(财务内部审计)数据库审计系统技术方案

数据库审计系统技术方案

随着信息和网络技术的普及，政府和企事业单位的核心业务信息系统不断的网络化，随之而

来的就是面临的信息安全风险日益增加。而这些安全风险中，来自内部的违规操作和信息泄漏最

为突出。

由于政府和企事业单位的核心业务系统（例如数据库系统、核心业务主机系统）都实现了网

络化访问，内部用户可以方便地利用内部网络通过各种通讯协议进行刺探，获取、删除或者篡改

重要的数据和信息。同时，一些内部授权用户由于对系统不熟悉而导致的误操作也时常给业务系

统造成难以恢复的损失。此外，对于使用IT外包和代维的大型机构而言，如何限制外部人员对核

心业务系统的访问权限也是一个难题，外包方的技术工程师可能在开发业务系统的时候留下后门

或者幽灵帐号，为将来侵入核心业务系统埋下隐患。

另一方面，为了加强内控，国家强制机关和行业的主管部门相继颁布了各种合规和内控方面

的法律法规和指引，例如《企业内部控制基本规范》、《银行业信息科技风险管理指引》、《证券公

司内部控制指引》、《保险公司风险管理指引（试行）》等。而在国际上，美国政府针对上市公司的

萨班斯（SOX）法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案，支

付卡行业数据安全标准（PCIDSS）都对内控提出了严格的要求。这些内控条例和指引都要求对网

络中的重要业务系统进行专门的安全审计。

可以说，随着安全需求的不断提升，网络安全已经从以防范外部入侵和攻击为主逐渐转变为

以防止内部违规和信息泄漏为主了。

在这种情况下，政府和企事业单位迫切需要一款专门针对网络中业务信息系统进行全方位审

计的系统。网御神州借助多年在安全管理领域的积累，推出了SecFox-BA网络行为审计系统（业

务审计型）产品，很好地满足了客户的安全审计需求。

网御神州SecFox-BA（etworkBehaviorAnalysisforBusinessAudit）网络行为审计系统（业

务审计型）采用旁路侦听的方式对通过网络连接到重要业务系统（服务器、数据库、业务中间件、

数据文件等）的数据流进行采集、分析和识别，实时监视用户访问业务系统的状态，记录各种访

问行为，发现并及时制止用户的误操作、违规访问或者可疑行为。产品部署简便，不需要修改任

何网络结构和应用配置，不会影响用户的业务运行。

SecFox-BA（业务审计型）独有面向业务的安全审计技术，通过业务网络拓扑记录客户业务

网络中各种数据库、主机、web应用系统相互的关联性，审计人员可以根据业务网络的变化快速

查看业务网络中各个设备和整个业务网络的事件和告警信息。

SecFox-BA网络行为审计系统（业务审计型）能够对业务环境下的网络操作行为进行细粒度

审计。系统通过制定符合业务网的审计策略，对符合策略的网络操作行为进行解析、分析、记录、

汇报，以帮助用户事前规划预防，事中实时监控、违规行为响应，事后合规报告、事故追踪回放，

帮助用户加强内外部网络行为监管、避免核心资产（数据库、网络服务器等）损失、保障业务系

统的正常运营。

SecFox-BA（业务审计型）能够自动地或者在管理员人工干预的情况下对审计告警进行各种

响应，并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和

系统进行预定义的策略联动，并能够实时阻断可疑的网络通讯，实现安全审计的管理闭环。

SecFox-BA（业务审计型）为客户提供了丰富的报表，使得管理人员能够从各个角度对业务

系统的安全状况进行审计，并自动、定期地产生报表。

1产品特点

SecFox-BA网络行为审计系统（业务审计型）的主要特点包括：

1)旁路侦听的工作模式和简洁的部署方式

2)全方位的数据库审计

3)面向业务的安全审计

4)业务操作实时监控、过程回放

5)快速响应和跨设备协同防御

6)事后分析、调查取证

7)安全审计报表报告

8)内置防攻击策略

1.1旁路侦听的工作模式和简洁的部署方式

SecFox-BA（业务审计型）采用旁路侦听的方式进行工作，对业务网络中的数据包进行应用

层协议和流量分析与审计，就像真实世界的摄像机。利用网御神州先进的业务协议检测技术

（BusinessProtocolInspectionTechnology），SecFox-BA（业务审计型）能够识别各类数据库的

访问协议、FTP协议、TELET协议、VC协议、文件共享协议，以及其它20多种应用层协议，

经过审计系统的智能分析，发现网络入侵和操作违规行为。同时，借助网御神州先进的业务流量

监测技术（BusinessFlowInspectionTechnology），SecFox-BA（业务审计型）识别网络中各种应

用层协议的流量，及时发现流量违规和异常。

SecFox-BA（业务审计型）部署十分方便，即插即用，不必对业务网络结构做任何更改，对

业务网络没有任何影响。SecFox-BA（业务审计型）可以同时审计多个不同的网段；多个系统可

以级联，实现分布式部署，实现对大规模业务网络的审计。

系统部署后立竿见影，当即可自动发现所侦听网络中的数据库访问行为。

