【安华金和数据库安全审计简介】
　　安华金和数据库安全审计系统（DBSec Database Audit System，简称：DAS），是安华金和科技有限公司经过多年市场打磨，结合网安法要求自主研发的第二代数据库安全审计类产品。
　　【关于数据库安全审计厂商】
　　安华金和数据库厂商成立于2009年，由绿盟科技、阿里巴巴、君联资本、德联资本四大投资方共同投资。数据库安全审计服务是最具代表性的数据库防护产品，安华金和先后服务过世界500强央企、民营、金融企业以及外企等，客户遍及金融、能源、政府、医疗、企业、教育、军队、社保等各行业各领域。
　　【安华金和数据库安全审计功能】
　　一、审计全面
　　数据类型支持全面
　　分析角度全面
　　审计要素全面
　　策略配置全面
　　检索条件全面
　　二、识别准确
　　准确识别操作对象
　　准确的语句解析
　　准确关联应用用户
　　三、处理高效
　　日志检索速度快
　　日志入库速度快
　　四、成本低廉
　　省日志存储空间
　　低成本满足合规要求
　　
　　【安华金和数据库安全审计优势】
　　系统可审计的数据库类型涵盖国内外 12 种主流数据库，包括：
　　1)  国际主流：Oracle、SQL Server、DB2、Sybase、Informix、PostgreSQL、CacheDB；
　　2)  国内主流：Gbase（南大通用）、DM（达梦）、Kingbase（人大金仓）、Oscar（神舟）；
　　为适应大数据分析的市场需求，针对 Hadoop 大数据和非关系型数据库，提供完善的审计与监控能力。沿用关系型数据库的规则配置、业务分析流程，提高非关系型数据的分析能力。
　　一、  审计范围全面
　　系统可审计的业务范畴全面，审计数据来源包括：
　　1)  旁路镜像审计；
　　2)  探针式数据采集；
　　3)  虚拟机 VDS 引流；
　　4)  远程登录行为审计；
　　5)  本地回环口流量采集；
　　6)  telnet 行为记录；
　　7)  加密协议解析；
　　二、 审计内容全面
　　系统的审计元素覆盖数据库整体交互过程，包括：
　　1)  应用层信息：应用账户、应用 IP；
　　2)  客户端信息：客户端 IP、主机名称、操作系统账号、客户端工具/应用程序；
　　3)  数据库信息：数据库 IP 地址、用户名、数据库类型、版本、字符集；
　　4)  对象信息：实例、Schema、表、字段、包、存储过程、函数、视图；
　　5)  响应信息：应答错误码、影响行数、返回结果集等；
　　6)  其他信息：登录时间、操作时间、SQL 响应时长等
　　三、  分析角度全面
　　产品可提供的规则视角全面，可基于如下几个维度分析审计日志：
　　1)  全库\数据库组\单库
　　2)  语句与会话的关联审计
　　3)  区分数据库实例审计
　　4)  会话深度分析
　　5)  数据库性能异常分析（TopSQL 等）
　　四、  策略配置全面
　　本系统支持全局策略配置，根据【数据库类型】和【业务类型】添加不同的规则组，可引用不同的数据库开启监控策略，提供全面的数据库攻击行为监控技术：
　　五、数据库审计系统具备高效的日志检索能力，实现审计记录的快速查询。当设备旁路进入网络，即可对添加的数据库进行协议解析，并对解析内容快速入库建立索引文件，从而在审计分析时实现高效的查询机制，大型审计记录分析运算入库时间小于 30s，亿级别数据规模单条记录查询响应时间小于 10s，达到业界领先水平。索引文件和数据表文件如果损坏，系统会启用自动修复机制，以确保系统日志查询时的有效性和准确性。
　　六、审计系统基于精确协议分析、完全 SQL 解析、参数化匹配、长语句解析、多语句解析和100%应用关联技术，创造了业界准确的数据库审计产品，为可信审计追踪提供了坚实的基础。
　　七、提供 3 级存储机制，包括在线存储库、历史压缩库和远程备份库，使千亿级数据存储不再困难。通过在线存储库保证高效响应，在历史压缩库中提供 10 倍以上压缩比，通过远程备份库完成第三方存储设备利用，并通过专项接口与外部高效存储阵列对接。
　　数据库安全审计产品在硬件层面支持 RAID 0/1/5 硬盘存储模型，并支持 SSD 固态硬盘提高 I/O 读写速率。系统在保障审计日志高效入库的同时，在硬件层面实现冗余存储。高端设备以可插拔硬盘方式实现存储空间的动态扩容，可实现 60T 硬盘存储。
