我国著名的信息安全专家屈延文老师认为，结构性安全问题已经取代脆弱性安全问题成为当前形势下信息安全的最主要威胁。他认为“信息安全问题其实可以分两类，一类是因为产品或方案不完善而使信息系统存在脆弱性，常见的病毒、木马、后门问题几乎都是系统的脆弱性引起的，另一类是正常功能被错误应用引起的，也就是人们常说的没管好、用好信息系统。病毒、木马威胁或者黑客攻击其实都属于第一类信息安全问题，是最基本层次的信息安全威胁，事实上，大多数信息威胁都来自于后面这种结构性安全问题。”

　　以数据库为例，数据库系统在企业管理等领域具有广泛的应用，如ERP系统、计费系统、经分系统等等，是应用系统的基础，承载了企业运营的关键数据，是企业核心IT资产，防范严密，很少被木马、入侵等攻击行为侵袭。但是在实际运行中，却经常出现由于数据库管理不善导致各种安全事故的情况，对于数据库系统这类结构性安全问题，主要有安全配置管理、安全审计等技术手段。

　　在《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中对数据库审计做出了明确的要求：

　　• 审计范围应覆盖到服务器的每个数据库用户;

　　• 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全相关事件;

　　• 审计记录应包括事件的日期、时间、类型、主体标识(账号)、客体标识(数据库表级、数据库字段级)和结果等;

　　• 应能根据记录数据进行分析，并生成审计报表;

　　• 应保护审计进程，避免受到未预期的中断;

　　• 应保护审计记录，避免受到未预期的删除、修改或覆盖等。

　　相对应的在《GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求》中对数据库安全审计进一步做了阐述：

　　• 建立独立的安全审计系统;

　　• 定义与数据库安全相关的审计事件;

　　• 设置专门的安全审计员;

　　• 设置专门用于存储数据库系统审计数据的安全审计库;

　　• 提供适用于数据库系统的安全审计设置、分析和查阅的工具。

　　由此可见，国家主管机构对于数据库系统的安全审计要求是有着深刻的认识的，这和信息安全的发展趋势是相契合的。那么，国外的相关机构又是怎么认识这个问题的呢?在这里就不得不提美国国会出台的《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯法案，SOX法案)，按照萨班斯法案生效时的约定，在美上市公司必须遵守SOX法案404条款，依据COBIT(Control Objectives for Information and related Technology是目前国际上通用的信息技术控制目标)建立企业信息技术内部控制，其中对数据库安全审计的细化要求如下：

　　• 对企业内部敏感数据的存取行为审计

　　• 对数据的DML操作行为审计

　　• 对数据表的DDL操作行为审计

　　• 出现的账号登录失败、SQL访问关键错误等异常情况审计

　　• 对账号和角色的操作行为，例如Grant、Revoke等命令的审计

　　值得重视的是，2008年5月22日，有中国SOX法案之称的《企业内部控制基本规范》由财政部、证监会、审计署、银监会、保监会联合制定并发布，2010年4月26日，在基本规范的基础上发布了《企业内部控制配套指引》，其中对安全审计的要求为：

　　• 企业应当对必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。

　　• 企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。

　　为确保企业内控规范体系平稳顺利实施，财政部等五部门制定了实施时间表：自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上，择机在中小板和创业板上市公司施行;同时，鼓励非上市大中型企业提前执行。

　　那么部署数据库安全审计系统，能够帮助用户解决什么问题呢?对于一个数据库系统来说，面临的风险是与用户身份和操作行为密切相关的，主要有如下几种情况：

　　• 特权用户的访问风险

　　特权用户对业务数据的访问和修改;

　　特权用户对数据库结构的修改;

　　特权用户账号的恶意使用。

　　• 业务用户的访问风险

　　超出正常业务需求的使用;

　　非正常时间的访问;

　　使用业务系统账号直接访问数据库的行为。

　　• 开发者的访问风险

　　对正在运行的业务系统的访问。

　　• IT运维人员的访问风险

　　未经批准的改变数据库配置的行为;

