數(shù)據(jù)庫(kù)安全運(yùn)維項(xiàng)目需求

數(shù)據(jù)庫(kù)安全運(yùn)維項(xiàng)目需求

1.項(xiàng)目背景

隨著信息化的發(fā)展，業(yè)務(wù)規(guī)模迅速擴(kuò)大、系統(tǒng)里存在的敏感數(shù)據(jù)激增，建設(shè)

重點(diǎn)逐步從網(wǎng)絡(luò)平臺(tái)建設(shè)，轉(zhuǎn)向以深化應(yīng)用、提升效益為特征的運(yùn)行維護(hù)階段,

IT系統(tǒng)運(yùn)維與安全管理正逐漸走向融合。XX系統(tǒng)的安全運(yùn)行直接關(guān)系業(yè)務(wù)正常進(jìn)

行，敏感數(shù)據(jù)安全保障，構(gòu)建一個(gè)強(qiáng)健的IT運(yùn)維安全管理體系對(duì)信息化的發(fā)展至

關(guān)重要，對(duì)運(yùn)維的安全性提出了更高要求。

2.項(xiàng)目?jī)?nèi)容

2.1.專業(yè)的數(shù)據(jù)庫(kù)日常維護(hù)

（1）數(shù)據(jù)庫(kù)性能優(yōu)化

一年3次數(shù)據(jù)庫(kù)性能優(yōu)化和數(shù)據(jù)庫(kù)安裝及升級(jí)服務(wù)，提升應(yīng)用系統(tǒng)性能，完

成各系統(tǒng)數(shù)據(jù)庫(kù)的性能調(diào)優(yōu)工作，包括：外部資源調(diào)優(yōu)、行的重新安排調(diào)優(yōu)、SQL

性能調(diào)優(yōu)、表格和索引存儲(chǔ)參數(shù)設(shè)置調(diào)優(yōu)等。

（2）數(shù)據(jù)庫(kù)現(xiàn)場(chǎng)巡檢

數(shù)據(jù)現(xiàn)場(chǎng)一年4次巡檢及2次系統(tǒng)健康檢查服務(wù)，盡早發(fā)現(xiàn)性能瓶頸，及時(shí)調(diào)

整，保障數(shù)據(jù)庫(kù)穩(wěn)定高效工作。

（3）數(shù)據(jù)庫(kù)安裝及升級(jí)

一年1次數(shù)據(jù)庫(kù)安裝及升級(jí)服務(wù)，將數(shù)據(jù)庫(kù)架構(gòu)的合理化規(guī)劃，保障數(shù)據(jù)庫(kù)

持續(xù)高效運(yùn)行。

（4）7*24小時(shí)技術(shù)支持、主動(dòng)預(yù)防維護(hù)

一年12次7*24小時(shí)技術(shù)支持、主動(dòng)預(yù)防維護(hù)，預(yù)防性維護(hù)致力于在故障發(fā)生

之前消滅故障，在性能惡化之前消滅性能惡化。充分了解數(shù)據(jù)庫(kù)系統(tǒng)的狀況，為

重大投資和決策提供第一手衿學(xué)資料。通過(guò)預(yù)防性維護(hù)實(shí)踐，消滅了大部分日常

維護(hù)故障，很大程度上降低了業(yè)務(wù)終止時(shí)間。

（5）技術(shù)人員現(xiàn)場(chǎng)應(yīng)急保障

在整個(gè)服務(wù)期內(nèi)，如果終端客戶的數(shù)據(jù)庫(kù)發(fā)生對(duì)業(yè)務(wù)產(chǎn)生重大影響的數(shù)據(jù)庫(kù)

層面問(wèn)題，工程師隊(duì)伍需要啟動(dòng)緊急相應(yīng)流程，調(diào)派工程師，第一時(shí)間趕往客戶

1

現(xiàn)場(chǎng)，確?？蛻舻南到y(tǒng)盡快恢復(fù)。

（6）數(shù)據(jù)庫(kù)規(guī)劃設(shè)計(jì)

