从一则案例说起

　　小冷在一个单位部门里担任网络安全主管，维护着单位重要的信息系统。最近，小冷十分郁闷，因为有人发现他们单位的上万笔重要数据在网上被人叫卖。小冷的领导很重视这个事情，让小冷查清原委。小冷仔细查对了存放重要数据的数据库，没有发现异常，而保护数据库的IPS和防火墙也没有什么重要的攻击警告。小冷又与部门中所有可能接触到数据库的管理员谈话，也一无所获。小冷又找到使用这些重要数据的相关业务部门，可以业务部门主管把皮球踢了回来，说信息部门应该首先提供相关证据，才能在业务部门进行自查。

　　小冷的调查工作陷入困境，而领导那边给他压力也很大。如何才能杜绝以后发生类似事件呢？

　　数据安全日趋重要

　　随着信息化、网络化水平的不断提升，重要的数据信息越来越受到安全威胁，而大量的重要数据往往都存放在数据库系统中，如何保护数据库，有效防范信息泄漏和篡改成为一个重要的安全保障目标。

　　最近几年，信息泄露、信息篡改等信息安全问题屡见不鲜，所有存在数据的地方，只要数据是有价值的，就存在风险，就有人会去想法子窃取、篡改、贩卖，从中牟利：北京市教育考试院信息篡改事件、教育学籍信息泄漏事件、深圳孕妇信息的“泄密光盘”、车主股民信息泄露、福彩中奖信息篡改、“力拓门”事件，从个人隐私，到企业的商业秘密，甚至到政府国家的核心机密，都出现了不同程度的信息安全问题。

　　这些案例都告诉我们，数据安全保护十分重要。由于目前大部分重要数据都是通过数据库系统来存储的，因此，数据库安全保护尤其重要。

　　为了防范信息泄漏和篡改，我国去年颁布实施的《刑法》（七）修正案修订了第253条和285条，明确了信息泄漏及篡改将面临的刑事指控和量刑依据。其中，第253条指出“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”

　　就在前不久，《南方都市报》报道了珠海的一起在《刑法修正案（七）》颁布后的全国首例侵犯个人信息安全刑事宣判。

　　有了法律依据后，企事业单位更应该抓紧加固数据库系统，保护其安全，这既是对于防范攻击和违法犯罪的需要，也是尽责尽职的体现，是对法律的捍卫。

　　此外，根据国家等级保护相关要求，《信息系统等级保护基本要求》中对于信息系统在主机和数据库安全方面明确要求进行安全审计，其中，第三级要求“审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。”

　　防范措施

　　那么，如何才能更加有效地保护数据库安全，防范信息泄漏和篡改呢？

　　首先，需要加强对数据库的访问控制，明确数据库管理和使用职责分工，最小化数据库帐号使用权限，防止权利滥用。同时，要加强口令管理，使用高强度口令，删除系统默认帐号口令等。

　　其次，要对数据库及其核心业务系统进行安全加固，保护在系统边界部署防火墙、IDS/IPS、防病毒系统等，并及时地进行系统补丁检测、安全加固。

　　最后，要对数据库系统及其所在主机进行实时安全监控、事后操作审计，部署一套数据库审计系统。这一点尤为重要！相当于数据库安全的最后一道防线。

　　事实表明，现在的数据泄漏和篡改事件都是“内部人员”作案为主，他们有合法的帐号口令，他们完全可以把自己伪装成一个“合法”的内部人员，堂而皇之的窃取数据库信息，根本不用任何攻击手段，防火墙、IDS/IPS之类的传统安全系统根本发现不了。因此，对数据库系统的使用进行监控和审计，最关键的就在于对内部人员的违规和误操作进行监控和审计。而这，正在数据库审计系统的特长。

　　针对重要的数据库及其业务系统，部署一套数据库审计系统，可以达到以下目标：

　　1）数据操作实时监控：对所有外部或者内部用户对数据库和主机的各种操作行为、内容，进行实时监控；

　　2）高危操作即时阻断：对于高危操作能够实时阻断，干扰攻击或者违规行为的执行；

　　3）安全预警：对于入侵和违规行为进行及时预警和告警，并指导管理员进行应急响应处理；

　　4）事后调查取证：对于所有行为能够进行事后查询、取证、调查分析，出具各种审计报表报告。

　　5）责任认定、事态评估：系统能够记录和定位谁、在什么时候、通过什么方式对数据库进行了什么操作，以及操作的结果和可能的危害程度。

　　网神SecFox-NBA数据库审计系统

　　针对客户面临的上述挑战和需求，网御神州推出的新一代数据库审计产品——SecFox-NBA网络行为审计系统（业务审计型）是一款优秀的数据库审计系统，并具有强大的用户“合法”行为深度分析能力。

　　SecFox-NBA（业务审计型）采用旁路侦听的方式对通过网络连接到重要业务系统（服务器、数据库、业务中间件、数据文件等）的数据流进行采集、分析和识别，实时监视用户访问业务系统的状态，记录各种访问行为，发现并及时制止用户的误操作、违规访问或者可疑行为。产品部署简便，不需要修改任何网络结构和应用配置，不会影响用户的业务运行。

　　SecFox-NBA（业务审计型）产品区隔于传统数据库审计产品的特征在于：

　　1）面向业务的安全审计

　　SecFox-NBA（业务审计型）独有面向业务的安全审计技术，通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性，审计人员可以根据以数据库为核心的业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。

　　2）基于会话的行为审计

　　传统的数据库或者网络审计系统都采用基于指令的操作分析技术，可以显示出所有与数据库主机相关的操作，但是这些操作都是一条条孤立的指令，无法体现这些操作之间的关联，例如是否是同一用户的操作、以及操作的时间先后，审计员被迫从大量的操作记录中自行寻找蛛丝马迹，效率低下。借助网御神州独有的基于会话的行为分析技术，审计员可以对当前网络中所有访问者进行基于时间的审查，了解每个访问者任意一段时间内先后进行了什么操作，并支持访问过程回放。SecFox-NBA（业务审计型）真正实现了对“谁、什么时间段内、对什么（数据）、进行了哪些操作、结果如何”的全程审计。

　　3）基于用户ID的数据库审计

　　传统的数据库审计产品仅仅能够定位到是哪个IP地址进行了违规操作，但是无法确认是那个用户或者是哪个单位职工进行的违规操作。这给审计后续的责任认定带来了不小的麻烦。SecFox-NBA（业务审计型）使用多种方式，能够协助审计员定位是那个用户ID进行了数据库操作，真正实现了责任认定。