解决方案设计-昂楷数据库审计v1.3a01.dec.docxVIP

昂楷数据库审计解决方案深圳昂楷科技有限公司二〇一六年五月目录第一章需求分析41.1 概述41.2 现状及风险分析41.2.1信息系统安全现状41.2.2信息系统所面临的问题51.2.3核心数据库风险分析61.3 安全审计需求71.3.1合法权限滥用的监控需求71.3.2存储过程的管理的需求71.3.3历史操作的重现81.3.4人为高危操作访问数据库的监控81.3.5敏感数据库表的操作访问的监控81.3.6应用系统级监控的定制81.3.7应用系统调优的应用81.4 国家等保要求8第二章数据库审计解决方案102.1 方案目标102.1.1满足合规性要求112.1.2降低安全性风险112.1.3监测可用性风险112.1.4避免审计风险112.1.5弥补传统安全技术的盲点122.2方案思路122.2.1不影响业务系统的正常使用132.2.2审计效果可视、审计过程可控。132.2.3可兼容、可扩展，无须更换数据库，避免重复建设132.2.4适度先进的系统技术及体系理念132.2.5系统需通俗易懂，便于非技术人员独立使用132.2.6与其他安全管理系统的联动142.2.7支持技术演进，满足新技术及业务应用要求。142.3昂楷数据库审计系统介绍142.3.1方案设计142.3.2系统架构142.3.3部署方式152.3.4产品基本功能162.3.5产品特点162.3.6技术创新点202.3.7系统核心价值22第三章系统实施及售后服务243.1实施方案及进度计划243.1.1系统实施准备方案243.1.2系统安装调试方案253.1.3客户现场支持方案263.1.4工程进度及人员计划273.2系统检验及验收标准273.2.1系统检验标准273.2.2项目验收执行标准283.3售后服务及培训方案283.3.1质量保证措施283.3.2售后服务承诺293.3.3培训方案30第四章关于深圳昂楷科技有限公司324.1公司简介324.2典型案例334.2.1典型案例1—昆仑银行数据库审计项目334.2.2典型案例2—连云港公安局数据库审计项目344.2.3典型案例3—深圳南山区域医疗项目354.3部分客户名录36第一章需求分析1.1 概述随着信息化的快速发展，信息化建设已经渗透到日常工作的各个方面，信息技术的应用，对XXX行业的建设起了重大的推动作用。然而，公共服务领域，收集和储存了大量的公民个人信息。在当前对行业提供的网络安全技术解决方案中，仍以防火墙(FW) 防病毒(AV)为主流选择，这些传统的安全技术手段只能阻挡部分从外部到内部的攻击，并且对来自内部的信息窃取完全无能为力，这就导致了“泄密门”事件一次次发生，引发重要数据的丢失、破坏，不仅严重影响到医院网络的正常运行，还直接威胁到患者的隐私和生命安全。同时为建设信息化数据安全，《信息安全等级保护管理办法》要求组织对信息系统分等级实行安全防护，其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录（政府机关、医院的信息系统属于三级，属于公安机关强制性信息安全防护要求等级）。1.2现状及风险分析1.2.1信息系统安全现状信息系统(Information System，IS)是重要的信息基础设施。它的特殊性决定了安全性的极高，重点要考虑二方面的安全风险：一是来自外部安全风险，利用弱口令设置、数据库系统漏洞，非授权进入信息系统访问、拷贝和修改数据内容，甚至可以采用SQL注入，攻击数据库系统;另一个是内部安全风险，以合法授权身份进入信息系统对数据的访问和操作的合规性，对信息系统误操作、越权操作等。以上安全风险会引发系统瘫痪、各种内部数据信息被泄露和篡改、涉密数据信息被窃取和失泄等信息安全事件发生。如：深圳就发生了一次全市的孕妇信息库泄露事件，不法分子将孕妇的资料制成了“泄密光盘”，4万条包括孕妇姓名、出生日期(婴儿)、户口性质(流动、暂住、常住)、家庭住址、联系电话、以及就诊医院及预产期的信息以每条0.3元的价格进行销售，更令人咂舌的是这些信息每月还“滚动更新”，累计达到了10万条。很多乳品厂商也通过固定的渠道从医院套取孕妇的个人信息来达到赚钱的目的。甚至，某些医院的个别工作人员已经和一些个人医疗信息的“收购贩子”形成了秘密而固定的“销售渠道”， 乳品企业的一名销售经理向记者出示了一打儿厚厚的，记录了产妇及其丈夫个人信息的表格。随后，记者按照这位销售经理提供的号码拨打了某医院产科护士长的电话，表示要购买个人信息，对方很严肃地说：“不行，我们这里的个人信息是严格保密的，绝对不可以出售。”而当那位销售经理亲自给那家医院的产科护士长打电话时，对方却让他过去取资料。事实上，信息系统安全的问题已经相当普遍。信息安全的重要性，恐怕只有IT部门知道，而当今大多数的IT部门，在充其量还只是扮演‘保姆’的角色。国内信