1.2全方位的数据库审计

SecFox-BA（业务审计型）产品能够对多种操作系统平台（Windows、Linux、HP-UX、Solaris、

AIX）下各个版本的SQLServer、Oracle、DB2、Sybase、MySQL等数据库进行审计。审计的行为

包括DDL、DML、DCL，以及其它操作等行为；审计的内容可以细化到库、表、记录、用户、存

储过程、函数、调用参数，等等。

操作行为

用户认证

库表操作

记录操作

权限管理

其它操作

内容和描述

数据库用户的登录、注销

CREATE，ALTER，DROP等创建、修改或者删除数据库对象（表、

索引、视图、存储过程、触发器、域，等等）的SQL指令

SELECT，DELETE，UPDATE，ISERT等用于检索或者修改数

据的SQL指令

GRAT，REVOKE等定义数据库用户的权限的SQL指令

包括EXECUTE、COMMIT、ROLLBACK等事务操作指令

SecFox-BA（业务审计型）能够对各种访问数据库的途径进行监控和审计。

如上图Oracle数据库审计所示，无论用户通过Oracle自带的企业管理控制台、PL/SQL命令

行、SQL*PLUS进行访问，还是通过第三方的QuestTOAD（ToolforOracleApplicationDevelopers）

工具访问，抑或通过中间件、浏览器、客户端程序/代理方式访问，等等，SecFox-BA（业务审计

型）都能够进行审计。

特别地，如果被审计的数据库网络数据被加密处理了，SecFox-BA（业务审计型）为用户提

供了一个通用日志采集器模块，借助该模块，系统能够自动的采集被审计数据库的日志信息，并

在审计中心对其进行归一化和关联分析。

此外，SecFox-BA（业务审计型）还能够监测数据库系统所在主机的网络通讯，对该主机的

FTP、文件共享等协议进行审计，确保数据库系统上的数据安全。

1.3面向业务的安全审计

对于用户而言，要保护核心数据，仅仅依靠对数据库的审计是不够的。内部人员违规操作的

途径有很多，有的是直接违规访问数据库，有的是登录到数据库所在的主机服务器上，有的是透

过FTP去下载数据库所在主机的重要数据文件，还有的是透过其他程序或者中间件系统访问数据

库。所以，必须对数据库、主机、HTTP协议、TELET、FTP协议，网络流量、中间件系统都进

行审计，才能更加全面的发现违规、防止信息泄漏。这就是面向业务的安全审计。

业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种IT资源

有机组合而成的。因此，面向业务的审计就要对构成业务系统的各个IT资源之间的访问行为以及

业务系统之间的操作的审计，这样才能真正反映出业务系统的安全状态。网神SecFox-BA网络

行为审计系统（业务审计型）就是这样一个集成了数据库审计、主机审计、应用审计和网络流量

审计的面向业务的综合安全审计系统。

1.3.1以业务系统的数据保护和操作合规为目标

SecFox-BA（业务审计型）产品的核心目标就是保障客户业务信息系统网络中数据安全和操

作合规，具体包括：

1)数据访问审计：记录所有对保护数据的访问信息，包括主机访问，文件操作，数据库执

行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外部黑客入

侵访问和内部人员非法获取敏感信息。

2)数据变更审计：审计和查询所有被保护数据的变更记录，包括核心业务数据库表结构、

关键数据文件的修改操作，等等，防止外部和内部人员非法篡改重要的业务数据。

3)用户操作审计：统计和查询所有用户的主机、数据库和应用系统的登录成功记录和登录

失败尝试记录，记录所有用户的访问操作和用户配置信息及其权限变更情况，可以用于

事故和故障的追踪和诊断。

4)违规访问行为审计：记录和发现用户违规访问。系统可以设定用户黑白名单，以及定义

复杂的合规规则（例如定义合法的访问时间段、合法的源IP地址库、合法的用户账号库），

可以设置合理的审计策略进行告警和阻断。

5)恶意攻击审计：记录和发现利用主机，数据库的漏洞对资源的攻击行为，例如主机扫描、

DoS/DDoS攻击、ARP欺骗和攻击等，并可以对攻击行为进行告警和阻断。

1.3.2以业务系统为审计对象

SecFox-BA（业务审计型）产品采用多种方式来更深入具体地分析业务系统：

1）多业务网络：根据实际网络情况，系统管理员可以定义多个业务网络。

2）业务网络拓扑：系统能够记录客户业务网络中各种数据库、主机、web应用系统相互的

关联性，根据业务网络的变化可以快速查看业务网络中各个设备和整个业务网络的事件

和告警信息。

3）行为分析：通过可视化的行为分析，可以清晰地定位访问源、访问目标服务器、应用协

议及其操作内容。

4）业务流量分析：系统能够展示出业务网络中各个节点（包括主机、无IP设备）在网络中

的应用层的流量分布情况，管理员可以根据业务网络流量优化业务网络。

5）三层架构的业务审计：现行的很多业务系统都是基于客户端/浏览器、应用服务器和数据

库的三层架构。单纯审计数据库，可能获取的用户名称和访问地址都是中间件的用户和

