數(shù)據(jù)庫安全審計(jì)建設(shè)立項(xiàng)申請報(bào)告

1、數(shù)據(jù)庫安全審計(jì)建設(shè)立項(xiàng)申請報(bào)告1 數(shù)據(jù)庫系統(tǒng)安全隱患分析我單位的信息系統(tǒng)中關(guān)鍵數(shù)據(jù)庫服務(wù)器群中的數(shù)據(jù)服務(wù)器存儲著大量涉密、重要數(shù)據(jù)信息。用戶數(shù)據(jù)服務(wù)器通過數(shù)據(jù)庫管理系統(tǒng)實(shí)現(xiàn)對信息資源的存儲管理。我單位信息系統(tǒng)網(wǎng)絡(luò)系統(tǒng)用戶數(shù)量眾多， 用戶相互差別較大， 對數(shù)據(jù)庫涉密信息、重要業(yè)務(wù)信息的訪問頻繁。 用戶對數(shù)據(jù)庫的任何惡意修改或誤操作， 都關(guān)系我單位信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)信息的可用性、 完整性與機(jī)密性， 目前數(shù)據(jù)庫安全隱患集中在：信息存儲加密：數(shù)據(jù)的安全性；系統(tǒng)認(rèn)證：口令強(qiáng)度不夠，過期賬號，登錄攻擊等；系統(tǒng)授權(quán)：賬號權(quán)限，登錄時(shí)間超時(shí)等；系統(tǒng)完整性：特洛伊木馬，審核配置，補(bǔ)丁和修正程序等；2 建立數(shù)據(jù)庫安

2、全審計(jì)體系的必要性2.1 數(shù)據(jù)安全保護(hù)形勢嚴(yán)峻隨著信息技術(shù)的不斷發(fā)展，數(shù)字信息逐漸成為一種重要資產(chǎn)，尤其是在過去的 20 多年里，作為信息的主要載體數(shù)據(jù)庫，其相關(guān)應(yīng)用在數(shù)量和重要性方面都取得了巨大的增長。 幾乎每一種組織都使用它來存儲、 操縱和檢索數(shù)據(jù)。 隨著人們對數(shù)據(jù)的依賴性越來越高， 各種數(shù)據(jù)信息都成為了關(guān)系組織生存的重要資產(chǎn)。網(wǎng)絡(luò)化時(shí)代的到來、 互聯(lián)網(wǎng)技術(shù)的普及更加深了數(shù)據(jù)保護(hù)的矛盾， 網(wǎng)絡(luò)技術(shù)使得數(shù)字信息的泄漏和篡改變得更加容易，而防范則更加困難。更為嚴(yán)重的是，所有信息泄漏事件中，源自內(nèi)部人員所為的占了絕大部分。根據(jù) FBI 和 CSI 對 484 家公司進(jìn)行的網(wǎng)絡(luò)安全專項(xiàng)調(diào)查結(jié)果顯示

3、：超過 85%的安全威脅來自公司內(nèi)部，在損失金額上，由于內(nèi)部人員泄密導(dǎo)致了6056.5 萬美元的損失，是黑客造成損失的16 倍，是病毒造成損失的12 倍。另據(jù)中國國家信息安全測評認(rèn)證中心調(diào)查， 信息安全的現(xiàn)實(shí)威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客引起。因此，近兩年來，大多數(shù)企事業(yè)單位和政府機(jī)關(guān)紛紛把關(guān)注的目光投向信息系統(tǒng)數(shù)據(jù)的安全問題，尤其是內(nèi)部網(wǎng)絡(luò)的管理和防護(hù)。2.2 現(xiàn)有數(shù)據(jù)安全防護(hù)體系存在不足現(xiàn)在較為普遍的做法是在原有網(wǎng)絡(luò)安全防護(hù)（防火墻、 IDS、UTM等傳統(tǒng)安全設(shè)備）的基礎(chǔ)上，采用上網(wǎng)行為管理類、 終端管理類等具備較強(qiáng)防止內(nèi)部信息外泄功能的產(chǎn)品， 筑起了一道由內(nèi)向

