金融行业数据库审计系统解决方案教材.pdf

金融行业数据库审计系统解决方案 金融行业是现代服务业的重要组成部分，它通过沟通整个社会的经济活动而成为现代经 济的核心。近年来，随着金融信息化进程的不断推进，信息技术在金融业务中起着越来越重 要的作用，越来越多的金融业务流程依赖信息技术。现代金融行业在组织结构、业务流程、 业务开拓以及客户服务等方面，日益体现出以知识和信息为基础的特征。但随着信息系统在 金融行业业务运营中的作用越来越重要，金融行业信息系统所面临的威胁和风险也越来越 大。在网络传输中的大量金融交易数据，以及所涉及的公民和机构的个体资金信息，必然引 来外部黑客或不法分子虎视眈眈，巨大的商业利益驱使让内部违规或犯罪事件逐年大幅提 升。 而数据库作为金融行业信息系统的核心和基础，承载着越来越多的关键业务系统，整个 业务流程过程中的操作、数据的变更、新增、删除都存储在数据库中，保存着客户的个人以 及资金等各类信息。信息一旦被篡改或者泄露，不仅损害到公民自身利益，机构的品牌形象， 甚至影响到公共秩序和国家利益。所以对数据库的保护是一项必须的，关键的，重要的工作 任务。 合规性要求 在《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中对数据库安 全审计做出了明确的要求： • 审计范围应覆盖到服务器的每个数据库用户; • 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内 重要安全相关事件; • 审计记录应包括事件的日期、时间、类型、主体标识(账号)、客体标识(数据库表级、 数据库字段级)和结果等; • 应能根据记录数据进行分析，并生成审计报表; • 应保护审计进程，避免受到未预期的中断; • 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 在《GB/T20273-2006 信息安全技术数据库管理系统安全技术要求》中对数据库安全审 计做出了明确的要求： • 建立独立的安全审计系统; • 定义与数据库安全相关的审计事件; • 设置专门的安全审计员; • 设置专门用于存储数据库系统审计数据的安全审计库; • 提供适用于数据库系统的安全审计设置、分析和查阅的工具。 在SOX法案中，依据COBIT建立企业信息技术内部控制，其中对数据库安全审计做出了 明确的要求： • 对企业内部敏感数据的存取行为审计 • 对数据的DML操作行为审计 • 对数据表的DDL操作行为审计 • 出现的账号登录失败、SQL访问关键错误等异常情况审计 • 对账号和角色的操作行为，例如Grant、Revoke等命令的审计 2008年5月22日，有中国SOX法案之称的《企业内部控制基本规范》由财政部、证监 会、审计署、银监会、保监会联合制定并发布，2010年4月26日，在基本规范的基础上发 布了《企业内部控制配套指引》，对安全审计做出了以下要求： • 企业应当对必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行 监控或者审计。 • 企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背 内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。 针对金融行业，国家监管部门也推出行业标准、法规及指引，对数据库安全提出了明确 的要求。 • 中国人民银行发布了《网上银行系统信息安全通用规范》(JR/T0068-2012)行业标准 • 银监会发布《商业银行信息科技风险管理指引》、《电子银行业务管理办法》，《电 子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构 内部审计指引》； • 全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》； 帕拉迪DbXpert解决方案 现有的数据库自身审计方式，拥有诸多弊端，比如：开启数据库自身的审计功能将大大 影响数据库的性能；记录信息的可读性差以及日志不具备第三方独立性，可以被系统管理员 删除；记录粒度不够，无法记录超长SQL语句以及变量绑定等诸多问题，并不能保证数据库 审计数据的完整性和准确性。 帕拉迪DbXpert采用当今最先进的网络数据分析技术——流技术，加之全协议解码，解 决了数据库审计最基本的“协议解码”问题，创新突破的IO存储模式，成功推出了业界领 先的流技术数据库审计系统——数据库风险分析与安全监控系统，为金融行业的数据库安