隨著互聯網的普及應用，尤其是“云計算”、“物聯網”、“三網融合”、“大數據”等新技術、新概念不斷涌現，傳統新聞媒體行業也開始進行信息系統的建設。上海某大型傳媒集團（以下簡稱為“該集團”）相關系統經過將近10年的業務積累，數據資產日趨復雜化，對該集團的數據安全性帶來了更高要求。

一、需求背景

互聯網的急速發展使得該集團的新媒體業務急劇增長，數據庫信息價值及可訪問性得到了提升，同時，數據庫信息資產也面臨著嚴峻的挑戰，可能導致嚴重的數據庫安全事故發生，主要問題如下：

• 內部人員操作的安全風險

• 第三方維護人員安全隱患

• 高權賬號濫用風險

• 合法身份違規行為無法追溯風險

• 以外網應用系統作為跳板，利用數據庫的漏洞，直接進行sql注入或提升權限等操作，批量獲得大量數據。

傳統的安全設備，如：防火墻、IPS等都是針對于邊界防護，而且防護的方向對外而不是對內的，而大量重要信息的泄露是由內部人員造成的，這基本上是傳統安全設備的盲點。

二、數據安全建設思路與方案

通過部署數據庫審計實現對該集團信息系統中的網絡操作及業務系統操作進行審計記錄，以便及時發現可疑行為及違規操作，采取相應的措施。通過數據庫安全審計，可對發生的安全事件及時響應，不斷跟蹤網絡操作和安全事件的變化，準確掌握信息系統的安全狀態，并依據變化進行調整，確保滿足該集團的安全要求，保護重要業務數據的安全。

01不影響業務系統的正常使用

審計系統需采取旁路部署方式，對原有網絡不造成影響，系統故障不影響業務的正常運行。

02使用審計效果可視、審計過程可控

審計系統應能夠記錄每個訪問者每一次對數據庫的操作訪問信息，數據訪問操作表示為4 個要素信息，即：操作者、操作對象、操作時間和操作行為。

03可兼容、可擴展，無須更換數據庫

審計系統需同時支持對Oracle、MS-SQL 、DB2、MYSQL、Sybase 、POSTGRESQL、Caché等關系型和非關系型數據庫提供自動化評估、審計和保護功能，并可同時支持對多個系統、多個不同類型的數據庫審計。

04與其他安全管理系統的聯動

可對接安全平臺包括統一短信告警平臺、運維安全審計平臺、網管平臺等。

05系統需通俗易懂，便于非技術人員獨立使用

系統應能將審計結果中抽象的操作語句、訪問終端信息等技術語言翻譯成通俗易懂的業務語言。

06支持技術演進，滿足新技術及業務應用要求

系統可支持虛擬化云計算平臺、三層架構等各種復雜應用環境的審計，還可支持未來的大數據分析及挖掘。

三、用戶價值

01滿足合規性要求

數據庫審計系統有助于完善該集團IT內控與審計體系，從而滿足各種合規性要求，順利通過IT審計。

02有效減少核心信息資產的破壞和泄露

對該集團內部核心系統來說，通過使用數據庫審計系統，能夠加強對核心數據庫的全程監控，從而有效地減少對核心信息資產的破壞和泄漏。

03追蹤溯源，便于事后追查原因與界定責任

數據庫審計系統能夠完整的詮釋責任認定體系。通過穩定而成熟的審計技術，可以建立起一個行為不可抵賴、數據可靠，完整并且強有力的責任認定體系。

04實現獨立審計與三權分立，完善IT內控機制

從內控的角度來看，IT系統的使用權、管理權與監督權必須三權分立。在三權分立的基礎上實施內控與審計，有效地控制操作風險（包括業務操作風險與運維操作風險等）。數據庫審計實現獨立的審計與三權分立，完善IT內控機制。