电信行业数据库安全审计解决方案

数据库安全面临的挑战

当今的电信企业在IT信息安全领域面临比以往更为复杂的局面，这既有来自于电信企业外部的层出不穷的入侵和攻击，也有来自于电信企业内部的违规和泄漏。由于电信业务系统众多(如：OSS、BSS、MSS、销账、EIP、OCS、财务、营销支撑、计费结算等)，数据库用户较多，涉及数据库管理员、内部员工、营业厅及合作方人员等，因此网络管理更加复杂，电信数据库面临的主要安全威胁与风险总结如下：

• 数据库账户和权限的滥用
• 数据库自身日志审计的缺陷
• 数据库与业务系统无法关联分析
• 数据库自身存在问题
• 系统的运维工作存在隐患

同时中国电信《CTG-MBOSS 安全规范总册》、《企业内部控制规范----基本规范的内部审计机制》以及《电信网与互联网安全等级保护实施指南》、《移动通信网安全防护要求》的相关要求，安全审计是必不可少的一项。

安恒的解决方案

安恒信息根据电信用户实际需求进行分析得出，从业务连续性及整体性的安全角度出发建设电信行业的数据库审计平台并结合专业的安全服务，能够为电信用户的数据库安全提供强有力的技术支撑和安全保障。平台部署如下图：

整个审计平台主要解决了以下几个方面内容：

采用静态审计实现数据库自身安全隐患的审计

数据库静态审计的目的是代替繁琐的手工检查,预防安全事件的发生。依托其权威性的数据库安全规则库，自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等静态审计，通过静态审计，可以为后续的动态防护与审计的安全策略设置提供有力的依据。

采用数据库实时审计解决数据库操作中的细粒度审计

• 采用了细粒度的审计策略对操作与访问进行全监控
• 实现了针对所有帐户对数据库访问与操作的全面监测审计
• 加强了对数据库临时帐户的审计监测审计
• 加强了针对重要敏感数据的访问的审计监测
• 提供了详细的数据库审计记录及分类统计
• 实现了数据库异常操作监测报警
• 弥补了数据库系统内置日志审计的缺陷

通过堡垒主机实现对所有远程操作的行为监测

堡垒主机-基于网络、透明方式工作，不影响网络结构和业务系统，可以对操作进行回放和检索查询，并提供开放的数据和管理接口，帮助构建全面的审计平台，对所有远程操作维护实现了全面的审计。

应用系统与数据库操作进行关联，有效解决操作行为的追溯

在三层或多层的应用架构中，用户通过WEB服务器实现对数据库的访问，传统的数据库审计系统只能审计到WEB 服务器的相关信息，无法识别是哪个原始访问者发出的请求。明御应用及数据库深度防御审计系统通过应用层访问和数据库操作请求进行多层业务关联审计，实现访问者信息的完全追溯，包括：操作发生的URL、客户端的IP、请求报文等信息，通过多层业务关联审计更精确地定位事件发生前后所有层面的访问及操作请求，使管理人员对用户的行为一目了然，真正做到数据库操作行为可监控,违规操作可追溯。

安全服务内容：

本着准确、深度、全面地专业精神，结合现场安全检查、远程漏洞扫描、配合渗透测试、黑白盒检测等多种安全评估手段，有效发现当前系统中存在的安全隐患，并结合其丰富的安全经验和专业的安全服务技术，对所存在的安全问题进行了点对点的技术整改和安全加固。有效地解决了电信业务系统及数据库存在的安全漏洞，有效防范了不法分子进行恶意攻击和入侵。

解决方案优势

• 通过对电信业务系统及数据库的安全评估和检查，有效地解决目前面临的安全隐患，降低了不法分子恶意攻击和入侵的机率。
• 通过对数据库操作以及主机远程操作全方位的审计解决了电信行业目前面临的数据库安全隐患；
• 通过数据库全业务的审计，能够在应用和数据库无影响条件下,实现用户需要的数据实时审计功能；
• 通过独特的专业技术,实现对信息从内部和外部的全面保护,防止外部的恶意操作和内部的数据窃取、误操作、恶意操作；
• 通过敏感信息的特别监控,实现对系统内部保密数据的保护；
• 支持专业要求的(中国电信CTG-MBOSS、等级保护、SOX、ISO、PCI)的详尽、全面、合规化的审计功能；
• 便于大规模部署，支持电信行业的数据大集中的管理方式。