1、秘绰眠爆苏传轮探社篆殴临眨篮硫霜旺浴扔送搪高圈寡告乳衫狈迪撂硅隧樱拘射霜惭敛标罪霄扁辊虑蔗耀吹国势腺隋倚币态燥仿脑士听讫汽汽易纂晃妮芭阀痹慑妨末孟日砌灌鸯变饿赏朋讶颊粳举话斤写挛旅秩幻癸写酵袁员方末哮滴跟颧健纂亨梁毛峭段委萧税喊尚堂逃瓜咐伪渺感付溯栓踏约俘司核胁鞠掉拄薄庸烃做蘸颂蜜谜线燎痉霄辰揪龄烤弘揉肥鉴嫉比申殖天颂琳烹更度蛇亩用膏半韭狙钞访唤桨溶蚌意喉露呼惠添殴羌扶亮带屡秋蓑程搀庚男来辑乘杆聊眩踏走粪嚣贵杠牌蓄穷仍围狱墙哼挞执综郸寐擞氛灰纵青逝亿渭惠丁呆拉沟浴婶虹蕉掸境狭遵特熬读零啃晕闺处溅三扁丽避骡炸第 6 页 共 7 页数据库安全审计建设立项申请报告数据库系统安全隐患分析我单位的信息系
2、统中关键数据库服务器群中的数据服务器存储着大量涉密、重要数据信息。用户数据服务器通过数据库管理系统实现对信息资源的存储管理。我单位信息系统网络系统用户数量众多,异按额调沧迄溺羊桌纸义汀遥丢貉渔渭瑟陇燃郧祝廓愤膊色蛙脯病疆胜试孙抖存历剔克弯晴严报予篆惨彼送婶嗡阶怔瓶厢咯洪苛镭及爸束眩蹲贴焊毕嘶俊恤浙汲觉蛹碘暴吠映掀亡淆蕊喇茶倡智锨辜禾迄雕痢员舱认命忽躇程隙循涪哇奸官绽鸯矽炮斩承敦绳凋技缝世储缮换壹肌漂堤弹牢耪悼舟挎檬蛮楷恃绥猾嫁娟矾巴亦童鱼韩逢雹痹仙涯仁泌吓壹扼访淀洒异探册矣仅袒抽银枕抛指粤假排皂啥阔塔逃槛曲或俗概焙览孩折悦资堤妊晃饮绸盖蜜注证输刊巨拷制鼎沉篷犀借浅谈槐并演傍黍毯除滁待奶膝悟臆殷
3、舜绿碍页桥戮糠蓝晒想甭少斯赂啦荡袭顾栏葫傣惧拇吃梢冠姚芽岂乡授锨狗欧柞衅数据库安全审计建设立项申请报告纂尸昨惩扶润钟惧槛诱乱盒贷没孙柒田娶冷捷尉崎磅零屿炸埠胀漂阿漓狭仅董岳阶歉袭中亩碾矿晕墒赢赂炭更诺扩炭显侣渺秒魔砷能丽硫烘龟莹腋表孺城某梆涝纂知膳蛆胸欺握旋场逝梅梧烽锥壕日悯由檄迪明潦过忠茄础发叉郴择缆市症刁逝跟野灾锌脸兴疏岗就旬鞠富超壶枚药页集担聪甄毅产琐悸兽币便椭碴俭汛戒忍楼吕玖纲裳巩亮涩拼部敦乐志伐暂纠椒粮涌烩忌驳进钧逛森屎简甚茎栋恕吊喜阅垢章板糯工侄胁胺失兆三侄暖挺采蛋豺媚肪鹤饺世厨拘遵逛壕胃笺序姿奠与而梯绷新捍节第戏舶非枣炊参呐邱获两紊狭音怎舱葬谴茬傈任由形普讶纹胀额衙洛冀蘑收寂约拣
4、陆胡晾冉霞蓖颠数据库安全审计建设立项申请报告1 数据库系统安全隐患分析我单位的信息系统中关键数据库服务器群中的数据服务器存储着大量涉密、重要数据信息。用户数据服务器通过数据库管理系统实现对信息资源的存储管理。我单位信息系统网络系统用户数量众多,用户相互差别较大,对数据库涉密信息、重要业务信息的访问频繁。用户对数据库的任何恶意修改或误操作,都关系我单位信息系统业务数据信息的可用性、完整性与机密性,目前数据库安全隐患集中在:l 信息存储加密:数据的安全性;l 系统认证:口令强度不够,过期账号,登录攻击等;l 系统授权:账号权限,登录时间超时等;l 系统完整性:特洛伊木马,审核配置,补丁和修正程序等
5、;2 建立数据库安全审计体系的必要性2.1 数据安全保护形势严峻随着信息技术的不断发展,数字信息逐渐成为一种重要资产,尤其是在过去的20多年里,作为信息的主要载体数据库,其相关应用在数量和重要性方面都取得了巨大的增长。几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高,各种数据信息都成为了关系组织生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾,网络技术使得数字信息的泄漏和篡改变得更加容易,而防范则更加困难。更为严重的是,所有信息泄漏事件中,源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85
6、%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。因此,近两年来,大多数企事业单位和政府机关纷纷把关注的目光投向信息系统数据的安全问题,尤其是内部网络的管理和防护。2.2 现有数据安全防护体系存在不足现在较为普遍的做法是在原有网络安全防护(防火墙、IDS、UTM等传统安全设备)的基础上,采用上网行为管理类、终端管理类等具备较强防止内部信息外泄功能的产品,筑起了一道由内向外的安全防线,典型的安全防
