01-正文
本章节下载: 01-正文 (1.46 MB)
目 录
H3C SecPath数据库审计系统是H3C公司在多年的数据库安全理论研究与实践的基础上,结合各类法令法规(如等级保护、分级保护、企业内控、SOX、PCI等)对数据库安全的要求,研发的业界首创细粒度审计、双向审计、全方位风险控制的数据库安全审计产品。可帮助用户带来如下价值点:
· 全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯源。
· 跟踪敏感数据访问行为轨迹,建立访问行为模型,及时发现敏感数据泄漏。
· 检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议。
· 为数据库安全管理与性能优化提供决策依据。
· 提供符合法律法规的报告,满足等级保护、企业内控等审计要求。
H3C SecPath数据库审计系统目前包括D2020型号和D2050型号。
图1-1 D2020外观图
图1-2 D2050外观图
为避免使用不当造成设备损坏及对人身的伤害,请遵从以下的注意事项:
· 在清洁数据库审计设备前,应先将数据库审计设备电源插头拔出。不要用湿润的布料擦拭数据库审计设备,不可用液体清洗设备。
· 请不要将数据库审计设备放在水边或潮湿的地方,并防止水或湿气进入数据库审计设备机壳。
· 请不要将数据库审计设备放在不稳定的箱子或桌子上,万一跌落,会对数据库审计设备造成严重损害。
· 应保持室内通风良好并保持数据库审计设备通气孔畅通。
· 数据库审计设备要在正确的电压下才能正常工作,请确认工作电压同数据库审计设备所标示的电压相符。
· 为减少受电击的危险,在数据库审计设备工作时不要打开外壳,即使在不带电的情况下,也不要随意打开数据库审计设备机壳。
· 在更换接口模块时一定要使用防静电腕带,防止静电损坏设备。
H3C SecPath数据库审计设备必须在室内使用,无论您将数据库审计设备安装在机柜内还是直接放在工作平台上,都需要保证以下条件:
· 确认数据库审计设备的入风口及通风口处留有空间,以利于数据库审计设备机箱的散热。
· 确认机柜和工作台自身有良好的通风散热设备。
· 确认机柜及工作台足够牢固,能够支撑数据库审计设备及其安装附件的重量。
· 确认机柜及工作台的良好接地。
为保证数据库审计设备正常工作和延长使用寿命,安装场所还应该满足下列要求。
为保证设备正常工作,并延长使用寿命,机房内需要维持一定的温度和湿度。
· 若机房内长期相对湿度过高,容易造成绝缘材料绝缘不良甚至漏电,还可能发生材料机械性能变化、金属部件锈蚀等现象。
· 若机房内长期相对湿度过低,绝缘垫片会干缩并且容易引起紧固螺丝松动,在干燥的气候环境下,还容易产生静电,危害设备上的电路。
· 温度过高危害更大,因为高温会加速绝缘材料的老化过程,使设备的可靠性大大降低,严重影响其使用寿命。
设备对温度、湿度的要求见下表。
表2-1 环境要求
项目 |
说明 |
环境温度 |
5℃~40℃ |
环境湿度 |
工作:20~90%(无冷凝) 非工作:5~95%(无冷凝) |
为保证设备的正常工作,机房内需维持一定的洁净度,而灰尘对设备的运行安全是一大危害。室内灰尘落在机体上会造成静电吸附,使金属接插件或金属接点接触不良,尤其是在室内相对湿度偏低的情况下,更易造成静电吸附,不但会影响设备寿命,而且容易造成通信故障。对机房内灰尘含量及粒径要求参见下表。
表2-2 机房灰尘含量要求
机械活性物质 |
单位 |
含量 |
灰尘粒子 |
粒/m3 |
≤3×104(3天内桌面无可见灰尘) |
注:灰尘粒子直径≥5μm |
除灰尘外,设备机房对空气中所含的盐、酸、硫化物也有严格的要求。这些有害气体会加速金属的腐蚀和某些部件的老化过程。机房内应防止有害气体如SO2、H2S、NH3、Cl2 等的侵入,其具体限制值参见下表。
表2-3 机房有害气体限值
气体 |
最大值(mg/m3) |
二氧化硫SO2 |
0.2 |
硫化氢H2S |
0.006 |
氨NH3 |
0.05 |
氯气Cl2 |
0.01 |
二氧化氮NO2 |
0.04 |
为了便于设备通风散热,请您根据设备的风道方向,合理规划安装场所,要求如下:
