等保20之数据库审计系统技术方案建议书.docx
《等保20之数据库审计系统技术方案建议书.docx》由会员分享,可在线阅读,更多相关《等保20之数据库审计系统技术方案建议书.docx(6页珍藏版)》请在冰豆网上搜索。
等保20之数据库审计系统技术方案建议书
等保2.0之数据库审计系统
技术方案建议书
1概述
随着信息化技术的发展,越来越多的政府、企事业单位通过信息系统实现办公和重要数据的存储,极大提高了办公效率。
同时,数据也成为各行业的核心资产,数据库系统作为数据的主要承载体,是商业和公共安全中最具战略性的资产,数据库系统的安全稳定运行也直接决定着一个单位业务系统运行的安全性,因此数据库安全尤为重要。
1.1内部安全隐患
随着企业的业务系统变得日益复杂,内部工作人员、第三方运维高权限人员都会成为系统安全的隐患。
内部人员缺乏监管,操作不规范,缺乏对第三方运维人员的权限控制;高权限账号的共用、滥用,已经成为信息泄露的重要途径。
根据统计资料,对企业造成严重攻击中的70%是来自于组织里的内部人员。
1.2法律法规监管
国家和企业意识到了网络安全、数据泄露问题迫在眉睫。
自2017年6月1日起正式实行《网络安全法》,成为中国严格的网络治理指导方针的一个里程碑。
《网络安全法》中对数据安全提出了明确的要求,同时各行业也在保护数据安全的数据泄露方面推出了行业的要求和标准。
美国政府1998年颁发的《Sarbanes-Oxley法案》(简称SOX法案),国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,银监会的《银行业金融机构信息系统风险管理指引》等一系列法规,均提出针对关键数据资产的审计要求。
2××企业网络数据库安全分析
本项目通过与××企业进行深入的交流,我们对其数据库安全进行了充分的了解与分析……
2.1××企业网络数据库安全现状
本项目主要包括两个部分(注意:
要给出网络的吞吐量):
1.××企业内部网络拓扑图,如果企业是新建网络,则提供没有安全设备的网络拓扑图,用来进行安全方案的分析。
2.××企业内部网络承载的业务,主要是内部数据库业务以及可对外访问的数据库相关业务
2.2××企业网络数据库业务流分析
给出企业现网的业务流分析图,使得客户对现有数据库安全问题理解的更加清晰
2.3××企业网络数据库安全问题与分析
本项目主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出):
1.××企业数据库安全隐患:
拖库,撞库攻击,SQL注入、内部数据库操作人员管理
2.××企业内部网络数据库操作人员的划分问题:
哪些人员访问数据库,权限如何分配和设置
2.4××企业网络数据库安全需求
新增XXXXXX系统,用以满足××企业以下需求(根据××企业数据库安全问题与分析给出需求:
1.防范数据库攻击:
在网络安全运维区进行数据库攻击防范,防止外网网络攻击和部门之间网络攻击蔓延。
2.数据库访问管理:
通过数据库审计系统,防止数据库管理疏漏导致的越权操作,数据泄露等人为问题。
3.……
3XX数据库安全解决方案
3.1××企业数据库安全解决方案
根据对××企业的需求分析选择以下的一个方案或者进行方案综合
3.1.1数据库审计部署方案
图1数据库审计典型部署
系统5W1H审计分析模型,该模型把单条待审计信息作为一个整体,对事件的各项属性(WHEN-时间、WHERE-地点、WHO-人物、WHAT-对象、HOW-动作、WHY-凭据)进行分析,并提炼、归纳出异常和违规行为的特征,为采取相应安全措施提供依据。
各省公司必须根据自身业务支撑系统、安全管理现状逐步建立审计分析模型,包含但不局限于5W1H所规定的属性范围。
5W1H对象
包含信息
WHO
行为执行者,包括自然人姓名,主、从帐号,所属人员组织,所属业务组织。
WHEN
行为发生的时间或时间段。
WHERE
行为发生地点,包括IP地址、网段、地域。
WHAT
行为操作对象或内容。
WHY
行为操作凭据,主要是指行为操作的工单等依据。
HOW
所执行的行为操作,包括登录、认证、帐号与授权、敏感数据操作、关键操作(增加、删除、修改、查询、下载)等。
4数据库安全解决方案特点
根据选用的方案进行具体的分析
4.1××企业数据库审计解决方案优点
1.业务扩展性
采用旁路部署的方式,通过流量镜像把访问数据库流量镜像到数据库审计系统系统,不改变网络拓扑。
需要审计更多数据库时,也只需把新的数据库流量镜像到数据库审计系统,无需对网络做任何改变,不影响业务,不会造成业务中断。
