安数云擎安池系统技术白皮书

DataCloudSec

安数云擎安池系统

技术白皮书

北京安数云信息技术有限公司

www.datacloudsec.com

目 录

1.产品背景4

2.当前安全行业的风险问题4

2.1.传统安全产品体系之殇4

2.2.云上安全的安全管理问题5

3.设计理念5

3.1.兼容云平台6

3.2.安全产品系列融合7

3.3.数据融合7

3.4.安全服务融合7

3.5.服务用户7

4.核心功能7

4.1.网络可视化7

4.2.服务实例管理8

4.2.1.服务实例总览8

4.2.2.服务实例类型9

4.2.3.服务实例10

4.2.4.服务模板11

4.3.服务链管理12

4.3.1.服务链12

4.3.2.服务链策略13

4.4.订单管理13

4.4.1.待审批订单14

4.4.2.订单14

4.4.3.已防护服务14

4.4.4.服务15

5.云安全能力15

5.1.态势感知能力15

5.1.1.安全态势16

5.1.2.安全分析17

5.1.3.日志报表17

5.1.4.资产管理17

5.1.5.高级设置17

5.1.6.系统管理18

5.2.系统综合扫描能力18

5.3.云上网络入侵防御能力20

5.4.云WAF安全能力23

5.5.网站监控预警能力25

5.6.资产防泄漏，资产跟踪能力25

5.7.数据库审计能力26

6.特色与优势29

6.1.统一管理29

6.2.统一分析29

6.3.安全资源灵活分配29

6.4.等保合规30

6.5.支持弹性扩容，提高资源利用率30

6.6.构建安全数据中心，界定安全责任划分更清晰30

6.7.开放合作30

6.8.安全可视化30

7.部署方案31

7.1.一体机部署31

7.2.导流模式部署32

1. 产品背景

云计算作为一种新兴的计算资源利用方式，正处在飞速发展的阶段。云计算的服务商通过对硬件资源的虚拟化，将基础IT资源变成了可以自由调度的资源池，从而实现资源的按需分配，向客户提供按使用付费的云计算服务。用户可以根据业务的需要动态调整所需的资源，而云服务商也可以提高自己的资源使用效率，降低服务成本，通过多种不同类型的服务方式为用户提供计算、存储和数据业务的支持。

随着越来越多的用户将传统的业务系统迁移至云计算环境中，云安全面临的挑战也更加严峻，传统环境下的安全问题在云环境下仍然存在，如SQL注入、内部越权、数据泄露、数据篡改、网页篡改、漏洞攻击等，而云环境下又不断涌现一堆新的安全问题，如云安全边界的划分和防护、云安全防护系统的选择和部署、云安全检测、安全防御、云安全审计等。同时，云计算环境下的资源按需分配、弹性扩容、资源集中化等新型技术形态也给云安全技术带来挑战和技术革新。

2. 当前安全行业的风险问题2.1. 传统安全产品体系之殇

在传统网络安全环境下，安全产品绝大数是以硬件形式，通俗的讲是以盒子产品的形式交付给客户的。在虚拟化大力发展的今天。用户大部分业务已逐步迁移到了云上，所有资源都以虚拟化的形态存在，以达到集中式的管理。为了适应现在及将来用户安全业务的需求，安全产品现在也逐步向虚拟化发展。如何将云上的安全资源，进行统一、合理的管理成为现阶段云安全的一个难题。当前传统安全面临的问题可以归结到下图。

2.2. 云上安全的安全管理问题

边界安全：由于云的发展，传统的边界安全已经不适用云的使用环境。

服务模式：用户失去对资源的直接控制，云服务商信任问题，多租户隔离引发的安全问题。

虚拟化技术：资源共享，虚拟化安全漏洞引发的安全问题。

安全责任界定：在云环境下，云的运营管理与云上业务数据的责任主题不同，相互之间的安全责任难以界定，云环境的部署模式、服务模式的复杂性也为界定安全责任增加了难度。

3. 设计理念

安数云擎安池产品是安数云根据对当前传统及云环境下的网络安全问题调研，及多年在对安全领域的研究与经验积累，结合公司全线安全产品资源，打造的专门针对当前现状的网络安全产品，旨在帮助用户解决网络安全问题。

