博睿勤數(shù)據(jù)庫審計(jì)系統(tǒng)解決方案V1.0.dec_第1頁
博睿勤數(shù)據(jù)庫審計(jì)系統(tǒng)解決方案V1.0.dec_第2頁
博睿勤數(shù)據(jù)庫審計(jì)系統(tǒng)解決方案V1.0.dec_第3頁
博睿勤數(shù)據(jù)庫審計(jì)系統(tǒng)解決方案V1.0.dec_第4頁
博睿勤數(shù)據(jù)庫審計(jì)系統(tǒng)解決方案V1.0.dec_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

數(shù)據(jù)庫安全審計(jì)系統(tǒng)解決方案PAGE第5頁共16頁數(shù)據(jù)庫安全審計(jì)系統(tǒng)解決方案2013年7月

目錄1項(xiàng)目概述 31.1項(xiàng)目背景 31.2項(xiàng)目需求 31.2.1區(qū)域衛(wèi)生平臺(tái)特點(diǎn) 31.2.2合法權(quán)限濫用的監(jiān)控需求 41.2.3存儲(chǔ)過程的管理的需求 41.2.4歷史操作的重現(xiàn) 41.2.5人為高危操作訪問數(shù)據(jù)庫的監(jiān)控 41.2.6敏感數(shù)據(jù)庫表的操作訪問的監(jiān)控 41.2.7應(yīng)用系統(tǒng)級(jí)監(jiān)控的定制 41.2.8應(yīng)用系統(tǒng)調(diào)優(yōu)的應(yīng)用 42解決方案 52.1方案設(shè)計(jì) 52.2系統(tǒng)架構(gòu) 52.3部署方式 52.4產(chǎn)品特點(diǎn) 62.5項(xiàng)目難點(diǎn)分析 7

圖3:網(wǎng)絡(luò)部署方式2.4產(chǎn)品特點(diǎn)一全獨(dú)立審計(jì)模式博睿勤審計(jì)數(shù)據(jù)通過網(wǎng)絡(luò)完全獨(dú)立地采集,這使得數(shù)據(jù)庫維護(hù)或開發(fā)小組,安全審計(jì)小組的工作進(jìn)行適當(dāng)?shù)姆蛛x。而且,審計(jì)工作不影響數(shù)據(jù)庫的性能、穩(wěn)定性或日常管理流程。審計(jì)結(jié)果獨(dú)立存儲(chǔ)于自帶的存儲(chǔ)空間中,避免了數(shù)據(jù)庫特權(quán)用戶或惡意入侵?jǐn)?shù)據(jù)庫服務(wù)器用戶,干擾審計(jì)信息的公正性。二全跟蹤細(xì)膩度審計(jì)全面性:針對(duì)業(yè)務(wù)層、應(yīng)用層、數(shù)據(jù)庫等各個(gè)層面的操作進(jìn)行跟蹤定位,包括數(shù)據(jù)庫SQL執(zhí)行情況、數(shù)據(jù)庫返回值等。細(xì)粒度:精確到表、對(duì)象、記錄內(nèi)容的細(xì)粒度審計(jì)策略,實(shí)現(xiàn)對(duì)敏感信息的精細(xì)監(jiān)控;獨(dú)立性:基于獨(dú)立監(jiān)控審計(jì)的工作模式,實(shí)現(xiàn)了數(shù)據(jù)庫管理與審計(jì)的分離,保證了審計(jì)結(jié)果的真實(shí)性、完整性、公正性。三數(shù)據(jù)別名對(duì)表和字段進(jìn)行別名設(shè)置,可以直觀顯示審計(jì)結(jié)果內(nèi)容,方便非專業(yè)技術(shù)人員的查看。四隱秘?cái)?shù)據(jù)對(duì)審計(jì)結(jié)果中敏感數(shù)據(jù)隱秘,非授權(quán)的用戶不能正常查看隱秘?cái)?shù)據(jù);防止重要數(shù)據(jù)在數(shù)據(jù)庫審計(jì)設(shè)備中導(dǎo)致的二次泄密問題。