目前,我公司电力营销系统支撑着河北南网用电业务服务,系统重要程度高、保密要求重。营销数据库系统承载了运营的关键数据,是公司核心IT资产,重要程度更是尤为重要。由于营销系统服务群体比较庞大,数据日常交互量大,导致数据库系统每天前端、后端操作非常频繁,日志数据量巨大。开展数据库审计、加强数据库操作合规性监管,已经成为公司完善风险管理、建立有效内控机制的当务之急。为确保营销业务数据完整准确,后台数据修改合规、可控,借助国内先进的数据库审计技术,搭建一套数据库审计系统。整体实现事中预警、事后审计,从而更好地保障营销系统数据安全性。
1技术方案
保证数据库安全的一般方法包括:用户身份证、存取控制、数据加密、审计跟踪与攻击检测[1]。营销数据库审计系统采用数据库网络端口镜像法,通过网络端口镜像获取对数据库的访问、存取行为,并通过定制的安全审计设备实现对访问数据库操作行为的记录及细粒度分析,同时提供实时监控、违规响应、历史行为回溯等功能。
1.1技术原理该安全审计技术可以实现对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应比较动作[2]。从功能组成上包括信息采集、信息分析、信息存储、信息展示四个基本功能。
1)信息采集:通过技术手段获取数据包、日志等需要审计的数据。
2)信息分析:采用实时关联分析引擎技术、基于规则的审计及数据库的信息查询和比较等技术相结合,对采集上来的信息进行分析、审计。
3)信息存储:利用数据存储设备对采集到原始信息,以及审计后的信息进行保存、备查,作为取证的依据。
4)信息展示:包括审计结果展示界面、统计分析报表功能、告警响应功能等等,是审计效果的最直接体现。
1.2技术架构审计系统为软硬件一体设备,B/S架构管理,由审计中心、WEB控制台两部分组成。审计中心负责网络数据包获取、协议分析识别、日志记录生成、策略下发。WEB控制台负责系统管理与配置、策略管理、用户管理、日志查询、报表统计等功能。
2系统功能展现
通过对数据库后台操作与访问进行全监控,实现针对所有帐户对数据库访问与操作的全面监测审计,提供详细的数据库审计记录及分类统计,实现数据库异常操作监测报警。具体功能展示如下:
2.1细粒度数据库操作审计深入细致地对数据库的各种操作及其内容进行审计,并且能够审计用户通过各种方式访问数据库的行为。具体审计内容如下:1)建立企业敏感信息检索库,对敏感信息的读取行为进行审计。2)数据库用户登录、注销行为审计。3)数据的DML、数据表的DDL操作行为审计。4)账号和角色的权限操作行为审计。5)对数据库后台操作脚本与所提交申请执行脚本进行比对审计。
2.2可视化审计界面审计系统为用户提供了简介易用的操作界面,多个监控窗口,可以显示多方面的安全信息,用户可以在不同的频道间切换。同时,用户也可以自定义频道,包括自定义布局和展示内容,使普通管理员就能够对复杂的数据库系统进行审计。
2.3实时监控应用服务状态审计系统可监控营销系统各类应用服务,不但可以监控其状态和响应时间,还可以监控详细性能指标,例如Oracle数据库的表空间大小等,可以为管理员提供全面而详实的参考信息。
2.4事件实时预警审计系统可监控营销系统各类应用服务,包括数据库、中间件等,不但可以监控这些应用和服务的状态和响应时间,还可以监控他们的详细性能指标,例如Oracle数据库的表空间大小等,可以为管理员提供全面而详实的参考信息。
2.5快速响应与协同防御审计系统在识别出安全事件后,能够自动或者人为地对威胁进行响应,采取安全对策,从而形成安全审计的闭环。同时,能够对业务网中所有IP的流量进行分析,能够更为精确地定位安全威胁,并对符合策略的告警事件进行阻断,实时自动阻止可疑行为。在发生告警后,审计系统可以通过语音播报、短信等方式对外发出通告,能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。
2.6操作回放对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。借助基于会话的行为分析(Session-basedBehaviorAnalysis)技术,审计人员可以对当前网络中所有访问者进行基于时间的审查,了解每个访问者任意一段时间内先后进行了什么操作,并支持访问过程回放。真正实现了对“谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何”的全程审计。
2.7审计报表审计系统的报表分析引擎能从多种角度多种维度对数据进行分析;能提供实时分析、历史分析等分析手段;能对比统计的结果,分析数据的发展趋势,将结果以图形方式显示、打印。同时,可以审计主机用户和数据库用户的行为趋势报表,审计和分析用户的行为特点,为决策分析和调查取证提供数据支持。
3系统应用成效
营销系统数据库审计系统的建设应用,整体实现事前审核、事中预警、事后审计,为营销系统数据安全管理提供实时监控、违规响应、历史行为回溯等操作分析功能,是满足数据库风险管理和内控要求,提升内部安全监管和保障数据库安全的有效手段。从长远来看,数据库安全审计技术代表着IT技术发展的新兴产物,它必将成为企业数据安全管理的发展方向。
作者:吴彬彬 单位:河北省电力公司电力科学研究院