擎安池是安数云下一代网络安全解决方案，核心设计理念如下：

以擎安池为中心建立矩阵式的立体防御体系：

3.1. 兼容云平台

擎安池可以兼容当前主流云厂家的云平台，可以无缝将云平台业务数据引入擎安池，进行安全防护。

3.2. 安全产品系列融合

擎安池可以天然融合安数云全部安全产品及第三方安全产品。

3.3. 数据融合

擎安池--安数云态势感知系统可以为用户提供大数据存储，对安全数据进行分析及风险预警，对网络恶意攻击快速检索及溯源，并且可以实现安全态势及流量可视化等。

3.4. 安全服务融合

擎安池基于融合安全资源，对外提供服务，以服务的方式解决客户的痛点问题。

3.5. 服务用户

擎安池提供租户的概念，用户可以根据自身业务的分类规划租户，不同的租户可以购买不同的服务，灵活分配安全资源。

4. 核心功能4.1. 网络可视化

安数云擎安池对擎安池内安全产品统一管理，实现安全功能的网络可视化，帮助用户简化安全组网运维。

4.2. 服务实例管理

通过擎安池可以实现服务实例的管理，包括服务实例总览、服务实例类型、服务实例、服务模板等业务的管理功能。

4.2.1. 服务实例总览

服务实例总览可以快速浏览到当前擎安池融合的安全产品，并提供安全产品的管理及控制台功能。

安全产品管理功能：该功能为用户提供一站式的管理服务，通过擎安池平台即可完成对所有安全产品的管理功能。

控制台功能：该功能方便用户对安全产品进行初始化设置或后台运维管理。

4.2.2. 服务实例类型

擎安池默认添加了安数云的6种安全产品类型，用户可以根据需要增加或删除操作。并且可以增加第三方安全产品。

4.2.3. 服务实例

服务实例为安全产品的虚拟化对象，是安全产品主体。在这里可以对安全产品的虚拟化对象进行相应的管理操作。

服务实例详情：

4.2.4. 服务模板

服务模板为服务实例提供模板功能，服务实例种类、计算规格云盘规格、网络规格等。

服务模板详情：

4.3. 服务链管理

服务链管理为用户提供安全服务链及服务链策略功能。用户可以根据需要灵活配置所需服务链，根据保护对象灵活配置服务链策略。

4.3.1. 服务链

服务链是安全服务集合。用户根据需要创建满足自身需求的安全服务集合。比如WAF服务链、WAF+IPS服务链等。

擎安池目前提供防护类、审计类服务链类型。其中防护类服务链可以使用擎安池内置的虚拟路由；使用虚拟路由的服务链有以下好处：

1、可以旁路部署，将用户业务流量引入到云池进行安全防护。

2、相对传统旁路部署至少可以节省一张物理网卡及一台物理交换机。

提供流量监控功能，用户可以实时感知服务链的网络流量信息。

服务链的服务禁用和启用功能，该功能可以用来方便的维护服务链中的服务防护状态，比如可以在服务升级、维护场景下使用；服务被禁用后，服务链暂时不接受该服务的防护，等待升级、维护结束后，启用该服务，就会恢复该服务的防护功能，在此过程中不会中断用户的正常业务。

