数据库安全运维项目需求.docx

《数据库安全运维项目需求.docx》由会员分享，可在线阅读，更多相关《数据库安全运维项目需求.docx（6页珍藏版）》请在第一文库网上搜索。

1、数据库安全运维项目需求1项目背景随着信息化的发展，业务规模迅速扩大、系统里存在的敏感数据激增，建设重点逐步从网络平台建设，转向以深化应用、提升效益为特征的运行维护阶段,IT系统运维与安全管理正逐渐走向融合。XX系统的安全运行直接关系业务正常进行，敏感数据安全保障，构建一个强健的IT运维安全管理体系对信息化的发展至关重要，对运维的安全性提出了更高要求。2.项目内容2.1. 专业的数据库日常维护（1）数据库性能优化一年3次数据库性能优化和数据库安装及升级服务，提升应用系统性能，完成各系统数据库的性能调优工作，包括：外部资源调优、行的重新安排调优、SQ1性能调优、表格和索引存储参数设置调优等。（2）

2、数据库现场巡检数据现场一年4次巡检及2次系统健康检查服务，尽早发现性能瓶颈，及时调整，保障数据库稳定高效工作。（3）数据库安装及升级一年1次数据库安装及升级服务，将数据库架构的合理化规划，保障数据库持续高效运行。（4） 7*24小时技术支持、主动预防维护一年12次7*24小时技术支持、主动预防维护，预防性维护致力于在故障发生之前消灭故障，在性能恶化之前消灭性能恶化。充分了解数据库系统的状况，为重大投资和决策提供第一手科学资料。通过预防性维护实践，消灭了大部分日常维护故障，很大程度上降低了业务终止时间。（5）技术人员现场应急保隙在整个服务期内，如果终端客户的数据库发生对业务产生重大影响的数据库层

3、面问题，工程师队伍需要启动紧急相应流程，调派工程师，第一时间赶往客户现场，确保客户的系统尽快恢复。（6）数据库规划设计数据库工程师详细了解服务器、存储、网络等硬件，协助进行合理配置，通过分析业务系统对数据库表空间、索引、表的设计，提供详细的建议设计方案,帮助客户构建一个可扩展性强、安全性高、稳定性高、数据一致性得到保证的业务系统。（7）业务系统上线保障保障业务系统在正式上线之前,经历大量的业务需求、架构设计、程序开发、实现功能等过程。开发过程中，会出现大量的程序段执行速度慢，执行速度慢无法满足技术上线指标等，导致系统测试无法通过而延迟上线，提供数据库运行使用保障性服务。（8）信息系统安全评估防

4、范内部安全和误操作为主要目标，推出了安全性评估和实施服务。在全面评估客户业务系统安全性实现和需求的情况下，贴身实现用户的数据库安全性方案。2.2.数据库运行安全监控服务数据库运行安全监控服务包括：（1）数据中心运行状态的一体化监控平台；（2）核心业务系统数据库监控可视化，直观、有效监视数据库运行状态；（3）数据库健康指数监控；（4）中间件监控：利用JMX实现监控JaVa应用服务功能，无需安装任何第三方软件或插件；（5）SQ1执行监控；（6）关联资源监控；（7）操作系统监控；（8）日常巡检。本次数据库运行安全监控服务提供一年12次巡检服务，7*24小时日常运行保障服务，并提交季度巡检和年度服务总

5、结报告。2. 3.数据库防勒索防护服务鉴于目前勒索病毒的普遍性和难防御性，核心OraCIe运行在WinCIOWS平台，因此需要对该平台下的数据库进行勒索防范，主要从几个方面进行防范，首先数据库文件进行勒索防护，保证数据库文件不被勒索病毒加密、数据库不被带毒的绿色版工具（比如P1SQ1）进行注入式勒索。本次数据库勒索病毒防护通过采用第三方专业的勒索病毒防护产品和人员服务的方式进行，达到以下几个目标。（1）数据库文件防勒索目标通过防勒索产品指定数据库类型和添加信任可执行程序（orac1e.exe）0在防勒索产品上添加需要保护的现有的数据库文件，新建的数据库文件会自动受到保护。未授权执行程序试图修改

6、数据库文件，将认定为可疑勒索事件，及时被防勒索产品拦截。通过防勒索产品只允许可信任执行程序对受保护的数据库文件执行相关操作。（2）注入型勒索防护目标通过数据库安全防范产品对运维工具进行MD5校验，针对管理人员、第三方维护人员登陆数据库的SQ1管理工具进行严格管理及控制，只有合法未经篡改的SQ1管理工具才允许登陆数据库。数据库常规的运维巡检工作一般不需要创建存储过程与触发器，通过通过数据库安全防范产品对数据库DD1操作进行精细化的访问控制管理，限制对视图、过程、触发器等对象的创建、删除与修改操作。对于数据库敏感操作，通过提交需要执行的运维SQ1语句进行运维工单的申请，有效保障运维操作与安全管理的

