一、项目背景
某985高校数据库安全防护建设中,通过部署绿盟数据库审计系统(NSFOCUS Database Audit System,简称DAS),切实加快了数据库安全相关事件的响应速度,提高了内部监管力度,满足等保合规的同时有效解决非法访问监控以及事故追根溯源等防控难题。
- 二. 核心应用场景:
场景1, 审计发现成绩被非法篡改的问题:
审计发现非法用户在非工作时间段修改考生成绩等敏感数据;
场景2, 审计发现非法约课问题:
审计发现课程预约系统中学院热门课程被大量预约后,多次出现取消约课后被另一用户立即补约,疑似利用课程预约进行牟利的问题;
场景3,审计发现系统疑似盗用问题:
审计发现固定IP地址未使用常用账号登陆系统,疑似账号盗用问题。
三.项目目标
- 快速定位到真正的用户信息
院校全部应用系统采用统一身份认证,对院校门户网站以及下属分院门户和其他业务系统进行统一登陆控制和权限管理,要求DAS能在统身份认证环境下快速、有效定位应用用户和SQL关联会话。同时针对应用用户,可获取如浏览器、终端操作系统等更为详细的审计信息。
- 审计虚拟化、集中管理化
目前学院部分业务系统已经实现虚拟化部署,后续全院业务系统将全部完成虚拟化部署的过渡。要求DAS可以支持虚拟化环境,同时要求具备集中化管理能力,实现后续DAS的平滑扩容和保证审计日志留存周期超过一年。
四.部署图
五.核心价值
- 统一身份认证下的应用用户关联审计
采用统一认证方式管理门户网站与各子业务系统时,用户只需一次登陆认证后,访问院校其他子业务系统将无需进行二次认证。而常规应用用户关联审计只能针对门户网站进行用户关联审计,子业务系统由于免认证机制导致应用关联插件无法正常获取登陆信息,造成应用关联审计下沉失败,用户信息缺失,存在重大审计漏洞。绿盟数据库审计系统通过与统一身份认证系统对接,以及与子业务系统登陆标签进行绑定和信息获取,进行主动关联绑定完成应用用户关联审计下沉,实现在统一身份认证环境下快速、有效、无误的应用关联审计,满足了客户在三个核心审计场景的要求。
如下为实际部署运用界面截图:
- 虚拟化分布式部署
分布式部署将DAS的审计引擎及管理中心进行分离,管理中心统一负责绿盟数据库审计日志数据的存储和分析,审计引擎负责SQL会话与相关信息的采集、解析和审计,一个审计中心可管理多个审计引擎。 满足了用户对绿盟数据库审计的集中化管理要求,减轻了用户后续运维压力,同时也兼顾了后续DAS平滑扩容和审计日志超长留存的要求。