4.3.2. 服务链策略

服务链策略功能能够可以给用户提供对防护对象灵活的控制能力，只需提供防护对象的ip或所在子网就可对其进行防护，而对于没有加入策略的其他对象不提供防护服务。

4.4. 订单管理

订单管理提供在租户版本下租户申请安全防护功能，租户可以通过申请订单来申请定制的安全服务。

4.4.1. 待审批订单

租户申请安全服务后，订单状态待审批，系统管理员进入待审批订单页面，可以直接看到所有需要审批的订单，直接进行订单的审批操作，方便审批操作。

对于防护类安全服务，比如WAF、IPS、FireWall等安全产品，审批完成后，系统会自动完成防护策略的下发，完成租户的安全防护。

4.4.2. 订单

系统管理员进入订单页面，可以查询到当前系统的所有的订单数据，包括待审批的和已经审批完成的订单，可以查询订单的详细信息，包括订单的审批信息；该页面也可以对待审批状态的订单进行审批操作。

4.4.3. 已防护服务

租户的订单申请在审批完成后会 生成安全防护服务，防护服务维护租户的防护对象和安全服务，同时包含安全服务的防护周期；在防护服务到期后会自动停止租户的安全服务。

4.4.4. 服务

服务功能提供维护系统当前对租户提供的所有的可以购买的安全服务，安全服务需要和系统内部的一个安全服务链进行关联，以保证该服务购买后可以生成租户具体的安全防护。

5. 云安全能力

安数云以擎安池为基础，以数据为中心，数据与安全产品协同，打造立体式的云安全能力。

5.1. 态势感知能力

安数云态势感知系统是一款基于大数据分析的综合安全分析系统；系统分为三层基础架构：数据采集层、数据存储层、数据分析层。各层功能如下：

· 数据采集层：资产发现与管理、数据志采集、威胁情报采集等。

· 数据存储层：数据初处理、数据统一存储等。

· 数据分析层：异常行为智能感知、高级威胁智能感知、安全事件审计。

系统通过对全网信息资产以及相关环境进行数据采集、统一管理与安全分析，实现全网综合安全感知，通过智能安全处理，保护信息环境稳定安全，同时通过持续检查与预警实现7*24小时安全防护。

5.1.1. 安全态势

提供超过5种面向不同安全场景的态势监控界面，包括：综合态势、攻击态势、威胁态势、资产态势、用户态势等；

5.1.2. 安全分析

提供针对所有数据，如流量、事件、日志等的多维度全方面分析，分析模式包括聚类、关联、序列化、特征、规则等。在此基础上，安全分析人员可以使用分析结果作为依据寻找攻击者在内网留下的痕迹，对攻击进行溯源和判断，并按照时间维度呈现出攻击证据链。典型分析如下：

安数云态势感知系统提供了基于实际安全场景的多维度异常检测功能，其内置的UBA模块可对企业环境里的行为数据在分分钟内完成分析。主要包括：

· 用户行为画像；

· 行为可视化，方便客户迅速掌握行为变化趋势；

· 结合外部威胁情报进行分析；

· 发现异常行为后进行预警；

5.1.3. 日志报表

主要包括日志、报表两个模块。

日志模块可按照多种条件进行查询，包括发生时间、事件名称、协议、安全分类、源IP、目的IP、日志内容等；同时支持按告警类型、告警阶段就行分类查询统计。

报表模块系统内置了多种模板，如告警统计、告警趋势、告警级别分布等，满足用户对报表的使用要求。报表支持定时生成、邮件送达等服务。

5.1.4. 资产管理

资产是攻击者的目标，也是安全防护的核心所在。系统实现对信息化环境中的信息资产进行自动发现，所有资产由资产库统一管理，可以自动识别或者自定义资产属性、进行分类、分组、权限资产管理。同时实现网络拓扑管理，展示资产所在地理区域以及业务区域。

