网御星云数据库审计解决方案模板V3.0.doc

PAGE PAGE ii XXX项目 数据库审计系统 技术建议书 北京网御星云信息技术有限公司 目 录 TOC \o 1-4 \h \z \u 1. 综述 1 2. 需求分析 2 2.1. 内部人员面临的安全隐患 2 2.2. 第三方维护人员的威胁 2 2.3. 最高权限滥用风险 2 2.4. 违规行为无法控制的风险 3 2.5. 系统日志不能发现的安全隐患 3 2.6. 系统崩溃带来审计结果的丢失 3 3. 审计系统设计方案 3 3.1. 设计思路和原则 3 3.2. 系统设计原理 5 3.3. 设计方案及系统配置 6 3.4. 主要功能介绍 7 3.4.1. 数据库审计 7 3.4.2. 网络运维审计 8 3.4.3. OA审计 9 3.4.4. 数据库响应时间及返回码的审计 9 3.4.5. 业务系统三层关联 9 3.4.6. 合规性规则和响应 10 3.4.7. 审计报告输出 12 3.4.8. 自身管理 13 3.4.9. 系统安全性设计 13 3.5. 负面影响评价 14 3.6. 交换机性能影响评价 15 4. 资质证书 16 XXX项目数据库审计系统技术建议书 北京网御星云信息技术有限公司 第 PAGE 7页 综述 随着计算机和网络技术发展，信息系统的应用越来越广泛。数据库做为信息技术的核心和基础，承载着越来越多的关键业务系统，渐渐成为商业和公共安全中最具有战略性的资产，数据库的安全稳定运行也直接决定着业务系统能否正常使用。 另外，随着计算机技术的飞速发展，计算机技术也越来越广泛地被应用在医院管理的各个方面。在国家对医疗卫生行业投入不断增加的大背景下，以“金卫工程”为代表的医疗卫生行业信息化工程得到了快速发展，HIS系统也在全国各大医院广泛应用。但是，随着信息技术在各类医疗机构大行其道之时，也给各医疗机构各信息系统的技术管理提出了更高的要求。虽然各医院采取了许多措施加强对医院信息系统的管理，但由于多方面的原因，医院信息中心已成为医药购销领域商业贿赂的重点科室。特别是在医疗卫生行业的药品、器械销售竞争日益激烈的大背景下，采用不正当的技术手段渗透到医疗卫生行业中来，一些医院内部工作人员与医药营销人员内外勾结，私自进行处方统计的行为，阻碍了医疗卫生事业的改革和发展。医院的用药信息泄漏给医药营销人员以此来获取经济利益的商业贿赂行为，这种行为的存在不仅严重干扰了正常的医疗秩序，而且也增加了患者的经济负担，不利于和谐医患关系的建设。从已发生的商业贿赂案件来看，医药代表通过医院信息中心工作人员的“统方”来掌握某个药品医生每个月的实际处方量，是“统方”主要渠道。 同时，卫生部、中医药管理局针对部分医务人员开单提成、收受“红包”、药品回扣等消极腐败现象和不正之风，发布了《关于建立健全防控医药购销领域商业贿赂长效机制的工作方案》、《关于开展医药购销领域不正当交易行为自查自纠工作的指导意见》，并成立了治理商业贿赂领导小组在全国范围内开展治理商业贿赂专项工作。为此，一场医疗行业的反商业贿赂风暴，已经逐步深入开展。在信息化条件下，部署数据库审计产品，防范医药卫生行业中各从业人员利用计算机进行职务犯罪的问题，解决行业中审计手段隐蔽、不易取证等困难，成为医疗卫生行业信息化工程中必不可少的组成部分。 需求分析 随着信息技术的发展，XXX已经建立了比较完善的信息系统，数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露，轻则造成企业或者社会的经济损失，重则影响企业形象甚至社会安全。 通过对XXX的深入调研，XXX面临的安全隐患归纳如下： 内部人员面临的安全隐患 随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。 第三方维护人员的威胁 企业在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地管控设备厂商和代维人员的操作行为，并进行严格的审计是企业面临的一个关键问题。 最高权限滥用风险 因为种种历史遗留问题，并不是所有的信息系统都有严格的身份认证和权限划分，权限划分混乱，高权限账号（比如DBA账号）共用等