针对网络中数据库及其业务信息系统进行全方位审计的系统。网神借助多年在安全管理领域的积累，推出了SecFox-NBA（业务审计型），很好地满足了客户的安全审计需求。2.2 产品简介网神SecFox-NBA（Network Behavior Analysis for Business Audit）网络行为审计系统（业务审计型）通过对连接到重要业务系统（服务器、数据库、业务中间件、数据文件等）的数据流进行采集、分析和识别，实时监视用户对业务系统的访问，记录、发现并及时制止用户的误操作、违规访问或者可疑行为。SecFox-NBA（业务审计型）能够对复杂网络环境下的各种数据库操作行为进行细粒度审计。产品能够对运行在各种操作系统上的各种品牌数据库的操作进行记录并回放，审计的行为包括DDL、DML、DCL，以及其它操作等行为；审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数，等等；不仅能够审计请求信息，也能够审计返回结果，还支持操作内容回放。SecFox-NBA（业务审计型）独有面向业务的安全审计技术，通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性，审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。SecFox-NBA（业务审计型）能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应，并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动，并能够实时阻断可疑的网络通讯，实现安全审计的管理闭环。SecFox-NBA（业务审计型）为客户提供了丰富的报表，使得管理人员能够从各个角度对业务系统的安全状况进行审计，并自动、定期地产生报表。产品部署简便，不需要修改任何网络结构和应用配置，不会影响用户的业务运行。3 产品特点SecFox-NBA 网络行为审计系统（业务审计型）的主要特点包括：1) 全方位的数据库审计2) 数据库操作实时回放3) 多角度的业务审计4) 应用服务实时监控5) 资源转换与审计控制6) 内置数据库防攻击策略7) 快速响应和协同防御8) 海量存储便于事后分析9) 部署灵活简单易用10) 详尽有效审计报表3.1 全方位的数据库审计3.1.1 多数据库系统及运行平台支持SecFox-NBA（业务审计型）产品能够对多种操作系统平台下各个品牌、各个版本的数据库进行审计。产品能够审计的数据库系统包括：l Oracle 8i / 9i / 10g / 11gl SQL Server 2000 / 2005 / 2008l IBM DB2 7.x / 8.x / 9.xl IBM Informix Dynamic Server 9.x /10.x /11.xl Sybase ASE12.x / 15.xl MySQL 4.x / 5.x /6.xl 国产数据库，例如达梦、人大金仓等产品能够审计的数据库运行平台包括：Windows、Linux、HP-UX、Solaris、AIX。3.1.2 细粒度数据库操作审计SecFox-NBA（业务审计型）能够深入细致地对数据库的各种操作及其内容进行审计，并且能够用户通过各种方式访问数据库的行为。系统审计的行为包括DDL、DML、DCL，以及其它操作等行为；审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数，等等。如下表所示：操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言（DDL）操作CREATE，ALTER，DROP等创建、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域，等等）的SQL指令数据操作语言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据的SQL指令数据控制语言（DCL）操作GRANT，REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令系统不仅能够审计数据库操作请求，还能审计操作的返回结果，包括成功或者失败。