没有审计系统就没有数据库安全

本文讲的是没有审计系统就没有数据库安全,数据库系统作为三大基础软件之一并不是在计算机诞生的时候就同时产生的,随着信息技术的发展,用户对数据的共享提出了越来越高的要求,传统文件系统已经不能满足人们的需要,1961年,美国通用电气公司成功开发了世界上第一个数据库系统IDS(Integrated Data Store),奠定了数据库的基础,并在当时得到了广泛的发行和应用。经过几十年的发展和实际应用,技术越来越成熟和完善,代表产品有甲骨文公司的Oracle、IBM公司的DB2、微软公司的MS-SQL Server等等。

  数据库系统在企业管理等领域具有广泛的应用,如ERP系统、计费系统、经分系统等等,数据库系统作为应用系统的核心,承载了企业运营的关键数据,是企业核心IT资产之一。长期以来,在保障业务连续性和性能的前提下,最大限度的保障数据库安全一直是数据库管理人员、安全管理人员孜孜不倦追求的安全目标。

  数据库安全涉及入侵防御、账号管理、访问控制、安全审计、防病毒、评估加固等多个方面,常见的安全产品如UTM、入侵检测、漏洞扫描等产品得到了广泛的应用,为保障数据库系统的正常运行起到了重要作用。但是,通过对安全事件的处理分析,调查人员发现企业内部人员造成的违规事件占了较大比例,究其原因,主要是这些违规行为与传统的攻击行为不同,无法利用攻击机理和漏洞机理进行分析,这导致了这些抵御外部入侵的产品无用武之地,要防止内部的违规行为,就需要在内部建设审计系统,通过对操作行为的分析,实现对违规行为的及时响应和追溯。

  根据Verizon 2009调查报告(基于对2亿8500万次累计破坏行为数据进行分析),数据破坏情况如图一所示:


▲Verizon数据破坏调查表

  从上图可以看到对数据库系统的尝试破坏行为占比在75%左右,为什么针对数据库系统的破坏行为占比最高,主要原因在于:一方面由于数据库系统往往承载关键业务数据,而这些数据牵涉到企业各个方面的信息,从政治、经济而言都具备重要的价值;另一方面由于数据库系统通常比较复杂以及其对连续性、稳定性的高标准要求,安全管理人员在缺乏相关知识的情况下,往往出现想不到、不敢想、不敢动的状况,导致数据库安全管理工作滞后于业务需求的满足。

  实际上,关于数据库系统的安全事件层出不穷,而且有愈演愈烈之势,远有某市双色球开奖数据库被篡改,3305万巨奖险被冒领的案件,近的更有,汇丰银行2.4万账号数据被盗的例子。这些情况,国家相关部门也非常重视,在《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全保护等级基本要求》等相关政策中,对于审计系统也有明确的要求:

  · 应制定能够确保系统安全审计策略正确实施的规章制度及措施

  · 应对重要服务器的访问行为进行审计

  · 应包括事件的日期、时间、类型、主体标识、客体标识和结果等

  · 应定期对审计记录进行审查分析,对可疑行为及违规操作,采取相应的措施,并及时报告

作者:马骏

来源:it168网站

原文标题:没有审计系统就没有数据库安全

时间: 2024-12-21 21:23:54

没有审计系统就没有数据库安全的相关文章

国都兴业网络一体化监控审计系统助力首都电子案例

应用背景 北京市通过"首都之窗"门户网站及"北京市电子政务在线服务平台"提供政务公开和网上事务办理服务.北京市提出建设"数字北京"的概念,通过建设宽带多媒体的信息网络.地理信息系统等基础设 施的平台,整合首都北京的人文.社会.空间.环境.经济.科技.教育等信息资源,建立电子政务.电子商务.科教信息系统,劳动社会保障和信息化社区,逐步实现北京市国民经济和社会的信息化,把北京建设成现代化的国际大都市.目前,北京市各部门中已有人大.政协.市高级法院,各

国都兴业信息审计系统解决方案

一.典型应用  (一)应用说明 网络慧眼信息审计系统能够适用于多种网络环境,通过产品灵活的分布式架构满足用户多样网络环境的部署要求.部署一般采用分流.镜像或者透明网关方式接入网络,采用网络分流器,将大流量根据设定的分流策略分流多个处理设备进行处理. (二)应用图示 (三)成功案例用户名单 新华通讯社 中国人民银行 国家信息技术安全研究中心 国家文化部信息中心 国土资源部信息中心 国家林业局信息中心 中国政监会信息中心 中国互联网信息中心 北京电子政务网络管理中心 北京市东城区政府信息中心 河北省