　　未经批准的补丁行为。

　　下面我们可以通过几个实际案例的分析，来帮助我们理解数据库系统所面临的风险。

　　案例一 特权用户风险

　　国家“金卫工程”的实施，使医院管理信息化的进程大大加快，很多医院实施了HIS系统，给医院管理带来了许多的便利，但是由此也带来了一些管理上的漏洞。特别是部分医院内部工作人员与医药营销人员内外勾结，私自进行“统方”行为，将医院用药信息泄漏给医药营销人员以此来获取利益，

　　小A和小B的故事正是这样的，他们是大学同学， 毕业后小B被分配到某医院的信息中心负责数据库系统的管理，小A进入了一家医药公司任医药代表。有一次吃饭的时候，小B发现小A心事重重的样子，细问之下原来是销售业绩的压力，虽然小B也是在医院工作，但是他不在业务口，对医院用药情况并不清楚，为了哥们义气,他告诉小A可以登录到数据库将医院各科室用药情况进行查询。小A如获释宝,几个月过去后,在这些情报的指导下,小A有的放矢,销售业绩大涨...

　　案例启示

　　此案例暴露了某些医药销售代表为了达成自己的业绩，不惜走歪门邪道，损坏公众利益。从技术过程来分析,这是典型的DBA违规访问业务数据，对于一个特权用户，除非很特殊的情况，否则是不应该看到实际的业务数据(例如数据表的内容)，这种滥用是很明显的。而要对该行为进行预防性控制是很困难的，但是采用InforCube数据库安全审计系统可以对特权用户进行有效的告警和审计跟踪。

　　案例二 业务人员风险

　　董某、李某、王某是某运营商客户服务中心投诉处理部的员工，由于工作上需要处理客户投诉等问题，董某拥有积分调整的权限。运营商定期都推广积分换礼活动，以奖励长期在网用户和大客户用户，发展新用户。某次工作中，由于有事脱不开身，董某将积分调整的账号/口令告知了王某，后来也未对口令进行更改;一天吃饭的时候，李某说“咱公司换的礼品这么好，啥时候我们也能换就好了”，王某听了小姐妹的言语，突然临机一动，打算利用积分调整权限让自己满足一下愿望。王某私下购买了1个号码，通过积分调整权限，增加了该号码的积分，兑换了3个礼品。顺利的过程让王、李二人心花怒放，她们商量着换取更多的礼物谋取更大的利益。短短10个月的时间过去了，2人在不断往相关手机账户内虚增积分的同时，大量更换礼品价值达几十万元。后来，在运营商内部进行内部审计的时候，才发现了问题，通过手机号和录像圈定了王某…

　　案例启示

　　随着各种准货币的产生，企业内部在管理上尚未上升到货币层面进行监管，造成了部分不法分子利用制度上的漏洞进行牟利，对于一个业务人员，其熟悉整个业务过程，这样就很容易被心怀叵测的员工滥用，一方面要限制滥用，另一方面要授予更多的权限满足业务发展的需求，这往往是一个矛盾。在这种情况下，可以选择对关键表的关键字段值设置阀值触发、对关键表的查询次数的统计等数据库安全审计功能，定期检查正常业务范围外可能出现的滥用操作。

　　案例三 开发人员风险

　　A公司是一家大型国有企业的业务系统开发商，为了适应用户业务系统不断发展的需要，该公司专门派驻了现场开发团队，负责业务系统的维护、定制、技术支持等工作， 并制定了具体的工作流程以保证开发和运行安全。正常情况下，业务系统的更新应在测试环境中经过充分测试，为确保业务顺利上线，在上线过程和上线后保证系统的稳定运行，需要制定周密的割接及回退计划。

　　某天中午，该公司总经理突然接到了客户信息中心主任的电话，要他马上到现场处理问题，总经理一脸茫然的赶到了客户处，现场已经乱作一团，研发项目经理郁闷的告诉老总，手下一个新进工程师，在系统运行过程中升级了程序，出错处理不及时，最终导致数据库死锁，现在整个业务系统正在抢修恢复中…

　　免费咨询热线：400-880-5062 电话：021-51905999

　　本文摘自：http://www.suninfo.com/view-587.html

　　其他相关资讯：数据库安全审计解决方案 http://www.suninfo.com/list-37.html