如果失败，能够审计到返回的错误码。系统能够对各种访问数据库的途径进行监控和审计，参见下图：如上图Oracle数据库审计所示，无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问，还是通过第三方的Quest TOAD（Tool for Oracle Application Developers）工具访问，抑或通过中间件、浏览器、客户端程序/代理方式访问，等等，SecFox-NBA（业务审计型）都能够进行审计。特别地，如果被审计的数据库网络数据被加密处理了，SecFox-NBA（业务审计型）为用户提供了一个通用日志采集器模块，借助该模块，系统能够自动的采集被审计数据库的日志信息，并在审计中心对其进行归一化和关联分析。此外，SecFox-NBA（业务审计型）还能够监测数据库系统所在主机的网络通讯，对该主机的FTP、文件共享等协议进行审计，确保数据库系统上的数据安全。3.1.3 可视化的数据库审计SecFox-NBA（业务审计型）系统为用户提供了简介易用的操作界面，使得普通管理员就能够对复杂的数据库系统进行审计。系统提供了多种可视化的审计手段，包括：1. 智能监控频道智能监控频道为用户提供了一个从总体上把握企业和组织中所有数据库及其相关系统安全情况的界面。每个频道包括多个监控窗口，可以显示多方面的安全信息，窗口可以缩放、可以移动换位、可以更换布局、可以调台，显示管理员想看的内容。SecFox-NBA（业务审计型）提供丰富的频道切换器，用户可以在不同的频道间切换。同时，用户也可以自定义频道，包括自定义布局和展示内容。2. 行为分析图用户可以对一段时间内的数据库操作指令进行行为分析，并生成行为分析图。行为分析图将一段时间内的数据库操作按照不同的属性进行排列和连接，形象地展示在坐标轴上，让管理员一目了然的看到操作所代表的用户（IP）行为。3. 业务拓扑图通过网神独有的业务拓扑功能，可将业务系统中相关的数据库、主机、服务等对象以拓扑图的方式展现出来。通过业务拓扑，用户能够直观地看到该业务系统的组成，并方便地查看业务系统的告警信息和流量信息。3.2 数据库操作实时回放SecFox-NBA（业务审计型）对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审计，包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过程回放，真实地展现用户的操作。传统的数据库或者网络审计系统都采用基于指令的操作分析（Command-based Record Analysis）技术，可以显示出所有与数据库主机相关的操作，但是这些操作都是一条条孤立的指令，无法体现这些操作之间的关联，例如是否是同一用户的操作、以及操作的时间先后，审计员被迫从大量的操作记录中自行寻找蛛丝马迹，效率低下。借助网神独有基于会话的行为分析（Session-based Behavior Analysis）技术，审计员可以对当前网络中所有访问者进行基于时间的审查，了解每个访问者任意一段时间内先后进行了什么操作，并支持访问过程回放。SecFox-NBA（业务审计型）真正实现了对“谁、什么时间段内、对什么（数据）、进行了哪些操作、结果如何”的全程审计。3.3 多角度的业务审计对于用户而言，要保护核心数据，仅仅依靠对数据库的审计是不够的。内部人员违规操作的途径有很多，有的是直接违规访问数据库，有的是登录到数据库所在的主机服务器上，有的是透过FTP去下载数据库所在主机的重要数据文件，还有的是透过其他程序或者中间件系统访问数据库。所以，必须对数据库、主机、HTTP协议、TELNET、FTP协议，网络流量、中间件系统都进行审计，才能更加全面的发现违规、防止信息泄漏。这就是面向业务的安全审计。业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种IT资源有机组合而成的。因此，面向业务的审计就要对构成业务系统的各个IT资源之间的访问行为以及业务系统之间的操作的审计，这样才能真正反映出业务系统的安全状态。