数据库审计系统需求说明

XXX项目数据库审计系统技术建议书北京启明星辰信息技术有限公司Venus Information Technology(Beijing)二零一零年十月目次1.综述 (1)2.需求分析 (2)2.1.内部人员面临的安全隐患 (2)2.2.第三方维护人员的威胁 (2)2.3.最高权限滥用风险 (2)2.4.违规行为无法控制的风险 (3)2.5.系统日志不能发现的安全隐患 (3)2.6.系统崩溃带来审计结果的丢失 (3)3.审计系统设计方案 (3)3.1.设计思路和原则 (3)3.2.系统设计原理 (5)3.3.设计方案及系统配置 (6)3.4.主要功能介绍 (7)3.4.1.数据库审计 (7)3.4.2.网络运维审计 (8)3.4.3.OA审计 (9)3.4.4.数据库响应时间及返回码的审计 (9)3.4.5.业务系统三层关联 (9)3.4.6.合规性规则和响应 (10)3.4.7.审计报告输出 (12)3.4.8.自身管理 (13)3.4.9.系统安全性设计 (13)3.5.负面影响评价 (14)3.6.交换机性能影响评价 (15)4.资质证书 (16)1.综述随着计算机和网络技术发展，信息系统的应用越来越广泛。

数据库做为信息技术的核心和基础，承载着越来越多的关键业务系统，渐渐成为商业和公共安全中最具有战略性的资产，数据库的安全稳定运行也直接决定着业务系统能否正常使用。

另外，随着计算机技术的飞速发展，计算机技术也越来越广泛地被应用在医院管理的各个方面。

在国家对医疗卫生行业投入不断增加的大背景下，以“金卫工程”为代表的医疗卫生行业信息化工程得到了快速发展，HIS系统也在全国各大医院广泛应用。

但是，随着信息技术在各类医疗机构大行其道之时，也给各医疗机构各信息系统的技术管理提出了更高的要求。

虽然各医院采取了许多措施加强对医院信息系统的管理，但由于多方面的原因，医院信息中心已成为医药购销领域商业贿赂的重点科室。

北信源数据库审计系统VRV DBAS产品简介北京北信源软件股份有限公司2012年04月1版权声明本手册的所有内容，其版权属于北京北信源软件股份有限公司（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

2目录1.产品优势（ADVANTAGE） (4)2.产品概述（PRODUCT SUMMARY） (5)3.系统架构(SYSTEM ARCHITECTURE) (6)4.产品功能(PRODUCT FUNCTIONS) (7)5.典型应用（TYPICAL APPLICATIONS） (15)6.产品规格(PRODUCT SPECIFICATION) (16)31.产品优势（Advantage）采用分体式组件化设计VRV-DBAS采用分体式组件化的设计理念，将整个系统划分为五大模块，各模块之间采用低耦合的方式进行设计，可以有效的对模块进行功能划分，各模块之间互不影响，同时又可以协同工作。

采用分体式组件化的设计方式不仅可以合理利用系统资源，避免系统自身资源瓶颈，使得整个系统能以最优的性能运行，同时还可以方便的对整个系统进行扩展，最大化的满足使用者的需求。