五權(quán)限分離博睿勤設(shè)置了權(quán)限角色分離,如系統(tǒng)管理員負(fù)責(zé)設(shè)備的運(yùn)行設(shè)置;審計(jì)員負(fù)責(zé)查看相關(guān)審計(jì)記錄及規(guī)則違反情況;日志員負(fù)責(zé)查看整體設(shè)備的操作日志及規(guī)則的修改情況等。六事件準(zhǔn)確定位傳統(tǒng)的數(shù)據(jù)庫審計(jì)定位往往局限于IP地址和MAC地址,很多時(shí)候不具備可信性。博睿勤可以對(duì)IP、MAC、用戶名、服務(wù)端等一系列進(jìn)行關(guān)聯(lián)分析,從而追蹤到具體人。七獨(dú)特報(bào)表功能合規(guī)性報(bào)表博睿勤報(bào)表和根據(jù)合規(guī)性要求,輸出不同類型的報(bào)表。例如,可根據(jù)等級(jí)保護(hù)三級(jí)要求,輸出符合等保相關(guān)項(xiàng)目滿足的度的報(bào)表。策略定制化報(bào)表根據(jù)審計(jì)人員關(guān)系的主要穩(wěn)定,定制符合需求的策略規(guī)則輸出報(bào)告,使審計(jì)人員能夠迅速的得到自己需要去審計(jì)信息。八完備的自身安全博睿勤全方位確保設(shè)備本身的高可用性,主要包括:硬件級(jí)安全冗余、系統(tǒng)級(jí)防攻擊策略、告警措施等。2.5項(xiàng)目難點(diǎn)分析Cache數(shù)據(jù)庫是后關(guān)系型數(shù)據(jù)庫(PostRelationaldatabase)中的領(lǐng)頭羊。Cache數(shù)據(jù)庫對(duì)大多數(shù)國(guó)內(nèi)IT人員來說還是比較陌生,然而在國(guó)外特別是國(guó)外的醫(yī)療領(lǐng)域,在美國(guó)和歐洲的HIS系統(tǒng)(醫(yī)療衛(wèi)生管理信息系統(tǒng))中,CACHE數(shù)據(jù)庫所占的比例是最大的,被醫(yī)療界公認(rèn)為首選數(shù)據(jù)庫。官方數(shù)據(jù)顯示,CACHE數(shù)據(jù)庫的數(shù)據(jù)查詢速度約為oracle的7~20倍,并方便的支持關(guān)系型數(shù)據(jù)庫和對(duì)象型數(shù)據(jù)庫。一Cache數(shù)據(jù)庫特點(diǎn)Cache數(shù)據(jù)庫的主要特點(diǎn)如下:1、速度快。Cache數(shù)據(jù)庫在同等條件下查詢相同數(shù)據(jù)比Oracle等普通數(shù)據(jù)庫要快。原因是Cache數(shù)據(jù)庫又叫做后關(guān)系型數(shù)據(jù)庫(Post-Relation),顧名思義,Cache是基于普通關(guān)系型數(shù)據(jù)庫如:Oracle,SQLserver,Sybase等的基礎(chǔ)之上并有所改進(jìn)而產(chǎn)生的。2、使用簡(jiǎn)單。Cache數(shù)據(jù)庫支持標(biāo)準(zhǔn)SQL語句,因此不太熟悉M語言的用戶依然可以輕易對(duì)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行操作。3、接口容易。Cache數(shù)據(jù)庫支持ODBC標(biāo)準(zhǔn)接口,因此在與其他系統(tǒng)進(jìn)行數(shù)據(jù)交換時(shí)非常容易。同時(shí)Cache亦可以將數(shù)據(jù)輸出成文本文件格式以供其它系統(tǒng)訪問調(diào)用。4、真正的3層結(jié)構(gòu)。Cache數(shù)據(jù)庫能夠真正意義上實(shí)現(xiàn)3層結(jié)構(gòu),實(shí)現(xiàn)真正的分布式服務(wù)。升級(jí)擴(kuò)容方便。正因?yàn)橛缮鲜龇植际?