网神SecFox-NBA（业务审计型）就是这样一个集成了数据库审计、主机审计、应用审计和网络流量审计的面向业务的综合安全审计系统。SecFox-NBA（业务审计型）产品采用多种方式来更深入具体地分析业务系统：1） 复杂环境支持：根据实际网络情况，系统管理员可以定义多个业务网络。2） 业务网络拓扑：系统能够记录客户业务网络中各种数据库、主机、web应用系统相互的关联性，根据业务网络的变化可以快速查看业务网络中各个设备和整个业务网络的事件和告警信息。3） 可视化行为分析：通过可视化的行为分析，可以清晰地定位访问源、访问目标服务器、应用协议及其操作内容。4） 业务流量展现：系统能够展示出业务网络中各个节点（包括主机、无IP设备）在网络中的应用层的流量分布情况，管理员可以根据业务网络流量优化业务网络。5） 三层架构的业务审计：现行的很多业务系统都是基于客户端/浏览器、应用服务器和数据库的三层架构。单纯审计数据库，可能获取的用户名称和访问地址都是中间件的用户和地址，难于定位访问源。采用基于业务的审计就可能化解这个问题，系统可以将客户端访问的服务，中间件，数据库建立一个审计的业务，利用访问时间作为关联条件，将客户端访问和数据库访问关联，通过可视化的行为分析，定位访问源。3.4 应用服务实时监控应用服务是企业和组织IT应用的核心，SecFox-NBA（业务审计型）采用先进的主动探测监控方式，无需在应用服务系统中安装任何代理或软件，模拟应用数据直接监控这些应用服务，一旦这些服务出现无法响应或响应太慢，将会触发事件告警及时通知管理员，管理员可以迅速采取相应的措施。管理员可以根据自定义的时间段生成监控报表，报表可以另存为HTML、EXCEL、文本、PDF等多种格式。通过这些报表可以了解应用服务的实际运行性能，帮助管理员制定相关应变措施，帮助应用开发人员进行调整优化。SecFox-NBA（业务审计型）可监控企业和组织的各类应用服务，包括各类数据库、中间件等，不但可以监控这些应用和服务的状态和响应时间，还可以监控他们的详细性能指标，例如Oracle数据库的表空间大小等，可以为管理员提供全面而详实的参考信息。系统还提供监控快照功能，实时提供各种详细的监控指标。管理员可以在一个界面上查看所有的监控信息，并了解之间的联系，而不是孤立地看待每个指标。系统提供图形和数据等多种方式，便于管理员全面的了解和分析应用和业务的性能和故障。3.5 资源转换与审计控制SecFox-NBA（业务审计型）支持敏感信息的屏蔽，防止审计人员看到不归他管的敏感数据；当用户所属角色没有敏感信息查看的权限时，则该用户在查看事件明细时，将无法查看【操作内容】、【返回信息】、【原始消息】三个可能包含敏感内容的字段。资源转换：将原始的SQL语句中某些字段以指定内容进行显示。包括：帐号资源、数据表资源。此功能可自动将原始的SQL语句转换成用户一目了然的业务操作流程，以中文方式显示审计内容中的重要字段，不仅方便数据库管理员，也方便非专业人员进行审计信息的查看。3.6 内置数据库防攻击策略SecFox-NBA（业务审计型）内置抗攻击策略，在识别出对数据库服务器进行攻击时记录相关操作。用户可以手动设置报警，以便及时进行相应。典型的内置防攻击策略包括： SQL insert 注入攻击 SQL exec 注入攻击 SQL update 注入攻击 IBM DB2数据库xmlquery缓冲区溢出尝试 Oracle安全备份命令exec_qr注入攻击 Oracle BEA WebLogic Apache连接器HTTP版本拒绝服务攻击 Oracle安全备份POST exec_qr注入攻击 Oracle安全备份msgid 0x901用户名字段缓冲区溢出尝试3.7 快速响应和协同防御SecFox-NBA（业务审计型）在识别出安全事故后，能够自动或者用户手工的对威胁进行响应，采取安全对策，从而形成安全审计的闭环。SecFox-NBA（业务审计型）能够对业务网中所有IP的流量进行分析，因而能够更为精确地定位安全威胁，并对符合策略的告警事件进行阻断，实时自动阻止可疑行为。