5.1.5. 高级设置

主要包括数据采集器、数据解析规则、数据分析规则等功能。

数据采集器为数据来源，系统可以通过多种采集方式对多样化的数据源进行采集。采集方式包括但不限于镜像流量、NetFlow、Syslog、FTP、SNMPTrap、文件、WMI、JDBC、WebService、Agent等；采集数据源包括但不限于信息化资产相关数据（如网络资产信息、存储资产数据、终端资产数据、服务资产数据等）、信息化周边数据（如组织架构情况、人员相关信息、安全域信息、安全账号等）、网络行为数据（如网络流量、日志数据）、网络安全统计数据（如防火墙防护数据、WAF防护数据、终端准入防护数据等）、威胁情报数据（如恶意域名、恶意URL、恶意IP、DNS解析库、恶意代码等）。与此同时，系统实现对信息安全环境下的威胁情报进行采集，采集包括漏洞信息、攻击事件信息、病毒查杀结果信息、异常行为信息、可疑事件信息等。

数据解析规则针对不同资产定制不同的解析规则，以便将原始数据转化为系统内部可识别的数据。解析规则支持自定义。

数据分析规则内置了大量的模板，可将解析后的数据进行聚类、关联、序列化等分析。分析规则支持自定义。

5.1.6. 系统管理

提供基本的用户管理、安全性设置以及系统运行状态查看等功能。

用户管理模块对用户设置不同的权限，以确定其在态势感知系统中的角色。

安全性设置包括：IP访问限制、密码策略、登录锁定等等。

系统运行状态：可展示系统的运行状态以及管理员的操作情况。

5.2. 系统综合扫描能力

安数云擎安池提供的综合安全检查评估系统，是一套完整的、全方位的漏洞管理与等级保护检查评估系统，在国内处于独一无二的地位。该系统包括资产管理、系统漏扫、网站漏扫、数据库漏扫、基线配置核查、木马病毒扫描、弱口令扫描、网站恶意代码扫描、实时在线的网站监控预警（含可用性、安全漏洞、篡改、敏感内容、网马、暗链、钓鱼等）、等级保护检查评估等功能，一揽子解决了用户信息化环境下，所有应用设备及信息系统的漏洞管理、监测预警、定级评估等问题，实现了等保合规化与扫描结果的综合分析与可视化展示。

该系统还将进一步增加WIFI检测、工控漏扫、物联网漏扫、大数据系统漏扫、云系统漏扫及代码审计等功能。

主要优势功能如下：

1一键资产发现

1)扫描发现网络中存活的主机；

2)支持对目标主机执行多种方式的端口扫描；

3)识别端口对应的服务；

4)识别操作系统类型，如Windows、Linux、Unix等；

5)识别网络中安装的数据库类型，如MySQL、MSSQL、Oracle等。

2完备的漏洞规则库

产品包含将近50000条策略，包括有：WINDOW测试、UNIX测试、数据库测试、WEB测试、网络设备测试、防火墙测试等，涵盖了所有常见的系统。目前漏洞知识库完全兼容CVE国际标准，按风险级别分为高、中、低、信息四个级别。

另外还提供完善的漏洞风险级别、漏洞类别、漏洞描述、漏洞类型、漏洞解决办法及扫描返回信息，并提供有关问题的国际权威机构记录（包括CVE、Bugtraq编号），以及与厂商补丁相关的链接。

3高效的检查速率

产品采用并发规则、并发任务扫描等多项技术及独创的脚本引擎调度算法，对同样的目标系统进行检测时，扫描的速度大大高于其它同类型扫描产品。另一方面由安全研究小组精心编写的漏洞检测规则插件也很好的保证了检测的准确性，从而保证了在正确率的前提下大幅提高了检测的效率。

在进行大规模扫描时，产品支持分布式部署，充分利用多台硬件资源与带宽，加快扫描速度。

4先进的漏洞管理方案

扫描系统遵循“漏洞生命周期”原理，并将之划分为五个阶段，即漏洞扫描、漏洞预警、漏洞分析、漏洞修复、修复验证，最终达到漏洞被修复的效果，形成漏洞管理闭环。

5丰富的监控报告

1)多维度的监控报告展示；

2)根据漏洞类型展示风险情况；

3)根据危险等级展示风险情况；

4)详细的漏洞内容展示；

5)支持导出多种格式的报告，如pdf、word、html等。

6实时预警

1)支持实时系统预警.

