目前，我公司電力營銷系統(tǒng)支撐著河北南網(wǎng)用電業(yè)務(wù)服務(wù)，系統(tǒng)重要程度高、保密要求重。營銷數(shù)據(jù)庫系統(tǒng)承載了運(yùn)營的關(guān)鍵數(shù)據(jù)，是公司核心IT資產(chǎn)，重要程度更是尤為重要。由于營銷系統(tǒng)服務(wù)群體比較龐大，數(shù)據(jù)日常交互量大，導(dǎo)致數(shù)據(jù)庫系統(tǒng)每天前端、后端操作非常頻繁，日志數(shù)據(jù)量巨大。開展數(shù)據(jù)庫審計、加強(qiáng)數(shù)據(jù)庫操作合規(guī)性監(jiān)管，已經(jīng)成為公司完善風(fēng)險管理、建立有效內(nèi)控機(jī)制的當(dāng)務(wù)之急。為確保營銷業(yè)務(wù)數(shù)據(jù)完整準(zhǔn)確，后臺數(shù)據(jù)修改合規(guī)、可控，借助國內(nèi)先進(jìn)的數(shù)據(jù)庫審計技術(shù)，搭建一套數(shù)據(jù)庫審計系統(tǒng)。整體實現(xiàn)事中預(yù)警、事后審計，從而更好地保障營銷系統(tǒng)數(shù)據(jù)安全性。

1技術(shù)方案

保證數(shù)據(jù)庫安全的一般方法包括：用戶身份證、存取控制、數(shù)據(jù)加密、審計跟蹤與攻擊檢測[1]。營銷數(shù)據(jù)庫審計系統(tǒng)采用數(shù)據(jù)庫網(wǎng)絡(luò)端口鏡像法，通過網(wǎng)絡(luò)端口鏡像獲取對數(shù)據(jù)庫的訪問、存取行為，并通過定制的安全審計設(shè)備實現(xiàn)對訪問數(shù)據(jù)庫操作行為的記錄及細(xì)粒度分析，同時提供實時監(jiān)控、違規(guī)響應(yīng)、歷史行為回溯等功能。

1.1技術(shù)原理該安全審計技術(shù)可以實現(xiàn)對信息系統(tǒng)的各種事件及行為實行監(jiān)測、信息采集、分析并針對特定事件及行為采取相應(yīng)比較動作[2]。從功能組成上包括信息采集、信息分析、信息存儲、信息展示四個基本功能。

1)信息采集：通過技術(shù)手段獲取數(shù)據(jù)包、日志等需要審計的數(shù)據(jù)。

2)信息分析：采用實時關(guān)聯(lián)分析引擎技術(shù)、基于規(guī)則的審計及數(shù)據(jù)庫的信息查詢和比較等技術(shù)相結(jié)合，對采集上來的信息進(jìn)行分析、審計。

3)信息存儲：利用數(shù)據(jù)存儲設(shè)備對采集到原始信息，以及審計后的信息進(jìn)行保存、備查，作為取證的依據(jù)。

4)信息展示：包括審計結(jié)果展示界面、統(tǒng)計分析報表功能、告警響應(yīng)功能等等，是審計效果的最直接體現(xiàn)。

1.2技術(shù)架構(gòu)審計系統(tǒng)為軟硬件一體設(shè)備，B/S架構(gòu)管理，由審計中心、WEB控制臺兩部分組成。審計中心負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)包獲取、協(xié)議分析識別、日志記錄生成、策略下發(fā)。WEB控制臺負(fù)責(zé)系統(tǒng)管理與配置、策略管理、用戶管理、日志查詢、報表統(tǒng)計等功能。

2系統(tǒng)功能展現(xiàn)

通過對數(shù)據(jù)庫后臺操作與訪問進(jìn)行全監(jiān)控，實現(xiàn)針對所有帳戶對數(shù)據(jù)庫訪問與操作的全面監(jiān)測審計，提供詳細(xì)的數(shù)據(jù)庫審計記錄及分類統(tǒng)計，實現(xiàn)數(shù)據(jù)庫異常操作監(jiān)測報警。具體功能展示如下：

2.1細(xì)粒度數(shù)據(jù)庫操作審計深入細(xì)致地對數(shù)據(jù)庫的各種操作及其內(nèi)容進(jìn)行審計，并且能夠?qū)徲嬘脩敉ㄟ^各種方式訪問數(shù)據(jù)庫的行為。具體審計內(nèi)容如下：1)建立企業(yè)敏感信息檢索庫，對敏感信息的讀取行為進(jìn)行審計。2)數(shù)據(jù)庫用戶登錄、注銷行為審計。3)數(shù)據(jù)的DML、數(shù)據(jù)表的DDL操作行為審計。4)賬號和角色的權(quán)限操作行為審計。5)對數(shù)據(jù)庫后臺操作腳本與所提交申請執(zhí)行腳本進(jìn)行比對審計。