7、融合实现。本次数据库防勒索服务提供一年12次巡检服务，7*24小时日常运行保障服务,并提交季度巡检和年度服务总结报告。2.4.数据脱敏服务面向敏感数据进行数据自动发现、数据脱敏的专业的数据安全脱敏产品。可实现自动化发现源数据中的敏感数据，并对敏感数据按需进行漂白、变形、遮盖等处理，避免敏感信息泄露。同时又能保证脱敏后的输出数据能够保持数据的一致性和业务的关联性。服务内容如下：（1）保持数据特征和业务规则、数据关联性数据脱敏不仅仅执行数据漂白，而且在脱敏后需要保持数据特征,保证开发、测试以及大数据利用类业务不会受到脱敏的影响，达成脱敏前后的一致性。（2）保持数据特征数据脱敏前后必须保证数据特征的

8、保持，比如身份证号码由十七位数字本体码和一位校验码组成，分别为区域地址码（6位）、出生日期（8位）、顺序码（3位）和校验码（1位）。身份证号码脱敏规则需要保证脱敏后保持身份证号码的特征信息。（3）保持数据之间的一致性在实际业务中，数据和数据之间具有一定的关联性。比如出生年月字段或者年龄字段和身份证出生日期之间的关系。身份证信息脱敏后需要保证出生年月字段和身份证出生日期之间的一致性。（4）保持业务规则的关联性保持数据业务规则不变是数据脱敏的时候要数据关联性以及业务语义不变等，其中数据关联性包括主外键关联性、关联字段的业务语义关联性等等。特别是高度敏感的账户类主体数据往往会贯穿主体的所有关系和行为

9、信息，需要保证所有这些相关主体信息的一致性。（5）脱敏数据的可追溯、可审计报表，满足监管要求脱敏系统应内置丰富的报表样式（柱形图、仪表盘等），提供审计依据，满足监管部门要求。（6）灵活的数据脱敏分发方式由于数据脱敏场景多样性，数据脱敏的分发方式应支持数据库到数据库、数据库到文件、文件到文件、文件到数据库这四种完全不落地的脱敏方式，并且不需要在生产系统和本地安装任何客户端。（7）源数据容量本次脱敏源数据容量要求满足ITB及以上。（8）本次数据脱敏服务一年12次巡检服务报告，7*24小时日常运行保障服务，并提交季度和年度服务总结报告。2.5.数据备份服务（1）部署一套实时数据备份系统，对客户权调数

10、据进行实时备份。支持操作系统、数据库、应用环境、文件实时备份；（2）实时数据保护；（3）数据库备份；（4）操作系统备份；（5）数据恢复；（6）日常现场巡检服务。2.6.数据库审计服务（1）全面化审计通过数据库审计可审计所有来源，并记录详细的用户行为信息，涵盖所有访问数据库的路径、数据库操作行为，对数据库操作进行审计，可对增删改查等行为进行监控。所有数据库的访问路径、所有数据库操作行为等。数据库本地审计,获取到用户访问数据库的流量，并转发至数据库审计设备,在数据库审计设备上还原出真实的SQ1报表。（2）准确定位的精确化审计通过U盾、CA认证信息整合和应用程序账户来精确的识别操作人，精确的识别来自

11、于B/S架构的浏览器终端信息，精确的识别各项信息，同时提供应用程序注入、假冒检测等功能。（3）符合需求的订阅和告警可通过实时告警引擎和短信、邮件、动画等多种告警手段来保证告警的实时性，通过精细化的事件审计、灵活的告警规则、重复事件合并和过滤功能；同时通过精细化告警规则、错误操作检测来方便管理者订制需要的事件告警，也可以依据自身的安全需求订阅相关的告警。（4）未知威胁的智能化告警对于任何不认识的新面孔和操作都进行识别并告警，包括新发现的IP地址、应用程序、数据库账户、应用账户、访问对象、访问操作、SQ1语句等。（5）安全审计信息翻译提供审计信息翻译引擎，可将操作和配置的SQ1语句翻译转化成可以理

12、解的业务术语，方便阅读和理解，保证审计工作的有序进行。（6）丰富日常工作报表提供丰富的手段以支持用户日常性的安全工作任务，内置众多报表，涵盖数据安全涉及的所有方面。基于风险的日常工作报告，基于运维人员的日常工作报告，日报、周报和月报。（7）审计统一管理平台数据库审计系统提供统一管理平台，实现对审计设备统一管理、审计事件统一查询、审计策略统一下发，及审计报表统一生成等，其中报表可查看各保护对象各时段流量情况、在线用户情况、会话访问量，及执行次数最多的SQ1语句等。2.7.技术培训服务提供年度1次培训计划，培训根据人数、培训时间长度、当前技术能力等。培训老师由实战经验的工程师担任，拥有2年以上的现场运维服务经验和1年以上的数据库培训经验担任,培训内容可以充分结合实践经验,融会贯通,深入浅出。