明御數(shù)據(jù)庫(kù)審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)-文檔資料

杭州安恒信息技術(shù)有限公司

十一月23明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)－－業(yè)界首創(chuàng)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的安全產(chǎn)品

2目錄數(shù)據(jù)庫(kù)安全概述系統(tǒng)實(shí)現(xiàn)原理系統(tǒng)部署系統(tǒng)功能介紹

3第一部分?jǐn)?shù)據(jù)庫(kù)安全概述

4審計(jì)檢查、驗(yàn)證目標(biāo)的準(zhǔn)確性和完整性，用以防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計(jì)原則薩班斯法案——美國(guó)史上最嚴(yán)厲的審計(jì)法則企業(yè)內(nèi)部控制規(guī)范——國(guó)內(nèi)審計(jì)規(guī)范，主要目的在于加強(qiáng)和規(guī)范企業(yè)內(nèi)部控制，提高企業(yè)經(jīng)營(yíng)管理水平和風(fēng)險(xiǎn)行為防范能力財(cái)務(wù)審計(jì)、IT審計(jì)——信息安全審計(jì)

5信息安全審計(jì)收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源《薩班斯法案》強(qiáng)調(diào)加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制，其中，IT系統(tǒng)內(nèi)部控制是緊密圍繞信息安全審計(jì)這一核心的。巴賽爾新資本協(xié)定(BaselII)，要求全球銀行必須做好風(fēng)險(xiǎn)控管(riskmanagement)，而這項(xiàng)“金融作業(yè)風(fēng)險(xiǎn)”的防范正需要業(yè)務(wù)信息安全審計(jì)為依托?！镀髽I(yè)內(nèi)部控制具體規(guī)范》明確要求計(jì)算機(jī)信息系統(tǒng)應(yīng)采取權(quán)責(zé)分配及職責(zé)分工、建立訪問(wèn)安全策略等審計(jì)措施以加強(qiáng)提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準(zhǔn)確性。ISO27001、CC、PCI……

6數(shù)據(jù)庫(kù)安全審計(jì)數(shù)據(jù)庫(kù)安全審計(jì)，通過(guò)對(duì)數(shù)據(jù)庫(kù)安全性相關(guān)的操作進(jìn)行審計(jì)，監(jiān)測(cè)指定用戶的行為，掌握數(shù)據(jù)庫(kù)使用狀況。數(shù)據(jù)庫(kù)審計(jì)是信息安全審計(jì)的重要組成部分。數(shù)據(jù)庫(kù)審計(jì)的目的在于確保數(shù)據(jù)的完整性全面了解數(shù)據(jù)庫(kù)實(shí)際發(fā)生的情況可疑行為發(fā)生時(shí)可以自動(dòng)啟動(dòng)預(yù)先設(shè)置的告警流程，防范數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)的發(fā)生

7典型的IT信息系統(tǒng)組成Internet專網(wǎng)防火墻局域網(wǎng)交換機(jī)骨干路由器數(shù)據(jù)庫(kù)服務(wù)器應(yīng)用服務(wù)器內(nèi)部辦公系統(tǒng)業(yè)務(wù)系統(tǒng)B共享存儲(chǔ)專線路由器防火墻局域網(wǎng)交換機(jī)應(yīng)用服務(wù)器業(yè)務(wù)系統(tǒng)A數(shù)據(jù)庫(kù)服務(wù)器客戶/合作伙伴數(shù)據(jù)庫(kù)的安全是信息系統(tǒng)安全的核心是企業(yè)數(shù)據(jù)信息的最終載體是企業(yè)業(yè)務(wù)系統(tǒng)的核心不同于網(wǎng)絡(luò)傳輸，數(shù)據(jù)如果在數(shù)據(jù)庫(kù)中被篡改或丟失，是難于恢復(fù)的

8日趨嚴(yán)峻的數(shù)據(jù)庫(kù)安全問(wèn)題十個(gè)最普遍的數(shù)據(jù)庫(kù)安全威脅

1.越權(quán)使用2.合法權(quán)限濫用3.權(quán)限盜用4.數(shù)據(jù)庫(kù)平臺(tái)漏洞5.SQL注入6.缺乏詳盡審計(jì)7.拒絕服務(wù)攻擊8.數(shù)據(jù)庫(kù)通信協(xié)議漏洞9.弱鑒權(quán)機(jī)制10.備份數(shù)據(jù)的缺乏保護(hù)

