内控管理、内网监控及数据库审计平台技术解决方案

1、上海东方CJ挨内控管理、内网暗监控及数据库审绊计平台技术解决方案 艾 矮 芭 上海络安信息暗技术有限公司伴 傲 201哎2柏年0扮2凹月版权声明岸上海络安信息技矮术有限公司爸是一家提供全面拔网络安全解决方稗案的咨询与服务袄为主的高科技企霸业，为中国广大扮的行业用户提供坝具有国际标准（吧如ISO177挨99、ISO1霸5408瓣、啊BS7799等哎）的网络安全全哀面解决方案及咨伴询服务，并向客扮户提供全面安全敖解决方案中所需芭的各项安全工具隘，及提供安全解懊决方案管理所需拜的管理决策平台安、安全咨询、教拜育培训以及卓越吧的售后服务。敖上海络安信息技瓣术有限公司保留扮此文档的所有电伴子、纸张类文件

2、败资料和相关软件肮等的所有版权。芭任何单位和个人澳未经许可不得复瓣制、转载或用于跋任何商业目的，败上海络安信息技艾术有限公司保留翱追究法律责任的板权利。文档修改日志半日期扮修改理由稗修改章节疤版本八20芭12.02.0肮7澳原始版本俺1.0目 录TOC o 1-3 h z u HYPERLINK l _Toc316482279 办第一章凹唉项目综述扮 PAGEREF _Toc316482279 h 奥9 HYPERLINK l _Toc316482280 肮1.1扒氨项目背景芭 PAGEREF _Toc316482280 h 氨9 HYPERLINK l _Toc316482281 笆1.2拜

3、碍络安简介哎 PAGEREF _Toc316482281 h 翱10 HYPERLINK l _Toc316482282 爱第二章耙疤项目需求分析鞍 PAGEREF _Toc316482282 h 摆2 HYPERLINK l _Toc316482283 碍2.1昂艾内控管理需求分氨析哀 PAGEREF _Toc316482283 h 肮2 HYPERLINK l _Toc316482284 蔼2.1.1拌把维护管理困难八 PAGEREF _Toc316482284 h 靶2 HYPERLINK l _Toc316482285 百2.1.2叭俺使用共享帐号的笆安全隐患百 PAGEREF _To

4、c316482285 h 耙2 HYPERLINK l _Toc316482286 扮2.1.3罢班密码策略无法有瓣效执行百 PAGEREF _Toc316482286 h 安2 HYPERLINK l _Toc316482287 白2.1.4拜笆用户授权不清晰熬 PAGEREF _Toc316482287 h 般3 HYPERLINK l _Toc316482288 拜2.1.5暗敖访问控制策略不疤严格跋 PAGEREF _Toc316482288 h 半3 HYPERLINK l _Toc316482289 斑2.1.6阿伴用户操作无法有白效审计凹 PAGEREF _Toc31648228

5、9 h 挨3 HYPERLINK l _Toc316482290 拜2.2隘跋内网监控需求分跋析瓣 PAGEREF _Toc316482290 h 靶3 HYPERLINK l _Toc316482291 阿2.2.1阿笆功能需求分析坝 PAGEREF _Toc316482291 h 凹3 HYPERLINK l _Toc316482292 霸2.2.2敖柏项目建设目标扳 PAGEREF _Toc316482292 h 绊5 HYPERLINK l _Toc316482293 袄2.2.3斑稗项目效益分析熬 PAGEREF _Toc316482293 h 隘6 HYPERLINK l _Toc

6、316482294 敖2.3拜凹数据库审计需求埃分析靶 PAGEREF _Toc316482294 h 伴6 HYPERLINK l _Toc316482295 斑2.3.1搬扮数据库管理捌 PAGEREF _Toc316482295 h 办7 HYPERLINK l _Toc316482296 哀2.3.2版盎技术风险瓣 PAGEREF _Toc316482296 h 鞍7 HYPERLINK l _Toc316482297 矮2.3.3隘把审计风险霸 PAGEREF _Toc316482297 h 案8 HYPERLINK l _Toc316482298 巴2.4笆拔平台性能需求分巴析伴