4、外的安全防線，典型的安全防護(hù)體系如下圖所示：圖：數(shù)據(jù)庫安全防線的缺失從這幅典型的網(wǎng)絡(luò)拓?fù)鋱D中，我們不難看出，安全防護(hù)體系中缺失的正是對服務(wù)器區(qū)的防護(hù)，對數(shù)據(jù)庫的防護(hù), 對內(nèi)部 PC訪問業(yè)務(wù)系統(tǒng)的防護(hù)！盡管可能使用的數(shù)據(jù)庫系統(tǒng)是Oracal 、MS SQL是國際大品牌的產(chǎn)品，其本身有非常強(qiáng)的安全性，但依然可能存在諸多隱患：1） 對數(shù)據(jù)庫訪問的特權(quán)都有管理不當(dāng)?shù)膯栴}。開發(fā)者、移動(dòng)員工和外部顧問經(jīng)常能夠在沒有太多限制的情況下訪問敏感信息。另外，人員流動(dòng)和外包也可以讓數(shù)據(jù)庫活動(dòng)很難鎖定。2） 對于擁有數(shù)據(jù)庫合法權(quán)限的內(nèi)部使用者，數(shù)據(jù)庫的安全機(jī)制對于他們形同虛設(shè)，一旦他們之中有人違背職業(yè)道德，那么后果不

5、堪想象！因此，數(shù)據(jù)庫審計(jì)系統(tǒng)應(yīng)運(yùn)而生。該系統(tǒng)采用旁路偵聽的方式對通過網(wǎng)絡(luò)方式連接到數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)流進(jìn)行采集、 分析和識別，實(shí)時(shí)監(jiān)視用戶訪問數(shù)據(jù)庫系統(tǒng)的狀態(tài)， 記錄各種訪問行為， 發(fā)現(xiàn)并及時(shí)制止用戶的誤操作、 違規(guī)訪問或者可疑行為。該系統(tǒng)通過審計(jì)核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問行為， 能夠加強(qiáng)對關(guān)鍵信息系統(tǒng)的訪問控制與審計(jì)， 尤其是針對信息系統(tǒng)后臺的數(shù)據(jù)庫的內(nèi)控與審計(jì)， 確保核心業(yè)務(wù)的正常運(yùn)行，防范內(nèi)部違規(guī)行為和誤操作。該系統(tǒng)還應(yīng)提供業(yè)務(wù)流量實(shí)時(shí)監(jiān)控與審計(jì)事件統(tǒng)計(jì)分析功能， 能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況，特別是訪問量、業(yè)務(wù)流量、業(yè)務(wù)訪問分布、業(yè)務(wù)拓?fù)?、行為分析等重要信息，使得管理者可以直觀的實(shí)時(shí)了解

6、業(yè)務(wù)系統(tǒng)安全狀況。數(shù)據(jù)庫審計(jì)系統(tǒng)能夠及時(shí)發(fā)現(xiàn)一些內(nèi)部授權(quán)用戶由于對系統(tǒng)不熟悉而導(dǎo)致的誤操作，或內(nèi)部用戶、運(yùn)維人員、外包工程師有意進(jìn)行的數(shù)據(jù)篡改和竊取，有效保護(hù)主要數(shù)據(jù)的安全。 而且通過各種訪問信息的記錄， 能夠完整地回放事故當(dāng)時(shí)操作場景，定位事故真正責(zé)任人，便于事后追查原因與界定責(zé)任。另一方面，用戶可利用數(shù)據(jù)庫審計(jì)系統(tǒng)，按照單位的有關(guān)規(guī)章制度、國家行業(yè)要求，設(shè)定審計(jì)策略、告警規(guī)則，從而協(xié)助本單位更好完善IT 內(nèi)控與審計(jì)體系。3 數(shù)據(jù)庫安全體系建設(shè)的主要內(nèi)容首先，需要加強(qiáng)對數(shù)據(jù)庫的訪問控制，明確數(shù)據(jù)庫管理和使用職責(zé)分工，最小化數(shù)據(jù)庫帳號使用權(quán)限，防止權(quán)利濫用。同時(shí)，要加強(qiáng)口令管理，使用高強(qiáng)度口令