9日趨嚴(yán)峻的數(shù)據(jù)庫(kù)安全問(wèn)題

11數(shù)據(jù)庫(kù)面臨的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)內(nèi)部人員誤操作、違規(guī)操作、越權(quán)操作第三方維護(hù)人員安全隱患最高權(quán)限用戶操作多人共用一個(gè)帳號(hào)員工離職后泄漏公司信息技術(shù)風(fēng)險(xiǎn)網(wǎng)絡(luò)層攻擊操作系統(tǒng)漏洞應(yīng)用程序攻擊數(shù)據(jù)庫(kù)攻擊應(yīng)用提供商的后門(mén)離職員工的后門(mén)……審計(jì)風(fēng)險(xiǎn)日志缺失或不完整安全事件難于追溯或定位復(fù)雜的業(yè)務(wù)應(yīng)用+異構(gòu)的網(wǎng)絡(luò)環(huán)境+高度集中的信息共享使企業(yè)核心數(shù)據(jù)庫(kù)面臨更大的安全挑戰(zhàn)

12由于數(shù)據(jù)庫(kù)本身的重要性以及脆弱性，國(guó)家以及國(guó)際上都制定了相關(guān)的法律法規(guī)來(lái)指導(dǎo)并規(guī)范數(shù)據(jù)庫(kù)信息系統(tǒng)的安全建設(shè)其中最重要的是明確了獨(dú)立數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的必要性和重要性數(shù)據(jù)庫(kù)安全問(wèn)題衍生了相關(guān)法案

13《信息安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》第六章“第二級(jí)安全控制測(cè)評(píng)”中第一節(jié)“安全技術(shù)測(cè)評(píng)”主機(jī)系統(tǒng)安全審計(jì)中明確提出：安全審計(jì)應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶安全審計(jì)應(yīng)記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等安全相關(guān)事件的記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等

14《等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理技術(shù)要求》第四章“數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求”中第四節(jié)“數(shù)據(jù)庫(kù)安全審計(jì)”中明確提出數(shù)據(jù)庫(kù)管理系統(tǒng)的安全審計(jì)應(yīng)：建立獨(dú)立的安全審計(jì)系統(tǒng)定義與數(shù)據(jù)庫(kù)安全相關(guān)的審計(jì)事件設(shè)置專門(mén)的安全審計(jì)員設(shè)置專門(mén)用于存儲(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)數(shù)據(jù)的安全審計(jì)庫(kù)提供適用于數(shù)據(jù)庫(kù)系統(tǒng)的安全審計(jì)設(shè)置、分析和查閱的工具第二部分系統(tǒng)實(shí)現(xiàn)原理實(shí)現(xiàn)原理

數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)主主要用于監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類操作行為，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析，實(shí)時(shí)地、智能地解析對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各種操作，并記入審計(jì)數(shù)據(jù)庫(kù)中以便日后進(jìn)行查詢、分析、過(guò)濾，實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)庫(kù)系統(tǒng)的用戶操作的監(jiān)控和審計(jì)。

17誰(shuí)做過(guò)操作?做過(guò)什么操作?做過(guò)多少操作?怎么知道事故發(fā)生時(shí)間?怎么追溯和調(diào)查取證?怎么規(guī)范數(shù)據(jù)庫(kù)操作行為?誰(shuí)該對(duì)惡意操作負(fù)責(zé)?如何進(jìn)行數(shù)據(jù)庫(kù)層的用戶,動(dòng)作等ACL控制明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)DAS-DBAuditorDAS-DBAuditorDAS-DBAuditorDAS-DBAuditor主要功能包括：實(shí)時(shí)監(jiān)測(cè)并智能地分析、還原各種數(shù)據(jù)庫(kù)操作。根據(jù)規(guī)則設(shè)定及時(shí)阻斷違規(guī)操作，保護(hù)重要的數(shù)據(jù)庫(kù)表和視圖。實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)漏洞、登錄帳號(hào)、登錄工具和數(shù)據(jù)操作過(guò)程的跟蹤，發(fā)現(xiàn)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的異常使用。支持對(duì)登錄用戶、數(shù)據(jù)庫(kù)表名、字段名及關(guān)鍵字等內(nèi)容進(jìn)行多種條件組合的規(guī)則設(shè)定，形成靈活的審計(jì)策略。提供包括記錄、報(bào)警、中斷和向網(wǎng)管系統(tǒng)報(bào)警等多種響應(yīng)措施。具備強(qiáng)大的查詢統(tǒng)計(jì)功能，可生成專業(yè)化的報(bào)表。