互联网云审计系统运行机理与评价体系

互联网云审计系统运行机理与评价体系 王帆  聂曼曼 随着互联网的普及,云数据结构的开发和利用将成为审计系统中不可或缺的因素.本文首先对互联网云审计系统进行理论分析,继而从云审计运行层次及过程两个角度探究云审计系统的运行机理,最后构建云审计系统评价体系并运用 AHP 模糊综合评价法进行评估,从而指导审计机构与被审计单位共同建设云审计系统,提高审计工作的效率与效果. 互联网云审计系统运行机理与评价体系

请问公安网的可信边界安全网关、集控探针、集中监控审计系统有哪些公司可以提供解决方案和设备供应。

问题描述 我在网上找到只有天行网安和中宇视通两家公司,大虾们还知道哪些公司啊谢谢 解决方案 解决方案二:不是这个板块该问的问题吧?!

Oracle数据库安全防范:典型问题和解决思路

数据安全是个很广的话题,它包括了网络安全.操作系统安全.应用层安全和数据库安全等.数据安全的目标是敏感数据"看不见",核心数据"拿不走",运维操作"能审计". 常见的安全风险主要有外部攻击和内部威胁两大类: 1.外部的攻击:可能使用的软件漏洞,绕过登录信息,破解密码等方式登录系统;拒绝服务:通过请求有限的资源,如端口分配给未授权用户;未经授权的数据和服务的访问:当一个外部的人通过了认证,就认为是一个内部的人; 2.内部威胁(大部分的错误都是有内部

从顺丰数据泄露事件看我国企业IT系统建设的安全软肋

8月26日,顺丰速递湖南分公司宋某在深圳南山区人民法院受审,被指控罪名为:侵犯公民个人信息罪.泄露过程粗暴而简单:宋某将公司业务系统的账号密码出售给他人,导致大量客户个人信息泄露.笔者翻阅了公开披露的司法文书,发现宋某事件并不是个例,即使作为快递行业的领头羊,顺丰也无可避免的出现过多次客户信息泄露事件. 为了支撑超大规模分布.实时性极高的调度要求,顺丰实施了强大的IT系统建设,然而多次数据泄露事件却无情的揭露了这家物流巨头在数据安全管理方面的显著问题,不单是顺丰,这也是我国成长中的IT系统建设的

Oracle数据库安全面面观

专家简介   张文宇:10年以上IT服务相关工作经验,长期从事系统.网络及数据库方面的规划设计.工程实施与运维管理工作,具备丰富的运营商.医疗等行业项目经验.目前专注项目管理.解决方案.售前及咨询类工作.持有Oracle 8i OCP,10g OCM,及思科.微软等厂商产品认证.    1概述   数据库中保存的数据涉及各类账号.密码.个人隐私.安全信息等敏感信息,核心数据是企业的命脉.通过建立完善的信息安全系统,保护企业核心数据尤其是企业商业机密,防止从内.外部泄密,已经成为当前众多企业的共识

数据库安全概要

计算机系统的三类安全性: 技术安全:采用计算机硬件,软件安全技术来防护攻击. 管理安全:人员管理,系统管理方面的安全. 政策法律:你懂的. 数据库安全(基本等同于信息安全): 用户标识和鉴别(进不来):用户ID和口令来认证用户. 存取控制(拿不走,改不了),对用户限定操作权限: 自助存取控制:用户对不同的数据库对象有不同权限,不同用户对同一个对象也有不同权限.用户还可以传授权限.控制比较灵活. 强制存取控制:每个数据库对象被标以一定的密级,每个用户被授予某一个级别的许可证.只有许可证匹配密级的用

国内权威咨询机构首次分析预测数据库安全市场趋势

2015年,数据库安全市场在整个信息安全领域中保持了高速发展的态势,用户需求显著增长,市场规模不断扩大,越来越多的用户认识到数据库安全对于IT系统的重要价值.国内权威研究咨询机构计世资讯(CCW Research)首次针对国内数据库安全领域进行调查研究,根据市场总体状况.主要厂商竞争力分析.市场未来发展趋势三个方面回顾2015年数据库安全市场的发展情况,与预测未来发展趋势. 2015年数据库安全市场总体状况 CCW研究结果表明,2015年中国数据库安全总体市场规模为8.2亿元,与2014年相比,