7、，刪除系統(tǒng)默認(rèn)帳號口令等。其次，要對數(shù)據(jù)庫及其核心業(yè)務(wù)系統(tǒng)進(jìn)行安全加固，保護(hù)在系統(tǒng)邊界部署防火墻、 IDS/IPS、防病毒系統(tǒng)等，并及時(shí)地進(jìn)行系統(tǒng)補(bǔ)丁檢測、安全加固。最后，要對數(shù)據(jù)庫系統(tǒng)及其所在主機(jī)進(jìn)行實(shí)時(shí)安全監(jiān)控、事后操作審計(jì)， 部署一套數(shù)據(jù)庫審計(jì)系統(tǒng)。這一點(diǎn)尤為重要。4 數(shù)據(jù)庫審計(jì)產(chǎn)品的作用和意義通過部署專用的數(shù)據(jù)庫審計(jì)產(chǎn)品， 用戶可以對重要的數(shù)據(jù)庫系統(tǒng)達(dá)到以下安全保護(hù)目標(biāo)：1) 進(jìn)行數(shù)據(jù)操作實(shí)監(jiān)控 ：對所有外部或是內(nèi)部用戶訪問數(shù)據(jù)庫和主機(jī)的各種操作行為、內(nèi)容，進(jìn)行實(shí)時(shí)監(jiān)控；2) 對高危操作實(shí)時(shí)地阻斷 ，干擾攻擊或違規(guī)行為的執(zhí)行；3) 進(jìn)行安全預(yù)警 ：對入侵和違規(guī)行為進(jìn)行預(yù)警和告警，并能夠

8、指導(dǎo)管理員進(jìn)行應(yīng)急響應(yīng)處理；4) 進(jìn)行事后調(diào)查取證 ：對于所有行為能夠進(jìn)行事后查詢、 取證、調(diào)查分析，出具各種審計(jì)報(bào)表報(bào)告。5) 協(xié)助責(zé)任認(rèn)定、事態(tài)評估 ：我們的系統(tǒng)不光能夠記錄和定位誰、在什么時(shí)候、通過什么方式對數(shù)據(jù)庫進(jìn)行了什么操作， 還能記錄操作的結(jié)果以及評估可能的危害程度。5 數(shù)據(jù)庫審計(jì)產(chǎn)品選型5.1 衡量指標(biāo)在選擇此類產(chǎn)品時(shí)，應(yīng)注意以下幾個(gè)方面：1) 安裝部署的難以程度。推薦選擇偵聽、存儲一體化的硬件產(chǎn)品，B/S 結(jié)構(gòu)，可直接通過瀏覽器進(jìn)行管理，不用裝任何插件。這樣就不用另配服務(wù)器或存儲設(shè)備，上架即可使用；2) 旁路鏡像的方式，不會影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，或業(yè)務(wù)訪問模式。這點(diǎn)非常重要，使用

9、此類產(chǎn)品的目的是保護(hù)數(shù)據(jù)庫，保護(hù)業(yè)務(wù)系統(tǒng)，千萬不要因它而起反作用；3) 根據(jù)自身所用的數(shù)據(jù)庫類型選擇產(chǎn)品。建議選擇能夠支持windows、 linux 、unix 等各種操作系統(tǒng)下的各類主流數(shù)據(jù)庫 （例如 SQLServer 、 Oracle 、 DB2、Sybase 等）全都可以支持的產(chǎn)品，這樣即使后期擴(kuò)展也不怕；4) 審計(jì)的粒度要夠細(xì)致，否則只是雞肋。要能識別出增、刪、改、查等全部 SQL操作，審計(jì)的內(nèi)容不光包括網(wǎng)絡(luò)中的原始數(shù)據(jù)，還要對這些原始數(shù)據(jù)進(jìn)行了細(xì)致化的字段的解析，包括時(shí)間、 IP 、MAC、庫、表、記錄、用戶、函數(shù)、參數(shù)等重要信息字段，同時(shí)要知道這些 SQL操作執(zhí)行的結(jié)果是成功還

