【汉领数据库监控审计系统】金融行业解决方案

发布时间：2017-11-21

一、背景
　　金融行业是现代服务业的重要组成部分，它通过沟通整个社会的经济活动而成为现代经济的核心。近年来，随着金融信息化进程的不断推进，信息技术在金融业务中起着越来越重要的作用，越来越多的金融业务流程依赖信息技术。现代金融行业在组织结构、业务流程、业务开拓以及客户服务等方面，日益体现出以知识和信息为基础的特征。但随着信息系统在金融行业业务运营中的作用越来越重要，金融行业信息系统所面临的威胁和风险也越来越大。在网络传输中的大量金融交易数据，以及所涉及的公民和机构的个体资金信息，必然引来外部黑客或不法分子虎视眈眈，巨大的商业利益驱使让内部违规或犯罪事件逐年大幅提升。

　　而数据库作为金融行业信息系统的核心和基础，承载着越来越多的关键业务系统，整个业务流程过程中的操作、数据的变更、新增、删除都存储在数据库中，保存着客户的个人以及资金等各类信息。信息一旦被篡改或者泄露，不仅损害到公民自身利益，机构的品牌形象，甚至影响到公共秩序和国家利益。所以对数据库的保护是一项必须的，关键的，重要的工作任务。

二、合规性要求
　　在《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》中对数据库安全审计做出了明确的要求：
●审计范围应覆盖到服务器的每个数据库用户;
●审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全相关事件;
●审计记录应包括事件的日期、时间、类型、主体标识(账号)、客体标识(数据库表级、数据库字段级)和结果等;
●应能根据记录数据进行分析，并生成审计报表;
●应保护审计进程，避免受到未预期的中断;

●应保护审计记录，避免受到未预期的删除、修改或覆盖等。

　　在《GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求》中对数据库安全审计做出了明确的要求：
●建立独立的安全审计系统;
●定义与数据库安全相关的审计事件;
●设置专门的安全审计员;
●设置专门用于存储数据库系统审计数据的安全审计库;

●提供适用于数据库系统的安全审计设置、分析和查阅的工具。

　　在SOX法案中，依据COBIT建立企业信息技术内部控制，其中对数据库安全审计做出了明确的要求：
●对企业内部敏感数据的存取行为审计
●对数据的DML操作行为审计
●对数据表的DDL操作行为审计
●出现的账号登录失败、SQL访问关键错误等异常情况审计

●对账号和角色的操作行为，例如Grant、Revoke等命令的审计

　　2008年5月22日，有中国SOX法案之称的《企业内部控制基本规范》由财政部、证监会、审计署、银监会、保监会联合制定并发布，2010年4月26日，在基本规范的基础上发布了《企业内部控制配套指引》，对安全审计做出了以下要求：
●企业应当对必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。

●企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。

　　针对金融行业，国家监管部门也推出行业标准、法规及指引，对数据库安全提出了明确的要求。
●中国人民银行发布了《网上银行系统信息安全通用规范》(JR/T 0068-2012)行业标准
●银监会发布《商业银行信息科技风险管理指引》、《电子银行业务管理办法》，《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》；

全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》；

三、汉领数据库监控审计系统解决方案
　　现有的数据库自身审计方式，拥有诸多弊端，比如：开启数据库自身的审计功能将大大影响数据库的性能；记录信息的可读性差以及日志不具备第三方独立性，可以被系统管理员删除；记录粒度不够，无法记录超长SQL语句以及变量绑定等诸多问题，并不能保证数据库审计数据的完整性和准确性。

　　汉领数据库监控审计系统采用当今最先进的网络数据分析技术——流技术，加之全协议解码，解决了数据库审计最基本的“协议解码”问题，创新突破的IO存储模式，成功推出了业界领先的流技术数据库审计系统——数据库风险分析与安全监控系统，为金融行业的数据库安全审计提供最先进的解决方案。

1、“细粒度”数据库审计

　　完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程、函数、SQL DML操作影响行数、SQL语句执行时间、原始数据库记录包等。

2、覆盖主流商用数据库

　　覆盖主流商用数据库，包括：Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本、Mysql所有版本。

3、应用数据审计
　　审计系统在流技术、深度全解码的基础上，通过SQL语句和变量绑定的完整审计，可以重溯整个业务流程，追踪信息的来龙去脉。
●业务帐号审计：业务系统账号、网银帐号、流水帐号、银行卡号、手机号、邮箱帐号等。

●业务操作审计：业务操作：登录(login)、查询(select)、添加(insert)、删除(delete/drop)、修改(update)、登出(logout)等。

4、高精细度告警策略
　　提供完善的违规实时告警，包括异常告警、策略告警等；告警信息可根据数据库地址、数据库名称、访问源IP地址、高危SQL命令、客户端网络地址、客户端应用程序、数据库用户名称、客户端主机名称、客户端系统名称、SELECT返回值以及数据库表组（关键表名、组名）等信息进行组合配置；

　　多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过WEB告警、邮件告警等方式通知数据库管理员。

5、灵活生成审计报表
　　数据库访问可根据数据库地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等排序、统计和报表，可生成年报、季报、月报、周报和日报，可对特定数据库、用户名称等进行报表统计；

　　能够形成符合等级保护、SOX法案等法规符合性的综合报表。统计报表以饼状图、柱状图、表格形式输出，统计结果支持HTML、PDF、EXCEL格式导出。

6、系统监控
完善的性能监控，实时呈现运行指标：
●对审计系统自身性能的监控（CPU使用率、内存使用率和接口速率）；

●对数据库性能的监控（网络流量、数据包数量、突发链接数、并发连接数、SQL语句数）。

7、全文检索功能

　　通过多级优化索引结构化存储技术，解决海量存储问题。通过细粒度的过滤条件，在海量数据中快速定位审计日志。

8、权职分离

《计算机信息系统安全等级保护数据库管理技术要求》、《企业内部控制规范》、SOX法案或PCI等法案法规中明确要求职责分离，DbXpert提供超级管理员、资产管理员和审计管理员三权分立；支持角色按模块灵活授权。

四、部署图例