《中華人民共和國數(shù)據(jù)安全法》頒布施行，數(shù)據(jù)安全保護(hù)正式被國家提升到了重要高度。《數(shù)據(jù)安全法》從數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開放多個方面對數(shù)據(jù)的保護(hù)與利用進(jìn)行了總體布局和戰(zhàn)略規(guī)劃，從而有效規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，維護(hù)國家主權(quán)、安全和發(fā)展利益。

某市財(cái)政局作為管理財(cái)政的職能機(jī)構(gòu)，信息化建設(shè)已經(jīng)逐步完善，目前已有前置數(shù)據(jù)庫、直達(dá)資金監(jiān)管系統(tǒng)、部標(biāo)數(shù)據(jù)庫、集中財(cái)務(wù)系統(tǒng)、轉(zhuǎn)移支付系、電子決算系統(tǒng)、部標(biāo)前置數(shù)據(jù)庫、OA達(dá)夢數(shù)據(jù)庫等。數(shù)據(jù)庫做為承載關(guān)鍵業(yè)務(wù)系統(tǒng)的核心和基礎(chǔ)，是最重要的數(shù)據(jù)資產(chǎn)。目前主要是通過傳統(tǒng)的網(wǎng)絡(luò)安安全防護(hù)手段構(gòu)筑了一道安全防線，雖然在數(shù)據(jù)庫安全管控方面有堡壘機(jī)但對于數(shù)據(jù)安全保障而言仍有不足。

客戶需求分析

技術(shù)層面：通過堡壘機(jī)發(fā)起的數(shù)據(jù)庫運(yùn)維操作，數(shù)據(jù)訪問追蹤信息出現(xiàn)斷層，無法定位到原始操作者的身份信息，造成取證不完整。

管理層面：現(xiàn)在維護(hù)人員的操作沒有做到細(xì)膩度監(jiān)控，數(shù)據(jù)庫的維護(hù)工作基本都是外包或者是應(yīng)用系統(tǒng)廠自行負(fù)責(zé)，數(shù)據(jù)庫維護(hù)過程沒有受到監(jiān)管，一旦數(shù)據(jù)安全事件發(fā)生，無法追溯并定位真實(shí)的操作者；最高權(quán)限的濫用，讓數(shù)據(jù)安全變得更加脆弱，也讓責(zé)任劃分和威脅追蹤變得更加困難。

審計(jì)層面：現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計(jì)方法，存在諸多的弊端。如：數(shù)據(jù)庫審計(jì)功能的開啟會影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險，難于體現(xiàn)審計(jì)信息的真實(shí)性，一旦有意外發(fā)生導(dǎo)致系統(tǒng)的崩潰，這些審計(jì)日志也隨之消失，管理人員無法得知系統(tǒng)到底發(fā)生了什么。

為貫徹落實(shí)國家法律法規(guī)要求，某市財(cái)政局積極開展數(shù)據(jù)安全防護(hù)提升工作，對財(cái)政局內(nèi)部數(shù)據(jù)庫信息安全領(lǐng)域的深層次安全審計(jì)分析提出了需求，要針對數(shù)據(jù)庫進(jìn)行安全審計(jì)專項(xiàng)建設(shè)。在此基礎(chǔ)上，某市財(cái)政局經(jīng)過POC測試及溝通討論，最終與昂楷科技達(dá)成合作共識。

數(shù)據(jù)安全解決方案

本方案遵循“精準(zhǔn)可視，安全可控”的設(shè)計(jì)思路，在市財(cái)政局部署一套數(shù)據(jù)庫審計(jì)系統(tǒng)，將數(shù)據(jù)庫安全審計(jì)貫穿在市財(cái)政局核心數(shù)據(jù)庫運(yùn)行的全過程，彌補(bǔ)目前安全能力的短板，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力，使得管理人員可以對重要系統(tǒng)數(shù)據(jù)庫進(jìn)行全方位的監(jiān)測和審計(jì)工作，幫助市財(cái)政局提升內(nèi)部風(fēng)險控制水平。

市財(cái)政局?jǐn)?shù)據(jù)庫在傳統(tǒng)物理服務(wù)器和新架構(gòu)云環(huán)境中，本方案兼顧全流量采集，確保審計(jì)能覆蓋關(guān)鍵數(shù)據(jù)庫，同時支持華為麒麟ARM架構(gòu)服務(wù)器上的數(shù)據(jù)庫進(jìn)行審計(jì)。

數(shù)據(jù)庫審計(jì)與財(cái)政局現(xiàn)有堡壘機(jī)安全聯(lián)防，追蹤到由堡壘機(jī)發(fā)起的數(shù)據(jù)庫運(yùn)維的原始操作者身份信息定位到人，解決數(shù)據(jù)訪問追蹤信息出現(xiàn)斷層的問題。

部署拓?fù)?/strong>

流量采集是數(shù)據(jù)庫審計(jì)系統(tǒng)的基礎(chǔ)，只有做到數(shù)據(jù)庫訪問流量的全采集，才能保證數(shù)據(jù)庫審計(jì)的可用性和價值，市財(cái)政局流量采集方式主要有兩種：

• 鏡像方式：采用旁路部署通過鏡像方式獲取傳統(tǒng)IT架構(gòu)數(shù)據(jù)庫的所有訪問流量。

• agent方式：私有云環(huán)境，基于“agent方式捕獲數(shù)據(jù)庫訪問流量。

旁路鏡像+agent方式混合部署，如下圖：

客戶價值

• 建立完整的詮釋責(zé)任認(rèn)定體系，通過穩(wěn)定而成熟的審計(jì)技術(shù)，可以建立起一個行為不可抵賴、數(shù)據(jù)可靠，完整并且強(qiáng)有力的責(zé)任認(rèn)定體系。

• 數(shù)據(jù)庫審計(jì)和堡壘機(jī)協(xié)同工作，相互補(bǔ)充，安全價值最大化。

• 兼容X86環(huán)境和信創(chuàng)環(huán)境數(shù)據(jù)庫的安全審計(jì)，避免重復(fù)采購。

• 滿足國家《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《等保2.0》以及行業(yè)規(guī)定中對于數(shù)據(jù)庫審計(jì)的合規(guī)性需求，并可根據(jù)需求形成不同的審計(jì)報(bào)表。

• 從業(yè)務(wù)流程角度出發(fā)，為防止違規(guī)操作奠定了技術(shù)手段，實(shí)現(xiàn)“教育為先、制度為主、技術(shù)為輔”多管齊下的管理要求。