目前，我公司電力營銷系統(tǒng)支撐著河北南網(wǎng)用電業(yè)務(wù)服務(wù)，系統(tǒng)重要程度高、保密要求重。營銷數(shù)據(jù)庫系統(tǒng)承載了運(yùn)營的關(guān)鍵數(shù)據(jù)，是公司核心IT資產(chǎn)，重要程度更是尤為重要。由于營銷系統(tǒng)服務(wù)群體比較龐大，數(shù)據(jù)日常交互量大，導(dǎo)致數(shù)據(jù)庫系統(tǒng)每天前端、后端操作非常頻繁，日志數(shù)據(jù)量巨大。開展數(shù)據(jù)庫審計(jì)、加強(qiáng)數(shù)據(jù)庫操作合規(guī)性監(jiān)管，已經(jīng)成為公司完善風(fēng)險(xiǎn)管理、建立有效內(nèi)控機(jī)制的當(dāng)務(wù)之急。為確保營銷業(yè)務(wù)數(shù)據(jù)完整準(zhǔn)確，后臺(tái)數(shù)據(jù)修改合規(guī)、可控，借助國內(nèi)先進(jìn)的數(shù)據(jù)庫審計(jì)技術(shù)，搭建一套數(shù)據(jù)庫審計(jì)系統(tǒng)。整體實(shí)現(xiàn)事中預(yù)警、事后審計(jì)，從而更好地保障營銷系統(tǒng)數(shù)據(jù)安全性。

1技術(shù)方案

保證數(shù)據(jù)庫安全的一般方法包括：用戶身份證、存取控制、數(shù)據(jù)加密、審計(jì)跟蹤與攻擊檢測(cè)[1]。營銷數(shù)據(jù)庫審計(jì)系統(tǒng)采用數(shù)據(jù)庫網(wǎng)絡(luò)端口鏡像法，通過網(wǎng)絡(luò)端口鏡像獲取對(duì)數(shù)據(jù)庫的訪問、存取行為，并通過定制的安全審計(jì)設(shè)備實(shí)現(xiàn)對(duì)訪問數(shù)據(jù)庫操作行為的記錄及細(xì)粒度分析，同時(shí)提供實(shí)時(shí)監(jiān)控、違規(guī)響應(yīng)、歷史行為回溯等功能。

1.1技術(shù)原理該安全審計(jì)技術(shù)可以實(shí)現(xiàn)對(duì)信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測(cè)、信息采集、分析并針對(duì)特定事件及行為采取相應(yīng)比較動(dòng)作[2]。從功能組成上包括信息采集、信息分析、信息存儲(chǔ)、信息展示四個(gè)基本功能。

1)信息采集：通過技術(shù)手段獲取數(shù)據(jù)包、日志等需要審計(jì)的數(shù)據(jù)。

2)信息分析：采用實(shí)時(shí)關(guān)聯(lián)分析引擎技術(shù)、基于規(guī)則的審計(jì)及數(shù)據(jù)庫的信息查詢和比較等技術(shù)相結(jié)合，對(duì)采集上來的信息進(jìn)行分析、審計(jì)。

3)信息存儲(chǔ)：利用數(shù)據(jù)存儲(chǔ)設(shè)備對(duì)采集到原始信息，以及審計(jì)后的信息進(jìn)行保存、備查，作為取證的依據(jù)。

4)信息展示：包括審計(jì)結(jié)果展示界面、統(tǒng)計(jì)分析報(bào)表功能、告警響應(yīng)功能等等，是審計(jì)效果的最直接體現(xiàn)。

1.2技術(shù)架構(gòu)審計(jì)系統(tǒng)為軟硬件一體設(shè)備，B/S架構(gòu)管理，由審計(jì)中心、WEB控制臺(tái)兩部分組成。審計(jì)中心負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)包獲取、協(xié)議分析識(shí)別、日志記錄生成、策略下發(fā)。WEB控制臺(tái)負(fù)責(zé)系統(tǒng)管理與配置、策略管理、用戶管理、日志查詢、報(bào)表統(tǒng)計(jì)等功能。

2系統(tǒng)功能展現(xiàn)

通過對(duì)數(shù)據(jù)庫后臺(tái)操作與訪問進(jìn)行全監(jiān)控，實(shí)現(xiàn)針對(duì)所有帳戶對(duì)數(shù)據(jù)庫訪問與操作的全面監(jiān)測(cè)審計(jì)，提供詳細(xì)的數(shù)據(jù)庫審計(jì)記錄及分類統(tǒng)計(jì)，實(shí)現(xiàn)數(shù)據(jù)庫異常操作監(jiān)測(cè)報(bào)警。具體功能展示如下：

2.1細(xì)粒度數(shù)據(jù)庫操作審計(jì)深入細(xì)致地對(duì)數(shù)據(jù)庫的各種操作及其內(nèi)容進(jìn)行審計(jì)，并且能夠?qū)徲?jì)用戶通過各種方式訪問數(shù)據(jù)庫的行為。具體審計(jì)內(nèi)容如下：1)建立企業(yè)敏感信息檢索庫，對(duì)敏感信息的讀取行為進(jìn)行審計(jì)。2)數(shù)據(jù)庫用戶登錄、注銷行為審計(jì)。3)數(shù)據(jù)的DML、數(shù)據(jù)表的DDL操作行為審計(jì)。4)賬號(hào)和角色的權(quán)限操作行為審計(jì)。5)對(duì)數(shù)據(jù)庫后臺(tái)操作腳本與所提交申請(qǐng)執(zhí)行腳本進(jìn)行比對(duì)審計(jì)。