· 确保设备的入风口及出风口处留有足够空间(建议大于10cm),以利于机箱的散热。
· 确保安装场所有良好的通风散热系统。
为防止静电损伤,应做到:
· 确保设备及机柜良好接地。
· 确保室内防尘及温度/湿度条件满足安装要求,温度/湿度要求请参见“2.2.1 温/湿度要求”和“2.2.2 洁净度要求”。
· 在安装或拆卸光模块时,请佩戴防静电手腕并确认防静电手腕与皮肤接触良好,并良好接地。
· 操作设备前,应穿防静电工作服,佩戴防静电手套和手腕,并去除首饰和手表等易导电物体,以免被电击或灼伤。
· 将拆卸下来的接口板等,应以电路板面朝上的方式放置在抗静电的工作台上或者放入防静电袋中。
设备不随机提供防静电手腕,用户可根据实际需要自行选购。
佩戴防静电手腕之前,应先确认机柜或工作台已良好接地,然后按照如下步骤佩戴防静电手腕:
(1) 将手伸进防静电手腕。
(2) 拉紧防静电手腕,并确认防静电手腕与皮肤接触良好。
(3) 将防静电手腕上的锁扣与鳄鱼夹上的锁扣相扣合。
(4) 将鳄鱼夹夹在设备所在的机柜或工作台上。
图2-1 防静电手腕示意图
1: 防静电手腕 |
2: 锁扣 |
3: 鳄鱼夹 |
设备在使用中可能受到来自设备外部的干扰,这些干扰通过电容耦合、电感耦合、电磁波辐射、公共阻抗(包括接地系统)耦合和导线(电源线、信号线和输出线等)的传导方式对设备产生影响。为此应注意:
· 交流供电系统为TN系统,TN方式供电系统是将电气设备的金属外壳和正常不带电的金属部分与工作零线相接的保护系统,称作接零保护系统。交流电源插座应采用有保护地线(PE)的单相三线电源插座,使设备上滤波电路能有效的滤除电网干扰。
· 设备工作地点应远离强功率无线电发射台、雷达发射台、高频大电流设备。
· 必要时采取电磁屏蔽的方法,如接口电缆采用屏蔽电缆。
· 接口电缆要求在室内走线,不建议户外走线,以防止因雷电产生的过电压、过电流将设备信号口损坏,若需户外走线请加装网口避雷器。
为达到更好的防雷效果,需要满足以下几点要求:
· 保证机箱的保护地,用保护地线与大地保持良好接触。
· 保证交流电源插座的接地点与大地良好接触。
· 可以考虑在电源的输入前端加入电源避雷器,这样可大大增强电源的抗雷击能力。
良好的供电系统是设备上电启动、稳定运行的基础。为了满足设备的供电要求,请您完成如下步骤:
· 计算总功耗
设备的总功耗与设备是否安装接口板、风扇框功耗等有关。
· 根据总功耗的大小检查电源模块数量
为了确保设备的正常运行,需保证为设备供电的电源模块的最大输出功率大于设备的总功耗。在确定了设备总功耗之后,您可以根据总功耗的大小检查电源模块的数量是否符合要求。
· 确认安装场所的供电系统能够满足电源模块的输入要求。
请确保安装场所的供电系统稳定,并能够满足电源模块的输入方式、额定输入电压等参数的要求。
设备不随机提供安装工具,请用户自备
压线钳 |
十字螺丝刀 |
尖嘴钳 |
剥线钳 |
防静电手腕 |
万用表 |
裁纸刀 |
斜口钳 |
安装上电前检查是对整个硬件安装工作的回顾,主要检查安装场所温度、湿度、洁净度、接地,以及设备的外观情况,涉及机柜、配线、插头、插座、标签及现场环境。
表2-4 设备安装检查表
编号 |
检查项目 |
检查方法 |
1 |
安装场所温度情况 |
测量,温度范围5℃~40℃。 |
2 |
安装场所湿度情况 |
测量 工作:20~90%(无冷凝) 非工作:5~95%(无冷凝) |
3 |
安装场所洁净度情况 |
查看,机房应干净、整洁,作废的包装箱等杂物应清除。 |
4 |
安装场所接地正常 |
查看,接地阻值:中国区域,综合通信局点的接地电阻≤1Ω,在普通通信局点≤5Ω ;海外区域,符合当地标准,一般小于10Ω。 |
5 |
设备洁净度情况及外观标识情况 |
查看,设备表面必须干净整洁,各种标识正确、清晰、齐全。 |
6 |
安装工具和附件 |
查看 设备自带的安装附件。 用户自备的安装工具。 |
图3-1 设备安装流程图
· 检查机柜的接地与平稳性,确认机柜内设备的安装位置已经布置完毕,机柜内部和周围没有影响设备安装的障碍物。