10、是失敗；5) 不要單純的只是數(shù)據(jù)庫審計(jì)。對于用戶而言，要保護(hù)核心數(shù)據(jù)，僅僅依靠對數(shù)據(jù)庫的審計(jì)是不夠的。內(nèi)部人員違規(guī)操作的途徑有很多，有的是直接違規(guī)訪問數(shù)據(jù)庫，有的是登錄到數(shù)據(jù)庫所在的主機(jī)服務(wù)器上，有的是透過 FTP去下載數(shù)據(jù)庫所在主機(jī)的重要數(shù)據(jù)文件，還有的是透過其他程序或者中間件系統(tǒng)訪問數(shù)據(jù)庫。 所以，必須對數(shù)據(jù)庫、 主機(jī)、HTTP協(xié)議、 TELNET、FTP協(xié)議，網(wǎng)絡(luò)流量、中間件系統(tǒng)都進(jìn)行審計(jì)，才能更加全面的發(fā)現(xiàn)違規(guī)、防止信息泄漏。5.2 選型建議經(jīng)過對市場上主流的數(shù)據(jù)庫審計(jì)產(chǎn)品的對比分析， 我們建議選購數(shù)據(jù)庫審計(jì)產(chǎn)品。數(shù)據(jù)庫審計(jì)系統(tǒng)采用旁路偵聽的方式對通過網(wǎng)絡(luò)方式連接到數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)流進(jìn)

11、行采集、 分析和識別， 實(shí)時(shí)監(jiān)視用戶訪問數(shù)據(jù)庫系統(tǒng)的狀態(tài)， 記錄各種訪問行為，發(fā)現(xiàn)并及時(shí)制止用戶的誤操作、 違規(guī)訪問或者可疑行為。 產(chǎn)品部署簡便，不需要修改任何網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用配置，不會影響用戶的業(yè)務(wù)運(yùn)行。能夠?qū)?fù)雜網(wǎng)絡(luò)環(huán)境下的各種數(shù)據(jù)庫操作行為進(jìn)行細(xì)粒度審計(jì)。 產(chǎn)品能夠?qū)\(yùn)行在各種操作系統(tǒng)上的各種品牌數(shù)據(jù)庫的操作進(jìn)行記錄并回放， 審計(jì)的行為包括 DDL、 DML、 DCL，以及其它操作等行為；審計(jì)的內(nèi)容可以細(xì)化到庫、表、記錄、用戶、存儲過程、函數(shù)、調(diào)用參數(shù)，等等；不僅能夠?qū)徲?jì)請求信息，也能夠?qū)徲?jì)返回結(jié)果，還支持操作內(nèi)容回放。操作行為用戶行為數(shù)據(jù)定義語言（DDL）操作數(shù)據(jù)操作語言 （ DML）操作內(nèi)容和描述數(shù)據(jù)庫用戶的登錄、注銷CREATE，ALTER，DROP等創(chuàng)建、修改或者刪除數(shù)據(jù)庫對象（表、索引、視圖、存儲過程、觸發(fā)器、域，等等）的SQL指令SELECT， DELETE， UPDATE， INSERT 等用于檢索或者修改數(shù)據(jù)的 SQL指令數(shù)據(jù)控制語言（其它操作DCL）操作GRANT， REVOKE等定義數(shù)據(jù)庫用戶的權(quán)限的 SQL 指令包括 EXECUTE、 COMMIT、 ROLLBACK等事務(wù)操作指令產(chǎn)品支持操作回放，真正實(shí)現(xiàn)了對“誰、什么時(shí)間段內(nèi)、對什么（數(shù)據(jù)）、進(jìn)行了哪些操作、結(jié)果如何”的全程審計(jì)。獨(dú)有面向業(yè)務(wù)的安全審計(jì)技術(shù)， 通過業(yè)務(wù)網(wǎng)絡(luò)拓?fù)溆涗浛?/p>