第三部分系統(tǒng)部署配置注意事項(xiàng)

由于目前設(shè)備采用旁路方式，安裝及配置時(shí)需要注意：1：需由用戶協(xié)同或許可的情況下將設(shè)備置于網(wǎng)絡(luò)中。2：由于設(shè)備旁路方式，需要用戶做好端口鏡像，需要把被保護(hù)的數(shù)據(jù)庫(kù)的流量鏡像到我們?cè)O(shè)備上3：配置數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的管理IP、子網(wǎng)掩碼、及網(wǎng)關(guān)。4：配置完成后需要詢問(wèn)用戶是否配置規(guī)則審計(jì)規(guī)則，如需配置需要知道詳細(xì)的規(guī)則內(nèi)容。第四部分系統(tǒng)功能介紹

22明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)產(chǎn)品定位業(yè)界首創(chuàng)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品。用途靜態(tài)審計(jì)（數(shù)據(jù)庫(kù)弱配置、補(bǔ)丁等）數(shù)據(jù)庫(kù)攻擊檢測(cè)三層審計(jì)雙向?qū)徲?jì)細(xì)粒度審計(jì)細(xì)粒度行為檢索靈活的策略定制多形式的實(shí)時(shí)告警友好真實(shí)的操作過(guò)程回放多協(xié)議的遠(yuǎn)程訪問(wèn)監(jiān)控目的：數(shù)據(jù)庫(kù)運(yùn)行狀況可視化、日常操作可監(jiān)控危險(xiǎn)操作事中報(bào)警、安全事件事后鑒定、所有行為全程審計(jì)產(chǎn)品概述

232、動(dòng)態(tài)審計(jì)全方位的實(shí)時(shí)審計(jì)細(xì)粒度的行為檢索友好真實(shí)的操作過(guò)程回放1、靜態(tài)審計(jì)數(shù)據(jù)庫(kù)不安全配置；潛在弱點(diǎn)；數(shù)據(jù)庫(kù)用戶弱口令；數(shù)據(jù)庫(kù)軟件補(bǔ)丁；數(shù)據(jù)庫(kù)潛藏木馬等3、風(fēng)險(xiǎn)控制靈活的策略定制多形式的實(shí)時(shí)告警安全事件精確定位遠(yuǎn)程訪問(wèn)監(jiān)控明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)全數(shù)據(jù)安全生命周期：靜態(tài)審計(jì)－動(dòng)態(tài)審計(jì)－風(fēng)險(xiǎn)控制

24明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)----功能概述系統(tǒng)管理配置管理實(shí)時(shí)監(jiān)控審計(jì)及回放系統(tǒng)管理權(quán)限管理數(shù)據(jù)維護(hù)運(yùn)行狀態(tài)監(jiān)控升級(jí)管理報(bào)表呈現(xiàn)審計(jì)對(duì)象配置審計(jì)規(guī)則配置采集端口配置引擎配置預(yù)警配置審計(jì)與風(fēng)險(xiǎn)控制數(shù)據(jù)捕獲協(xié)議解析操作還原規(guī)則匹配審計(jì)記錄生成預(yù)警發(fā)送關(guān)注行為查看審計(jì)記錄查看風(fēng)險(xiǎn)查看會(huì)話查看會(huì)話回放操作日志快速配置添加物理端口

進(jìn)入保護(hù)對(duì)象菜單，新增物理端口，填入保護(hù)對(duì)象的IP地址、選擇業(yè)務(wù)系統(tǒng)、版本、端口和運(yùn)行環(huán)境，點(diǎn)保存。如下圖所示：（添加IP:192.168.3.21、業(yè)務(wù)類型:oracle版本:10g端口：1521運(yùn)行環(huán)境：linux）