2)支持实时邮件预警。

3)支持实时短信预警。

7权威、高效、专业的等保合规检查

以公安部制定的信息安全等级保护检查工具箱技术规范为设计理念，完全满足规范要求。

将耗时的政策检查自动化，实现了信息安全等级保护工作检查的流程化管理，让耗时的政策检查更快捷高效。

5.3. 云上网络入侵防御能力

安数云擎安池提供网络入侵防御系统（简称安数云IPS）。该系统采用在线部署方式，能够实时检测和防御包括拒绝服务、缓冲区溢出、木马蠕虫、CMS、WEBSHELL等3000多种网络攻击行为，第一时间将安全威胁阻隔在企业网络之外。安数云IPS有力的弥补了防火墙和入侵检测系统的不足，其能自主的进行深度检测和自动防御，而不只是简单的告警等待用户处理。因此，安数云IPS能有效保护用户的网络资源，使其免收各种外部攻击，全面保证业务系统的健康运行。

1 强大的入侵检测能力

安数云IPS在协议解析的基础上，融合特征识别、流量异常检测、会话跟踪等多种技术手段，能够精确的发现各种网络入侵行为，并进行相应的防御，为客户提供深入全面的安全解决方案。

(1)安数云IPS拥有强大的DOS/DDoS攻击防御能力，其内置了各种DOS/DDoS的检测算法，能够防御Jolt2、Land-Base、Tear Drop等多种攻击行为，以及SYN、UDP、ICMP扫描行为。

(2)安数云IPS拥有完善的特征库，具有强大的特征检测系统。该系统采用快速高效的匹配算法，能够精确的检测出各种漏洞、缓冲区溢出、蠕虫木马、暴力破解、安全扫描等已知攻击行为。

(3)安数云拥有强大的安全事件研究团队，致力于研究国内外热点安全事件，并积极寻找修复方案，形成特征规则后，直接用于到安数云IPS，及时提升产品的防御能力。

(4)安数云IPS拥有强大的特征规则库，目前已覆盖各种病毒、漏洞、蠕虫木马等规则，并在安全研究团队的努力下，一直在不断完善。

2 强大的上网行为识别能力

安数云IPS能够识别各种即时通信、P2P软件、金融交易、网络游戏和网络多媒体等在内的多种用户上网行为，并能更好的协助用户了解当前网络的应用状况，发现网络中的各种异常流量，继而采取阻断、限速等控制手段，保证网络的畅通。

3 完善的WEB安全防护能力

安数云IPS不仅可以对WEB访问进行安全检测和防御，还可以阻断携带某些特征关键字、URL的WEB请求，还可以结合敏感信息过滤功能对WEB内容和上传文件进行更精细的检查和防御。

安数云IPS支持用户手动添加关键字列表、URL列表等，以满足客户对产品动态需求。

4 邮件协议过滤能力

随着计算机网络的发展，电子邮件在为人们提供便利的同时，随之而来的垃圾邮件也给人们带来了不少的麻烦。据统计，全球高达80%的邮件都是垃圾邮件，由此可见垃圾邮件攻击已经严重影响到了人们的日常生活和工作。

安数云IPS可以根据邮件相关的各个字段进行过滤，包括主题、发件人、附件名、邮件大小、IP地址或SMTP命令等，还可以结合敏感信息过滤功能对主题、正文、附件名、附件内容等进行更细化的检测和过滤，从而可以最大程度的改善和保护客户的电子邮件环境。

5 高效的病毒检测能力

安数云IPS具备高效的防病毒能力，采用基于特征扫描和启发式扫描技术的检测技术，能够检测针对HTTP、FTP、SMTP、POP3、IMAP等多种协议的蠕虫病毒、木马病毒、后门等多种病毒，并进行实时查杀。