7、PAGEREF _Toc316482298 h 爱8 HYPERLINK l _Toc316482299 俺2.5艾昂自身安全性需求碍分析袄 PAGEREF _Toc316482299 h 袄9 HYPERLINK l _Toc316482300 袄第三章奥按Webcare疤智能网络监控软昂件解决方案白 PAGEREF _Toc316482300 h 袄10 HYPERLINK l _Toc316482301 安3.1氨坝系统架构设计碍 PAGEREF _Toc316482301 h 袄10 HYPERLINK l _Toc316482302 巴3.2扒敖关键功能简介拌 PAGEREF _To

8、c316482302 h 稗12 HYPERLINK l _Toc316482303 暗3.2.1把爱集中式监控平台百 PAGEREF _Toc316482303 h 扮12 HYPERLINK l _Toc316482304 斑3.2.2俺拜统一资源配置平捌台白 PAGEREF _Toc316482304 h 佰13 HYPERLINK l _Toc316482305 坝3.2.3扒佰统一展现平台哀 PAGEREF _Toc316482305 h 巴14 HYPERLINK l _Toc316482306 笆3.2.4疤霸告警事件管理笆 PAGEREF _Toc316482306 h 绊14

9、 HYPERLINK l _Toc316482307 氨产品功能介绍安 PAGEREF _Toc316482307 h 挨16 HYPERLINK l _Toc316482308 盎3.3百八基础设施监控绊 PAGEREF _Toc316482308 h 斑16 HYPERLINK l _Toc316482309 扳3.3.1拌氨多种监测手段耙 PAGEREF _Toc316482309 h 班16 HYPERLINK l _Toc316482310 矮3.3.2耙邦监测器一览表靶 PAGEREF _Toc316482310 h 暗18 HYPERLINK l _Toc316482311 隘3

10、.4捌哀业务系统监控坝 PAGEREF _Toc316482311 h 半19 HYPERLINK l _Toc316482312 跋3.4.1百扮面向业务可用性哀的监测般 PAGEREF _Toc316482312 h 靶19 HYPERLINK l _Toc316482313 挨3.5瓣柏统一事件平台熬 PAGEREF _Toc316482313 h 班20 HYPERLINK l _Toc316482314 胺3.5.1搬办故障管理扒 PAGEREF _Toc316482314 h 般20 HYPERLINK l _Toc316482315 靶3.5.2绊矮故障信息的采集绊 PAGERE

11、F _Toc316482315 h 氨20 HYPERLINK l _Toc316482316 罢3.5.3版捌统一的事件处理按平台霸 PAGEREF _Toc316482316 h 跋21 HYPERLINK l _Toc316482317 澳3.5.4伴百事件的自动通知翱 PAGEREF _Toc316482317 h 凹21 HYPERLINK l _Toc316482318 坝3.5.5扮办规范的告警处理靶机制挨 PAGEREF _Toc316482318 h 拔21 HYPERLINK l _Toc316482319 叭3.6暗背统一运行展现败 PAGEREF _Toc3164823

12、19 h 背22 HYPERLINK l _Toc316482320 班3.6.1阿癌IP奥拓扑视图斑 PAGEREF _Toc316482320 h 邦22 HYPERLINK l _Toc316482321 吧3.6.2半罢设备视图佰 PAGEREF _Toc316482321 h 颁23 HYPERLINK l _Toc316482322 奥3.6.3般隘业务视图阿 PAGEREF _Toc316482322 h 拔23 HYPERLINK l _Toc316482323 背3.6.4邦芭自定义视图伴 PAGEREF _Toc316482323 h 扳24 HYPERLINK l _To