添加業(yè)務(wù)系統(tǒng)和掛載物理端口

添加業(yè)務(wù)系統(tǒng)，輸入業(yè)務(wù)系統(tǒng)名稱，點(diǎn)保存。（如：信息查詢平臺(tái)）選擇業(yè)務(wù)系統(tǒng)，添加業(yè)務(wù)主機(jī)群，輸入業(yè)務(wù)主機(jī)群名稱，選擇類型，點(diǎn)保存。（如：后臺(tái)數(shù)據(jù)庫(kù)，類型為oracle）掛載物理端口，選擇物理端口，點(diǎn)掛載。（如：192.168.3.21:1521(ORACLE10g）

功能配置

配置當(dāng)前業(yè)務(wù)主機(jī)群的啟動(dòng)引擎、采集設(shè)備、動(dòng)作引擎。首先切換到需要配置的業(yè)務(wù)主機(jī)群，如果只有一個(gè)業(yè)務(wù)主機(jī)群，則登錄后默認(rèn)進(jìn)入此業(yè)務(wù)主機(jī)群。

功能應(yīng)用

審計(jì)引擎所有對(duì)該服務(wù)主機(jī)群的操作將被記錄，可在[審計(jì)]選項(xiàng)卡中查看詳細(xì)內(nèi)容。特征引擎即啟動(dòng)系統(tǒng)自帶的安全策略庫(kù)，在這里我們統(tǒng)一稱之為特征。當(dāng)發(fā)生符合特征的行為時(shí)系統(tǒng)將自動(dòng)產(chǎn)生告警事件，在[告警]選項(xiàng)卡中可查看詳細(xì)內(nèi)容，即所有標(biāo)記為特征的事件。日志引擎即啟動(dòng)系統(tǒng)發(fā)送日志的功能，啟動(dòng)后根據(jù)常規(guī)配置—syslog服務(wù)器的配置，就可以將系統(tǒng)的日常審計(jì)記錄及告警信息實(shí)時(shí)發(fā)送給外系統(tǒng)的SYSLOG服務(wù)器。

引擎配置

選擇采集設(shè)備配置采集數(shù)據(jù)的網(wǎng)口。點(diǎn)擊[掛載]，選擇采集設(shè)備，點(diǎn)擊采集設(shè)備旁邊的，掛載成功。動(dòng)作引擎配置不同級(jí)別的系統(tǒng)采取的動(dòng)作，如以下以高危事件為例進(jìn)行配置。選擇事件級(jí)別：高危事件阻斷配置（需要交換機(jī)或防火墻聯(lián)動(dòng)支持）如級(jí)別為高的阻斷3600秒：選擇阻斷設(shè)備，輸入阻斷時(shí)長(zhǎng)，點(diǎn)擊[添加]通知配置如級(jí)別為高的告警通過(guò)郵件發(fā)送給admin用戶，admin用戶的郵箱地址在[用戶]選項(xiàng)卡中用戶信息里配置。Syslog配置如級(jí)別為高的告警發(fā)送到用戶syslog服務(wù)器，事件類別為user-levelmessages，等級(jí)為Emergency，狀態(tài)啟用，點(diǎn)擊[添加]。審計(jì)規(guī)則

審計(jì)規(guī)則快速配置

第一步：新增審計(jì)對(duì)象組，輸入審計(jì)對(duì)象組名稱點(diǎn)保存。選擇需要添加的對(duì)象類別，手工輸入對(duì)象，點(diǎn)添加按鈕,如圖（添加表對(duì)象customers）第二步：新增規(guī)則組，輸入規(guī)則名稱，點(diǎn)保存，第三步：新增規(guī)則，輸入規(guī)則名稱—>選擇屬于哪個(gè)規(guī)則組、規(guī)則對(duì)應(yīng)哪個(gè)對(duì)象組—>選擇規(guī)則條件—>選擇定性行為—>選擇作用的業(yè)務(wù)主機(jī)群—>點(diǎn)保存.