層結(jié)構(gòu),所以當(dāng)醫(yī)院需要增加客戶端PC或醫(yī)院進(jìn)行擴(kuò)大規(guī)模時(shí),不需要重新購(gòu)買或更新主服務(wù)器,只需要適當(dāng)增加二級(jí)服務(wù)器的數(shù)量即可,二級(jí)服務(wù)器相對(duì)來說要比主服務(wù)器要便宜許多,因此,醫(yī)院可節(jié)約資金減少重復(fù)投資。5、對(duì)象型編輯。Cache數(shù)據(jù)庫是真正的對(duì)象型數(shù)據(jù)庫,開發(fā)時(shí)用戶可直接用數(shù)據(jù)庫定義自己想要的對(duì)象,然后再在其它開發(fā)工具中調(diào)用該對(duì)象的方法和屬性即可完成開發(fā)工作,非常方便。6、支持遠(yuǎn)程映射和鏡像。Cache數(shù)據(jù)庫支持遠(yuǎn)程的映射和鏡像,比如在不同城市之間,或在同一城市的不同區(qū)域之間,Cache可以進(jìn)行鏡像(Mapping),使不同區(qū)域的Cache數(shù)據(jù)庫同步聯(lián)系起來,雖然在不同區(qū)域,但大家使用起來就像共用一個(gè)數(shù)據(jù)庫。7、支持WEB開發(fā)。Cache數(shù)據(jù)庫提供自帶的Web開發(fā)工具,使用維護(hù)非常方便,符合當(dāng)今軟件業(yè)發(fā)展的趨勢(shì)。二Cache數(shù)據(jù)庫風(fēng)險(xiǎn)分析(1)第三方工具直接訪問數(shù)據(jù)庫,沒有相應(yīng)的安全防范,可以對(duì)數(shù)據(jù)庫進(jìn)行惡意破壞和非法統(tǒng)計(jì)。(2)Cache集成工具包括Terminal和studio。Terminal訪問Cache數(shù)據(jù)庫,使用telnet協(xié)議,可執(zhí)行M語言,對(duì)數(shù)據(jù)庫進(jìn)行讀寫操作;Studio主要是針對(duì)開發(fā)人員,進(jìn)行源文件編譯,調(diào)用M語言,訪問數(shù)據(jù)庫。這兩個(gè)工具都可直接對(duì)數(shù)據(jù)庫進(jìn)行操作,這樣就存在一定的風(fēng)險(xiǎn)。(3)通過HIS系統(tǒng)訪問數(shù)據(jù)庫,沒有相應(yīng)的權(quán)限控制,敏感信息沒有被屏蔽,非法操作沒法審計(jì)和追溯。三Cache數(shù)據(jù)庫風(fēng)險(xiǎn)解決方案針對(duì)Cache核心數(shù)據(jù)庫存在的泄密風(fēng)險(xiǎn),可通過博睿勤科技數(shù)據(jù)庫審計(jì)產(chǎn)品來解決以上問題。如下圖所示為Cache數(shù)據(jù)庫主要存在的四個(gè)風(fēng)險(xiǎn)圖4:數(shù)據(jù)庫存在的4個(gè)風(fēng)險(xiǎn)下面通過我們產(chǎn)品來詳細(xì)分析解決方案:風(fēng)險(xiǎn)一:客戶端工具通過sql語句直接訪問數(shù)據(jù)庫:通過博睿勤數(shù)據(jù)庫審計(jì)系統(tǒng)可以詳細(xì)記錄來自客戶端工具對(duì)數(shù)據(jù)庫的所有sql語句操作,通過規(guī)則設(shè)置,實(shí)時(shí)告警、快速溯源,第一時(shí)間知道什么人在什么時(shí)候通過什么工具訪問了哪個(gè)數(shù)據(jù)庫的什么內(nèi)容,實(shí)時(shí)監(jiān)控核心數(shù)據(jù)庫。SQLDBX工具訪問Cache的審計(jì),如圖5所示:圖5:SQLDBX工具對(duì)Cache的操作審計(jì)說明:以上是通過第三方工具DBX直接訪問Cache數(shù)據(jù)庫,審計(jì)到信息包括操作系統(tǒng)用戶名、主機(jī)名、客戶端進(jìn)程、表、字段、操作語句和執(zhí)行結(jié)果等。