13、c316482324 凹3.7澳岸系统安全性设计跋 PAGEREF _Toc316482324 h 阿24 HYPERLINK l _Toc316482325 翱3.7.1邦巴用户权限管理袄 PAGEREF _Toc316482325 h 板24 HYPERLINK l _Toc316482326 澳3.7.2爸皑系统状态监测凹 PAGEREF _Toc316482326 h 绊25 HYPERLINK l _Toc316482327 八3.7.3疤坝系统数据管理拜 PAGEREF _Toc316482327 h 挨25 HYPERLINK l _Toc316482328 叭系统技术指标暗 P

14、AGEREF _Toc316482328 h 绊26 HYPERLINK l _Toc316482329 哎3.8拜跋网络管理功能性芭 PAGEREF _Toc316482329 h 唉26 HYPERLINK l _Toc316482330 岸3.9八扳服务器监测碍 PAGEREF _Toc316482330 h 安28 HYPERLINK l _Toc316482331 罢3.10碍鞍数据库监测办 PAGEREF _Toc316482331 h 叭29 HYPERLINK l _Toc316482332 爸3.11爱澳应用服务监测瓣 PAGEREF _Toc316482332 h 爸30

15、HYPERLINK l _Toc316482333 吧3.12瓣俺扩展接口八 PAGEREF _Toc316482333 h 巴31 HYPERLINK l _Toc316482334 拌3.13胺哎系统影响评估熬 PAGEREF _Toc316482334 h 翱31 HYPERLINK l _Toc316482335 背3.13.1鞍皑对网络带宽的影败响埃 PAGEREF _Toc316482335 h 懊31 HYPERLINK l _Toc316482336 懊3.13.2疤搬对采用凹SNMP凹监测的主机系统癌 PAGEREF _Toc316482336 h 拜32 HYPERLINK

16、 l _Toc316482337 皑3.13.3把绊对采用癌Agent扮监测的暗Windows百服务器跋 PAGEREF _Toc316482337 h 唉32 HYPERLINK l _Toc316482338 般3.13.4罢暗对采用罢Agent俺监测的八UNIX瓣服务器拔 PAGEREF _Toc316482338 h 斑32 HYPERLINK l _Toc316482339 鞍3.14捌般定制和客户化方耙案八 PAGEREF _Toc316482339 h 皑33 HYPERLINK l _Toc316482340 扳3.14.1拌罢二次开发必要性办 PAGEREF _Toc3164

17、82340 h 癌33 HYPERLINK l _Toc316482341 碍3.14.2癌阿二次开发能力和板优势扳 PAGEREF _Toc316482341 h 皑33 HYPERLINK l _Toc316482342 胺第四章昂办LanSecS捌内控堡垒主机解矮决方案斑 PAGEREF _Toc316482342 h 盎35 HYPERLINK l _Toc316482343 罢4.1碍隘方案目标俺 PAGEREF _Toc316482343 h 凹35 HYPERLINK l _Toc316482344 叭4.2爸颁方案内容癌 PAGEREF _Toc316482344 h 拜35

18、HYPERLINK l _Toc316482345 蔼4.2.1俺班设备集中管理啊 PAGEREF _Toc316482345 h 百36 HYPERLINK l _Toc316482346 斑4.2.2哎澳解决共享账户隐半患艾 PAGEREF _Toc316482346 h 吧36 HYPERLINK l _Toc316482347 唉4.2.3奥伴密码策略有效执百行绊 PAGEREF _Toc316482347 h 背36 HYPERLINK l _Toc316482348 安4.2.4艾敖解决客户授权不八清晰芭 PAGEREF _Toc316482348 h 昂37 HYPERLINK

19、l _Toc316482349 案4.2.5半阿访问控制策略严按格执行扒 PAGEREF _Toc316482349 h 凹38 HYPERLINK l _Toc316482350 昂4.2.6奥绊操作审计可追踪班 PAGEREF _Toc316482350 h 拌39 HYPERLINK l _Toc316482351 胺4.3安伴产品设计概要说肮明啊 PAGEREF _Toc316482351 h 艾40 HYPERLINK l _Toc316482352 扒4.3.1暗吧整体设计八 PAGEREF _Toc316482352 h 邦40 HYPERLINK l _Toc316482353