常規(guī)

全部審計(jì)是指系統(tǒng)無(wú)條件記錄所有訪問(wèn)記錄（默認(rèn)全部審計(jì)，不需要修改。）滿足條件審計(jì)是指只有滿足審計(jì)規(guī)則的訪問(wèn)記錄才能被系統(tǒng)記錄。選擇需要的審計(jì)選項(xiàng)，點(diǎn)保存。如下圖所示。

審計(jì)對(duì)象組

審計(jì)規(guī)則配置必須先定義審計(jì)對(duì)象組。對(duì)象指SQL作用的對(duì)象，可以是表、過(guò)程、函數(shù)等。規(guī)則

規(guī)則白名單

在白名單中的來(lái)源IP不會(huì)進(jìn)行規(guī)則檢測(cè)。規(guī)則白名單在[常規(guī)配置]-[客戶端IP用途]中配置。

審計(jì)

功能說(shuō)明：記錄下用戶對(duì)數(shù)據(jù)庫(kù)的所有操作。例如數(shù)據(jù)庫(kù)用戶通過(guò)客戶端PL/SQL連接到數(shù)據(jù)庫(kù)，他對(duì)數(shù)據(jù)庫(kù)進(jìn)行的所有操作都將被記錄到明御系統(tǒng)中。管理員通過(guò)明御系統(tǒng)可以查看此用戶具體對(duì)數(shù)據(jù)庫(kù)做了哪些操作，并且可以自定義回放這些操作。管理員還能自定義審計(jì)規(guī)則，將指定對(duì)象及操作列為危險(xiǎn)動(dòng)作，當(dāng)違反此規(guī)則時(shí)系統(tǒng)將通過(guò)告警、發(fā)郵件等方式通知系統(tǒng)管理員或立即進(jìn)行阻斷。

關(guān)注行為

查看所有審計(jì)規(guī)則定義成關(guān)注行為的審計(jì)事件。自定義查詢條件如下：審計(jì)規(guī)則名稱時(shí)間段

日常行為

自定義查詢所有審計(jì)記錄。自定義查詢選擇查詢條件，點(diǎn)擊[查詢]按鈕，如不選擇查詢條件，默認(rèn)查詢最近12小時(shí)的記錄?；胤?/p>

模擬終端對(duì)數(shù)據(jù)庫(kù)的實(shí)際操作界面，對(duì)符合條件的審計(jì)信息進(jìn)行回放。選擇回放條件。條件選擇請(qǐng)參考審計(jì)的自定義查詢，如選擇操作類型：create,點(diǎn)擊[回放]，查詢結(jié)果將以實(shí)際發(fā)生時(shí)間的先后進(jìn)行回放，效果如下：

風(fēng)險(xiǎn)

此處風(fēng)險(xiǎn)即指告警事件，當(dāng)符合用戶定義的審計(jì)規(guī)則將會(huì)產(chǎn)生標(biāo)記為審計(jì)的告警事件，當(dāng)符合系統(tǒng)自帶的特征時(shí)將會(huì)產(chǎn)生標(biāo)記為特征的告警事件。

常規(guī)配置

引擎管理啟用/禁用系統(tǒng)引擎，默認(rèn)開(kāi)啟所有引擎。如果某引擎在此被禁用，則不論單個(gè)業(yè)務(wù)主機(jī)群是否加載此引擎都將無(wú)效。一般不建議用戶禁用系統(tǒng)引擎。數(shù)據(jù)來(lái)源可根據(jù)數(shù)據(jù)來(lái)源即客戶端工具對(duì)審計(jì)記錄進(jìn)行劃分。指定IP審計(jì)如果在這里配置了某個(gè)業(yè)務(wù)類型的客戶端IP，那么在這個(gè)系統(tǒng)中只能審計(jì)到該客戶端的對(duì)應(yīng)業(yè)務(wù)類型的數(shù)據(jù)，不再審計(jì)并記錄其它源IP或業(yè)務(wù)系統(tǒng)過(guò)來(lái)的記錄了?？蛻舳薎P用途定義來(lái)訪客戶網(wǎng)絡(luò)、規(guī)則白名單、規(guī)則信任主機(jī)數(shù)據(jù)來(lái)源等級(jí)根據(jù)配置指定的數(shù)據(jù)來(lái)源，調(diào)整報(bào)文等級(jí)或者不審計(jì)。報(bào)文等級(jí)根據(jù)配置指定的報(bào)文內(nèi)容，精確匹配審計(jì)記錄，調(diào)整報(bào)文等級(jí)或者不審計(jì)。IP等級(jí)根據(jù)配置指定的源IP，調(diào)整報(bào)文等級(jí)或者不審計(jì)。查詢參數(shù)可設(shè)置SQL查詢超時(shí)時(shí)間；可設(shè)置查詢結(jié)果每頁(yè)顯示條數(shù)；可設(shè)置查詢結(jié)果總記錄數(shù)。