地址，难于定位访问源。采用基于业务的审计就可能化解这个问题，系统可以将客户端

访问的服务，中间件，数据库建立一个审计的业务，利用访问时间作为关联条件，将客

户端访问和数据库访问关联，通过可视化的行为分析，定位访问源。

1.3.3面向业务的审计策略

网神SecFox-BA（业务审计型）是一个策略驱动的审计系统。借助网御神州独有的面向业务

的审计策略（Business-orientedAuditPolicy，简称BAP）技术，用户可以在一个策略中对某业务所

包含的主机，数据库，主机进行综合设定，实现对该业务的精确审计，从而及时发现该业务的安

全隐患。例如，用户下发一条审计策略就能够审计出哪些非法主机在尝试访问业务系统，哪些主

机在非法的时间段访问业务，哪些用户在业务中执行非法数据库操作，评估业务中各个主机和数

据库的访问量，通过关键字审计被保护业务系统中的重要数据和敏感数据，等等。

用户通过操作SecFox-BA（业务审计型）的web管理页面能够实时地配置符合业务保护要

求的审计策略，无须重启设备、中断网络会话采集，策略下发成功后，立即生效。

用户在制定审计策略的时候可以按照审计要求随意设置审计时间段。

用户可以按照业务要求设置一个或者多个保护对象；对符合业审计务策略要求的事件可以阻

断和记录。

1.3.4二次审计与实时关联分析

传统的单纯数据库审计产品都只能做基于审计策略的分析，用户在指定审计策略的时候，可

以指定审计对象的五元组（源地址、时间、途径、目的地址、操作），以及触发策略后的响应动作。

这种审计称作“操作审计”（RecordAudit），即审计用户的违规数据库操作。传统的数据库审计产

品会将所有符合审计策略的操作信息都记录到自带的数据库系统中，供审计人员进行查。此时，

对于审计人员而言，操作审计就意味着通过输入基于SQL的查询条件从大量的操作信息中去筛选

出真正违规的信息。面对大量的操作记录，审计员的工作无异于大海捞针，效率十分低下。

SecFox-BA（业务审计型）产品在“操作审计”的基础上还提供了二次审计功能：将数据库

审计记录与主机、服务和应用的审计记录整合到一起，通过网御神州获得发明专利的实时关联分

析引擎进行跨事件关联分析，进一步帮助用户进行违规行为的定位。这种二次审计称作“行为审

计”（BehaviorAudit），即审计用户的违规行为。通过关联规则，系统能够实时、自动地将违规行

为以告警的形式发送出来，主动提醒审计人员，并能够采取多种方式进行自动响应。

需要指出的是，二次关联审计是在内存中进行中，不依赖于数据库存储系统。

正是由于网御神州SecFox-BA（业务审计型）产品业界独有的二次关联分析技术，使得其真

正成为一块面向业务的网络安全审计系统。因为，只有通过关联分析技术，才能够将与业务相关

的数据库操作事件、主机访问事件、中间件访问事件等有机地联系起来。

1.3.5可视化的业务审计

SecFox-BA（业务审计型）系统为用户提供了简介易用的操作界面，使得普通管理员就能够

对复杂的业务系统进行审计。系统提供了多种可视化的审计手段，包括：

1.智能监控频道

智能监控频道为用户提供了一个从总体上把握企业和组织整体安全情况的界面。每个频道包

括多个监控窗口，可以显示多方面的安全信息，窗口可以缩放、可以移动换位、可以更换布局、

可以调台，显示管理员想看的内容。SecFox-BA（业务审计型）提供丰富的频道切换器，用户可

以在不同的频道间切换。同时，用户也可以自定义频道，包括自定义布局和展示内容。

2.业务拓扑图

通过网御神州独有的业务拓扑功能，可将业务系统中相关的数据库、主机、服务等对象以拓

扑图的方式展现出来。通过业务拓扑，用户能够直观地看到该业务系统的组成，并方便地查看业

务系统的告警信息和流量信息。

3.行为分析图

用户可以对一段历史事件进行事件行为分析（EventBehaviorAnalysis，简称EBA）。EBA将

一段时间内的事件按照不同的属性进行排列和连接，形象地展示在坐标轴上，让管理员一目了然

的看到事件所代表的用户（IP）行为。

1.4业务操作实时监控、过程回放

SecFox-BA（业务审计型）对访问数据库、FTP、网络主机的各种操作进行实时、详细的监

控和审计，包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过程回放，

真实地展现用户的操作。

传统的数据库或者网络审计系统都采用基于指令的操作分析（Command-basedRecord

Analysis）技术，可以显示出所有与数据库主机相关的操作，但是这些操作都是一条条孤立的指令，

无法体现这些操作之间的关联，例如是否是同一用户的操作、以及操作的时间先后，审计员被迫

从大量的操作记录中自行寻蛛丝马迹，效率低下。借助网御神州独有的基于会话的行为分析

（Session-basedBehaviorAnalysis）技术，审计员可以对当前网络中所有访问者进行基于时间的审

查，了解每个访问者任意一段时间内先后进行了什么操作，并支持访问过程回放。SecFox-BA（业

务审计型）真正实现了对“谁、什么时间段内、对什么（数据）、进行了哪些操作、结果如何”