　　【安华金和数据库安全审计核心技术】
　　核心技术一：漏洞攻击监控技术
　　漏洞攻击检测技术是本系统中的核心技术之一，通过该技术用户可以针对数据库漏洞攻击行为进行实时的检测,从而保证安全与应用稳定的平衡。
　　漏洞攻击检测技术是系统通过协议解析技术，捕捉外部系统利用数据库漏洞进行的网络攻击行为并对其进行告警，从而监控通过已知漏洞对数据库的攻击。
　　数据安全审计通过网络解析技术捕获以下访问特征：用户名、对象、操作、应用模块、语句内容，通过内部的漏洞攻击检测库进行访问行为匹配。当前本系统可以支持以下漏洞攻击行为的捕获：
　　
　　核心技术二：SQL特征抽象技术
　　SQL 语句的解析是识别 SQL 语句攻击行为的关键。传统的技术，往往采用正则表达式的方式，但该方式存在巨大的技术缺陷，一是正则匹配过程性能低下，二是对于复杂的参数情况容易产生匹配错误，三是通过语句的变体容易欺骗。
　　本系统为了有效捕获 SQL 语句的特征，以及为了快速地对 SQL 语句进行策略判定，以实现高效处理，提供了专利性的 SQL 语法特征技术，实现了对 SQL 语句的重写。
　　SQL 重写是在不改变原 SQL 语句的语义的情况下，本系统对捕捉到的 SQL 语句进行重写，替换原语句中的参数值。
　　SQL 重写是一个抽象的过程，便于管理和操作。SQL 重写包括以下几个方面：
　　除了单双引号内的内容，小写字母全部变为大写字母；
　　准确区分正负号和加减号；
　　将 SQL 语句中的数值、单引号引起的字符串各自重写为统一的占位符；
　　将注释、换行重写为空格，将连续的空格合并为 1 个，去掉运算符两端等不影响语义的空格
　　核心技术三：海量数据压缩
　　采用先进的数据采集和存储机制，对海量的审计日志归档存储，并且根据现场的实际压力状态和备份语句量，提供【高压缩】和【高性能】两种数据压缩方式。
　　【高压缩】：适用于压缩数据量大，而实时性能不高的情况；
　　【高性能】：适用于实时性能较高，对压缩备份数据量不敏感的情况；
　　

　　【安华金和数据库安全审计部署方式】
　　安华金和数据库安全审计系统部署方式主要分为旁路审计及虚拟化审计及本地审计三种：
　　旁路审计部署
　　系统支持旁路部署模式，在无须插件植入数据库的前提下，实现数据库通讯流量的全量解析和审计。旁路模式下系统并不直接接入数据库网络，而是将网络流量镜像传输给审计系统，系统通过网络监听口捕获镜像流量完成审计。
　　虚拟化审计部署
　　系统支持虚拟环境部署，可适用于主流私有云环境（如：青云、华为云、阿里云、腾讯云等），可以支持虚拟机环境部署（如 VMware、KVM 等）。系统可基于 CentOS 操作系统解压安装，可基于以下两种方式进行实时数据采集：
　　1、虚拟交换机引流
　　适用于数据库和应用在同一虚拟化环境下，依赖虚拟交换机（VSwitch）进行流量镜像，网络配置方式类似于物理机设备的“旁路镜像”。
　　2、Rmagent 插件部署
　　虚拟环境中，虽然支持 VSwitch（虚拟交换机）功能，实现在虚拟环境下的数据镜像，但在实施过程中往往受到环境影响无法完成数据引流。为了适应虚拟环境下的灵活部署，产品可基于 rmagent 插件部署于数据库服务器从而完成数据采集。其思路是：在被审计的机器上安装 rmagent 插件，可以从网卡上进行抓包，然后通过TCP 连接，把此网络包发送给审计设备。审计系统提供接口和 rms 程序用于接收 rmagent传输的数据包，接受后传输到数据区进行协议解析并形成常规的审计。Rmagent 具备良好的兼容性，可适用于 CentOS、RedHat、Solaris、AIX 等主流操作系统。
　　本地审计部署
　　数据库的本地操作行为包括：TCP 式协议访问、客户端工具直连访问。系统通过部署Rmagent 组件可以利用 npcap 抓取本地“回环口”流量，并将采集到的数据库本地通讯信息，通过内部网络传递给审计设备完成本地流量解析。
　　数据库客户端工具（例如：SQLPlus）部署于数据库服务器，可以直连数据库 Server进行操作，此类信息无法通过回环口抓包获取。系统通过向客户端工具植入插件的方式，获取操作日志，并传递给 rmagent 完成信息采集，从而实现全量的数据库本地行为记录。