某涉密单位数据库审计联动运维审计应用实例

　　在大数据时代的战场上，数据就是激活体系的血液。如何确保海量信息数据的安全，已经成为维护国家安全的核心命题。在此背景下，本文深入探讨了首次将数据库审计与运维审计联动阻断落地于某涉密单位的项目实例。

客户简介

　　该涉密单位核心业务大数据系统集成了多种数据库类型，如非关系型数据库(Hbase，Solr)与关系型数据库(Oracle，MySQL等)，汇聚了海量的敏感数据，具有流量大、业务连续性要求高、可靠性要求高的特点。而数据库系统是一个复杂而又关键的系统，伴随着数据库信息价值以及可访问性的提升，数据库所面对的来自内部和外部的安全风险大大增加，急需加强对敏感数据的监管和防护。

　面临的数据安全挑战问题

　　1、网络结构复杂，难“审计”

　　在三层架构中，应用服务器与数据库之间部署有CA安全网关，终端通过令牌加密后在CA网关处解密后再访问数据库，在当前的网络环境下无有效安全管控手段。

　　2、多源、多元的数据类型，解析难度大

　　部分系统已集中部署于基于VMware的虚拟化平台中，目前数据库类型主要有Oracle、Sorl、Hbase等。来源于不同系统的数据汇聚，从内容到形式的多样性导致数据解析难度加大，对数据库审计提出了更高要求。

　　3、 大数据平台缺乏针对第三方人员的安全管控

　　第三方外包人员、系统厂商人员等外部人员可利用接触核心数据库的机会下载、批量抓取数据记录，以此倒卖牟利。

　　4、大数据环境下，多地数据共享，难以防止非法导出

　　大数据环境中多地数据共享，真实的储存位置不可知，难以防止敏感数据被非法导出。

　　5、合法身份的人员难以监控

　　具有合法身份的人员通过正规访问途径，随意查询、非法窃取敏感数据，该行为难以被察觉。

用户的数据安全建设要求

　　1、防止第三方外部人员违规获取敏感数据;

　　2、防止以合法身份访问数据库，窃取敏感数据;

　　3、防止最高权限滥用;

　　4、防止重要数据被删改;

　　5、防止非授权用户，利用漏洞进行攻击，窃取敏感数据。

方案及效果

　　该项目是数据库安全行业中首次将数据库审计与运维审计联动阻断落地，实现了大数据运维安全管控。审计系统由基础层、引擎层、业务层和接口管理层组成，具备全独立双向审计模式、全跟踪细腻度审计，可实时监控来自各个层面的所有数据库连接。

　　1、采用昂楷数据库审计与运维审计组合方案，两者相互弥补，可实现有效的安全联动。多方位监测大数据的安全，对数据库的所有操作都需经过运维审计系统，再通过运维安全审计可阻断对数据的导出操作。这是该方案的重要功能，可以实时保护核心数据库免遭各种非法行为和破坏。

　　2、整个方案通过建立安全审计体系弥补目前安全防御能力的短板，对核心数据的访问操作事前规划预防，事中实时监视、违规行为响应，事后合规报告、事故追踪溯源，可全面监控多用户及其各种访问方式，如Hue操作、Hive工具等。

　　3、满足内部管理控制与数据安全的实际需求，加强了内部运维操作行为监管，集中运维解决了交叉运维、账号共享所带来的安全问题。第三方人员、内外部运维人员的行为得到了有效管控，可有效避免核心资产数据损失，保障数据安全。

　　4、通过审计系统高级组合规则可识别合法用户做非法的事，可对合法身份的人员通过正常手段批量导出数据的行为进行有效管控。

　　5、实现了对数据库操作风险的实时动态展示与实时预警。准确掌握数据库系统的安全状态，及时发现违反数据库安全策略的事件并实时告警、记录。

　　某涉密单位通过部署专业的昂楷数据库安全审计系统，有效监控数据库访问行为，保障单位数据库安全，从技术层面筑牢大数据的安全防线。