数据库审计解决方案.docx

数据库审计方案建议书 1 综述 3 1.1 方案背景 3 1.1.1 数据库安全风险 3 1.2 方案目标及实现原则 3 1.2.1 实现的目标 3 1.2.2 遵循的原则 4 2 数据库审计系统产品简介 4 2.1 产品定位 4 2.2 功能简介 4 2.3 产品特色 5 2.4 功能特点 6 2.4.1 强审计能力 6 2.4.2 可灵活配置的审计规则 6 2.4.3 强大的搜索引擎 6 2.4.4 丰富的审计报表 6 2.4.5 自身安全性保护 6 3 数据库审计系统部署 7 4 日志服务器集成 8 4.1 整体实施效果 8 5 神码安全 IDM 产品结合数据库审计系统方案 9 5.1 产品部署图和流程分析 9 6 总结 9 1 综述 目前， 我国电信行业、各政府部门、企事业单位使用的数据库系统绝大部分是由国外研制的商用数据库系统， 其内部操作不透明， 无法通过外部的任何安全工具来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。 另外，由于数据库、用户众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客也有可能通过手段，获取系统权限，闯入部门或企业内部网络，这样造成的损失，更不可估量。因此，如何提高系统管理员的管理水平，如何防止黑客的入侵，如何跟踪数据库上用户行为， 出现故障后如何进行责任鉴定等等。已经成为这些部门或者企业至关重要的问题。 1.1 方案背景 1.1.1 数据库安全风险 一，严重的攻击来自系统内部(53%来自内部攻击)； 二，企业最重要的数据集中在数据库； 三，交换网络环境难于实施网络入侵检测； 四，基于主机的 IDS/IPS 开始成熟，可以减轻网络传输攻击级别安全威胁，但不是全部； 五，用户操作难于事后审计； 六，操作/管理/维护不善，造成的安全威胁和损失日趋严重； 1.2 方案目标及实现原则 1.2.1 实现的目标 1）高安全性 （网络侦听用户行为，将用户行为变为可视、可跟踪、可鉴定，保护重要数据的安全）； 2）集中审计 （实现集中审计、集中访问控制，对大型异构网络的管理，有非常重要的价值）； 3）应急响应 （数据库彻底摆脱黑匣子状态，通过神码安全实时监控中心，用户操作行为可以直播在“电视”屏幕上，可以随时跟踪用户行为）。 1.2.2 遵循的原则 1）符合系统运作的安全、可靠及高效的原则； 2）符合企业安全系统可扩展原则； 3）符合开放系统的原则； 4）符合先进科学的设计思想，及先进的软、硬件体系结构原则； 5）符合站在用户的立场开发的实用性； 6）符合具有较高性能价格比的原则； 7）符合人机界面友好、最小维护工作量的原则。 2 数据库审计系统产品简介 神州数码推出神码安全数据库审计系统（DCSEC SMS DB）能很好地解决数据库审计问题，它通过对网络数据的实时采集分析、监控来自网络内部和外部的用户对数据库的访问活动，及时识别和发现其中是否存在安全威胁和违规行为。系统的审计分析结果能帮助管理员对数据库安全策略进行分析，提升数据库安全性，并为管理员调整数据库安全策略、收集证据及事后追踪起诉提供用力的帮助。该产品通过旁路监听，实时采集网络中的数据库访问信息，进行审计分析，恢复和还原用户的数据库访问过程，自动记录访问过程，协助网管人员掌握数据库的访问情况，及时发现和制止非法访问行为。 2.1 产品定位 神码安全数据库审计系统对网络数据库的访问信息进行实时采集，自动进行处理和记录，非常适用于对数据安全性要求较高的单位和部门，如金融、电信、保险、税务、海关、电力、铁路、民航和政府机关等。系统能有效防范数据库中机密数据的泄露或非法篡改，减少由此带来的损失，并为侦破网络犯罪提供用力证据。 2.2 功能简介 神码安全数据库审计系统能够对 Oracle/DB2/ SQL Server / MySQL/Informix 等主流数据库进行审计，能够有选择地记录各种通过网络对数据库进行的操作，无论系统采 用的是C/S 模式还是B/ W/ DB 模式。具体功能如下： ? 实时检测并智能地分析、还原各种数据库操作，解析网络上数据库的登陆、注销、插入、删除、执行存储过程等操作，还原SQL操作语句；跟踪客户端操作请求执行结果。 ? 支持对登录用户、数据库名、表名、字段名（在SQL语句中明确含有的字段名）及关键字（字段内容）等内容进行多种条件组合的规则设定，形成灵活的审计策略。 ? 生成专业报表，强大的查询统计功能，并对大量纷繁复杂的事件进行进一步统计分 析，以饼图、柱形图等形象的显示报警分析结果。 2.3 产品特色 神码安全数据库审计系统