隨著互聯(lián)網(wǎng)的普及應用����,尤其是“云計算”、“物聯(lián)網(wǎng)”�����、“三網(wǎng)融合”�、“大數(shù)據(jù)”等新技術、新概念不斷涌現(xiàn)��,傳統(tǒng)新聞媒體行業(yè)也開始進行信息系統(tǒng)的建設�����。上海某大型傳媒集團(以下簡稱為“該集團”)相關系統(tǒng)經(jīng)過將近10年的業(yè)務積累�����,數(shù)據(jù)資產(chǎn)日趨復雜化,對該集團的數(shù)據(jù)安全性帶來了更高要求。
一、需求背景
互聯(lián)網(wǎng)的急速發(fā)展使得該集團的新媒體業(yè)務急劇增長,數(shù)據(jù)庫信息價值及可訪問性得到了提升���,同時�,數(shù)據(jù)庫信息資產(chǎn)也面臨著嚴峻的挑戰(zhàn)���,可能導致嚴重的數(shù)據(jù)庫安全事故發(fā)生����,主要問題如下:
傳統(tǒng)的安全設備��,如:防火墻��、IPS等都是針對于邊界防護,而且防護的方向?qū)ν舛皇菍?nèi)的���,而大量重要信息的泄露是由內(nèi)部人員造成的,這基本上是傳統(tǒng)安全設備的盲點��。
二�、數(shù)據(jù)安全建設思路與方案
通過部署數(shù)據(jù)庫審計實現(xiàn)對該集團信息系統(tǒng)中的網(wǎng)絡操作及業(yè)務系統(tǒng)操作進行審計記錄,以便及時發(fā)現(xiàn)可疑行為及違規(guī)操作�����,采取相應的措施����。通過數(shù)據(jù)庫安全審計,可對發(fā)生的安全事件及時響應��,不斷跟蹤網(wǎng)絡操作和安全事件的變化���,準確掌握信息系統(tǒng)的安全狀態(tài)�,并依據(jù)變化進行調(diào)整��,確保滿足該集團的安全要求�����,保護重要業(yè)務數(shù)據(jù)的安全。
01不影響業(yè)務系統(tǒng)的正常使用
審計系統(tǒng)需采取旁路部署方式�,對原有網(wǎng)絡不造成影響���,系統(tǒng)故障不影響業(yè)務的正常運行�����。
02使用審計效果可視、審計過程可控
審計系統(tǒng)應能夠記錄每個訪問者每一次對數(shù)據(jù)庫的操作訪問信息,數(shù)據(jù)訪問操作表示為4 個要素信息����,即:操作者���、操作對象���、操作時間和操作行為�����。
03可兼容、可擴展�����,無須更換數(shù)據(jù)庫
審計系統(tǒng)需同時支持對Oracle����、MS-SQL ��、DB2���、MYSQL����、Sybase 、POSTGRESQL、Caché等關系型和非關系型數(shù)據(jù)庫提供自動化評估、審計和保護功能�,并可同時支持對多個系統(tǒng)�����、多個不同類型的數(shù)據(jù)庫審計。
04與其他安全管理系統(tǒng)的聯(lián)動
可對接安全平臺包括統(tǒng)一短信告警平臺�����、運維安全審計平臺�、網(wǎng)管平臺等。
05系統(tǒng)需通俗易懂����,便于非技術人員獨立使用
系統(tǒng)應能將審計結(jié)果中抽象的操作語句�����、訪問終端信息等技術語言翻譯成通俗易懂的業(yè)務語言。
06支持技術演進,滿足新技術及業(yè)務應用要求
系統(tǒng)可支持虛擬化云計算平臺�����、三層架構(gòu)等各種復雜應用環(huán)境的審計�,還可支持未來的大數(shù)據(jù)分析及挖掘�。
三、用戶價值
01滿足合規(guī)性要求
數(shù)據(jù)庫審計系統(tǒng)有助于完善該集團IT內(nèi)控與審計體系����,從而滿足各種合規(guī)性要求���,順利通過IT審計����。
02有效減少核心信息資產(chǎn)的破壞和泄露
對該集團內(nèi)部核心系統(tǒng)來說�,通過使用數(shù)據(jù)庫審計系統(tǒng),能夠加強對核心數(shù)據(jù)庫的全程監(jiān)控����,從而有效地減少對核心信息資產(chǎn)的破壞和泄漏�。
03追蹤溯源�,便于事后追查原因與界定責任
數(shù)據(jù)庫審計系統(tǒng)能夠完整的詮釋責任認定體系。通過穩(wěn)定而成熟的審計技術,可以建立起一個行為不可抵賴��、數(shù)據(jù)可靠���,完整并且強有力的責任認定體系�����。
04實現(xiàn)獨立審計與三權分立���,完善IT內(nèi)控機制
從內(nèi)控的角度來看����,IT系統(tǒng)的使用權�����、管理權與監(jiān)督權必須三權分立。在三權分立的基礎上實施內(nèi)控與審計�,有效地控制操作風險(包括業(yè)務操作風險與運維操作風險等)����。數(shù)據(jù)庫審計實現(xiàn)獨立的審計與三權分立���,完善IT內(nèi)控機制����。