海量数据离线审计大容量的数据库系统通常会有海量的数据操作，这就要求数据库审计系统有大容量的存储空间以方便随时检索历史的操作记录。

VRV-DBAS充分考虑了实际使用中的系统环境，采用高压缩比的文件型审计日志备份技术，使审计日志能够方便地长期保存，并且能够在事后随时按需导入进行解析查询。

数据库审计招标参数一、背景介绍二、审计功能需求1.数据库监控：能够对数据库进行全面监控，包括对数据库的访问、操作、变更等进行实时记录和跟踪。

2.审计报告：生成详细的审计报告，包括已审计的操作记录、异常操作等，以便对数据库的安全性进行评估和改进。

3.数据库安全策略：支持制定和执行数据库的访问控制策略，包括权限管理、密码策略等，确保只有合法授权的用户可以对数据库进行操作。

4.异常检测预警：能够实时检测和识别异常操作行为，并通过邮件、短信等方式发送预警消息，以便及时采取相应的应对措施。

5.数据一致性验证：支持对数据库进行数据一致性的验证，包括数据的完整性、及时性、准确性等方面，以确保数据库中的数据是可信的。

6.数据库备份和恢复：支持数据库的定期备份和紧急恢复，以保证数据库的可用性和业务的连续性。

三、性能需求1.数据库性能影响低：数据库审计的过程对数据库性能的影响应该尽量降到最低，以保证正常的数据库操作不受影响。

2.高并发支持：支持对大规模的数据库进行并发审计，以保证能够满足企业高并发的数据操作需求。

3.实时性能：审计系统需要能够实时监控和记录数据库操作，确保对数据库的审计是及时的，能够及早发现和处理异常操作。

四、技术要求1. 兼容性：支持与各种主流数据库系统的兼容，包括但不限于Oracle、MySQL、SQL Server等。

2.安全性：支持数据库操作的加密传输，确保数据在传输过程中不会被篡改或泄露。

3.可扩展性：能够根据企业发展的需要，进行功能扩展和升级，支持更多的数据库和用户。

4.可靠性：数据库审计系统需要具备高可靠性，能够保证数据的安全性和完整性，避免数据丢失或损坏。

5.易用性：操作简便、界面友好的数据库审计系统，能够提供直观的操作方式和详细的用户文档。

五、其他要求1.技术支持：提供全面的技术支持和维护服务，包括软件更新、故障排除等，在系统使用过程中能够及时解决各类问题。

2.培训服务：提供相关的培训服务，培训企业用户熟悉和使用数据库审计系统，确保其能够充分发挥其作用。

审计功能是数据库管理系统安全性重要的一部分。

通过审计功能，凡是与数据库安全性相关的操作均可被记录下来。

只要检测审计记录，系统安全员便可掌握数据库被使用状况。

例如，检查库中实体的存取模式，监测指定用户的行为。

审计系统可以跟踪用户的全部操作，这也使审计系统具有一种威慑力，提醒用户安全使用数据库。

审计系统的构成∙Sybsecurity 数据库∙存放在Sybsystempocs中的一组系统存储过程∙Master库中的配置选项∙内存审计队列∙审计处理程序Sybsecurity数据库Sybsecurity库是SQLServer审计系统的基础，它是由审计系统的安装程序Sybinit 来建立的，除包括Model库中所有表之外，还另有两张系统表。

∙Sysaudits 审计记录表。

所有审计信息均被记载在这个表中∙Sysauditoptions 审计选择设置记录系统存储过程：支持审计系统的操作，设置审计内容及审计功能Master库的配置选项设置内存审计列队大小内存审计队列当定义的审计事件发生时，审计记录首先被放在内存审计队列，在它被审计处理程序存放审计记录之前，将一直存在这里。

如果系统发生故障，内存审计队列记录可能丢失。

内存审计队列溢出会影响整个系统的性能。

当审计队列没有空间时，如果用户执行一个被定义的审计的操作，那么审计处理程序将进入一种睡眠状态，等待有足够的内存空间才运行用户的命令。

内存审计队列空间可由sp-configure来设置，参数为audit queue size 。

审计数据流图1.用户将要在TableA中插入记录，Insert已被定义为审计事件。

2.检查操作权限，关于这条命令和处理的信息被记录在内存审计队列。

3.审计处理过程被调度的，将内存审计队列的信息写入Sybsecurity库的Sysaudits表中。

4.审计信息被存在Sysaudit表中，这些信息随系统运输愈来愈多，如果需要的话，可将这些数据倒到另外一个表中存放起来，或挎贝到磁带上存放。

数据库审计系统项目需求书项目名称：数据库审计系统一、系统概述数据库审计系统主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，能对特定的操作进行告警，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。

二、采购清单本次招标采购的软硬件以及配套设备如下表：三、系统建设目标（一）系统目标建设适应未来发展和管理需要的、功能完善、架构合理、技术先进的数据库审计系统，实现信息科技运行安全、数据安全，方便快捷地实现对各个数据库操作实时监控，提高运行安全性，满足监管要求。

（二）安全目标系统安全架构和流程设计必须符合我行相关业务规范、技术规范和安全规范，符合国家密码管理局和人民银行、银保监会等监管机构的安全性要求，保证所采取的安全措施符合相关法律法规的规定。