2.2可視化審計(jì)界面審計(jì)系統(tǒng)為用戶提供了簡介易用的操作界面，多個(gè)監(jiān)控窗口，可以顯示多方面的安全信息，用戶可以在不同的頻道間切換。同時(shí)，用戶也可以自定義頻道，包括自定義布局和展示內(nèi)容，使普通管理員就能夠?qū)?fù)雜的數(shù)據(jù)庫系統(tǒng)進(jìn)行審計(jì)。

2.3實(shí)時(shí)監(jiān)控應(yīng)用服務(wù)狀態(tài)審計(jì)系統(tǒng)可監(jiān)控營銷系統(tǒng)各類應(yīng)用服務(wù)，不但可以監(jiān)控其狀態(tài)和響應(yīng)時(shí)間，還可以監(jiān)控詳細(xì)性能指標(biāo)，例如Oracle數(shù)據(jù)庫的表空間大小等，可以為管理員提供全面而詳實(shí)的參考信息。

2.4事件實(shí)時(shí)預(yù)警審計(jì)系統(tǒng)可監(jiān)控營銷系統(tǒng)各類應(yīng)用服務(wù)，包括數(shù)據(jù)庫、中間件等，不但可以監(jiān)控這些應(yīng)用和服務(wù)的狀態(tài)和響應(yīng)時(shí)間，還可以監(jiān)控他們的詳細(xì)性能指標(biāo)，例如Oracle數(shù)據(jù)庫的表空間大小等，可以為管理員提供全面而詳實(shí)的參考信息。

2.5快速響應(yīng)與協(xié)同防御審計(jì)系統(tǒng)在識(shí)別出安全事件后，能夠自動(dòng)或者人為地對(duì)威脅進(jìn)行響應(yīng)，采取安全對(duì)策，從而形成安全審計(jì)的閉環(huán)。同時(shí)，能夠?qū)I(yè)務(wù)網(wǎng)中所有IP的流量進(jìn)行分析，能夠更為精確地定位安全威脅，并對(duì)符合策略的告警事件進(jìn)行阻斷，實(shí)時(shí)自動(dòng)阻止可疑行為。在發(fā)生告警后，審計(jì)系統(tǒng)可以通過語音播報(bào)、短信等方式對(duì)外發(fā)出通告，能夠執(zhí)行預(yù)定義命令行程序，并將事件屬性作為參數(shù)傳遞給該命令行程序。

2.6操作回放對(duì)訪問數(shù)據(jù)庫、FTP、網(wǎng)絡(luò)主機(jī)的各種操作進(jìn)行實(shí)時(shí)、詳細(xì)的監(jiān)控和審計(jì)，包括各種登錄命令、數(shù)據(jù)操作指令、網(wǎng)絡(luò)操作指令，并審計(jì)操作結(jié)果，支持過程回放，真實(shí)地展現(xiàn)用戶的操作。借助基于會(huì)話的行為分析(Session-basedBehaviorAnalysis)技術(shù)，審計(jì)人員可以對(duì)當(dāng)前網(wǎng)絡(luò)中所有訪問者進(jìn)行基于時(shí)間的審查，了解每個(gè)訪問者任意一段時(shí)間內(nèi)先后進(jìn)行了什么操作，并支持訪問過程回放。真正實(shí)現(xiàn)了對(duì)“誰、什么時(shí)間段內(nèi)、對(duì)什么(數(shù)據(jù))、進(jìn)行了哪些操作、結(jié)果如何”的全程審計(jì)。

2.7審計(jì)報(bào)表審計(jì)系統(tǒng)的報(bào)表分析引擎能從多種角度多種維度對(duì)數(shù)據(jù)進(jìn)行分析;能提供實(shí)時(shí)分析、歷史分析等分析手段;能對(duì)比統(tǒng)計(jì)的結(jié)果，分析數(shù)據(jù)的發(fā)展趨勢(shì)，將結(jié)果以圖形方式顯示、打印。同時(shí)，可以審計(jì)主機(jī)用戶和數(shù)據(jù)庫用戶的行為趨勢(shì)報(bào)表，審計(jì)和分析用戶的行為特點(diǎn)，為決策分析和調(diào)查取證提供數(shù)據(jù)支持。

3系統(tǒng)應(yīng)用成效

營銷系統(tǒng)數(shù)據(jù)庫審計(jì)系統(tǒng)的建設(shè)應(yīng)用，整體實(shí)現(xiàn)事前審核、事中預(yù)警、事后審計(jì)，為營銷系統(tǒng)數(shù)據(jù)安全管理提供實(shí)時(shí)監(jiān)控、違規(guī)響應(yīng)、歷史行為回溯等操作分析功能，是滿足數(shù)據(jù)庫風(fēng)險(xiǎn)管理和內(nèi)控要求，提升內(nèi)部安全監(jiān)管和保障數(shù)據(jù)庫安全的有效手段。從長遠(yuǎn)來看，數(shù)據(jù)庫安全審計(jì)技術(shù)代表著IT技術(shù)發(fā)展的新興產(chǎn)物，它必將成為企業(yè)數(shù)據(jù)安全管理的發(fā)展方向。

作者：吳彬彬       單位：河北省電力公司電力科學(xué)研究院