在发生告警后，SecFox-NBA（业务审计型）可以通过电子邮件、SNMP Trap等方式对外发出通告，能够执行预定义命令行程序，并将事件属性作为参数传递给该命令行程序。SecFox-NBA（业务审计型）可通过与网络设备或安全设备共同协作来关闭威胁通信，以阻止正在进行的攻击。SecFox-NBA（业务审计型）可以与众多第三方网络设备、安全设备进行联动。例如，在发现攻击后，阻断网络交换机的端口，或者更改防火墙和入侵检测系统的安全规则，阻止攻击的扩散和恶化。SecFox-NBA（业务审计型）支持与市场上大部分安全设备和网络设备之间的策略联动。此外，通过SecFox-NBA（业务审计型）与网神其他SecFox安全管理产品的综合使用，可以实现完整的从安全风险监控、分析到决策的安全管理流程的闭环。3.8 海量存储便于事后分析SecFox-NBA（业务审计型）可以将采集到的所有数据包和告警信息统一存储起来，建立一个企业和组织的集中事件存储系统，满足国家标准和法律法规中对于事件存储的强制性要求，为安全事故增加追查取证的信息来源和依据。SecFox-NBA（业务审计型）具有海量事件处理和存储的能力。单个SecFox-NBA（业务审计型）系统能够以每秒6000条到24000条的规模接收数据包，能够在线存储10亿到40亿条事件记录。加上系统的数据归档与离线存储功能，SecFox-NBA（业务审计型）能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。SecFox-NBA（业务审计型）具有极强的存储扩展能力，产品自带500GB2TB的存储空间，用户亦可以在后期进行容量扩展，或者直接外接存储设备。SecFox-NBA（业务审计型）在进行数据管理的时候，对数据存储算法进行了充分优化，使得使用小型数据库的情况下就达到了上述性能。此外，用户在使用本系统的时候，无需购买额外的数据库管理系统和许可，也不必花费专门的精力去维护数据库，这些都大大降低了用户的总拥有成本。SecFox-NBA（业务审计型）提供多种事件存储策略，能够方便地进行事件备份和恢复。SecFox-NBA（业务审计型）为管理员提供了强大的事后分析工具，使得管理员能够最大限度地对这些事件进行深度挖掘，寻找潜在的安全威胁。此外，SecFox-NBA（业务审计型）的事后分析功能可以协助管理员进行计算机取证分析，收集外部入侵或者内部违规的证据。3.9 部署灵活简单易用SecFox-NBA（业务审计型）采用旁路侦听的方式进行工作，对业务网络中的数据包进行应用层协议和流量分析与审计，就像真实世界的摄像机。利用网神先进的业务协议检测技术（Business Protocol Inspection Technology），SecFox-NBA（业务审计型）能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议，以及其它20多种应用层协议，经过审计系统的智能分析，发现网络入侵和操作违规行为。同时，借助网神先进的业务流量监测技术（Business Flow Inspection Technology），SecFox-NBA（业务审计型）识别网络中各种应用层协议的流量，及时发现流量违规和异常。SecFox-NBA（业务审计型）部署十分方便，即插即用，不必对业务网络结构做任何更改，对业务网络没有任何影响。SecFox-NBA（业务审计型）可以同时审计多个不同的网段；多个系统可以级联，实现分布式部署，实现对大规模业务网络的审计。系统部署后立竿见影，即可自动发现所侦听网络中的数据库访问行为。3.10 详尽有效审计报表SecFox- NBA（业务审计型）具有强大的报表分析功能。系统的报表分析引擎能从多种角度多种维度对数据进行分析；能提供实时分析、历史分析等分析手段；能对比统计的结果，分析数据的发展趋势；能将结果以图形方式（柱图、饼图、曲线图等）显示、打印；报告可用PDF、HTML、Excel或RTF等格式存档。SecFox- NBA（业务审计型）的报表报告生成系统灵活易用。它提供大量预定义的报表模板，用户可使用预定义的报表模板生成报表。SecFox- NBA（业务审计型）具备强大的自定义报表功能。用户可以通过报表编辑器，只需4步，即可方便地自己定义各种复杂的报表，包括报表的内容、布局，以及运行调度设置，满足企业和组织自身不断业务发展的需要。