解决方案_昂楷数据库审计vae.docxVIP

昂楷数据库审计解决方案 深圳昂楷科技有限公司 二〇一六年五月 目录 TOC \o 1-3 \h \z \u 第一章 需求分析 4 1.1 概述 4 1.2 现状及风险分析 4 1.2.1信息系统安全现状 4 1.2.2信息系统所面临的问题 5 1.2.3核心数据库风险分析 6 1.3 安全审计需求 7 1.3.1合法权限滥用的监控需求 7 1.3.2存储过程的管理的需求 7 1.3.3历史操作的重现 8 1.3.4人为高危操作访问数据库的监控 8 1.3.5敏感数据库表的操作访问的监控 8 1.3.6应用系统级监控的定制 8 1.3.7应用系统调优的应用 8 1.4 国家等保要求 8 第二章 数据库审计解决方案 10 2.1 方案目标 10 2.1.1满足合规性要求 11 2.1.2降低安全性风险 11 2.1.3监测可用性风险 11 2.1.4避免审计风险 11 2.1.5弥补传统安全技术的盲点 12 2.2方案思路 12 2.2.1不影响业务系统的正常使用 13 2.2.2审计效果可视、审计过程可控。 13 2.2.3可兼容、可扩展，无须更换数据库，避免重复建设 13 2.2.4适度先进的系统技术及体系理念 13 2.2.5系统需通俗易懂，便于非技术人员独立使用 13 2.2.6与其他安全管理系统的联动 14 2.2.7支持技术演进，满足新技术及业务应用要求。 14 2.3昂楷数据库审计系统介绍 14 2.3.1方案设计 14 2.3.2系统架构 14 2.3.3部署方式 15 2.3.4产品基本功能 16 2.3.5产品特点 16 2.3.6技术创新点 20 2.3.7系统核心价值 22 第三章 系统实施及售后服务 24 3.1实施方案及进度计划 24 3.1.1系统实施准备方案 24 3.1.2系统安装调试方案 25 3.1.3客户现场支持方案 26 3.1.4工程进度及人员计划 27 3.2系统检验及验收标准 27 3.2.1系统检验标准 27 3.2.2项目验收执行标准 28 3.3售后服务及培训方案 28 3.3.1质量保证措施 28 3.3.2售后服务承诺 29 3.3.3培训方案 30 第四章 关于深圳昂楷科技有限公司 32 4.1公司简介 32 4.2典型案例 33 4.2.1典型案例1—昆仑银行数据库审计项目 33 4.2.2典型案例2—连云港公安局数据库审计项目 34 4.2.3典型案例3—深圳南山区域医疗项目 35 4.3部分客户名录 36 第一章 需求分析 1.1 概述 随着信息化的快速发展，信息化建设已经渗透到日常工作的各个方面，信息技术的应用，对XXX行业的建设起了重大的推动作用。 然而，公共服务领域，收集和储存了大量的公民个人信息。在当前对行业提供的网络安全技术解决方案中，仍以防火墙(FW) 防病毒(AV)为主流选择，这些传统的安全技术手段只能阻挡部分从外部到内部的攻击，并且对来自内部的信息窃取完全无能为力，这就导致了“泄密门”事件一次次发生，引发重要数据的丢失、破坏，不仅严重影响到医院网络的正常运行，还直接威胁到患者的隐私和生命安全。 同时为建设信息化数据安全，《信息安全等级保护管理办法》要求组织对信息系统分等级实行安全防护，其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录（政府机关、医院的信息系统属于三级，属于公安机关强制性信息安全防护要求等级）。 1.2 现状及风险分析 1.2.1信息系统安全现状 信息系统(Information System，IS)是重要的信息基础设施。它的特殊性决定了安全性的极高，重点要考虑二方面的安全风险：一是来自外部安全风险，利用弱口令设置、数据库系统漏洞，非授权进入信息系统访问、拷贝和修改数据内容，甚至可以采用SQL注入，攻击数据库系统;另一个是内部安全风险，以合法授权身份进入信息系统对数据的访问和操作的合规性，对信息系统误操作、越权操作等。以上安全风险会引发系统瘫痪、各种内部数据信息被泄露和篡改、涉密数据信息被窃取和失泄等信息安全事件发生。如： 深圳就发生了一次全市的孕妇信息库泄露事件，不法分子将孕妇的资料制成了“泄密光盘”，4万条包括孕妇姓名、出生日期(婴儿)、户口性质(流动、暂住、常住)、家庭住址、联系电话、以及就诊医院及预产期的信息以每条0.3元的价格进行销售，更令人咂舌的是这些信息每月还“