數(shù)據(jù)庫(kù)工程師詳細(xì)了解服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等硬件，協(xié)助進(jìn)行合理配置，通

過(guò)分析業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)表空間、索引、表的設(shè)計(jì)，提供詳細(xì)的建議設(shè)計(jì)方案,

幫助客戶構(gòu)建一個(gè)可擴(kuò)展性強(qiáng)、安全性高、穩(wěn)定性高、數(shù)據(jù)一致性得到保證的業(yè)

務(wù)系統(tǒng)。

（7）業(yè)務(wù)系統(tǒng)上線保障

保障業(yè)務(wù)系統(tǒng)在正式上線之前,經(jīng)歷大量的業(yè)務(wù)需求、架溝設(shè)計(jì)、程序開發(fā)、

實(shí)現(xiàn)功能等過(guò)程。開發(fā)過(guò)程中，會(huì)出現(xiàn)大量的程序段執(zhí)行速度慢，執(zhí)行速度慢無(wú)

法滿足技術(shù)上線指標(biāo)等，導(dǎo)致系統(tǒng)測(cè)試無(wú)法通過(guò)而延遲上線，提供數(shù)據(jù)庫(kù)運(yùn)行使

用保障性服務(wù)。

（8）信息系統(tǒng)安全評(píng)估

防范內(nèi)部安全和誤操作為主要目標(biāo)，推出了安全性評(píng)估和實(shí)施服務(wù)。在全面

評(píng)估客戶業(yè)務(wù)系統(tǒng)安全性實(shí)現(xiàn)和需求的情況下，貼身實(shí)現(xiàn)用戶的數(shù)據(jù)庫(kù)安全性方

案。

2.2.數(shù)據(jù)庫(kù)運(yùn)行安全監(jiān)控服務(wù)

數(shù)據(jù)庫(kù)運(yùn)行安全監(jiān)控服務(wù)包括：

（1）數(shù)據(jù)中心運(yùn)行狀態(tài)的一體化監(jiān)控平臺(tái)；

（2）核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)監(jiān)控可視化，直觀、有效監(jiān)視數(shù)據(jù)庫(kù)運(yùn)行狀態(tài)；

（3）數(shù)據(jù)庫(kù)健康指數(shù)監(jiān)控；

（4）中間件監(jiān)控：利用川X實(shí)現(xiàn)監(jiān)控Java應(yīng)用服務(wù)功能，無(wú)需安裝任何第三

方軟件或插件；

（5）SQL執(zhí)行監(jiān)控；

（6）關(guān)聯(lián)資源監(jiān)控；

（7）操作系統(tǒng)監(jiān)控；

（8）日常巡檢。

本次數(shù)據(jù)庫(kù)運(yùn)行安全監(jiān)控服務(wù)提供一年12次巡檢服務(wù)，7*24小時(shí)日常運(yùn)行保

障服務(wù)，并提交季度巡檢和年度服務(wù)總結(jié)報(bào)告。

2

2.3.數(shù)據(jù)庫(kù)防勒索防護(hù)服務(wù)

鑒于目前勒索病毒的普遍性和難防御性，核心Oracle運(yùn)行在Windows平臺(tái)，

因此需要對(duì)該平臺(tái)下的數(shù)據(jù)庫(kù)進(jìn)行勒索防范，主要從幾個(gè)方面進(jìn)行防范，首先數(shù)

據(jù)庫(kù)文件進(jìn)行勒索防護(hù)，保證數(shù)據(jù)庫(kù)文件不被勒索病毒加密、數(shù)據(jù)庫(kù)不被帶毒的

綠色版工具（比如PLSQL）進(jìn)行注入式勒索。

本次數(shù)據(jù)庫(kù)勒索病毒防護(hù)通過(guò)采用第三方專業(yè)的勒索病毒防護(hù)產(chǎn)品和人員

服務(wù)的方式進(jìn)行，達(dá)到以下幾個(gè)目標(biāo)。

（1）數(shù)據(jù)庫(kù)文件防勒索目標(biāo)