的全程审计。

1.5快速响应和跨设备协同防御

SecFox-BA（业务审计型）在识别出安全事故后，能够自动或者用户手工的对威胁进行响

应，采取安全对策，从而形成安全审计的闭环。

SecFox-BA（业务审计型）能够对业务网中所有IP的流量进行分析，因而能够更为精确地定

位安全威胁，并对符合策略的告警事件进行阻断，实时自动阻止可疑行为。

在发生告警后，SecFox-BA（业务审计型）可以通过、SMPTrap等方式对外发出

通告，能够执行预定义命令行程序，并将事件属性作为参数传递给该命令行程序。

SecFox-BA（业务审计型）可通过与网络设备或安全设备共同协作来关闭威胁通信，以阻止

正在进行的攻击。SecFox-BA（业务审计型）可以与众多第三方网络设备、安全设备进行联动。

例如，在发现攻击后，阻断网络交换机的端口，或者更改防火墙和入侵检测系统的安全规则，阻

止攻击的扩散和恶化。SecFox-BA（业务审计型）支持与市场上大部分安全设备和网络设备之间

的策略联动。

此外，通过SecFox-BA（业务审计型）与网御神州其他SecFox安全管理产品的综合使用，

可以实现完整的从安全风险监控、分析到决策的安全管理流程的闭环。

1.6事后分析、调查取证

SecFox-BA（业务审计型）可以将采集到的所有数据包和告警信息统一存储起来，建立一个

企业和组织的集中事件存储系统，实现了国家标准和法律法规中对于事件存储的强制性要求，为

日后出现安全事故的时候增加了一个追查取证的信息来源和依据。

SecFox-BA（业务审计型）具有海量事件处理和存储的能力。单个SecFox-BA（业务审计

型）系统能够以每秒2000个事务1到6000个事务的规模接收数据包，能够在线存储10亿到40亿

条事件记录。加上系统的数据归档与离线存储功能，SecFox-BA（业务审计型）能够存储的数据

量大小仅取决于服务器磁盘存储空间的大小。

SecFox-BA（业务审计型）具有极强的存储扩展能力，产品自带500GB～2TB的存储空间，

用户亦可以在后期通过热插入硬盘的方式进行容量扩展，或者直接外接存储设备。

SecFox-BA（业务审计型）在进行数据管理的时候，对数据存储算法进行了充分优化，使得

使用小型数据库的情况下就达到了上述性能。此外，用户在使用本系统的时候，无需购买额外的

1事务的定义：一个事务是指一次针对业务系统的FTP指令操作，一次TELET下的命令行语句的执行操作，或

者一次SQL语句操作。SecFox-BA（业务审计型）对每个事务记录一条事件（Event）。

数据库管理系统和许可，也不必花费专门的精力去维护数据库，这些都大大降低了用户的总拥有

成本。

SecFox-BA（业务审计型）提供多种事件存储策略，能够方便地进行事件备份和恢复。

SecFox-BA（业务审计型）为管理员提供了强大的事后分析工具，使得管理员能够最大限度

地对这些事件进行深度挖掘，寻潜在的安全威胁。

事后分析和实时分析相对。实时分析强调安全事件的事中处理，针对较短的一段时间内的事

件进行审计；而事后分析则注重对大规模历史事件的审计。一方面，事后分析可以帮助安全管理

员到造成违规操作，获得检测和预防同类事故再犯的手段和措施，作为下一轮安全防御的预警；

另一方面，通过对海量事件的数据挖掘，尤其是基于较长时间段的数据分析，可以帮助管理员发

现IT计算环境中存在的安全隐患。

此外，SecFox-BA（业务审计型）的事后分析功能可以协助管理员进行计算机取证分析，收

集外部入侵或者内部违规的证据。

1.7安全审计报表报告

SecFox-BA（业务审计型）具有强大的报表分析功能。系统的报表分析引擎能从多种角度多

种维度对数据进行分析；能提供实时分析、历史分析等分析手段；能对比统计的结果，分析数据

的发展趋势；能将结果以图形方式（柱图、饼图、曲线图等）显示、打印；报告可用PDF、HTML、

Excel或RTF等格式存档。