· 要安装的设备已经准备好,并被运到离机柜较近、便于搬运的位置。
(1) 请操作者佩戴防静电腕带。需确保防静电腕带与皮肤良好接触,并确认防静电腕带已经良好接地,并检查机柜的接地与稳定性。
(2) 使用挂耳比量前立柱,以确定浮动螺母的安装位置,并用记号笔做标记,然后在标记处安装浮动螺母。
图3-2 安装浮动螺母
(3) 使用十字螺丝刀将挂耳安装在设备的两侧边缘,安装完成使用手摇动挂耳,确保无摇晃。
图3-3 安装挂耳
(4) 测量机柜的长度,测量出设备与机柜之间的连接长度,测量完成后使用十字螺丝刀将导轨螺丝固定在设备的两侧。
图3-4 安装导轨
由于D2050设备较重,为满足设备固定及承重要求,安装设备到机架时,需挂耳与机架托盘配合使用,无需安装导轨。
(5) 一位安装人员用手托住数据库审计设备的底部,根据挂耳的安装位置,沿机柜移动数据库审计设备至合适的位置。
(6) 另一位安装人员用满足机柜安装尺寸要求的螺钉(螺钉需要用户自备,表面经过防锈处理)将数据库审计设备通过挂耳固定在机架上,保证位置水平并牢固。
图3-5 固定设备到机架
(7) 使用机架螺钉将耳片固定在机架上面,再将设备装有导轨的两边固定在耳片上面
图3-6 固定耳片到机架
D2050设备没有导轨、耳片,无需此步骤操作。
D2050设备较重,为满足设备固定及承重要求,安装设备到机架时,需挂耳与机架托盘配合使用,无需安装导轨。
以太网线缆的连接方法如下:
(1) 将一端连接到设备的以太网电口,另一端连接到对端设备的以太网电口上。
(2) 上电后请检查以太网电口的指示灯状态是否正常。
D2020设备支持千兆SFP光模块。
D2050设备支持千兆SFP光模块,并且扩展口支持万兆SFP光模块。
目前,数据库审计设备支持交流电供电,设备上架完成后,接电源线即可。目前大部份设备自带冗余电源,建议将两根电源线接在不同的电源线路上,防止掉电。
设备安装完毕后的检查非常重要,安装的牢固与否,接地良好与否以及电源匹配与否,将直接关系到设备的正常使用。基本检查事项如下:
· 设备周围是否留有足够的散热空间,安装是否稳固
· 螺钉全部正确紧固。
· 所接外部供电电源规格与设备的要求是否一致。
· 设备保护地线、电源线连接正确可靠,接触良好。
(1) 开启给设备提供电源的供电系统开关。
(2) 开启设备交流或直流电源模块的开关。
设备上电后,需要检查:
(1) 设备前面板上的指示灯是否正常显示。
(2) 设备上电以后,通风系统开始工作,并且可以听到风扇旋转的声音,设备的通风孔有空气排出。
· 通过Console口进行本地登录:这种登录方式可以直接进入设备的命令行接口。
· 通过Web方式登录:设备出厂时已经设置默认的Web登录信息,用户可以直接使用该默认信息登录设备的Web界面对设备进行基本配置。
(1) 使用串口线连接设备的Console口。
(2) 在PC机上使用Minicom(*nix)、Putty或SecureCRT等支持串口通信的工具连接到设备串口终端,修改串口连接参数:端口:COMx、波特率:115200、数据位:8、奇偶校验:None、停止位:1、字符编码:GBK。
下图为SecureCRT工具会话选项配置界面。
图4-1 会话选项
(3) 连接后,会提示要求输入用户名和密码,用户名为:admin,密码为:admin。
admin的出厂密码与Web页面登录密码是一致的。
(4) 输入用户名/密码,回车后即可登录成功。
图4-2 登录Console
(5) 在提示光标处输入1,按回车,选择“本机IP地址设置”。
图4-3 本机IP地址设置
(6) 在提示光标处输入1,按回车,选择“修改本机IP地址等信息”。
图4-4 本机IP信息
(7) 在提示光标处输入n”,按回车,修改“本机IP地址等信息”。
图4-5 管理口IP信息
(8) 依次输入新管理口IP地址信息,其它信息都使用默认值,按回车,直到出现如下图所示确认提示信息,输入“yes”, 即可自动生效。
图4-6 管理口IP修改确认
如需要设置HA口的IP信息,也可以输入HA口相应的IP信息
(9) 最后可通过浏览器输入新管理口IP地址(https://修改后IP)登录系统。