6 多维度的流量控制

安数云IPS提供强大、灵活的流量管理功能，从多个纬度对客户的网络环境进行流量保护。安数云IPS支持以安全服务、主机、协议和网络应用为单位的多维度流量控制。从不同层面，灵活的保护客户的网络环境。

7 强大的防火墙能力

(1)支持访问控制

安数云IPS支持根据协议、网络接口、源/目的IP、时间等元素，自定义访问控制规则。通过这些规则，可以帮助客户灵活的管控自身网络的流量出入规则。

(2)支持NAT

安数云IPS支持源/目的、静态/动态地址转换功能，同时也支持多种网络转换方式，如一对一、一对多和多对一等方式。

(3)支持路由

安数云IPS支持静态路由和策略路由两种路由方式。其中策略路由能够根据网络接口、IP、端口等选择报文转发策略，尽可能满足客户的各种应用场景。

8 高可靠的业务保障能力

安数云IPS设备拥有支持热插拔的冗余双电源，避免当电源出现故障时，出现设备停止工作，造成攻击无法防御、甚至断网等严重后果。因此，冗余电源的存在，在一定程度上提高了IPS设备自身的可靠性。

安数云IPS支持软件和硬件两种BYPASS方案。其中，硬件BYPASS包括外置BYPASS设备和设备板卡自身BYPASS两种方案。当系统在运行过程中出现软件故障后，系统会自动开启软件BYPASS功能，自动构建一条通路，使流量能够正常通过设备，避免网络中断的情况发生；当安数云IPS设备断电或出现故障时，设备会自动启动硬件BYPASS功能或外置BYPASS自动启动，保证流量的正常传输。

安数云IPS支持主主和主备模式两种双击热备技术，在设备出现宕机或硬件故障时，能够自动完成主备切换，完全可以实现链路的高可用性。

9 可视化报表功能

安数云IPS提供了可视化的实时报表功能，可以根据攻击、应用、流量、病毒等多个维度进行细粒度统计和做趋势图展示。通过这些图表，客户可以很轻松的了解当前网络的安全状态。

安数云IPS还提供了详细的安全报表功能，系统支持生成各种周期的综合安全报表，报表以PDF格式导出。

安数云IPS支持按照日志级别记录日志，自动忽略设定级别以下的日志，不仅极大的减少了攻击告警的数量，而且提高了对于高风险攻击事件的反应速度。

10 丰富的响应方式

安数云IPS提供了通过、丢弃、丢弃会话、阻断等响应方式，并可以通过本地、邮件和syslog的方式进行告警。安数云IPS还提供了标准的SNMP TRAP（V1、V2、V3）和syslog接口，既可以向第三方平台发送日志报告，也可以接收第三方的管理。

5.4. 云WAF安全能力

安数云擎安池提供的WEB应用防火墙是北京安数云信息技术有限公司结合多年在应用安全领域理论研究与攻防实践经验积累的基础上，自主研发的新一代应用级综合防护系统。保护您的WEB网站免受众多已知或未知的应用层攻击，诸如SQL注入、XSS跨站、木马上传、CC攻击等。安数云WEB应用防火墙能够帮助用户解决目前所面临的各类常见及最新的应用安全问题，同时满足如等级保护、行业规范等政策法规的安全建设要求。

