隨著互聯(lián)網(wǎng)的普及應(yīng)用，尤其是“云計(jì)算”、“物聯(lián)網(wǎng)”、“三網(wǎng)融合”、“大數(shù)據(jù)”等新技術(shù)、新概念不斷涌現(xiàn)，傳統(tǒng)新聞媒體行業(yè)也開始進(jìn)行信息系統(tǒng)的建設(shè)。上海某大型傳媒集團(tuán)（以下簡(jiǎn)稱為“該集團(tuán)”）相關(guān)系統(tǒng)經(jīng)過(guò)將近10年的業(yè)務(wù)積累，數(shù)據(jù)資產(chǎn)日趨復(fù)雜化，對(duì)該集團(tuán)的數(shù)據(jù)安全性帶來(lái)了更高要求。

一、需求背景

互聯(lián)網(wǎng)的急速發(fā)展使得該集團(tuán)的新媒體業(yè)務(wù)急劇增長(zhǎng)，數(shù)據(jù)庫(kù)信息價(jià)值及可訪問(wèn)性得到了提升，同時(shí)，數(shù)據(jù)庫(kù)信息資產(chǎn)也面臨著嚴(yán)峻的挑戰(zhàn)，可能導(dǎo)致嚴(yán)重的數(shù)據(jù)庫(kù)安全事故發(fā)生，主要問(wèn)題如下：

• 內(nèi)部人員操作的安全風(fēng)險(xiǎn)

• 第三方維護(hù)人員安全隱患

• 高權(quán)賬號(hào)濫用風(fēng)險(xiǎn)

• 合法身份違規(guī)行為無(wú)法追溯風(fēng)險(xiǎn)

• 以外網(wǎng)應(yīng)用系統(tǒng)作為跳板，利用數(shù)據(jù)庫(kù)的漏洞，直接進(jìn)行sql注入或提升權(quán)限等操作，批量獲得大量數(shù)據(jù)。

傳統(tǒng)的安全設(shè)備，如：防火墻、IPS等都是針對(duì)于邊界防護(hù)，而且防護(hù)的方向?qū)ν舛皇菍?duì)內(nèi)的，而大量重要信息的泄露是由內(nèi)部人員造成的，這基本上是傳統(tǒng)安全設(shè)備的盲點(diǎn)。

二、數(shù)據(jù)安全建設(shè)思路與方案

通過(guò)部署數(shù)據(jù)庫(kù)審計(jì)實(shí)現(xiàn)對(duì)該集團(tuán)信息系統(tǒng)中的網(wǎng)絡(luò)操作及業(yè)務(wù)系統(tǒng)操作進(jìn)行審計(jì)記錄，以便及時(shí)發(fā)現(xiàn)可疑行為及違規(guī)操作，采取相應(yīng)的措施。通過(guò)數(shù)據(jù)庫(kù)安全審計(jì)，可對(duì)發(fā)生的安全事件及時(shí)響應(yīng)，不斷跟蹤網(wǎng)絡(luò)操作和安全事件的變化，準(zhǔn)確掌握信息系統(tǒng)的安全狀態(tài)，并依據(jù)變化進(jìn)行調(diào)整，確保滿足該集團(tuán)的安全要求，保護(hù)重要業(yè)務(wù)數(shù)據(jù)的安全。

01不影響業(yè)務(wù)系統(tǒng)的正常使用

審計(jì)系統(tǒng)需采取旁路部署方式，對(duì)原有網(wǎng)絡(luò)不造成影響，系統(tǒng)故障不影響業(yè)務(wù)的正常運(yùn)行。

02使用審計(jì)效果可視、審計(jì)過(guò)程可控

審計(jì)系統(tǒng)應(yīng)能夠記錄每個(gè)訪問(wèn)者每一次對(duì)數(shù)據(jù)庫(kù)的操作訪問(wèn)信息，數(shù)據(jù)訪問(wèn)操作表示為4 個(gè)要素信息，即：操作者、操作對(duì)象、操作時(shí)間和操作行為。

03可兼容、可擴(kuò)展，無(wú)須更換數(shù)據(jù)庫(kù)

審計(jì)系統(tǒng)需同時(shí)支持對(duì)Oracle、MS-SQL 、DB2、MYSQL、Sybase 、POSTGRESQL、Caché等關(guān)系型和非關(guān)系型數(shù)據(jù)庫(kù)提供自動(dòng)化評(píng)估、審計(jì)和保護(hù)功能，并可同時(shí)支持對(duì)多個(gè)系統(tǒng)、多個(gè)不同類型的數(shù)據(jù)庫(kù)審計(jì)。

04與其他安全管理系統(tǒng)的聯(lián)動(dòng)

可對(duì)接安全平臺(tái)包括統(tǒng)一短信告警平臺(tái)、運(yùn)維安全審計(jì)平臺(tái)、網(wǎng)管平臺(tái)等。

05系統(tǒng)需通俗易懂，便于非技術(shù)人員獨(dú)立使用

系統(tǒng)應(yīng)能將審計(jì)結(jié)果中抽象的操作語(yǔ)句、訪問(wèn)終端信息等技術(shù)語(yǔ)言翻譯成通俗易懂的業(yè)務(wù)語(yǔ)言。

06支持技術(shù)演進(jìn)，滿足新技術(shù)及業(yè)務(wù)應(yīng)用要求

系統(tǒng)可支持虛擬化云計(jì)算平臺(tái)、三層架構(gòu)等各種復(fù)雜應(yīng)用環(huán)境的審計(jì)，還可支持未來(lái)的大數(shù)據(jù)分析及挖掘。

三、用戶價(jià)值

01滿足合規(guī)性要求

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)有助于完善該集團(tuán)IT內(nèi)控與審計(jì)體系，從而滿足各種合規(guī)性要求，順利通過(guò)IT審計(jì)。

02有效減少核心信息資產(chǎn)的破壞和泄露

對(duì)該集團(tuán)內(nèi)部核心系統(tǒng)來(lái)說(shuō)，通過(guò)使用數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，能夠加強(qiáng)對(duì)核心數(shù)據(jù)庫(kù)的全程監(jiān)控，從而有效地減少對(duì)核心信息資產(chǎn)的破壞和泄漏。

03追蹤溯源，便于事后追查原因與界定責(zé)任

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)能夠完整的詮釋責(zé)任認(rèn)定體系。通過(guò)穩(wěn)定而成熟的審計(jì)技術(shù)，可以建立起一個(gè)行為不可抵賴、數(shù)據(jù)可靠，完整并且強(qiáng)有力的責(zé)任認(rèn)定體系。

04實(shí)現(xiàn)獨(dú)立審計(jì)與三權(quán)分立，完善IT內(nèi)控機(jī)制

從內(nèi)控的角度來(lái)看，IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。在三權(quán)分立的基礎(chǔ)上實(shí)施內(nèi)控與審計(jì)，有效地控制操作風(fēng)險(xiǎn)（包括業(yè)務(wù)操作風(fēng)險(xiǎn)與運(yùn)維操作風(fēng)險(xiǎn)等）。數(shù)據(jù)庫(kù)審計(jì)實(shí)現(xiàn)獨(dú)立的審計(jì)與三權(quán)分立，完善IT內(nèi)控機(jī)制。