“

《中华人民共和国数据安全法》颁布施行，数据安全保护正式被国家提升到了重要高度。《数据安全法》从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放多个方面对数据的保护与利用进行了总体布局和战略规划，从而有效规范数据处理活动，保障数据安全，维护国家主权、安全和发展利益。

某市财政局作为管理财政的职能机构，信息化建设已经逐步完善，目前已有前置数据库、直达资金监管系统、部标数据库、集中财务系统、转移支付系、电子决算系统、部标前置数据库、OA达梦数据库等。数据库做为承载关键业务系统的核心和基础，是最重要的数据资产。目前主要是通过传统的网络安安全防护手段构筑了一道安全防线，虽然在数据库安全管控方面有堡垒机但对于数据安全保障而言仍有不足。

”

“1客户需求分析

技术层面：通过堡垒机发起的数据库运维操作，数据访问追踪信息出现断层，无法定位到原始操作者的身份信息，造成取证不完整。

管理层面：现在维护人员的操作没有做到细腻度监控，数据库的维护工作基本都是外包或者是应用系统厂自行负责，数据库维护过程没有受到监管，一旦数据安全事件发生，无法追溯并定位真实的操作者；最高权限的滥用，让数据安全变得更加脆弱，也让责任划分和威胁追踪变得更加困难。

审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端。如：数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性，一旦有意外发生导致系统的崩溃，这些审计日志也随之消失，管理人员无法得知系统到底发生了什么。

为贯彻落实国家法律法规要求，某市财政局积极开展数据安全防护提升工作，对财政局内部数据库信息安全领域的深层次安全审计分析提出了需求，要针对数据库进行安全审计专项建设。在此基础上，某市财政局经过POC测试及沟通讨论，最终与昂楷科技达成合作共识。

“2数据安全解决方案

本方案遵循“精准可视，安全可控”的设计思路，在市财政局部署一套数据库审计系统，将数据库安全审计贯穿在市财政局核心数据库运行的全过程，弥补目前安全能力的短板，增强数据安全预警和溯源能力，使得管理人员可以对重要系统数据库进行全方位的监测和审计工作，帮助市财政局提升内部风险控制水平。

市财政局数据库在传统物理服务器和新架构云环境中，本方案兼顾全流量采集，确保审计能覆盖关键数据库，同时支持华为麒麟ARM架构服务器上的数据库进行审计。

数据库审计与财政局现有堡垒机安全联防，追踪到由堡垒机发起的数据库运维的原始操作者身份信息定位到人，解决数据访问追踪信息出现断层的问题。

“3部署拓扑

流量采集是数据库审计系统的基础，只有做到数据库访问流量的全采集，才能保证数据库审计的可用性和价值，市财政局流量采集方式主要有两种：

• 镜像方式：采用旁路部署通过镜像方式获取传统IT架构数据库的所有访问流量。

• agent方式：私有云环境，基于“agent方式捕获数据库访问流量。

旁路镜像+agent方式混合部署，如下图：

“4客户价值

• 建立完整的诠释责任认定体系，通过稳定而成熟的审计技术，可以建立起一个行为不可抵赖、数据可靠，完整并且强有力的责任认定体系。

• 数据库审计和堡垒机协同工作，相互补充，安全价值最大化。

• 兼容X86环境和信创环境数据库的安全审计，避免重复采购。

• 满足国家《网络安全法》、《数据安全法》、《等保2.0》以及行业规定中对于数据库审计的合规性需求，并可根据需求形成不同的审计报表。

• 从业务流程角度出发，为防止违规操作奠定了技术手段，实现“教育为先、制度为主、技术为辅”多管齐下的管理要求。