SecFox- NBA（业务审计型）允许用户对报表生成进行日程规划，定期自动生成审计报表，提供打印、导出以及邮件送达等服务，并根据计划归档报告，归档之后发送邮件通知。SecFox-NBA（业务审计型）支持审计主机用户和数据库用户的行为趋势报表，可以生成指定时间段用户行为趋势报表，包含用户的操作行为曲线，可以审计和分析用户的行为特点，为决策分析和调查取证提供数据支持。4 产品简介4.1 产品组成SecFox-NBA（业务审计型）产品仅包括硬件形态的审计器和可选的日志采集器两个部分。产品采用B/S架构，管理员无需安装任何客户端软件，通过IE浏览器登录审计器即可进行各种操作。管理员也可以将分布在网络上的多个审计器的信息统一发送到SecFox安全管理中心，通过IE浏览器登录SecFox安全管理中心进行集中审计。 SecFox-NBA（业务审计型）审计器型号规格指标SecFox-NBA(业务审计型)G2-千兆标准机架式，2个千兆电口-事务处理性能可达到6000条/秒-自带500GB硬盘-可审计3个数据库-支持Console口管理SecFox-NBA(业务审计型)G31-千兆标准机架式，默认2个千兆电口，可扩展-事务处理性能可达到12000条/秒-自带大容量硬盘，支持Raid，硬盘容量可以扩展-支持Console口管理-可扩展冗余电源SecFox-NBA(业务审计型)G41-千兆标准机架式，默认2个千兆电口，可扩展-事务处理性能可达到24000条/秒-自带大容量硬盘， 采用Raid5数据保护机制，硬盘容量可以扩展-支持Console口管理-可扩展冗余电源 通用日志采集器（可选）通用日志采集器运行在安装了Windows系列操作系统的主机和服务器上，能够主动的收集数据库管理系统产生的日志和告警信息，例如Oracle、SQL Server等数据库日志，等等。 Web控制台平台支持的操作系统系统需求WindowsMicrosoft Windows 2000 系列Microsoft Windows 2003系列Microsoft Windows XP系列-最低Pentium III 1.1GHz CPU-至少512M内存-16位真彩，建议分辨率为1024768以上-Internet Explorer 7.0+4.2 功能列表功能点说明数据库及业务服务审计范围支持对包括MS SQL Server、Oracle、DB2、Sybase、MySQL、Infomix、达梦在内的多种数据库，包括Windows、Unix、Linux、AIX在内的各种操作系统，包括WebShpere、WebLogic在内的中间件，以及VNC、FTP、HTTP、SMTP、POP3、NETBIOS、TELNET、Web Service等各种网络通讯和数据访问协议进行审计数据库操作记录审计可审计数据库的DDL（数据定义语言）：例如Create、Alter、Dro等；DML（数据操纵语言）：例如insert、delete、update、select等；DCL（数据控制语言）：例如特权帐户执行的grant、deny、revoke等操作；以及其它操作：例如事务处理操作、备份恢复操作、执行系统或者自定义存储过程等）。审计内容可以细化到域、模式、库、表、视图、记录、字段、用户、存储过程、函数、绑定变量数据库返回记录审计系统能够记录数据操作请求的返回结果，包括成功和失败。如果返回失败信息，则还能记录错误码数据库敏感信息隐藏系统能够在审计员进行操作查询分析的时候隐藏敏感信息，例如涉及公司机密的重要字段对应的数值，避免因为安全审计本身出现信息泄露网络行为审计可审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为；可审计FTP协议的登录、注销和一般操作等行为，可以审计FTP操作的文件/目录名称；可审计HTTP协议的访问行为，并可以对URL进行基于正则表达式的关键字匹配审计；可审计SMTP/POP3协议的访问行为，包括发件人、收件人、邮件主题等内容流量审计审计从三层到七层协议的流量，能够审计20种以上的应用层协议，包括IM、P2P、HTTP、POP3、SMTP、DNS等。