2.高可用性
数据库审计系统支持单机部署、HA部署,分别适用于不同的网络环境,HA部署保证审计系统实时切换,保证审计数据不间断,无遗漏,任何历史操作都有据可查,数据存储时间合乎相关法律法规要求。
5数据库审计系统系统功能介绍
5.1系统简介
数据库审计系统主要有两个子系统组成:
数据中心和引擎。
数据中心由管理系统和报表系统两个子模块构成。
管理系统负责管理配置,包括系统状态监控和维护、审计对象定义、规则定义、审计策略配置等。
报表系统负责审计日志的记录和维护、日志检索、统计和分析,报表生成。
引擎主要执行审计策略,内置捕包、解析、响应模块。
捕包模块负责数据包捕获和重组,根据预置的审计范围进行初步过滤,为解析做准备。
解析模块利用状态检测、协议解析等技术,对网络数据库包进行分类过滤和解析,然后依据审计规则对重要事件和会话进行审计,同时也会检测数据包是否携带关键攻击特征。
审计事件、会话和攻击均会提交至响应模块,响应模块负责根据审计策略对此进行响应,包括将审计日志上传至数据中心进行存储、发送事件到实时告警界面进行告警、对关键威胁操作进行阻断,也能通过邮件、短信、Syslog、SNMP的方式将审计告警发送给管理员,通过Syslog、SFTP方式将审计日志传输给第三方服务器。
5.2功能特点
5.2.1协议的全面支持
(1)数据库审计系统可针对常用数据库进行访问审计,目前能解析和审计的协议覆盖商业数据库(Oracle、SQLServer、Informix、DB2、Sybase)、行业数据库(Teradata、Cache)、开源数据库(MySQL、PostgreSQL)、国产数据库(人大金仓、达梦、南大通用、神通数据库、华为高斯DBGemini1.0.RC1)、非关系型数据库(MongoDB、Redis等),对这些数据库的不同服务编码方式(UTF-8、UTF-16、GB-2312等)和各种访问客户端均能有效解析。
(2)在常见的信息网络中,数据库管理员经常对数据库服务器本身进行运维管理,采用的运维方式各不相同,包括通过字符协议Telnet远程登录,数据库审计系统系统可针对这些网络运维协议进行解析,以达到对数据库访问的全面审计。
FTP服务器、Web服务器是网络中最常用的网络资源,数据库审计系统系统可以实现对HTTP、FTP、NFS、RADIUS等网络常用协议的审计。
5.2.2完备的策略配置
数据库审计系统系统提供了灵活而丰富的策略配置功能,协助用户完成审计策略的精确定义。
审计策略可根据业务主机和业务用户(包括业务服务器IP范围,业务用户IP范围、业务用户认证身份、业务用户访问服务器使用的资源账号)、时间(即策略生效时间,可以是某一固定时间,也可以是某个周期性时间)、规则集(定义需要被审计的操作集合)、动作、响应方式(包括事件风险级别、是否记录入库等)等要素来定义。
通过灵活的策略配置,可以多维度监控网络中的所有操作,协助用户实时发现数据库安全风险。
6数据库审计系统系统产品介绍
6.1产品说明
数据库审计系统系统面向数据库及内网安全,通过对数据库操作的全面解析,实现安全管理自我优化,通过深度分析与数据挖掘,为客户提供全方位的数据库安全防护。
6.2产品特点
精准的三层环境关联
通过在WebServer中间件上安装插件而实现三层环境下的数据关联,后台审计引擎审计到的数据和前端操作URL对应。
可以看到每个访问行为的业务用户名、客户端IP、关联的HTTP事件ID、对应的SQL语句等信息,关联准确率达到100%。
智能异常发现
通过自动学习已有数据生成操作基线,如操作偏离基线产生告警,提示管理员可能存在某些用户对数据库的异常操作,及时发现数据泄露风险,防止意外发生。
7XX公司服务
7.1服务理念
1)实现客户满意
树立以客户为中心的工作作风,强化服务意识和服务技能,以优质服务切实保障网络安全运行质量,赢得客户满意。
2)追求服务领先
不断完善服务内容,追求服务的专业化、标准化和多元化。
注重主动服务和个性化服务,塑造优质服务品牌,实现业界领先。
7.2服务内容
序号
服务清单
所需配合
文档输出
1
服务实施前准备工作
需要向客户了解网络现状,网络安全现状
2
现场服务实施
随工人员
服务实施申请报告
服务实施总结报告
3
验证测试阶段
随工人员
测试报告
4
现场培训工作
培训场地、人员组织
培训总结报告
7.3服务保障
XX公司项目实施保障分为三级保障体系:
办事处、公司技术支持部、研发体系。
升级会员 