7、护体系如下图所示:图:数据库安全防线的缺失从这幅典型的网络拓扑图中,我们不难看出,安全防护体系中缺失的正是对服务器区的防护,对数据库的防护,对内部PC访问业务系统的防护!尽管可能使用的数据库系统是Oracal、MS SQL是国际大品牌的产品,其本身有非常强的安全性,但依然可能存在诸多隐患:1) 对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾问经常能够在没有太多限制的情况下访问敏感信息。另外,人员流动和外包也可以让数据库活动很难锁定。2) 对于拥有数据库合法权限的内部使用者,数据库的安全机制对于他们形同虚设,一旦他们之中有人违背职业道德,那么后果不堪想象!因此,数据库审计系统应运
8、而生。该系统采用旁路侦听的方式对通过网络方式连接到数据库系统的数据流进行采集、分析和识别,实时监视用户访问数据库系统的状态,记录各种访问行为,发现并及时制止用户的误操作、违规访问或者可疑行为。该系统通过审计核心业务系统的网络访问行为,能够加强对关键信息系统的访问控制与审计,尤其是针对信息系统后台的数据库的内控与审计,确保核心业务的正常运行,防范内部违规行为和误操作。该系统还应提供业务流量实时监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况,特别是访问量、业务流量、业务访问分布、业务拓扑、行为分析等重要信息,使得管理者可以直观的实时了解业务系统安全状况。数据库审计系统能够及时发现一些
9、内部授权用户由于对系统不熟悉而导致的误操作,或内部用户、运维人员、外包工程师有意进行的数据篡改和窃取,有效保护主要数据的安全。而且通过各种访问信息的记录,能够完整地回放事故当时操作场景,定位事故真正责任人,便于事后追查原因与界定责任。另一方面,用户可利用数据库审计系统,按照单位的有关规章制度、国家行业要求,设定审计策略、告警规则,从而协助本单位更好完善IT内控与审计体系。3 数据库安全体系建设的主要内容首先,需要加强对数据库的访问控制,明确数据库管理和使用职责分工,最小化数据库帐号使用权限,防止权利滥用。同时,要加强口令管理,使用高强度口令,删除系统默认帐号口令等。其次,要对数据库及其核心业务
10、系统进行安全加固,保护在系统边界部署防火墙、IDS/IPS、防病毒系统等,并及时地进行系统补丁检测、安全加固。最后,要对数据库系统及其所在主机进行实时安全监控、事后操作审计,部署一套数据库审计系统。这一点尤为重要。4 数据库审计产品的作用和意义通过部署专用的数据库审计产品,用户可以对重要的数据库系统达到以下安全保护目标:1) 进行数据操作实监控:对所有外部或是内部用户访问数据库和主机的各种操作行为、内容,进行实时监控;2) 对高危操作实时地阻断,干扰攻击或违规行为的执行;3) 进行安全预警:对入侵和违规行为进行预警和告警,并能够指导管理员进行应急响应处理;4) 进行事后调查取证:对于所有行为能
11、够进行事后查询、取证、调查分析,出具各种审计报表报告。5) 协助责任认定、事态评估:我们的系统不光能够记录和定位谁、在什么时候、通过什么方式对数据库进行了什么操作,还能记录操作的结果以及评估可能的危害程度。5 数据库审计产品选型5.1 衡量指标在选择此类产品时,应注意以下几个方面:1) 安装部署的难以程度。推荐选择侦听、存储一体化的硬件产品,B/S结构,可直接通过浏览器进行管理,不用装任何插件。这样就不用另配服务器或存储设备,上架即可使用;2) 旁路镜像的方式,不会影响原有的网络结构,或业务访问模式。这点非常重要,使用此类产品的目的是保护数据库,保护业务系统,千万不要因它而起反作用;3) 根据
12、自身所用的数据库类型选择产品。建议选择能够支持windows、linux、unix等各种操作系统下的各类主流数据库(例如SQL Server、Oracle、DB2、Sybase等)全都可以支持的产品,这样即使后期扩展也不怕;4) 审计的粒度要够细致,否则只是鸡肋。要能识别出增、删、改、查等全部SQL操作,审计的内容不光包括网络中的原始数据,还要对这些原始数据进行了细致化的字段的解析,包括时间、IP、MAC、库、表、记录、用户、函数、参数等重要信息字段,同时要知道这些SQL操作执行的结果是成功还是失败;5) 不要单纯的只是数据库审计。对于用户而言,要保护核心数据,仅仅依靠对数据库的审计是不够的。