SecFox-BA（业务审计型）的报表报告生成系统灵活易用。它提供大量预定义的报表模板，

用户可使用预定义的报表模板生成报表。

SecFox-BA（业务审计型）具备强大的自定义报表功能。用户可以通过报表编辑器，只需4

步，即可方便地自己定义各种复杂的报表，包括报表的内容、布局，以及运行调度设置，满足企

业和组织自身不断业务发展的需要。

SecFox-BA（业务审计型）允许用户对报表生成进行日程规划，定期自动生成审计报表，提

供打印、导出以及邮件送达等服务，并根据计划归档报告，归档之后发送邮件通知。

SecFox-BA（业务审计型）支持审计主机用户和数据库用户的行为趋势报表，可以生成指定

时间段用户行为趋势报表，包含用户的操作行为曲线，可以审计和分析用户的行为特点，为决策

分析和调查取证提供数据支持。

1.8内置防攻击策略

SecFox-BA（业务审计型）内置抗攻击策略，在识别出对业务网中的数据库服务器进行攻击

时记录相关操作。用户可以手动设置报警，以便及时进行相应。典型的内置防攻击策略包括：

➢SQLinsert注入攻击

➢SQLexec注入攻击

➢SQLupdate注入攻击

➢IBMDB2数据库xmlquery缓冲区溢出尝试

➢Oracle安全备份命令exec_qr注入攻击

➢OracleBEAWebLogicApache连接器HTTP版本拒绝服务攻击

➢Oracle安全备份POSTexec_qr注入攻击

➢Oracle安全备份msgid0x901用户名字段缓冲区溢出尝试

2产品简介

2.1产品组成

SecFox-BA（业务审计型）产品仅包括硬件形态的审计器和可选的日志采集器两个部分。产

品采用B/S架构，管理员无需安装任何客户端软件，通过IE浏览器登录审计器即可进行各种操作。

管理员也可以将分布在网络上的多个审计器的信息统一发送到SecFox安全管理中心，通过IE浏

览器登录SecFox安全管理中心进行集中审计。

➢SecFox-BA（业务审计型）审计器

➢通用日志采集器（可选）

通用日志采集器运行在安装了Windows系列操作系统的主机和服务器上，能够主动的收集数

据库管理系统产生的日志和告警信息，例如Oracle、SQLServer等数据库日志，等等。

➢Web控制台

平台

Windows

支持的操作系统

MicrosoftWindows2000系列

MicrosoftWindows2003系列

MicrosoftWindowsXP系列

系统需求

-最低PentiumIII1.1GHzCPU

-至少512M内存

-16位真彩，建议分辨率为1024×768以上

-InternetExplorer7.0

2.2功能列表

功能点说明

支持对包括MSSQLServer、Oracle、DB2、Sybase、MySQL在内的多种数据库，包括Windows、

管理范围

Unix、Linux、AIX在内的各种操作系统，包括WebShpere、WebLogic在内的中间件，以及

VC、FTP、HTTP、SMTP、POP3、ETBIOS、TELET、WebService等各种网络通讯和数据访

问协议进行审计

数据库审计

主机审计

FTP审计

HTTP审计

Email审计

流量审计

可审计数据库的DDL，DML，DCL和其它操作等行为。审计内容可以细化到库、表、记录、

用户、存储过程、函数

可审计VC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为

可审计FTP协议的登录、注销和一般操作等行为，可以审计FTP操作的文件/目录名称

可审计HTTP协议的访问行为，并可以对URL进行基于正则表达式的关键字匹配审计

可审计SMTP/POP3协议的访问行为，包括发件人、收件人、邮件主题等内容

审计从三层到七层协议的流量，能够审计20种以上的应用层协议，包括IM、P2P、HTTP、

POP3、SMTP、DS等。流量审计的内容包括数据包分布审计、流量分布审计、应用协议流量

