金融行业数据库审计系统解决方案.docxVIP

金融行业数据库审计系统解决方案

金融行业是现代服务业的重要组成部分，它通过沟通整个社会的经济活动而成为现代经济的核心。近年来，随着金融信息化进程的不断推进，信息技术在金融业务中起着越来越重要的作用，越来越多的金融业务流程依赖信息技术。现代金融行业在组织结构、业务流程、业务开拓以及客户服务等方面，日益体现出以知识和信息为基础的特征。但随着信息系统在金融行业业务运营中的作用越来越重要，金融行业信息系统所面临的威胁和风险也越来越大。在网络传输中的大量金融交易数据，以及所涉及的公民和机构的个体资金信息，必然引来外部黑客或不法分子虎视眈眈，巨大的商业利益驱使让内部违规或犯罪事件逐年大幅提升。

而数据库作为金融行业信息系统的核心和基础，承载着越来越多的关键业务系统，整个业务流程过程中的操作、数据的变更、新增、删除都存储在数据库中，保存着客户的个人以及资金等各类信息。信息一旦被篡改或者泄露，不仅损害到公民自身利益，机构的品牌形象，甚至影响到公共秩序和国家利益。所以对数据库的保护是一项必须的，关键的，重要的工作任务。

合规性要求

在《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》中对数据库安全审计做出了明确的要求：

?审计范围应覆盖到服务器的每个数据库用户;

?审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全相关事件;

?审计记录应包括事件的日期、时间、类型、主体标识(账号)、客体标识(数据库表级、数据库字段级)和结果等;

?应能根据记录数据进行分析，并生成审计报表;

?应保护审计进程，避免受到未预期的中断;

?应保护审计记录，避免受到未预期的删除、修改或覆盖等。

在《GB/T20273-2006信息安全技术数据库管理系统安全技术要求》中对数据库安全审计做出了明确的要求：

?建立独立的安全审计系统;

?定义与数据库安全相关的审计事件;

?设置专门的安全审计员;

?设置专门用于存储数据库系统审计数据的安全审计库;

?提供适用于数据库系统的安全审计设置、分析和查阅的工具。

在SOX法案中，依据COBIT建立企业信息技术内部控制，其中对数据库安全审计做出了明确的要求：

?对企业内部敏感数据的存取行为审计

?对数据的DML操作行为审计

?对数据表的DDL操作行为审计

?出现的账号登录失败、SQL访问关键错误等异常情况审计

?对账号和角色的操作行为，例如Grant、Revoke等命令的审计

2008年5月22日，有中国SOX法案之称的《企业内部控制基本规范》由财政部、证监会、审计署、银监会、保监会联合制定并发布，2010年4月26日，在基本规范的基础上发布了《企业内部控制配套指引》，对安全审计做出了以下要求：

?企业应当对必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。

?企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。

针对金融行业，国家监管部门也推出行业标准、法规及指引，对数据库安全提出了明确的要求。

?中国人民银行发布了《网上银行系统信息安全通用规范》(JR/T0068-2012)行业标准

?银监会发布《商业银行信息科技风险管理指引》、《电子银行业务管理办法》，《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》；

?全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》；

帕拉迪DbXpert解决方案

现有的数据库自身审计方式，拥有诸多弊端，比如：开启数据库自身的审计功能将大大影响数据库的性能；记录信息的可读性差以及日志不具备第三方独立性，可以被系统管理员删除；记录粒度不够，无法记录超长SQL语句以及变量绑定等诸多问题，并不能保证数据库审计数据的完整性和准确性。

帕拉迪DbXpert采用当今最先进的网络数据分析技术——流技术，加之全协议解码，解决了数据库审计最基本的“协议解码”问题，创新突破的IO存储模式，成功推出了业界领先的流技术数据库审计系统——数据库风险分析与安全监控系统，为金融行业的数据库安全审计提供最先进的解决方案。

1、“细粒度”数据库审计

完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段