設(shè)備

系統(tǒng)鏈路數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是旁路方式，點(diǎn)擊后會(huì)提示：旁路部署，不提供配置。采集設(shè)備配置采集設(shè)備阻斷設(shè)備旁路方式的阻斷通過(guò)和交換機(jī)或防火墻聯(lián)動(dòng)實(shí)現(xiàn)，在此配置阻斷設(shè)備。通知

短信進(jìn)行短信發(fā)送配置。郵件配置系統(tǒng)默認(rèn)發(fā)件人，郵件接收人在[用戶]中配置。權(quán)限管理

本系統(tǒng)提供嚴(yán)格的權(quán)限管理機(jī)制，支持自定義各種角色。權(quán)限劃分如下：系統(tǒng)管理、策略配置、操作審計(jì)查詢、告警查詢、審計(jì)查詢、引擎管理、報(bào)表查詢。數(shù)據(jù)維護(hù)

手動(dòng)備份通過(guò)指定數(shù)據(jù)的發(fā)生時(shí)間段進(jìn)行備份，在備份的同時(shí)可以選擇是否刪除數(shù)據(jù)。備份文件保存在本地服務(wù)器上，可以導(dǎo)出到客戶端機(jī)器，導(dǎo)出后可刪除服務(wù)器上的備份文件。自動(dòng)清理清理動(dòng)作門(mén)限可配置，默認(rèn)80%，即當(dāng)數(shù)據(jù)分區(qū)的磁盤(pán)空間被占用超過(guò)80%后，會(huì)自動(dòng)清理數(shù)據(jù)直到空間占用小于70%（默認(rèn)值，可配置），由最老的數(shù)據(jù)開(kāi)始清理。出廠設(shè)置清理業(yè)務(wù)數(shù)據(jù)刪除全系統(tǒng)所有業(yè)務(wù)相關(guān)的數(shù)據(jù)，包括告警、審計(jì)、報(bào)表等，但不會(huì)刪除所有配置，請(qǐng)慎重執(zhí)行！恢復(fù)出廠設(shè)置刪除全系統(tǒng)所有數(shù)據(jù)及配置信息，恢復(fù)到出廠狀態(tài)，請(qǐng)慎重執(zhí)行！運(yùn)行狀態(tài)查看系統(tǒng)自身運(yùn)行狀態(tài)，包括CPU使用率、內(nèi)存使用率、引擎運(yùn)行狀態(tài)、采集設(shè)備運(yùn)行狀態(tài)。

系統(tǒng)工具IP包捕獲在頁(yè)面上可以設(shè)置停止捕獲的數(shù)據(jù)文件長(zhǎng)度以及停止捕獲的時(shí)長(zhǎng)，還可以設(shè)置IP使用的過(guò)濾串，過(guò)濾哪個(gè)IP的哪個(gè)網(wǎng)口的數(shù)據(jù)。(例如：用采集口eth3抓來(lái)自192.168.3.21的數(shù)據(jù)包，過(guò)濾串可以這么寫(xiě)：-ieth3-s0host192.168.3.21–whost321.pcap)其他

升級(jí)系統(tǒng)升級(jí)目前實(shí)現(xiàn)的是手動(dòng)升級(jí)功能。用戶從軟件銷售商處獲得升級(jí)包后通過(guò)頁(yè)面遞交到系統(tǒng)，系統(tǒng)將自動(dòng)進(jìn)行升級(jí)，