通過(guò)防勒索產(chǎn)品指定數(shù)據(jù)庫(kù)類型和添加信任可執(zhí)行程序（如oracle.exe）0

在防勒索產(chǎn)品上添加需要保護(hù)的現(xiàn)有的數(shù)據(jù)庫(kù)文件，新建的數(shù)據(jù)庫(kù)文件會(huì)自

動(dòng)受到保護(hù)。

未授權(quán)執(zhí)行程序試圖修改數(shù)據(jù)庫(kù)文件，將認(rèn)定為可疑勒索事件，及時(shí)被防勒

索產(chǎn)品攔截。

通過(guò)防勒索產(chǎn)品只允許可信任執(zhí)行程序?qū)κ鼙Ｗo(hù)的數(shù)據(jù)庫(kù)文件執(zhí)行相關(guān)操

作。

（2）注入型勒索防護(hù)目標(biāo)

通過(guò)數(shù)據(jù)庫(kù)安全防范產(chǎn)品對(duì)運(yùn)維工具進(jìn)行MD5校驗(yàn)，針對(duì)管理人員、第三方

維護(hù)人員登陸數(shù)據(jù)庫(kù)的SQL管理工具進(jìn)行嚴(yán)格管理及控制，只有合法未經(jīng)篡改的

SQL管理工具才允許登陸數(shù)據(jù)庫(kù)。

數(shù)據(jù)庫(kù)常規(guī)的運(yùn)維巡檢工作一般不需要?jiǎng)?chuàng)建存儲(chǔ)過(guò)程與觸發(fā)器，通過(guò)通過(guò)數(shù)

據(jù)庫(kù)安全防范產(chǎn)品對(duì)數(shù)據(jù)庫(kù)DDL操作進(jìn)行精細(xì)化的訪問(wèn)控制管理，限制對(duì)視圖、

過(guò)程、觸發(fā)器等對(duì)象的創(chuàng)建、刪除與修改操作。

對(duì)于數(shù)據(jù)庫(kù)敏感操作，通過(guò)提交需要執(zhí)行的運(yùn)維SQL語(yǔ)句進(jìn)行運(yùn)維工單的申

請(qǐng)，有效保障運(yùn)維操作與安全管理的融合實(shí)現(xiàn)。

本次數(shù)據(jù)庫(kù)防勒索服務(wù)提供一年12次巡檢服務(wù)，7*24小時(shí)日常運(yùn)行保障服務(wù),

并提交季度巡檢和年度服務(wù)總結(jié)報(bào)告。

2.4.數(shù)據(jù)脫敏服務(wù)

面向敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)巨動(dòng)發(fā)現(xiàn)、數(shù)據(jù)脫敏的專業(yè)的數(shù)據(jù)安全脫敏產(chǎn)品?？?/p>

實(shí)現(xiàn)自動(dòng)化發(fā)現(xiàn)源數(shù)據(jù)中的敏感數(shù)據(jù)，并對(duì)敏感數(shù)據(jù)按需進(jìn)行漂白、變形、遮蓋

3

務(wù)，并提交季度和年度服務(wù)總結(jié)報(bào)告。

2.5.數(shù)據(jù)備份服務(wù)

（1）部署一套實(shí)時(shí)數(shù)據(jù)備份系統(tǒng)，對(duì)客戶權(quán)調(diào)數(shù)據(jù)進(jìn)行實(shí)時(shí)備份。支持操

作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用環(huán)境、文件實(shí)時(shí)備份；

（2）實(shí)時(shí)數(shù)據(jù)保護(hù)；

（3）數(shù)據(jù)庫(kù)備份；

（4）操作系統(tǒng)備份；

（5）數(shù)據(jù)恢復(fù);