系统应具有数据传输及存储过程中的可靠性、完整性、可用性、机密性、可审计性，确保客户信息的安全。

系统应具有完备的安全控管功能和审计功能，能够记录自身运行的日志信息，能够对系统操作员的操作记录进行审计。

四、功能需求（一）总体要求数据库审计系统建设应遵循以下原则进行设计和实现：1.系统化：系统功能全面、完善，各个环节应有机结合形成统一的整体。

2.成熟性：选用成熟的系统，能够满足大部分的技术要求，结合监管、审计以及我行实际的需求形成完善的数据库审计系统。

3.稳定性：系统各项功能模块运行应稳定可靠，各项流程模块、报告的结果及时准确无误，用户操作流畅，与被监控的第三方系统不产生负面影响。

4.可配置：运维服务的流程简易功能以及报表等均可由用户自行设置。

5.可扩展、易集成：系统的功能和部署范围应具有根据招标方需求进行扩展的能力。

6.安全性：系统的安全性应达到招标方安全管理的规范要求，并在实施过程中做好安全保障措施和应急准备，确保方案优良和建设过程顺利。

7.自动化：能自动发现现有数据库的信息，能自动监控数据库操作，自动推送相关信息并能够自动向特定用户发送消息或邮件。

等保2.0之数据库审计系统技术方案建议书目录1 概述 (3)1.1 内部安全隐患 (3)1.2 法律法规监管 (3)2 ××企业网络数据库安全分析 (3)2.1 ××企业网络数据库安全现状 (4)2.2 ××企业网络数据库业务流分析 (4)2.3 ××企业网络数据库安全问题与分析 (4)2.4 ××企业网络数据库安全需求 (4)3 XX数据库安全解决方案 (5)3.1 ××企业数据库安全解决方案 (5)3.1.1 数据库审计部署方案 (5)4 数据库安全解决方案特点 (6)4.1 ××企业数据库审计解决方案优点 (6)5 数据库审计系统系统功能介绍 (6)5.1 系统简介 (6)5.2 功能特点 (7)5.2.1 协议的全面支持 (7)5.2.2 完备的策略配置 (8)6 数据库审计系统系统产品介绍 (8)6.1 产品说明 (8)6.2 产品特点 (8)7 XX公司服务 (9)7.1 服务理念 (9)7.2 服务内容 (9)7.3 服务保障 (10)1 概述随着信息化技术的发展，越来越多的政府、企事业单位通过信息系统实现办公和重要数据的存储，极大提高了办公效率。

同时，数据也成为各行业的核心资产，数据库系统作为数据的主要承载体，是商业和公共安全中最具战略性的资产，数据库系统的安全稳定运行也直接决定着一个单位业务系统运行的安全性，因此数据库安全尤为重要。

1.1 内部安全隐患随着企业的业务系统变得日益复杂，内部工作人员、第三方运维高权限人员都会成为系统安全的隐患。

内部人员缺乏监管，操作不规范，缺乏对第三方运维人员的权限控制；高权限账号的共用、滥用，已经成为信息泄露的重要途径。

根据统计资料，对企业造成严重攻击中的70％是来自于组织里的内部人员。

1.2 法律法规监管国家和企业意识到了网络安全、数据泄露问题迫在眉睫。

数据库安全审计方案的说明书1. 引言数据库是现代企业管理中不可或缺的一部分，其中包含了大量的敏感信息和关键业务数据。

然而，由于各种原因，数据库面临着来自内部和外部的威胁。

为了确保数据库的安全性，采取数据库安全审计是必不可少的措施。

本文将详细介绍一个有效的数据库安全审计方案。

2. 安全审计目标在开始审计之前，我们需要明确审计的目标。

数据库安全审计的主要目标包括：- 检测潜在的安全漏洞和风险；- 监控数据库的安全配置和策略；- 跟踪和记录对数据库的所有操作；- 分析和报告异常活动并及时采取措施。

3. 审计工具选择适当的审计工具对于实施有效的数据库安全审计至关重要。

以下是一些常用的审计工具：- 数据库审计日志：现代数据库管理系统通常提供审计日志功能，可以记录所有数据库操作的详细信息。

- 安全信息和事件管理系统（SIEM）：SIEM可以集中管理和监控数据库审计日志，并利用自动化、实时报警和分析功能来识别潜在的安全威胁。

- 数据库安全评估工具：这些工具可以对数据库进行系统性的安全评估，识别漏洞和弱点，并提供改进建议。

4. 审计策略制定合适的审计策略对于数据库安全审计的成功至关重要。

以下是一些关键的审计策略：- 确定审计的频率和持续时间：根据业务需求和风险评估，确定审计的频率，如每日、每周或每月，并决定审计的持续时间。

- 定义审计范围：明确需要审计的数据库和关键数据表，以及需要监控的操作，如数据库登录、查询、修改和删除操作等。

- 设置审计日志记录级别：根据需求和性能考虑，确定审计日志记录的详细程度，如记录所有操作、只记录异常操作等。

- 保护审计日志的完整性：采取措施确保审计日志的完整性和不可篡改性，如加密、数字签名或将日志存储在安全的位置。

- 建立审计报告和警报机制：根据需求和管理层要求，建立定期生成审计报告和实时警报机制。

5. 审计流程为了确保审计的高效和有效，制定清晰的审计流程是必要的。

以下是一个典型的数据库安全审计流程：- 收集和分析审计日志：收集数据库审计日志并使用合适的工具进行分析，以识别异常活动和潜在威胁。