7、三层关联功能介绍

　　本节将要介绍的三层关联功能，是天玥产品在数据库审计方面的一大特点，也是区别于其它同类产品功能的特色之处，本文将花一定篇幅重点介绍。

　　背景介绍：当前B/S应用程序已相当流行，浏览器、Web服务器、后台数据库三层架构的典型部署也已经很普遍。在这种部署方式中，由于所有的后台数据库访问都是通过WEB应用服务器来执行的，对于后台数据库的访问能否关联到前台的访问者，不但是企业IT管理者在做数据库安全审计所关心的问题，同时也考量着提供审计解决方案厂商的能力。

　　而由启明星辰提供的天玥审计解决方案，可以很好的解决此问题。

　　三层关联介绍：所谓三层关联，是根据Web服务器的部署方式命名,即浏览器—Web服务器—数据库服务器，确定HTTP访问和数据库访问的关联。例如正常情况下，针对Web服务器它接受URL访问，Web服务器在根据用户的提交动作发出SQL命令去访问另一台数据库服务器，有了三层关联，就可以查询到HTTP访问所触发的数据库访问，也可以查询到某个数据库访问是由哪个HTTP访问触发，从而能够追查到真正的访问者。应用场景如下图所示。

　　功能实现：天玥网络安全审计系统的三层关联功能大致实现是这样的，系统审计出浏览器—Web服务器和Web服务器—数据库服务器两类的事件：前者是HTTP事件，后者是SQL事件。需将这两条事件关联起来，进行三层关联，从而将访问Web的资源帐号和相关的数据库操作关联起来。

　　在天玥产品的管理子系统中，提供了三层关联的配置及使用向导，如下图所示是简要的操作流程图示：

　　依据上述操作流程图，我们以图文的方式来展示一个三层关联设置的实例(此实例设置时间为2010年10月份)：

　　A、配置审计策略：“功能实现”中已提及，三层关联功能需要用到HTTP协议及数据库协议。首先我们在管理子系统配置审计(事件)策略，并保证事件能够正常上报及入库：

　　B、常规配置：对客户端IP地址、WEB服务器地址及URL、数据库IP地址及协议进行常规配置，IP地址均可以设置多个，并以逗号分开，但数据库协只能设置成一种：

　　C、针对性操作：所谓针对性操作，就是通过访问WEB页面，进行如登录、添加、删除、修改、删除、查询等操作，操作的结果，HTTP事件和数据库事件将正常上报并入库。

　　D、学习： 这入三层关联—配置，选择学习标签，选择好学习样本的时间段，点击提交，便可进行学习，学习期间有进度条显示，且学习过程的长短会受样本的总量及学习参数限制。

▲图示 学习进行中

▲图示 学习历史

　　E、学习后的规则处理：通过学习得到规则后如下图所示。同时，为了保证关联的准确性，需手工作进行处理，内容包括：

　　　　• 可以添加、删除、修改(URL模板、SQL模板、重命名等)规则
　　　　• 可以修改规则状态(已确认、未确认、冲突)及是否启用

▲图示 规则列表页面

　　F、下发处理后的规则：将学习到的规则处理完毕后后，点击“下发规则”按钮。

　　G、开启实时关联功能：管理子系统—三层关联—配置—实时关联界面，勾选“实时关联”。

　　H、查看结果：开启实时关联后，当再次进行规则对应的操作的时候，系统会自动进行关联。而关联结果可以通过管理子系统—统计—三层关联来查看：

▲图示 统计查看

　　通过报表子系统—查询模块，通过设置与三层关联有关的过滤条件，查看三层关联的情况：即可以通过查询HTTP事件或SQL事件，查看是否有事件关联以及哪些URL与哪些SQL语句关联，进而得到哪些资源帐号进行了哪些操作。

　　查询HTTP事件，设定针对资源帐号的过滤条件，可以查看到有两条记录，其中第一条为关联上的结果，第二条则为未关联上的情况，点击数字链接均可链接到相应的详细信息或者查询结果，如图：

▲图示 按资源帐号查询HTTP事件查看

　　查询SQL事件，设定针对关联到的WEB事件ID的过滤条件，如下图的结果，可以点击关联到的WEB事件ID链接到对应HTTP事件的详细信息，进而获知源IP、资源帐号等信息，从而可以追踪定位某个到自然人：

▲图示 按关联到的WEB事件ID查询SQL事件查看

　　通过本7节的功能介绍及设置实例，相信你对天玥产品在三层关联方面如何工作及效能如何有了初步的了解，的确有此独特之处!