随着互联网的普及应用，尤其是“云计算”、“物联网”、“三网融合”、“大数据”等新技术、新概念不断涌现，传统新闻媒体行业也开始进行信息系统的建设。上海某大型传媒集团（以下简称为“该集团”）相关系统经过将近10年的业务积累，数据资产日趋复杂化，对该集团的数据安全性带来了更高要求。

一、需求背景

互联网的急速发展使得该集团的新媒体业务急剧增长，数据库信息价值及可访问性得到了提升，同时，数据库信息资产也面临着严峻的挑战，可能导致严重的数据库安全事故发生，主要问题如下：

• 内部人员操作的安全风险

• 第三方维护人员安全隐患

• 高权账号滥用风险

• 合法身份违规行为无法追溯风险

• 以外网应用系统作为跳板，利用数据库的漏洞，直接进行sql注入或提升权限等操作，批量获得大量数据。

传统的安全设备，如：防火墙、IPS等都是针对于边界防护，而且防护的方向对外而不是对内的，而大量重要信息的泄露是由内部人员造成的，这基本上是传统安全设备的盲点。

二、数据安全建设思路与方案

通过部署数据库审计实现对该集团信息系统中的网络操作及业务系统操作进行审计记录，以便及时发现可疑行为及违规操作，采取相应的措施。通过数据库安全审计，可对发生的安全事件及时响应，不断跟踪网络操作和安全事件的变化，准确掌握信息系统的安全状态，并依据变化进行调整，确保满足该集团的安全要求，保护重要业务数据的安全。

01不影响业务系统的正常使用

审计系统需采取旁路部署方式，对原有网络不造成影响，系统故障不影响业务的正常运行。

02使用审计效果可视、审计过程可控

审计系统应能够记录每个访问者每一次对数据库的操作访问信息，数据访问操作表示为4 个要素信息，即：操作者、操作对象、操作时间和操作行为。

03可兼容、可扩展，无须更换数据库

审计系统需同时支持对Oracle、MS-SQL 、DB2、MYSQL、Sybase 、POSTGRESQL、Caché等关系型和非关系型数据库提供自动化评估、审计和保护功能，并可同时支持对多个系统、多个不同类型的数据库审计。

04与其他安全管理系统的联动

可对接安全平台包括统一短信告警平台、运维安全审计平台、网管平台等。

05系统需通俗易懂，便于非技术人员独立使用

系统应能将审计结果中抽象的操作语句、访问终端信息等技术语言翻译成通俗易懂的业务语言。

06支持技术演进，满足新技术及业务应用要求

系统可支持虚拟化云计算平台、三层架构等各种复杂应用环境的审计，还可支持未来的大数据分析及挖掘。

三、用户价值

01满足合规性要求

数据库审计系统有助于完善该集团IT内控与审计体系，从而满足各种合规性要求，顺利通过IT审计。

02有效减少核心信息资产的破坏和泄露

对该集团内部核心系统来说，通过使用数据库审计系统，能够加强对核心数据库的全程监控，从而有效地减少对核心信息资产的破坏和泄漏。

03追踪溯源，便于事后追查原因与界定责任

数据库审计系统能够完整的诠释责任认定体系。通过稳定而成熟的审计技术，可以建立起一个行为不可抵赖、数据可靠，完整并且强有力的责任认定体系。

04实现独立审计与三权分立，完善IT内控机制

从内控的角度来看，IT系统的使用权、管理权与监督权必须三权分立。在三权分立的基础上实施内控与审计，有效地控制操作风险（包括业务操作风险与运维操作风险等）。数据库审计实现独立的审计与三权分立，完善IT内控机制。