(1) 将PC的IP配置为除192.168.0.1以外的地址,并直连到设备的Admin口(出厂IP为192.168.0.1)。启动浏览器登录设备(https://192.168.0.1),输入用户名和密码(出厂用户和密码为:admin/admin),单击<登录>按钮后进入设备Web管理页面。
图4-7 登录页面
(2) 进入[系统/系统管理/网络配置]页面。
图4-8 网络配置
(3) 修改对应的管理口IP、掩网、网关、DNS,单击<保存>按钮,在弹出确认对话框中单击<确定>后,10秒钟之后页面将自动跳转到新地址。
(4) 最后将Admin口连接到网络交换机中,便于远程Web访问。
本节主要是介绍如何对数据库审计系统进行快速配置,使之能正常审计到日志信息。
使用浏览器输入已配置好的IP登录数据库审计系统,如配置好的IP为192.168.30.113,则在浏览器中输入https:// 192.168.30.113,输入默认用户名:admin,密码:admin,登录系统。
打开[探测器/探测器相关配置/物理端口],点击<新增>按钮,打开新增页面,根据实际情况输入或选择需要审计的数据库主机的IP地址、业务类型、版本、监听端口及运行环境,新增数据库。
图4-9 添加物理端口
打开[探测器/探测器相关配置/探测器]导航菜单,在探测器组中点击<添加>,输入相关信息添加探测器。
图4-10 添加探测器
选择上一步添加的探测器,在业务主机群中点击<添加>按钮,输入相关信息添加业务主机群,如下以oracle为例。
图4-11 添加业务主机群
选择上一步添加的业务主机群,在端口挂载中点击右上角<挂载>按钮,选择之前添加的物理端口,点击左下角<挂载>按钮即可挂载物理端口。
图4-12 物理端口挂载
打开[系统/运行状态/系统资源],可以查看设备的硬件信息包括CPU、内存、交换空间、数据分区,以及系统资源的实时使用情况。
图5-1 系统资源
打开[系统/运行状态/采集设备],可以查看目前采集设备信息,以相应的接口是否在正常工作。
图5-2 采集设备信息
打开[系统-系统管理-关机]页面,可以通过点击<重启>或<关机>按钮操作设备。
图5-3 关闭设备
设备无法上电,前面板电源指示灯(PWR)不亮。
请按以下步骤进行检查:
· 关闭设备电源。
· 检查设备供电电源与设备所要求的电源是否匹配。
· 检查电源线是否插牢。
· 检查所用电源线是否损坏。
如果上述检查未发现问题,并且故障现象仍未消失,请联系代理商。
数据库审计设备上电启动时,在配置终端无显示或者显示乱码。
如果上电后配置终端无显示信息,首先要做以下检查:
(1) 电源工作是否正常。
(2) 主控板工作是否正常。
(3) 是否已将配置电缆接到主控板的Console口。
如果以上检查未发现问题,可能存在以下问题:
(1) 配置电缆连接在错误的终端设备的串口上。如果连接的串口错误,请重新选择正确的串口连接。
(2) 配置电缆本身有问题。如果确定配置电缆有问题,请更换配置电缆。
如果配置终端上显示乱码,请检查配置终端参数设置,配置终端的参数设置必须和数据库审计设备的Console口的配置保持一致。
数据库审计设备Console 口的缺省参数:端口:COMx,波特率:115200,数据位:8,奇偶校验:None,停止位:1,字符编码:GBK。
配置完成并作了相关的操作后,在审计查询中查询不到数据。
请按以下步骤进行检查:
· 系统探测器IP配置是否正确。
· 业务主机群、审计对象IP、端口及数据库类型版本是否配置正确。
· 业务主机群对应的采集端口是否配置正确。
· 镜像流量是否正确。
· 设备许可是否过期。
如果上述检查未发现问题,并且故障现象仍未消失,请联系代理商。
登录界面出现提示:许可过期、无效等问题。
请按以下步骤进行检查:
· 请确认许可的有效期,是否有效期已到,如许可到期,则会出现许可过期提示。
· 打开[系统/系统管理/许可证],查看许可目前的状态信息,根据提示操作。
· 如有许可文件,可重新上传许可证,再查看许可状态。
如果上述检查未发现问题,并且故障现象仍未消失,请联系代理商。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!