20、 俺4.3.2俺捌工作流程暗 PAGEREF _Toc316482353 h 凹40 HYPERLINK l _Toc316482354 袄产品功能介绍稗 PAGEREF _Toc316482354 h 白40 HYPERLINK l _Toc316482355 芭4.4稗拔系统架构矮 PAGEREF _Toc316482355 h 矮40 HYPERLINK l _Toc316482356 霸4.5鞍叭功能描述版 PAGEREF _Toc316482356 h 佰41 HYPERLINK l _Toc316482357 坝4.5.1拔搬统一资源管理暗 PAGEREF _Toc31648235

21、7 h 八42 HYPERLINK l _Toc316482358 癌4.6艾蔼用户管理伴 PAGEREF _Toc316482358 h 巴43 HYPERLINK l _Toc316482359 颁4.6.1办坝用户生命周期管扳理巴 PAGEREF _Toc316482359 h 爱43 HYPERLINK l _Toc316482360 哎4.6.2百疤主账号管理邦 PAGEREF _Toc316482360 h 艾44 HYPERLINK l _Toc316482361 隘4.6.3胺拔账号管理阿 PAGEREF _Toc316482361 h 氨45 HYPERLINK l _Toc

22、316482362 凹4.6.4隘颁用户角色管理安 PAGEREF _Toc316482362 h 巴45 HYPERLINK l _Toc316482363 啊4.6.5绊扮账号同步稗 PAGEREF _Toc316482363 h 斑45 HYPERLINK l _Toc316482364 昂4.6.6拌耙账号策略管理稗 PAGEREF _Toc316482364 h 爸46 HYPERLINK l _Toc316482365 拔4.6.7安爸资源管理八 PAGEREF _Toc316482365 h 蔼47 HYPERLINK l _Toc316482366 靶4.6.8靶扳密码策略瓣

23、PAGEREF _Toc316482366 h 肮47 HYPERLINK l _Toc316482367 盎4.7跋扒授权管理半 PAGEREF _Toc316482367 h 扮48 HYPERLINK l _Toc316482368 背4.7.1澳案集中授权俺 PAGEREF _Toc316482368 h 俺48 HYPERLINK l _Toc316482369 翱4.7.2拜绊授权审批岸 PAGEREF _Toc316482369 h 白49 HYPERLINK l _Toc316482370 隘4.7.3半爸资源授权瓣 PAGEREF _Toc316482370 h 斑49 HY

24、PERLINK l _Toc316482371 半4.7.4袄坝角色授权敖 PAGEREF _Toc316482371 h 敖49 HYPERLINK l _Toc316482372 版4.7.5百敖细粒度授权凹 PAGEREF _Toc316482372 h 罢50 HYPERLINK l _Toc316482373 澳4.7.6拔按集中访问控制袄 PAGEREF _Toc316482373 h 坝51 HYPERLINK l _Toc316482374 稗4.7.7耙案单点登陆胺 PAGEREF _Toc316482374 h 般52 HYPERLINK l _Toc316482375 般

25、4.7.8耙拌B/S爱单点登录扒 PAGEREF _Toc316482375 h 懊53 HYPERLINK l _Toc316482376 暗4.7.9翱稗C/S般单点登录拌 PAGEREF _Toc316482376 h 拔53 HYPERLINK l _Toc316482377 肮4.7.10八俺动态短信口令奥 PAGEREF _Toc316482377 h 版54 HYPERLINK l _Toc316482378 版4.8版罢审计管理霸 PAGEREF _Toc316482378 h 皑55 HYPERLINK l _Toc316482379 埃4.8.1案敖内部的审计拔 PAGER

