软件说明
● 多码环境的适应能力:天玥审计系统具备识别多种编码的能力,支持包括ASCII、Unicode、UTF-8、UTF-16、GB2312、EBCDIC等编码格式,避免因编码格式不同而导致审计记录出现乱码的情况,保证了审计记录的可读性。 ● 灵活的规则定义能力:天玥审计系统预置了业界全面的审计规则集,涵盖了用户常用的网络操作行为。同时为用户提供了便捷的规则自定义功能,能够根据时间、IP、端口、协议、帐号、操作命令、数据库名、数据库表名、字段名、字段值、返回值等多种条件的规则组合,制定符合用户自身业务环境的审计规则。 ● 高速的事件入库能力:天玥审计系统采用了固化硬件架构设计,超大容量数据存储空间,优化的数据存储引擎,在审计策略全部开启环境下,审计事件每秒入库速率达到万条以上,达到国内最高水平,从而避免用户在事后追踪溯源过程中,出现审计事件漏报的问题。 精确溯源 ● 独特的端口认证功能:系统提供了USB硬件令牌、静态口令、Radius三种认证方式,实现网络TCP端口访问的强制认证,用户可灵活选择。实现对自然人的绑定,当自然人在进行网络操作时,其真实身份与其网络行为进行关联,从而实现对自然人的追踪和稽查。 ●高效的源头跟踪能力:系统能够针对用户网络环境中出现的指定帐号(比如Root、DBA)、指定应用程序(比如SQLPLUS、PL/SQL),进行随时触发、随时跟踪,减少审计事件过多带来的管理负担。 ●及时多样的响应方式:系统提供了多种响应方式,支持包括记录、忽略、定级、界面告警、RST阻断、Syslog、SNMP Trap、邮件发送等技术手段,并可与第三方管理平台进行联动(如SOC平台、4A平台等),帮助用户实时掌握审计信息。 ● 易于扩展的分析条件:系统提供了多达20余种的查询条件,条件之间可任意组合,支持与、或、非逻辑运算规则,系统还提供特有的审计取证功能,简化了分析条件的操作,减少了维护工作量,促进了用户内审经验的传递。 ● 多种维度的合规报告:系统提供60余种报告模板,用户也可以根据自身业务特点生成自定义报表,报表格式包括HTML、EXCEL、CSV、PDF、Word等,提供从宏观数据到微观事件的决策依据。
典型应用 天玥审计系统为BS架构,支持用户利用各种主流浏览器进行访问和管理。系统主要由数据中心和审计引擎两部分组成。 数据中心连接在交换机的普通端口,对外提供管理接口,主要负责对审计系统进行管理,配置审计策略,存储审计日志供用户查询和分析。数据中心支持一对一或一对多的方式与审计引擎进行连接和管理。 审计引擎可以旁路或者在线接入到用户业务网络,捕获网络访问流量,根据用户配发的审计策略,对网络数据包进行深入解析,提取审计事件并进行响应。 旁路部署 一般情况下,用户更愿意选择旁路方式部署他们的审计产品,避免审计设备影响原有的网络访问结构和访问效果。
天玥审计系统旁路审计部署示意图 此种部署方式无需改变用户原有配置,对业务系统和数据库不构成任何影响,尤其适用于大访问流量下的数据库审计。 串联部署 在某些特殊应用下,旁路审计并不能解决所有的问题。在网络环境中,审计过程除了记录以外,还需要关注控制,而网络监听方式无法实现很好的控制效果;另外,鉴于加密协议的安全性,部分用户环境访问服务器使用的是SSH、RDP等加密协议,对加密协议的解析,在线产品似乎更加有效。为了解决上面的问题,用户可以选择在线部署审计产品的方式。 不过由于数据库环境存在流量大、业务连续性要求高、可靠性要求高的特点,与互联网环境大相径庭,故这种在线审计技术往往主要运用在对数据库运维审计的情况下,不能完全覆盖所有对数据库访问行为的审计。
天玥审计系统在线审计部署示意图 多级分布式部署 为了方便大型网络客户的使用,适应不同的网络管理结构,天玥审计系统实现了多级和分布式部署和管理。 天玥审计系统多级管理适用于多层次网络管理架构,在满足各级网络自身的审计要求基础上,总部可以对二级公司的审计系统进行管理,并对下级的审计报表进行查看,方便总部管理人员了解下级网络的安全状态。 同时,天玥审计系统的数据中心可以管理多个引擎(包括旁路引擎和在线引擎),对多个引擎进行统一管理和维护,对审计日志进行统一的收集和分析。
天玥审计系统多级分布式管理示意图