（6）日?，F(xiàn)場(chǎng)巡檢服務(wù)。

2.6.數(shù)據(jù)庫(kù)審計(jì)服務(wù)

（1）全面化審計(jì)

通過(guò)數(shù)據(jù)庫(kù)審計(jì)可審計(jì)所有來(lái)源，并記錄詳細(xì)的用戶行為信息，涵蓋所有訪

問(wèn)數(shù)據(jù)庫(kù)的路徑、數(shù)據(jù)庫(kù)操作行為，對(duì)數(shù)據(jù)庫(kù)操作進(jìn)行審計(jì)，可對(duì)增刪改查等行

為進(jìn)行監(jiān)控。所有數(shù)據(jù)庫(kù)的訪問(wèn)路徑、所有數(shù)據(jù)庫(kù)操作行為等。

數(shù)據(jù)庫(kù)本地審計(jì),獲取到用戶訪問(wèn)數(shù)據(jù)庫(kù)的流量,并轉(zhuǎn)發(fā)至數(shù)據(jù)庫(kù)審計(jì)設(shè)備,

在數(shù)據(jù)庫(kù)審計(jì)設(shè)備上還原出真實(shí)的SQL報(bào)表。

（2）準(zhǔn)確定位的精確化審計(jì)

通過(guò)U盾、CA認(rèn)證信息整合和應(yīng)用程序賬戶來(lái)精確的識(shí)別操作人，精確的識(shí)

別來(lái)自于B/S架構(gòu)的瀏覽器終端信息，精確的識(shí)別各項(xiàng)信息，同時(shí)提供應(yīng)用程序

注入、假冒檢測(cè)等功能。

（3）符合需求的訂閱和告警

可通過(guò)實(shí)時(shí)告警引擎和短信、郵件、動(dòng)畫等多種告警手段來(lái)保證告警的實(shí)時(shí)

性，通過(guò)精細(xì)化的事件審計(jì)、靈活的告警規(guī)則、重復(fù)事件合并和過(guò)濾功能；同時(shí)

通過(guò)精細(xì)化告警規(guī)則、錯(cuò)誤操作檢測(cè)來(lái)方便管理者訂制需要的事件告警，也可以

依據(jù)自身的安全需求訂閱相關(guān)的告警。

（4）未知威脅的智能化告警

對(duì)于任何不認(rèn)識(shí)的新面孔和操作都進(jìn)行識(shí)別并告警，包括新發(fā)現(xiàn)的IP地址、

應(yīng)用程序、數(shù)據(jù)庫(kù)賬戶、應(yīng)用賬戶、訪問(wèn)對(duì)象、訪問(wèn)操作、SQL語(yǔ)句等。

（5）安全審計(jì)信息翻譯

5

提供審計(jì)信息翻譯引擎，可將操作和配置的SQL語(yǔ)句翻譯轉(zhuǎn)化成可以理解的

業(yè)務(wù)術(shù)語(yǔ)，方便閱讀和理解，保證審計(jì)工作的有序進(jìn)行。

(6)豐富日常工作報(bào)表

提供豐富的手段以支持用戶日常性的安全工作任務(wù)，內(nèi)置眾多報(bào)表，涵蓋數(shù)

據(jù)安全涉及的所有方面。基于風(fēng)險(xiǎn)的日常工作報(bào)告，基于運(yùn)維人員的日常工作報(bào)

告，日?qǐng)?bào)、周報(bào)和月報(bào)。

(7)審計(jì)統(tǒng)一管理平臺(tái)

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)提供統(tǒng)一管理平臺(tái)，實(shí)現(xiàn)對(duì)審計(jì)設(shè)備統(tǒng)一管理、審計(jì)事件統(tǒng)

一查詢、審計(jì)策略統(tǒng)一下發(fā)，及審計(jì)報(bào)表統(tǒng)一生成等，其中報(bào)表可查看各保護(hù)對(duì)

象各時(shí)段流量情況、