26、EF _Toc316482379 h 跋55 HYPERLINK l _Toc316482380 坝4.8.2叭八审计范围昂 PAGEREF _Toc316482380 h 翱55 HYPERLINK l _Toc316482381 隘4.8.3版佰审计内容爱 PAGEREF _Toc316482381 h 挨56 HYPERLINK l _Toc316482382 澳4.8.4皑皑审计查询拜 PAGEREF _Toc316482382 h 佰56 HYPERLINK l _Toc316482383 笆4.8.5熬叭审计报表瓣 PAGEREF _Toc316482383 h 笆56 HYPER

27、LINK l _Toc316482384 鞍4.8.6八拌还原审计凹 PAGEREF _Toc316482384 h 搬57 HYPERLINK l _Toc316482385 拌4.8.7疤拌智能告警办 PAGEREF _Toc316482385 h 坝57 HYPERLINK l _Toc316482386 隘4.9搬昂集中管理平台八 PAGEREF _Toc316482386 h 跋58 HYPERLINK l _Toc316482387 氨4.9.1佰胺子系统管理案 PAGEREF _Toc316482387 h 跋58 HYPERLINK l _Toc316482388 拔4.9.2

28、敖敖账号管理爸 PAGEREF _Toc316482388 h 百58 HYPERLINK l _Toc316482389 凹4.9.3奥拔用户自管理巴 PAGEREF _Toc316482389 h 昂59 HYPERLINK l _Toc316482390 氨4.9.4稗邦单点登录哀 PAGEREF _Toc316482390 h 霸59 HYPERLINK l _Toc316482391 背4.9.5案啊权限管理奥 PAGEREF _Toc316482391 h 挨59 HYPERLINK l _Toc316482392 靶4.9.6绊鞍数据查询暗 PAGEREF _Toc3164823

29、92 h 哀59 HYPERLINK l _Toc316482393 颁4.9.7拌胺访问审计澳 PAGEREF _Toc316482393 h 鞍59 HYPERLINK l _Toc316482394 班4.9.8爱败系统自管理坝 PAGEREF _Toc316482394 h 俺59 HYPERLINK l _Toc316482395 八产品优势及部署背 PAGEREF _Toc316482395 h 矮62 HYPERLINK l _Toc316482396 鞍4.10捌翱LanSecS哀堡垒主机特色版 PAGEREF _Toc316482396 h 办62 HYPERLINK l _

30、Toc316482397 艾4.11靶疤LanSecS巴产品功能优势叭 PAGEREF _Toc316482397 h 按63 HYPERLINK l _Toc316482398 蔼4.11.1败邦可定制性胺 PAGEREF _Toc316482398 h 爱63 HYPERLINK l _Toc316482399 翱4.11.2败翱可扩展性扒 PAGEREF _Toc316482399 h 澳63 HYPERLINK l _Toc316482400 蔼4.11.3拔罢高安全性岸 PAGEREF _Toc316482400 h 版64 HYPERLINK l _Toc316482401 唉4.

31、11.4绊搬高可靠性盎 PAGEREF _Toc316482401 h 阿64 HYPERLINK l _Toc316482402 拌4.11.5奥哎易用性版 PAGEREF _Toc316482402 h 哎64 HYPERLINK l _Toc316482403 拌4.12坝癌LanSecS摆内控堡垒主机典背型部署稗 PAGEREF _Toc316482403 h 柏65 HYPERLINK l _Toc316482404 背4.12.1罢办单区域堡垒机部白署败 PAGEREF _Toc316482404 h 爸65 HYPERLINK l _Toc316482405 拔4.12.2斑靶多

32、区域堡垒机部霸署凹 PAGEREF _Toc316482405 h 挨66 HYPERLINK l _Toc316482406 碍第五章俺哀Imperva拌数据库安全审计百解决方案搬 PAGEREF _Toc316482406 h 啊67 HYPERLINK l _Toc316482407 疤5.1俺案Imperva皑公司数据库安全笆解决方案拔 PAGEREF _Toc316482407 h 佰67 HYPERLINK l _Toc316482408 凹5.1.1爱版SecureS拌phere靶绊 Databa佰se Acti霸vity Mo罢nitorin叭g Gatew爸ay奥 PAGER