流量审计的内容包括数据包分布审计、流量分布审计、应用协议流量审计、端口流量审计，用户可以进行协议分析、会话分析、节点分析业务审计管理员可以根据实际网络情况定义多个业务，并建立可视化的业务拓扑视图，快速查看业务网络中各个设备和整个业务网络的事件和告警信息。用户对业务拓扑进行编辑、拖放、连接等操作操作回放系统能够对记录下来的数据库操作及其返回结果以会话为单位进行回放。回放的时候能够显示当前会话的源、目的地址以及会话持续的时长实时统计可以通过实时统计功能清楚看到业务网内部告警事件、活动会话、活动会话的事件列表、被保护对象的访问情况，统计最近10分钟的数据事件查询事件查询为用户提供了历史事件查询的手段，用户可以指定复杂的查询条件，快速检索到需要的事件信息，从而协助管理员进行计算机取证分析，收集外部访问或者内部违规的证据审计策略管理审计策略是系统的核心，它为系统的数据采集和分析引擎提供输入。系统对通过引擎的数据包根据策略进行过滤，将符合策略的数据包供审计功能使用。用户可以自由定义审计策略，系统提供便捷的添加、修改、删除、导入、导出、启用和禁用等策略管理功能告警与响应管理告警规则包括系统预定义规则和用户自定义规则两大类，用户在制定规则的时候，既可以设定审计的触发条件，也可以设定触发审计后的自动响应动作，告警后可进行发送邮件、SNMP Trap、执行程序脚本、设备联动等响应动作。系统可以直接阻断可疑的网络通讯审计报表内置大量报表报告，包括数据库报表、FTP报表、主机报表、综合报表，等等。生成的报表图文并茂，报表可以按组管理，可以对报表生成进行日程规划，提供打印、导出以及邮件送达等服务，并根据计划归档报告，归档之后发送邮件通知。报告可用PDF、HTML、Excel、CSV或RTF等格式存档。用户可通过系统内置的报表编辑器自定义各类报表资源定义通过资源定义，用户可以建立安全领域的知识库，并建立业务相关的集合。例如定义办公IP地址组、上班时间，等等。用户可以在告警规则中任意引用这些资源，使得其各种设置操作真正基于业务和领域知识，而不是基础的端口、IP、时间等原始信息权限管理采用基于角色的权限管理机制，通过角色定义支持多用户访问。角色能够从设备和功能两个维度进行定义，从而达到对每一台设备、每一项功能进行操作的控制粒度系统配置系统管理员可以通过系统管理中的系统配置对系统自身进行各种参数配置，包括数据的备份与恢复、系统自身运行状态的监控、流量分析配置、SYSLOG服务器配置、时间同步、系统升级，等等性能指标事件处理性能600024000条/秒，依据具体产品硬件型号而定数据保存时间不少于6个月浏览器并发连接数50个（即同一时刻可以有50个用户使用本系统）其他用户使用模式无需安装客户端，使用IE浏览器访问管理中心部署方式可以独立部署，也可以级联部署、分布部署，还可以与LAS、UMS集成4.3 性能指标l WEB控制台登录到审计器的用户最大并发连接数：50个l 旁路监听方式，事务处理性能根据硬件配置从6000条/秒到24000条/秒l 事务存储量根据硬件配置从10亿条到40亿条4.4 部署方式4.4.1 单一部署（Stand-Alone）SecFox-NBA（业务审计型）可应用于大中小各类型企业，用于保护业务网中的数据库和网络主机，一般部署于被保护数据源的附近，通过端口镜像或者TAP方式连接到网络中。典型地，SecFox-NBA（业务审计型）审计器放置在业务服务器集中的交换机上，对交换机的端口做镜像，接到SecFox-NBA（业务审计型）审计器中。管理员通过浏览器可以从任何位置登录SecFox-NBA（业务审计型）审计器，进行各项操作，如下图所示：用户部署SecFox-NBA（业务审计型）系统无需对现有网络结构做任何改动，用户也不会有任何察觉。而且SecFox-NBA（业务审计型）设备自身的可用性也不会对整个网络可用性造成任何影响。特别地，借助SecFox-NBA（业务审计型）产品独有的多端口侦听（Multi-Port Detection）技术，系统支持同时侦听多个不同网段的网络通讯。这种部署方式适用于对分散在不同交换机上的多个数据库系统进行审计，或者是对在物理或逻辑上隔离的多个网络进行审计。4.4.2 主从部署（Master-Slav