审计、端口流量审计，用户可以进行协议分析、会话分析、节点分析

管理员可以根据实际网络情况定义多个业务，并建立可视化的业务拓扑视图，快速查看业

业务审计务网络中各个设备和整个业务网络的事件和告警信息。用户对业务拓扑进行编辑、拖放、

连接等操作

实时统计

可以通过实时统计功能清楚看到业务网内部告警事件、活动会话、活动会话的事件列表、

被保护对象的访问情况，统计最近60分钟的数据

事件查询为用户提供了历史事件查询的手段，用户可以指定复杂的查询条件，快速检索到

事件查询需要的事件信息，从而协助管理员进行计算机取证分析，收集外部访问或者内部违规的证

据

趋势分析

能够进行事件访问的趋势分析。通过统计分析，对最近一段时间的事件进行统计分析，并

描绘趋势曲线、行为分析可视化图形

审计策略是系统的核心，它为系统的数据采集和分析引擎提供输入。系统对通过引擎的数

审计策略管理据包根据策略进行过滤，将符合策略的数据包供审计功能使用。用户可以自由定义审计策

略，系统提供便捷的添加、修改、删除、导入、导出、启用和禁用等策略管理功能

告警规则包括系统预定义规则和用户自定义规则两大类，用户在制定规则的时候，既可以

告警与响应管理设定审计的触发条件，也可以设定触发审计后的自动响应动作，告警后可进行发送邮件、

SMPTrap、执行程序脚本、设备联动等响应动作。系统可以直接阻断可疑的网络通讯

内置大量报表报告，包括数据库报表、FTP报表、TELET报表、主机报表、综合报表、网

络流量报表，等等。生成的报表图文并茂，报表可以按组管理，可以对报表生成进行日程

审计报表规划，提供打印、导出以及邮件送达等服务，并根据计划归档报告，归档之后发送邮件通

知。报告可用PDF、HTML、Excel、CSV或RTF等格式存档。用户可通过系统内置的报表编

辑器自定义各类报表

通过资源定义，用户可以建立安全领域的知识库，并建立业务相关的集合。例如定义办公

资源定义IP地址组、上班时间，等等。用户可以在告警规则中任意引用这些资源，使得其各种设置

操作真正基于业务和领域知识，而不是基础的端口、IP、时间等原始信息

权限管理

采用基于角的权限管理机制，通过角定义支持多用户访问。角能够从设备和功能两

个维度进行定义，从而达到对每一台设备、每一项功能进行操作的控制粒度

系统管理员可以通过系统管理中的系统配置对系统自身进行各种参数配置，包括数据的备

系统配置份与恢复、系统自身运行状态的监控、流量分析配置、SYSLOG服务器配置、时间同步、系

统升级，等等

用户使用模式

其他

部署方式

无需安装客户端，使用IE浏览器访问管理中心

可以独立部署，也可以级联部署、分布部署，还可以与LAS、

UMS集成

2.3性能指标

WEB控制台登录到审计器的用户最大并发连接数：50个

旁路监听方式，事务处理性能根据硬件配置从2000TPS到6000TPS

事务存储量根据硬件配置从10亿条到40亿条

2.4部署方式

2.4.1单一部署（Stand-Alone）

SecFox-BA（业务审计型）可应用于大中小各类型企业，用于保护业务网中的数据库和网络

主机，一般部署于被保护数据源的附近，通过端口镜像或者TAP方式连接到网络中。

典型地，SecFox-BA（业务审计型）审计器放置在业务服务器集中的交换机上，对交换机的

端口做镜像，接到SecFox-BA（业务审计型）审计器中。管理员通过浏览器可以从任何位置登录

SecFox-BA（业务审计型）审计器，进行各项操作，如下图所示：

用户部署SecFox-BA（业务审计型）系统无需对现有网络结构做任何改动，用户也不会有任

何察觉。而且SecFox-BA（业务审计型）设备自身的可用性也不会对整个网络可用性造成任何影

响。

特别地，借助SecFox-BA（业务审计型）产品独有的多端口侦听（Multi-PortDetection）技

