數據庫安全面臨的挑戰(zhàn)

當今的電信企業(yè)在IT信息安全領域面臨比以往更為復雜的局面，這既有來自于電信企業(yè)外部的層出不窮的入侵和攻擊，也有來自于電信企業(yè)內部的違規(guī)和泄漏。由于電信業(yè)務系統(tǒng)眾多(如：OSS、BSS、MSS、銷賬、EIP、OCS、財務、營銷支撐、計費結算等)，數據庫用戶較多，涉及數據庫管理員、內部員工、營業(yè)廳及合作方人員等，因此網絡管理更加復雜，電信數據庫面臨的主要安全威脅與風險總結如下：

數據庫賬戶和權限的濫用

數據庫自身日志審計的缺陷

數據庫與業(yè)務系統(tǒng)無法關聯分析

數據庫自身存在問題

系統(tǒng)的運維工作存在隱患

同時中國電信《CTG-MBOSS 安全規(guī)范總冊》、《企業(yè)內部控制規(guī)范----基本規(guī)范的內部審計機制》以及《電信網與互聯網安全等級保護實施指南》、《移動通信網安全防護要求》的相關要求，安全審計是必不可少的一項。

安恒的解決方案

安恒信息根據電信用戶實際需求進行分析得出，從業(yè)務連續(xù)性及整體性的安全角度出發(fā)建設電信行業(yè)的數據庫審計平臺并結合專業(yè)的安全服務，能夠為電信用戶的數據庫安全提供強有力的技術支撐和安全保障。平臺部署如下圖：

整個審計平臺主要解決了以下幾個方面內容：

采用靜態(tài)審計實現數據庫自身安全隱患的審計

數據庫靜態(tài)審計的目的是代替繁瑣的手工檢查,預防安全事件的發(fā)生。依托其權威性的數據庫安全規(guī)則庫，自動完成對幾百種不當的數據庫不安全配置、潛在弱點、數據庫用戶弱口令、數據庫軟件補丁、數據庫潛藏木馬等等靜態(tài)審計，通過靜態(tài)審計，可以為后續(xù)的動態(tài)防護與審計的安全策略設置提供有力的依據。

采用數據庫實時審計解決數據庫操作中的細粒度審計

采用了細粒度的審計策略對操作與訪問進行全監(jiān)控

實現了針對所有帳戶對數據庫訪問與操作的全面監(jiān)測審計

加強了對數據庫臨時帳戶的審計監(jiān)測審計

加強了針對重要敏感數據的訪問的審計監(jiān)測

提供了詳細的數據庫審計記錄及分類統(tǒng)計

實現了數據庫異常操作監(jiān)測報警

彌補了數據庫系統(tǒng)內置日志審計的缺陷

通過堡壘主機實現對所有遠程操作的行為監(jiān)測

堡壘主機-基于網絡、透明方式工作，不影響網絡結構和業(yè)務系統(tǒng)，可以對操作進行回放和檢索查詢，并提供開放的數據和管理接口，幫助構建全面的審計平臺，對所有遠程操作維護實現了全面的審計。

應用系統(tǒng)與數據庫操作進行關聯，有效解決操作行為的追溯

在三層或多層的應用架構中，用戶通過WEB服務器實現對數據庫的訪問，傳統(tǒng)的數據庫審計系統(tǒng)只能審計到WEB 服務器的相關信息，無法識別是哪個原始訪問者發(fā)出的請求。明御應用及數據庫深度防御審計系統(tǒng)通過應用層訪問和數據庫操作請求進行多層業(yè)務關聯審計，實現訪問者信息的完全追溯，包括：操作發(fā)生的URL、客戶端的IP、請求報文等信息，通過多層業(yè)務關聯審計更精確地定位事件發(fā)生前后所有層面的訪問及操作請求，使管理人員對用戶的行為一目了然，真正做到數據庫操作行為可監(jiān)控,違規(guī)操作可追溯。

安全服務內容：

本著準確、深度、全面地專業(yè)精神，結合現場安全檢查、遠程漏洞掃描、配合滲透測試、黑白盒檢測等多種安全評估手段，有效發(fā)現當前系統(tǒng)中存在的安全隱患，并結合其豐富的安全經驗和專業(yè)的安全服務技術，對所存在的安全問題進行了點對點的技術整改和安全加固。有效地解決了電信業(yè)務系統(tǒng)及數據庫存在的安全漏洞，有效防范了不法分子進行惡意攻擊和入侵。

解決方案優(yōu)勢

通過對電信業(yè)務系統(tǒng)及數據庫的安全評估和檢查，有效地解決目前面臨的安全隱患，降低了不法分子惡意攻擊和入侵的機率。

通過對數據庫操作以及主機遠程操作全方位的審計解決了電信行業(yè)目前面臨的數據庫安全隱患；

通過數據庫全業(yè)務的審計，能夠在應用和數據庫無影響條件下,實現用戶需要的數據實時審計功能；

通過獨特的專業(yè)技術,實現對信息從內部和外部的全面保護,防止外部的惡意操作和內部的數據竊取、誤操作、惡意操作；

通過敏感信息的特別監(jiān)控,實現對系統(tǒng)內部保密數據的保護；

支持專業(yè)要求的(中國電信CTG-MBOSS、等級保護、SOX、ISO、PCI)的詳盡、全面、合規(guī)化的審計功能；

便于大規(guī)模部署，支持電信行業(yè)的數據大集中的管理方式。