擎安池云WAF有以下几大优势：

1 强大的攻防能力

（1）多年安全策略积累，专业安全团队，规则误报率低。

（2）Web 0day漏洞补丁24小时内全国同步。

（3）OWASP TOP10精确防护，智能攻击者锁定，智能补丁，驱动防篡改，全方位防护网站安全。

2 高效的处理性能

（1）基于插件式的高效策略处理引擎。

（2）性能与规则数量无关，高性能不牺牲安全。

3 简单的应用部署

（1）透明部署、即插即用。

（2）站点自动发现，降低配置复杂度。

（3）配置变更平滑，安全应用不影响客户业务。

4 增值的核心功能

（1）实时对http站点进行https加密与防护。

（2）智能防护，实时封锁恶意攻击者。

（4）智能学习，智能学习站点特征，定制防护策略。

（5）IPV6站点防护支持。

5.5. 网站监控预警能力

安数云网站监控预警系统是一款专门针对WEB应用开发的自动化监控预警系统，能够主动发现网站的漏洞、实时监控网站的安全状况、实时预警。全面支持OWASP TOP 10 2013漏洞检测，如SQL注入、跨站脚本、文件包含、命令执行、信息泄漏等全部漏洞；覆盖了论坛、内容管理系统（CMS）和电子商务应用系统等平台。支持检测网站可用性、网马和暗链、敏感内容以及实时监控网站是否被篡改。从而帮助用户充分了解WEB应用存在的安全隐患，建立更加安全可靠的WEB应用服务。

5.6. 资产防泄漏，资产跟踪能力

安数云云池可以提供资产防泄漏资产跟踪能力。CASB （安数云云访问安全代理）是一组新的云安全技术，可解决使用云应用和服务（包括 SaaS 和 IaaS）所引发的一系列问题。CASB 解决方案的核心是通过提供云应用的可见性和控制性，使组织能够在享受云应用和服务带来的便利的同时，保护自身信息安全。其具有有下列特性：

· 识别和评估所有使用中的云应用（影子 IT）

· 在现有 Web 代理或防火墙中实施云应用管理策略

· 实施精细策略以控制敏感信息的处理，包括与合规性相关的内容

· 加密或标记敏感内容以保证隐私和安全

· 检测并阻止显示恶意活动的异常帐户行为

· 通过针对数据丢失防范、访问管理和 Web 安全的更广泛安全解决方案实现集成云可视性和控制性

5.7. 数据库审计能力

安数云数据库审计与风险控制系统支持对多种类数据库的操作行为进行采集记录，探测器通过旁路接入，在相应的交换机上配置端口镜像，对用户访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。系统能够对采用ODBC、JDBC、OLE-DB、命令行嵌入方式对数据库的访问进行审计和响应。

1.数据库审计系统支持记录的行为包括：

数据操作类（如select、insert、delete、update等）

结构操作类（如create、drop、alter等）

事务操作类（如Begin Transaction、Commit Transaction、Rollback Transaction 等）

用户管理类以及其它辅助类（如视图、索引、过程等操作）等数据库访问行 为，并对违规操作行为产生报警事件。

存储过程

目前，数据库审计系统支持以下数据库系统的审计

Oracle

SQL-Server

DB2

Informix

Sybase

Teradata

Mysql

PostgreSQL

Cache

国产达梦、神通、南大金仓

其他协议审计：

http、ftp协议等

2灵活的审计规则设置

制定审计事件规则

1、系统提供了事件规则定义，允许用户自行配置审计事件的触发条件与响应策略。

例如，用户特别关注操作oracle数据库过程中出现drop等命令的行为，那么用户就可以利用数据库审计系统定义相应的审计事件规则。

2、系统能够根据数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对用户关心的违规行为进行响应，特别是针对重要表、重要字段的各种操作，能够通过规则定义，实现精确审计。

