数据库审计解决方案-.ppt

数据库审计解决方案 北京华青融天技术有限责任公司 目 录 2 方案优势 案例分析 帕拉迪数据库安全监控审计解决方案 数据库现状及安全威胁 传统/国内数据库审计解决方案 数据库现状及安全威胁 数据库安全威胁 内部威胁 根据最新研究显示,恶意内部人员和人为错误是对数据库安全的最大威胁,而不是外部入侵者。 电信员工等23人出售手机用户信息被起诉, 23人被控出卖公民个人信息。 …… 外部威胁 花旗集团：黑客攻击影响客户超过36万 美军方承包商机密数据遭泄漏 …… 数据库现状及安全威胁 十大数据库安全威胁 数据库现状及安全威胁 企业数据库现状 内部用户 外部用户 数据库 权限滥用 恶意访问 误操作 越权使用 DBA 数据库开发人员 …… 黑客 互联网应用 …… 不了解数据库“被”怎么了！ 数据资产使用“有规无据”! 缺少数据库行之有效的“分析审计依据“！ 数据库访问“暗箱操作”，数据库访问不透明！ 数据库现状及安全威胁 目前数据库管理存在问题 无法有效分析数据来源，做到快速定位。 没有数据库的完整审计记录，无法满足相关审计方面的要求。 对关键数据的访问无记录，出现事故无法追踪。 一旦数据库日志被清除，无法发现事故，无法做到事故定位。 对于黑客攻击，无法做到有效防范和攻击留痕。 非授权进入业务系统或误操作、越权操作，导致数据泄漏或被修改。 不能实时监控对数据库的非法访问，没有预警。 数据库现状及安全威胁 法规遵从 4.6安全审计 数据库管理系统的安全审计应： a) 建立独立的安全审计系统； b) 定义与数据库安全相关的审计事件； c) 设置专门的安全审计员； d) 设置专门用于存储数据库系统审计数据的安全审计库； e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具。 第十五条 企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。 　　第四十四条 企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。 国际标准 萨班斯法案 ISO27001 企业内部控制基本规范 《计算机信息系统安全等级保护数据库管理技术要求》 数据库现状及安全威胁 行业标准 行业 法规标准 互联网服务商 《互联网安全保护技术措施规定（82号令）》 电信行业 《中国移动集团内控手册》 《中国移动业务支撑网安全域划分和边界整合技术规范》 《中国电信股份有限公司内部控制手册》 《中国网通集团信息质量问责管理若干规定 》 《中国网通集团内部控制体系建设指导意见 》 金融保险行业 《银行业金融机构信息系统风险管理指引》 《商业银行合规风险管理指引》 《中国银行业监督委员会办公厅文件银监办通313号》 《保险公司内部审计指引（试行）》 《保险公司风险管理指引（试行）》 《电子银行安全评估指引（2007）》 《电子银行业务管理办法（2008）》 《期货公司信息技术管理指引》 《商业银行内部控制指引》——计算机信息系统的内部控制 《支付卡行业数据安全标准——要求和安全评估程序（2008）》 国内上市企业 《深圳证券交易所上市公司内部控制指引 》 《上海证券交易所上市公司内部控制指引 》 电力行业 《电力二次系统安全防护总体方案（2005）》 《国家电网公司信息化“SG186”工程安全防护总体方案（实行）(2008)》 医疗行业 《互联网医疗保健信息服务管理办法》(卫生部令第66号) 解决问题之路 加强行政制度的规范 从数据库运维及业务系统使用行为角度，制定相应的规范和制度。通过强力的流程管理避免权限的越权及违规使用。 监控数据库访问过程 通过技术手段，实时了解数据库的使用情况。 筛选、记录核心数据的访问和使用过程。 及时对违规事件进行告警。 两者有效的配合，才是解决问题的根本方法！ 数据库现状及安全威胁 目 录 10 方案优势 案例分析 帕拉迪数据库安全监控审计解决方案 数据库现状及安全威胁 传统/国内数据库审计解决方案 国内/传统数据库审计解决方案 数据库审计市场现状 数据库审计工作的基本需求，多数的产品不能完全满足。 实际满足 基本需求 事后检所选择 功能简单易用 协议解码完善 审计信息完整 适应部分协议 只保留关注信息 国内/传统数据库审计解决方案 传统审计模式盲点 影响数据库性能； 记录可读性差； 日志不具备第三方独立性； 记录粒度不够，甚至无法记录SQL语句和绑定变量； 日志容易被清除或改写； 追溯事故原因及事故来源困难； 国内/传统数据库审计解决方案 目前国内数据库审计系统盲点 国内数据库审计产品多数是基于IDS产品改造而成，存在以下的