風(fēng)險(xiǎn)二:Cache數(shù)據(jù)庫集成的可以直接連數(shù)據(jù)庫的工具Terminal:Cache數(shù)據(jù)庫自身集成的工具Terminal可以直接訪問數(shù)據(jù)庫,其采用telnet方式,所以通過Terminal對(duì)所有數(shù)據(jù)庫的操作,都會(huì)被詳細(xì)記錄,以telnet形式存儲(chǔ),可通過博睿勤數(shù)據(jù)庫審計(jì)設(shè)備查看詳細(xì)信息。Cache數(shù)據(jù)庫自身集成的工具Terminal直接訪問數(shù)據(jù)庫,其采用telnet方式,所有通過Terminal對(duì)數(shù)據(jù)庫的操作,都會(huì)被詳細(xì)記錄,審計(jì)結(jié)果如圖6所示:圖6:terminal對(duì)Cache的操作審計(jì)說明:Terminal客戶端調(diào)用已編譯文件中的runquery方法并傳遞參數(shù)。風(fēng)險(xiǎn)三:Cache數(shù)據(jù)庫集成的供開發(fā)用的工具Studio:Cache數(shù)據(jù)庫服務(wù)器自身集成工具Studio,主要是供開發(fā)人員編譯和調(diào)試,它通過執(zhí)行M語言直接訪問,我們產(chǎn)品可以抓住關(guān)鍵操作,如調(diào)用M語言時(shí)的方法名、保存動(dòng)作和編譯動(dòng)作,然后可以根據(jù)此操作服務(wù)器上的M語言內(nèi)容判斷操作內(nèi)容。A)通過Studio工具直接對(duì)Cache數(shù)據(jù)庫進(jìn)類Run(運(yùn)行)操作,結(jié)果如圖7所示:圖7:studio上的run操作審計(jì)說明:該審計(jì)結(jié)果是Studio工具調(diào)用內(nèi)部已編譯的文件對(duì)數(shù)據(jù)庫進(jìn)行操作。B)以下是對(duì)Cache數(shù)據(jù)庫類進(jìn)行Compile(編繹)操作時(shí)的審計(jì),結(jié)果如圖8所示:圖8:studio上的compileclass操作審計(jì)說明:該審計(jì)結(jié)果記錄了studio編譯useropera命名空間下的newclass1文件的操作。C)以下是對(duì)Cache數(shù)據(jù)庫類文件進(jìn)行save(保存)操作的審計(jì),結(jié)果如圖9所示:圖9:studio上的savedefinition操作審計(jì)說明:上圖是通過Studio編譯文件,對(duì)其中內(nèi)容進(jìn)行“保存”操作,我們可以抓到保存動(dòng)作及文件名。D)對(duì)Cache數(shù)據(jù)庫進(jìn)行debugger(調(diào)試)操作的審計(jì),結(jié)果如圖10所示:圖10:studio上的debugger操作審計(jì)說明:上圖為studio編譯調(diào)試cinema命名空間下ticketconifrm文件中的onprehttp()方法。風(fēng)險(xiǎn)四:HIS系統(tǒng)訪問Cache數(shù)據(jù)庫:通過HIS系統(tǒng)訪問數(shù)據(jù)庫,因cache采用一種安全組件,對(duì)這部分?jǐn)?shù)據(jù)做了加密處理,而HIS系統(tǒng)也不能進(jìn)行解密,所以行業(yè)目前都無法進(jìn)行解析,博睿勤科技給出以下解決方案建議:(1)通過HIS系統(tǒng)權(quán)限控制,給每個(gè)客戶端或者不同部門分配不同訪問數(shù)據(jù)庫

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論