數(shù)據(jù)庫安全面臨的挑戰(zhàn)

當(dāng)今的電信企業(yè)在IT信息安全領(lǐng)域面臨比以往更為復(fù)雜的局面，這既有來自于電信企業(yè)外部的層出不窮的入侵和攻擊，也有來自于電信企業(yè)內(nèi)部的違規(guī)和泄漏。由于電信業(yè)務(wù)系統(tǒng)眾多(如：OSS、BSS、MSS、銷賬、EIP、OCS、財務(wù)、營銷支撐、計費(fèi)結(jié)算等)，數(shù)據(jù)庫用戶較多，涉及數(shù)據(jù)庫管理員、內(nèi)部員工、營業(yè)廳及合作方人員等，因此網(wǎng)絡(luò)管理更加復(fù)雜，電信數(shù)據(jù)庫面臨的主要安全威脅與風(fēng)險總結(jié)如下：

數(shù)據(jù)庫賬戶和權(quán)限的濫用

數(shù)據(jù)庫自身日志審計的缺陷

數(shù)據(jù)庫與業(yè)務(wù)系統(tǒng)無法關(guān)聯(lián)分析

數(shù)據(jù)庫自身存在問題

系統(tǒng)的運(yùn)維工作存在隱患

同時中國電信《CTG-MBOSS 安全規(guī)范總冊》、《企業(yè)內(nèi)部控制規(guī)范----基本規(guī)范的內(nèi)部審計機(jī)制》以及《電信網(wǎng)與互聯(lián)網(wǎng)安全等級保護(hù)實施指南》、《移動通信網(wǎng)安全防護(hù)要求》的相關(guān)要求，安全審計是必不可少的一項。

安恒的解決方案

安恒信息根據(jù)電信用戶實際需求進(jìn)行分析得出，從業(yè)務(wù)連續(xù)性及整體性的安全角度出發(fā)建設(shè)電信行業(yè)的數(shù)據(jù)庫審計平臺并結(jié)合專業(yè)的安全服務(wù)，能夠為電信用戶的數(shù)據(jù)庫安全提供強(qiáng)有力的技術(shù)支撐和安全保障。平臺部署如下圖：

整個審計平臺主要解決了以下幾個方面內(nèi)容：

采用靜態(tài)審計實現(xiàn)數(shù)據(jù)庫自身安全隱患的審計

數(shù)據(jù)庫靜態(tài)審計的目的是代替繁瑣的手工檢查,預(yù)防安全事件的發(fā)生。依托其權(quán)威性的數(shù)據(jù)庫安全規(guī)則庫，自動完成對幾百種不當(dāng)?shù)臄?shù)據(jù)庫不安全配置、潛在弱點(diǎn)、數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補(bǔ)丁、數(shù)據(jù)庫潛藏木馬等等靜態(tài)審計，通過靜態(tài)審計，可以為后續(xù)的動態(tài)防護(hù)與審計的安全策略設(shè)置提供有力的依據(jù)。

采用數(shù)據(jù)庫實時審計解決數(shù)據(jù)庫操作中的細(xì)粒度審計

采用了細(xì)粒度的審計策略對操作與訪問進(jìn)行全監(jiān)控

實現(xiàn)了針對所有帳戶對數(shù)據(jù)庫訪問與操作的全面監(jiān)測審計

加強(qiáng)了對數(shù)據(jù)庫臨時帳戶的審計監(jiān)測審計

加強(qiáng)了針對重要敏感數(shù)據(jù)的訪問的審計監(jiān)測

提供了詳細(xì)的數(shù)據(jù)庫審計記錄及分類統(tǒng)計

實現(xiàn)了數(shù)據(jù)庫異常操作監(jiān)測報警

彌補(bǔ)了數(shù)據(jù)庫系統(tǒng)內(nèi)置日志審計的缺陷

通過堡壘主機(jī)實現(xiàn)對所有遠(yuǎn)程操作的行為監(jiān)測

堡壘主機(jī)-基于網(wǎng)絡(luò)、透明方式工作，不影響網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)，可以對操作進(jìn)行回放和檢索查詢，并提供開放的數(shù)據(jù)和管理接口，幫助構(gòu)建全面的審計平臺，對所有遠(yuǎn)程操作維護(hù)實現(xiàn)了全面的審計。

應(yīng)用系統(tǒng)與數(shù)據(jù)庫操作進(jìn)行關(guān)聯(lián)，有效解決操作行為的追溯

在三層或多層的應(yīng)用架構(gòu)中，用戶通過WEB服務(wù)器實現(xiàn)對數(shù)據(jù)庫的訪問，傳統(tǒng)的數(shù)據(jù)庫審計系統(tǒng)只能審計到WEB 服務(wù)器的相關(guān)信息，無法識別是哪個原始訪問者發(fā)出的請求。明御應(yīng)用及數(shù)據(jù)庫深度防御審計系統(tǒng)通過應(yīng)用層訪問和數(shù)據(jù)庫操作請求進(jìn)行多層業(yè)務(wù)關(guān)聯(lián)審計，實現(xiàn)訪問者信息的完全追溯，包括：操作發(fā)生的URL、客戶端的IP、請求報文等信息，通過多層業(yè)務(wù)關(guān)聯(lián)審計更精確地定位事件發(fā)生前后所有層面的訪問及操作請求，使管理人員對用戶的行為一目了然，真正做到數(shù)據(jù)庫操作行為可監(jiān)控,違規(guī)操作可追溯。

安全服務(wù)內(nèi)容：

本著準(zhǔn)確、深度、全面地專業(yè)精神，結(jié)合現(xiàn)場安全檢查、遠(yuǎn)程漏洞掃描、配合滲透測試、黑白盒檢測等多種安全評估手段，有效發(fā)現(xiàn)當(dāng)前系統(tǒng)中存在的安全隱患，并結(jié)合其豐富的安全經(jīng)驗和專業(yè)的安全服務(wù)技術(shù)，對所存在的安全問題進(jìn)行了點(diǎn)對點(diǎn)的技術(shù)整改和安全加固。有效地解決了電信業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫存在的安全漏洞，有效防范了不法分子進(jìn)行惡意攻擊和入侵。

解決方案優(yōu)勢

通過對電信業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫的安全評估和檢查，有效地解決目前面臨的安全隱患，降低了不法分子惡意攻擊和入侵的機(jī)率。

通過對數(shù)據(jù)庫操作以及主機(jī)遠(yuǎn)程操作全方位的審計解決了電信行業(yè)目前面臨的數(shù)據(jù)庫安全隱患；

通過數(shù)據(jù)庫全業(yè)務(wù)的審計，能夠在應(yīng)用和數(shù)據(jù)庫無影響條件下,實現(xiàn)用戶需要的數(shù)據(jù)實時審計功能；

通過獨(dú)特的專業(yè)技術(shù),實現(xiàn)對信息從內(nèi)部和外部的全面保護(hù),防止外部的惡意操作和內(nèi)部的數(shù)據(jù)竊取、誤操作、惡意操作；

通過敏感信息的特別監(jiān)控,實現(xiàn)對系統(tǒng)內(nèi)部保密數(shù)據(jù)的保護(hù)；

支持專業(yè)要求的(中國電信CTG-MBOSS、等級保護(hù)、SOX、ISO、PCI)的詳盡、全面、合規(guī)化的審計功能；

便于大規(guī)模部署，支持電信行業(yè)的數(shù)據(jù)大集中的管理方式。