术，系统支持同时侦听多个不同网段的网络通讯。这种部署方式适用于对分散在不同交换机上的

多个数据库系统进行审计，或者是对在物理或逻辑上隔离的多个网络进行审计。

2.4.2主从部署（Master-Slave）

对于多审计区域的、大型的、全国性的、分级的网络环境，SecFox-BA（业务审计型）可以

进行级联部署，多个SecFox-BA（业务审计型）管理分支可以统一接入到一个主SecFox-BA（业

务审计型）管理服务器，进行全局的审计。

2.5系统自身安全性保证

作为一款安全管理类产品，SecFox-BA产品自身具备完善的安全性保证，包括：

产品内部的各个组件之间通信都支持加密传输，例如浏览器访问管理中心支持HTTPS、

通用日志采集器（GLC）与审计器之间采用加密压缩协议进行传输、多级管理中心之间

采用加密协议进行传输，等等，保证网络通讯的机密性。

产品对采集到的信息都进行了加密存储，保证数据的完整性和机密性。

产品具备自身运行健康状态监视功能，存储的数据支持自动备份和恢复，保证系统的可

用性。

产品底层的操作系统是安全操作系统。

3产品价值和优势

3.1产品价值

对于业务系统的管理审计人员和高层管理者而言，SecFox-BA（业务审计型）具有以下价值：

保障核心业务正常运行

审计核心业务的网络访问行为，及时发现误操作、数据篡改和信息泄漏

协助企业进行合规审计，符合国家风险、内控指引的要求

3.2产品优势

SecFox-BA（业务审计型）作为一款网络安全审计产品，与同类产品相比具有很强的优势：

1.真正以业务审计为核心的网络安全审计系统，超越了传统的数据库审计产品

SecFox-BA（业务审计型）是国内第一款真正以业务为审计对象的网络安全审计系统。该产

品集成了数据库审计、主机审计、应用审计和流量审计等功能，并且通过形象直观的业务视图将

这些原本孤立的审计功能有机地融合到一起，借助业务审计策略和关联分析引擎真正实现对各种

业务访问行为的综合性审计。

2.部署方便、即插即用、维护简单、操作简洁

SecFox-BA（业务审计型）部署十分方便，不必对业务网络结构做任何更改，对业务网络没

有任何影响。SecFox-BA（业务审计型）可以同时审计多个不同的网段；多个系统可以级联，实

现分布式部署，实现对大规模业务网络的审计。系统即插即用，安装完毕后运行即可自动发现所

侦听网络中的数据库访问行为。

3.独特的二次审计和关联分析功能，使得审计效果更佳

SecFox-BA（业务审计型）产品在传统数据库审计产品的操作审计功能的基础上还提供了二

次行为审计功能：将数据库审计记录与主机、服务和应用的审计记录整合到一起，通过实时关联

分析引擎进行跨事件关联分析，进一步帮助用户进行违规行为的定位。通过关联规则，系统能够

实时、自动地将违规行为以告警的形式发送出来，主动提醒审计人员，并能够采取多种方式进行

自动响应。

4关于网御神州

网御神州安全管理团队根据长期以来在安全管理领域的深入研究，结合来自客户的需求与市

场的现状，提出了具有完全自主知识产权的网神SecFox安全管理产品理念，尤其强调网络管理、

安全管理与运维管理的一体化，为政府、军队、公安、税务、电力、保险、电信、金融、交通、

制造等各个领域的客户提供全面的安全运营保障平台。网御神州建立了专门的安全管理研发和实

施队伍——SOC事业部，在国内市场突飞猛进，取得了令人瞩目的市场成就。在CCID2008年和2009

年《中国信息安全产品市场研究年度报告》中网御神州连续两年位居安全管理（SOC）市场第一名，

成为了中国安全管理市场的领导厂商之一。

产品参数

型号

SexFox-BA(业务审计

型)G3-FGW

主要功能

功能点说明

支持对包括MSSQLServer、Oracle、DB2、Sybase、MySQL在内的多种数据库，包括Windows、

管理范围

Unix、Linux、AIX在内的各种操作系统，包括WebShpere、WebLogic在内的中间件，以及