3、违规操作多种响应方式

数据库审计系统可通过规则设置对各类数据库操作访问行为进行实时监测，对网络中的异常数据库操作行为及时进行告警响应，数据库审计系统提供了多种响应方式，包括：

在服务器中记录相应的操作过程；

实时会话阻断连接；

通过Syslog方式进行告警

通过SNMP Trap方式进行告警

通过邮件方式进行告警

4、变量绑定审计

系统支持对绑定变量的审计，不仅可以审计到调用绑定变量的数据库操作，同时也能够审计到对该变量真实的赋值过程，并进行关联分析。

5、安全事件监控

系统提供完善的sql、xss检测模型能够识别数据包中的sql和xss注入攻击。

6、超长sql语句解析

能够完整解析与审计字符长度超过1460个字节的超长语句，避免“逃避审计通道”的产生，完整记录审计数据。

7、Select返回值解析

实现双向审计，通过记录访问的回应信息可对敏感数据进行追踪，防止数据丢失和泄密。

8、数据库状态监控

支持对数据库服务器的一系列状态进行监控，以便管理员及时了解数据库服务器的运行状态。

6. 特色与优势6.1. 统一管理

在传统安全应用中，盒子产品如：WAF、IPS、堡垒机、防火墙等安全产品都以单独的姿态出现在用户的环境中，相互独立，零零散散，大大增大了客户的运维成本及管理压力。通过安数云擎安池产品可以实现安全产品的统一管理，统一引流，为客户提供统一管理平台。

6.2. 统一分析

安数云擎安池提供统一的安全数据、日志的收集、存储、解析、分析的及展示的大数据平台模块。能实现不同省份、不同地区的安全信息分析。为客户从不同维度最大化的挖掘安全数据的价值。

6.3. 安全资源灵活分配

云计算最大的优点是资源的共享、灵活分配，安全也应如此。安数云擎安池为客户提供灵活的安全服务选择方式，用户可以通过简单的鼠标操作，灵活的为不同的保护对象提供不同的安全服务。

6.4. 等保合规

等级保护是我国推行最广的一套安全标准，传统网络业务及云上业务也需要符合等级保护的标准，同时也需要提供等级保护（至少三级）的安全防护能力要求，安数云擎安池为客户提供云等保所需要的各种安全产品及安全服务，并为客户提供等级保护评估能力。

6.5. 支持弹性扩容，提高资源利用率

当安全虚拟机资源不够时可以动态添加CPU、内存、硬盘、网卡。

当服务器资源不够时可以动态的横向扩展。

降低成本提供资源利用率。

6.6. 构建安全数据中心，界定安全责任划分更清晰

构建安全数据中心有利于用户安全与业务完全解耦，使用户专注自身业务。

运维更为简单方便。

通过云资源池可以看到虚拟安全产品的虚拟网络拓扑图（自动生成）。

界定安全责任划分更清。

6.7. 开放合作

安数云擎安池是一个开放、合作的安全运营平台，可以兼容大部分厂家的安全产品。一方面可以给用户灵活选择多家厂商安全产品的能力，另一方面提升和丰富擎安池的安全能力。

6.8. 安全可视化

随着网络技术及云计算的发展，用户的网络环境会变的越来越庞大，越来越复杂，安全也会变得越来越复杂。通过部署安数云擎安池能够全局观察整个云平台的安全态势，实现安全拓扑、业务风险、安全合规等可视化管理，让安全运维管理变得更加简单。

7. 部署方案

安数云擎安池主推两种部署方案，这两种部署方案都可以在擎安池平台上做到灵活控制用户的保护对象（灵活控制哪些业务需要保护，哪些业务不需要保护，或者业务A使用WAF+IPS防护，业务B使用IPS+FW防护），可以做到系统的高可靠性。

7.1. 一体机部署

安数云擎安池系统可以部署到任意一台服务器上作为一体机，通过虚拟化技术实现安全产品的虚拟化，为用户提供可控、可靠、可信的安全服务。

一体机模式具有以下特点：

· 和用户业务平台松耦合，客户业务和擎安池分离；

· 无开发对接，交付简单方便；

· 部署简单，只需串联到用户的网络中。

7.2. 导流模式部署

导流模式具有一下特点：

· 和用户业务平台松耦合，客户业务和擎安池分离；

· 无开发对接，交付简单方便；

· 通过SDN、DNS、内置策略路由、外置策略路由等多种引流；

第 4 页 共 32 页