2.2可視化審計界面審計系統(tǒng)為用戶提供了簡介易用的操作界面，多個監(jiān)控窗口，可以顯示多方面的安全信息，用戶可以在不同的頻道間切換。同時，用戶也可以自定義頻道，包括自定義布局和展示內(nèi)容，使普通管理員就能夠?qū)?fù)雜的數(shù)據(jù)庫系統(tǒng)進(jìn)行審計。

2.3實時監(jiān)控應(yīng)用服務(wù)狀態(tài)審計系統(tǒng)可監(jiān)控營銷系統(tǒng)各類應(yīng)用服務(wù)，不但可以監(jiān)控其狀態(tài)和響應(yīng)時間，還可以監(jiān)控詳細(xì)性能指標(biāo)，例如Oracle數(shù)據(jù)庫的表空間大小等，可以為管理員提供全面而詳實的參考信息。

2.4事件實時預(yù)警審計系統(tǒng)可監(jiān)控營銷系統(tǒng)各類應(yīng)用服務(wù)，包括數(shù)據(jù)庫、中間件等，不但可以監(jiān)控這些應(yīng)用和服務(wù)的狀態(tài)和響應(yīng)時間，還可以監(jiān)控他們的詳細(xì)性能指標(biāo)，例如Oracle數(shù)據(jù)庫的表空間大小等，可以為管理員提供全面而詳實的參考信息。

2.5快速響應(yīng)與協(xié)同防御審計系統(tǒng)在識別出安全事件后，能夠自動或者人為地對威脅進(jìn)行響應(yīng)，采取安全對策，從而形成安全審計的閉環(huán)。同時，能夠?qū)I(yè)務(wù)網(wǎng)中所有IP的流量進(jìn)行分析，能夠更為精確地定位安全威脅，并對符合策略的告警事件進(jìn)行阻斷，實時自動阻止可疑行為。在發(fā)生告警后，審計系統(tǒng)可以通過語音播報、短信等方式對外發(fā)出通告，能夠執(zhí)行預(yù)定義命令行程序，并將事件屬性作為參數(shù)傳遞給該命令行程序。

2.6操作回放對訪問數(shù)據(jù)庫、FTP、網(wǎng)絡(luò)主機(jī)的各種操作進(jìn)行實時、詳細(xì)的監(jiān)控和審計，包括各種登錄命令、數(shù)據(jù)操作指令、網(wǎng)絡(luò)操作指令，并審計操作結(jié)果，支持過程回放，真實地展現(xiàn)用戶的操作。借助基于會話的行為分析(Session-basedBehaviorAnalysis)技術(shù)，審計人員可以對當(dāng)前網(wǎng)絡(luò)中所有訪問者進(jìn)行基于時間的審查，了解每個訪問者任意一段時間內(nèi)先后進(jìn)行了什么操作，并支持訪問過程回放。真正實現(xiàn)了對“誰、什么時間段內(nèi)、對什么(數(shù)據(jù))、進(jìn)行了哪些操作、結(jié)果如何”的全程審計。

2.7審計報表審計系統(tǒng)的報表分析引擎能從多種角度多種維度對數(shù)據(jù)進(jìn)行分析;能提供實時分析、歷史分析等分析手段;能對比統(tǒng)計的結(jié)果，分析數(shù)據(jù)的發(fā)展趨勢，將結(jié)果以圖形方式顯示、打印。同時，可以審計主機(jī)用戶和數(shù)據(jù)庫用戶的行為趨勢報表，審計和分析用戶的行為特點，為決策分析和調(diào)查取證提供數(shù)據(jù)支持。

3系統(tǒng)應(yīng)用成效

營銷系統(tǒng)數(shù)據(jù)庫審計系統(tǒng)的建設(shè)應(yīng)用，整體實現(xiàn)事前審核、事中預(yù)警、事后審計，為營銷系統(tǒng)數(shù)據(jù)安全管理提供實時監(jiān)控、違規(guī)響應(yīng)、歷史行為回溯等操作分析功能，是滿足數(shù)據(jù)庫風(fēng)險管理和內(nèi)控要求，提升內(nèi)部安全監(jiān)管和保障數(shù)據(jù)庫安全的有效手段。從長遠(yuǎn)來看，數(shù)據(jù)庫安全審計技術(shù)代表著IT技術(shù)發(fā)展的新興產(chǎn)物，它必將成為企業(yè)數(shù)據(jù)安全管理的發(fā)展方向。

作者：吳彬彬       單位：河北省電力公司電力科學(xué)研究院