VC、FTP、HTTP、SMTP、POP3、ETBIOS、TELET、WebService等各种网络通讯和数据访

问协议进行审计

数据库审计

主机审计

FTP审计

HTTP审计

Email审计

可审计数据库的DDL，DML，DCL和其它操作等行为。审计内容可以细化到库、表、记录、

用户、存储过程、函数

可审计VC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为

可审计FTP协议的登录、注销和一般操作等行为，可以审计FTP操作的文件/目录名称

可审计HTTP协议的访问行为，并可以对URL进行基于正则表达式的关键字匹配审计

可审计SMTP/POP3协议的访问行为，包括发件人、收件人、邮件主题等内容

审计从三层到七层协议的流量，能够审计20种以上的应用层协议，包括IM、P2P、HTTP、

流量审计POP3、SMTP、DS等。流量审计的内容包括数据包分布审计、流量分布审计、应用协议流量

审计、端口流量审计，用户可以进行协议分析、会话分析、节点分析

管理员可以根据实际网络情况定义多个业务，并建立可视化的业务拓扑视图，快速查看业

业务审计务网络中各个设备和整个业务网络的事件和告警信息。用户对业务拓扑进行编辑、拖放、

连接等操作

实时统计

可以通过实时统计功能清楚看到业务网内部告警事件、活动会话、活动会话的事件列表、

被保护对象的访问情况，统计最近60分钟的数据

事件查询为用户提供了历史事件查询的手段，用户可以指定复杂的查询条件，快速检索到

事件查询需要的事件信息，从而协助管理员进行计算机取证分析，收集外部访问或者内部违规的证

据

趋势分析

能够进行事件访问的趋势分析。通过统计分析，对最近一段时间的事件进行统计分析，并

描绘趋势曲线、行为分析可视化图形

审计策略是系统的核心，它为系统的数据采集和分析引擎提供输入。系统对通过引擎的数

审计策略管理据包根据策略进行过滤，将符合策略的数据包供审计功能使用。用户可以自由定义审计策

略，系统提供便捷的添加、修改、删除、导入、导出、启用和禁用等策略管理功能

告警规则包括系统预定义规则和用户自定义规则两大类，用户在制定规则的时候，既可以

告警与响应管理设定审计的触发条件，也可以设定触发审计后的自动响应动作，告警后可进行发送邮件、

SMPTrap、执行程序脚本、设备联动等响应动作。系统可以直接阻断可疑的网络通讯

审计报表

内置大量报表报告，包括数据库报表、FTP报表、TELET报表、主机报表、综合报表、网

络流量报表，等等。生成的报表图文并茂，报表可以按组管理，可以对报表生成进行日程

性能指标(事件处理数)

4000事务数/秒，内置1.5Ｔ

硬盘，支持RAID5，支持外

接存储。

外观

2U标准机型，4个

10/100/1000BASE-T接口，双电

源

规划，提供打印、导出以及邮件送达等服务，并根据计划归档报告，归档之后发送邮件通

知。报告可用PDF、HTML、Excel、CSV或RTF等格式存档。用户可通过系统内置的报表编

辑器自定义各类报表

通过资源定义，用户可以建立安全领域的知识库，并建立业务相关的集合。例如定义办公

资源定义IP地址组、上班时间，等等。用户可以在告警规则中任意引用这些资源，使得其各种设置

操作真正基于业务和领域知识，而不是基础的端口、IP、时间等原始信息

权限管理

采用基于角的权限管理机制，通过角定义支持多用户访问。角能够从设备和功能两

个维度进行定义，从而达到对每一台设备、每一项功能进行操作的控制粒度

系统管理员可以通过系统管理中的系统配置对系统自身进行各种参数配置，包括数据的备

系统配置份与恢复、系统自身运行状态的监控、流量分析配置、SYSLOG服务器配置、时间同步、系

统升级，等等

用户使用模式

其他

部署方式

无需安装客户端，使用IE浏览器访问管理中心

可以独立部署，也可以级联部署、分布部署，还可以与LAS、

UMS集成