數據庫安全面臨的挑戰

當今的電信企業在IT信息安全領域面臨比以往更為復雜的局面，這既有來自于電信企業外部的層出不窮的入侵和攻擊，也有來自于電信企業內部的違規和泄漏。由于電信業務系統眾多(如：OSS、BSS、MSS、銷賬、EIP、OCS、財務、營銷支撐、計費結算等)，數據庫用戶較多，涉及數據庫管理員、內部員工、營業廳及合作方人員等，因此網絡管理更加復雜，電信數據庫面臨的主要安全威脅與風險總結如下：

數據庫賬戶和權限的濫用

數據庫自身日志審計的缺陷

數據庫與業務系統無法關聯分析

數據庫自身存在問題

系統的運維工作存在隱患

同時中國電信《CTG-MBOSS 安全規范總冊》、《企業內部控制規范----基本規范的內部審計機制》以及《電信網與互聯網安全等級保護實施指南》、《移動通信網安全防護要求》的相關要求，安全審計是必不可少的一項。

安恒的解決方案

安恒信息根據電信用戶實際需求進行分析得出，從業務連續性及整體性的安全角度出發建設電信行業的數據庫審計平臺并結合專業的安全服務，能夠為電信用戶的數據庫安全提供強有力的技術支撐和安全保障。平臺部署如下圖：

整個審計平臺主要解決了以下幾個方面內容：

采用靜態審計實現數據庫自身安全隱患的審計

數據庫靜態審計的目的是代替繁瑣的手工檢查,預防安全事件的發生。依托其權威性的數據庫安全規則庫，自動完成對幾百種不當的數據庫不安全配置、潛在弱點、數據庫用戶弱口令、數據庫軟件補丁、數據庫潛藏木馬等等靜態審計，通過靜態審計，可以為后續的動態防護與審計的安全策略設置提供有力的依據。

采用數據庫實時審計解決數據庫操作中的細粒度審計

采用了細粒度的審計策略對操作與訪問進行全監控

實現了針對所有帳戶對數據庫訪問與操作的全面監測審計

加強了對數據庫臨時帳戶的審計監測審計

加強了針對重要敏感數據的訪問的審計監測

提供了詳細的數據庫審計記錄及分類統計

實現了數據庫異常操作監測報警

彌補了數據庫系統內置日志審計的缺陷

通過堡壘主機實現對所有遠程操作的行為監測

堡壘主機-基于網絡、透明方式工作，不影響網絡結構和業務系統，可以對操作進行回放和檢索查詢，并提供開放的數據和管理接口，幫助構建全面的審計平臺，對所有遠程操作維護實現了全面的審計。

應用系統與數據庫操作進行關聯，有效解決操作行為的追溯

在三層或多層的應用架構中，用戶通過WEB服務器實現對數據庫的訪問，傳統的數據庫審計系統只能審計到WEB 服務器的相關信息，無法識別是哪個原始訪問者發出的請求。明御應用及數據庫深度防御審計系統通過應用層訪問和數據庫操作請求進行多層業務關聯審計，實現訪問者信息的完全追溯，包括：操作發生的URL、客戶端的IP、請求報文等信息，通過多層業務關聯審計更精確地定位事件發生前后所有層面的訪問及操作請求，使管理人員對用戶的行為一目了然，真正做到數據庫操作行為可監控,違規操作可追溯。

安全服務內容：

本著準確、深度、全面地專業精神，結合現場安全檢查、遠程漏洞掃描、配合滲透測試、黑白盒檢測等多種安全評估手段，有效發現當前系統中存在的安全隱患，并結合其豐富的安全經驗和專業的安全服務技術，對所存在的安全問題進行了點對點的技術整改和安全加固。有效地解決了電信業務系統及數據庫存在的安全漏洞，有效防范了不法分子進行惡意攻擊和入侵。

解決方案優勢

通過對電信業務系統及數據庫的安全評估和檢查，有效地解決目前面臨的安全隱患，降低了不法分子惡意攻擊和入侵的機率。

通過對數據庫操作以及主機遠程操作全方位的審計解決了電信行業目前面臨的數據庫安全隱患；

通過數據庫全業務的審計，能夠在應用和數據庫無影響條件下,實現用戶需要的數據實時審計功能；

通過獨特的專業技術,實現對信息從內部和外部的全面保護,防止外部的惡意操作和內部的數據竊取、誤操作、惡意操作；

通過敏感信息的特別監控,實現對系統內部保密數據的保護；

支持專業要求的(中國電信CTG-MBOSS、等級保護、SOX、ISO、PCI)的詳盡、全面、合規化的審計功能；

便于大規模部署，支持電信行業的數據大集中的管理方式。