您的位置:360文档中心› 启明星辰天网络安全审计系统数据库审计网络审计模板

启明星辰天网络安全审计系统数据库审计网络审计模板

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

XXX项目

数据库审计系统

技术建议书

北京启明星辰信息技术有限公司

Venus Information Technology(Beijing)

二零一零年十月

目次

1.综述1

2.需求分析2

2.1.内部人员面临的安全隐患2

2.2.第三方维护人员的威胁2

2.3.最高权限滥用风险2

2.4.违规行为无法控制的风险3

2.5.系统日志不能发现的安全隐患3

2.6.系统崩溃带来审计结果的丢失3

3.审计系统设计方案3

3.1.设计思路和原则3

3.2.系统设计原理5

3.3.设计方案及系统配置5

3.4.主要功能介绍7

3.4.1.数据库审计7

3.4.2.网络运维审计8

3.4.3.OA审计8

3.4.4.数据库响应时间及返回码的审计9 3.4.5.业务系统三层关联9

3.4.6.合规性规则和响应10

3.4.7.审计报告输出12

3.4.8.自身管理13

3.4.9.系统安全性设计13

3.5.负面影响评价14

3.6.交换机性能影响评价15

4.资质证书16

1.综述

随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。

另外,随着计算机技术的飞速发展,计算机技术也越来越广泛地被应用在医院管理的各个方面。在国家对医疗卫生行业投入不断增加的大背景下,以“金卫工程”为代表的医疗卫生行业信息化工程得到了快速发展,HIS系统也在全国各大医院广泛应用。但是,随着信息技术在各类医疗机构大行其道之时,也给各医疗机构各信息系统的技术管理提出了更高的要求。虽然各医院采取了许多措施加强对医院信息系统的管理,但由于多方面的原因,医院信息中心已成为医药购销领域商业贿赂的重点科室。特别是在医疗卫生行业的药品、器械销售竞争日益激烈的大背景下,采用不正当的技术手段渗透到医疗卫生行业中来,一些医院内部工作人员与医药营销人员内外勾结,私自进行处方统计的行为,阻碍了医疗卫生事业的改革和发展。医院的用药信息泄漏给医药营销人员以此来获取经济利益的商业贿赂行为,这种行为的存在不仅严重干扰了正常的医疗秩序,而且也增加了患者的经济负担,不利于和谐医患关系的建设。从已发生的商业贿赂案件来看,医药代表通过医院信息中心工作人员的“统方”来掌握某个药品医生每个月的实际处方量,是“统方”主要渠道。

同时,卫生部、中医药管理局针对部分医务人员开单提成、收受“红包”、药品回扣等消极腐败现象和不正之风,发布了《关于建立健全防控医药购销领域商业贿赂长效机制的工作方案》、《关于开展医药购销领域不正当交易行为自查自纠工作的指导意见》,并成立了治理商业贿赂领导小组在全国范围

内开展治理商业贿赂专项工作。为此,一场医疗行业的反商业贿赂风暴,已经逐步深入开展。在信息化条件下,部署数据库审计产品,防范医药卫生行业中各从业人员利用计算机进行职务犯罪的问题,解决行业中审计手段隐蔽、不易取证等困难,成为医疗卫生行业信息化工程中必不可少的组成部分。

2.需求分析

随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。

通过对XXX的深入调研,XXX面临的安全隐患归纳如下:

2.1.内部人员面临的安全隐患

随着企业信息化进程不断深入,企业的业务系统变得日益复杂,由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作却无能为力。

2.2.第三方维护人员的威胁

企业在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地管控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。

2.3.最高权限滥用风险

因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和权限划分,权限划分混乱,高权限账号(比如DBA账号)共用等问题一直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任

何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让数据安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。

2.4.违规行为无法控制的风险

管理人员总是试图定义各种操作条例,来规范内部员工的访问行为,但是除了在造成恶性后果后追查责任人,没有更好的方式来限制员工的合规操作。而事后追查,只能是亡羊补牢,损失已经造成。

2.5.系统日志不能发现的安全隐患

我们经常从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是,系统往往是在经历了大量的操作和变化后,才逐渐变得不安全。另外的情况是,用户通过登录业务服务器来访问数据库等核心资产,单纯的分析业务系统或者数据库系统的日志,都无法对整个访问过程是否存在风险进行判断。从系统变更和应用的角度来看,网络审计日志比系统日志在定位系统安全问题上更可信。

2.6.系统崩溃带来审计结果的丢失

一般来说,数据库系统都会存储操作日志,也能开启审计模块对访问进行审计,但是一旦有意外发生导致系统的崩溃,这些审计日志也随之消失,管理人员无法得知系统到底发生了什么。

3.审计系统设计方案

3.1.设计思路和原则

围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。启明星辰做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路:

管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员

相关文档
最新文档