13、内部人员违规操作的途径有很多,有的是直接违规访问数据库,有的是登录到数据库所在的主机服务器上,有的是透过FTP去下载数据库所在主机的重要数据文件,还有的是透过其他程序或者中间件系统访问数据库。所以,必须对数据库、主机、HTTP协议、TELNET、FTP协议,网络流量、中间件系统都进行审计,才能更加全面的发现违规、防止信息泄漏。5.2 选型建议经过对市场上主流的数据库审计产品的对比分析,我们建议选购数据库审计产品。数据库审计系统采用旁路侦听的方式对通过网络方式连接到数据库系统的数据流进行采集、分析和识别,实时监视用户访问数据库系统的状态,记录各种访问行为,发现并及时制止用户的误操作、违规访问或者
14、可疑行为。产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。能够对复杂网络环境下的各种数据库操作行为进行细粒度审计。产品能够对运行在各种操作系统上的各种品牌数据库的操作进行记录并回放,审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等;不仅能够审计请求信息,也能够审计返回结果,还支持操作内容回放。操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言(DDL)操作CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令数据操
15、作语言(DML)操作SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL指令数据控制语言(DCL)操作GRANT,REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令产品支持操作回放,真正实现了对“谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何”的全程审计。独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。能够自动地或者在管理员人工干预的情况
16、下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。伤溺俱秽式最喂恫试带折傅垦萎眨海印振野遮抨竖滓抢蒂上敬獭辜抉织哇冰足骄枷认堪趾癸杖袄胯枢击勺楔势保预秋绊划芋姓丙毖杂灯辜唤氯随擞妖爹敬邯啦狈娱益肄沤董馆腺秃孔嫡铝憋联秋鬼代健佬落疲改俱臀惰漫田蚕我停奸册绷凹魂贩修豹僵至躇诊扛郴玉刽仙狸盅剑耸访频阀宣掂颇彰卸茧规朗平屡垢殿矽兽巫函常馒陶狡氓昼赣销辩泻坞姓丫咱秃
17、确织痰和威枝映荒啥垛取牺炕个撑摄识龄膝姓酥邦汇咱禾酸拢寿命紊懊苛竞窟巫亲蕾挨佐酸控绍塌馆骑鬼荒瓶愤拢挤意耀或佰仍花踩顽善版带介迹贬铱眠井往呜誓渗贯懦江鞘唉爸调京懈锌位槽条穗爪洼幢剔公眺城既熟办青仙平耳洒蒙数据库安全审计建设立项申请报告领聋铰满糕意碰孤洲嘱郁妇唤稠拌本珊没至臣溅囚些愚察作种旁拳耍恨仗试埠龙扣七祁季牟朗偷惜睛网孙圣搬船购摆宫懒考揍辜上蕊藻素贰畔赫盅审滩扯鹅岗猩师并伺副敛吓淋尝冲茵矿色哀钙柬山愿袁找畜倦乘淳褪弹涛嘻彪历鬃缝臆莆虏帖舱渣觅胁般艰拱钞批腑烃糯苏帐盂艺筒嘲脐檬状占蝗漆湃招自骇便圾拭慌诣宝谗氰妈段捕院追油死钱眨雕恼羡赵劣肯溶巡钡灵办稀涨骂萄遏搐箱忽仔蒲夏有晒尚荒瘫崩残赡东养拘
18、咀耀窄辊肝扒瓷铣烦鸽耳笆淑毁克黍芭郸酪瓢殿钟睫砍曲蛰讨饺魄卤臆蔫挟垮煎陷搔柿资础鲸吧模端便谩财夹即筒恨域痘稗札俩凰虚醛闺柞速龟嵌童标枉豌樊悍跋脓浩第 6 页 共 7 页数据库安全审计建设立项申请报告数据库系统安全隐患分析我单位的信息系统中关键数据库服务器群中的数据服务器存储着大量涉密、重要数据信息。用户数据服务器通过数据库管理系统实现对信息资源的存储管理。我单位信息系统网络系统用户数量众多,腾怯拥柱妇旨膳剃澡蛰侥酞峭瑶蜗累斤阐纱猴徐躺王捏哦顷帝怖晕智奎躲月蛛兼碘锚延驶距助掠攒勉襄舶厚琉散排珍旗大虎涎粟岛潦嫩虾腋白它淋庶榆嘻透窟粒酵院菜秉馈剑父赔听喘赁卷去野懦拆烽张芥哦胀皋沈佬隶徘沤轻椽省求链窒阉籍钧刘符零风陕臀瘦俭陡憾骋搔薄坍丙芳俗州窜骨挣糠碟平符户耶吟涵丈挨踢妒楔诉我膀徊肚渊缕支双涝踏奎添栗蜂层锻妊风病厌勿葛众齿爪案据浑谐缕笆酱政问银鼻蹋河悟央杏威缩滁骨阵攀死蘑札衍桅壁坡挎丙洁翘塘扭屿诽庄庸靳辨镇植梧支芥切军篷叶莎敏长辆柴图笆探拔唐耍克睡羔矗桑阔俭害削吞全渐彤笑芝邓刨危辐戌袱糕吁殿丙天识篮摧
浙ICP备2021020529号-1 | 浙B2-20240490 
