财务管理内部审计解决方案昂楷数据库审计.docxVIP

{财务管理内部审计}解决方案昂楷数据库审计

目录

第一章需求分析4

1.1概述4

1.2现状及风险分析4

1.2.1信息系统安全现状4

1.2.2信息系统所面临的问题5

1.2.3核心数据库风险分析6

1.3安全审计需求7

1.3.1合法权限滥用的监控需求7

1.3.2存储过程的管理的需求7

1.3.3历史操作的重现8

1.3.4人为高危操作访问数据库的监控8

1.3.5敏感数据库表的操作访问的监控8

1.3.6应用系统级监控的定制8

1.3.7应用系统调优的应用8

1.4国家等保要求8

第二章数据库审计解决方案10

2.1方案目标10

2.1.1满足合规性要求11

2.1.2降低安全性风险11

2.1.3监测可用性风险11

2.1.4避免审计风险11

2.1.5弥补传统安全技术的盲点12

2.2方案思路12

2.2.1不影响业务系统的正常使用13

2.2.2审计效果可视、审计过程可控。13

2.2.3可兼容、可扩展，无须更换数据库，避免重复建设13

2.2.4适度先进的系统技术及体系理念13

2.2.5系统需通俗易懂，便于非技术人员独立使用13

2.2.6与其他安全管理系统的联动14

2.2.7支持技术演进，满足新技术及业务应用要求。14

2.3昂楷数据库审计系统介绍14

2.3.1方案设计14

2.3.2系统架构14

2.3.3部署方式15

2.3.4产品基本功能16

2.3.5产品特点16

2.3.6技术创新点20

2.3.7系统核心价值22第三章系统实施及售后服务24

3.1实施方案及进度计划24

3.1.1系统实施准备方案24

3.1.2系统安装调试方案25

3.1.3客户现场支持方案26

3.1.4工程进度及人员计划27

3.2系统检验及验收标准27

3.2.1系统检验标准27

3.2.2项目验收执行标准28

3.3售后服务及培训方案28

3.3.1质量保证措施28

3.3.2售后服务承诺29

3.3.3培训方案30

第四章关于深圳昂楷科技有限公司32

4.1公司简介32

4.2典型案例33

4.2.1典型案例1—昆仑银行数据库审计项目33

4.2.2典型案例2—连云港公安局数据库审计项目34

4.2.3典型案例3—深圳南山区域医疗项目35

4.3部分客户名录36

第一章需求分析

1.1概述

随着信息化的快速发展，信息化建设已经渗透到日常工作的各个方面，信息技术的应用，对XXX行业的建设起了重大的推动作用。

然而，公共服务领域，收集和储存了大量的公民个人信息。在当前对行业提供的网络安全技术解决方案中，仍以防火墙(FW)防病毒(AV)为主流选择，这些传统的安全技术手段只能阻挡部分从外部到内部的攻击，并且对来自内部的信息窃取完全无能为力，这就导致了“泄密门”事件一次次发生，引发重要数据的丢失、破坏，不仅严重影响到医院网络的正常运行，还直接威胁到患者的隐私和生命安全。

同时为建设信息化数据安全，《信息安全等级保护管理办法》要求组织对信息系统分等级实行安全防护，其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录（政府机关、医院的信息系统属于三级，属于公安机关强制性信息安全防护要求等级）。

1.2现状及风险分析

1.2.1信息系统安全现状

信息系统(InformationSystem，IS)是重要的信息基础设施。它的特殊性决定了安全性的极高，重点要考虑二方面的安全风险：一是来自外部安全风险，利用弱口令设置、数据库系统漏洞，非授权进入信息系统访问、拷贝和修改数据内容，甚至可以采用SQL注入，攻击数据库系统;另一个是内部安全风险，以合法

授权身份进入信息系统对数据的访问和操作的合规性，对信息系统误操作、越权操作等。以上安全风险会引发系统瘫痪、各种内部数据信息被泄露和篡改、涉密数据信息被窃取和失泄等信息安全事件发生。如：

深圳就发生了一次全市的孕妇信息库泄露事件，不法分子将孕妇的资料制成了“泄密光盘”，4万条包括孕妇姓名、出生日期(婴儿)、户口性质(流动、暂住、常住)、家庭住址、联系电话、以及就诊医院及预产期的信息以每条0.3元的价格进行销售，更令人咂舌的是这些信息每月还“滚动更新”，累计达到了10万条。

很多乳品厂商也通过固定的渠道从医院套取孕妇的个人信息来达到赚钱的

目的。甚至，某些医院的个别工作人员已经和一些个人医疗信息的“收购贩子”形成了秘密而固定的“销售渠道”，乳