33、EF _Toc316482408 h 颁67 HYPERLINK l _Toc316482409 邦5.1.2皑奥SecureS捌phere D哀atabase澳 Firewa奥ll Gate把way稗 PAGEREF _Toc316482409 h 凹67 HYPERLINK l _Toc316482410 癌5.1.3百袄SecureS罢phere D艾iscover昂y and A扮ssessme半nt Serv扒er拌 PAGEREF _Toc316482410 h 板67 HYPERLINK l _Toc316482411 氨5.1.4埃扳SecureS矮phere M半X Mana

34、g碍ement S爸erver耙 PAGEREF _Toc316482411 h 矮68 HYPERLINK l _Toc316482412 氨5.1.5坝癌Imperva办 Applic绊ation D搬efence 版Centre 伴(ADC)埃 PAGEREF _Toc316482412 h 班68 HYPERLINK l _Toc316482413 百5.1.6爱跋SecureS班phere澳优势（专利）技拜术矮 PAGEREF _Toc316482413 h 败69 HYPERLINK l _Toc316482414 捌5.2按澳技术实现霸 PAGEREF _Toc316482414

35、 h 颁69 HYPERLINK l _Toc316482415 吧5.2.1岸半SecureS碍phere 安专用硬件平台按 PAGEREF _Toc316482415 h 澳69 HYPERLINK l _Toc316482416 背5.2.2般爱数据库代理（版Agent翱）坝 PAGEREF _Toc316482416 h 办71 HYPERLINK l _Toc316482417 挨5.2.3熬瓣集中管理架构矮 PAGEREF _Toc316482417 h 把72 HYPERLINK l _Toc316482418 敖5.3绊办部署方案鞍 PAGEREF _Toc316482418

36、h 阿72 HYPERLINK l _Toc316482419 奥5.3.1稗拔嗅探部署方案版 PAGEREF _Toc316482419 h 爱72 HYPERLINK l _Toc316482420 疤5.3.2巴拜桥接部署方案翱 PAGEREF _Toc316482420 h 邦73 HYPERLINK l _Toc316482421 阿5.3.3搬靶代理部署方案耙 PAGEREF _Toc316482421 h 捌74 HYPERLINK l _Toc316482422 佰5.4蔼按工作原理图矮 PAGEREF _Toc316482422 h 般75 HYPERLINK l _Toc3

37、16482423 瓣5.5跋疤SecureS跋phere办逻辑架构层次岸 PAGEREF _Toc316482423 h 扮76 HYPERLINK l _Toc316482424 邦5.5.1颁胺用户界面层扒User In胺terface安 Layer傲 PAGEREF _Toc316482424 h 胺76 HYPERLINK l _Toc316482425 胺5.5.2靶蔼管理和报告层啊Managem罢ent & R笆eportin摆g Layer柏 PAGEREF _Toc316482425 h 哎76 HYPERLINK l _Toc316482426 版5.5.3鞍凹分析层癌Ana

38、lysi八s Layer邦 PAGEREF _Toc316482426 h 笆77 HYPERLINK l _Toc316482427 邦5.5.4伴拌存储层捌Storage安 Layer般 PAGEREF _Toc316482427 h 半77 HYPERLINK l _Toc316482428 邦5.5.5岸盎收集层凹Collect癌ion Lay哎er般 PAGEREF _Toc316482428 h 安77 HYPERLINK l _Toc316482429 芭5.5.6百傲数据库访问层艾DB Acce办ss Laye般r佰 PAGEREF _Toc316482429 h 凹77 HY

39、PERLINK l _Toc316482430 唉5.6爸罢数据捕获拜 PAGEREF _Toc316482430 h 佰77 HYPERLINK l _Toc316482431 坝5.7盎盎SecureS氨phere瓣多层安全检查机搬制哎 PAGEREF _Toc316482431 h 拔78 HYPERLINK l _Toc316482432 吧5.7.1百艾数据库唉 IPS熬 PAGEREF _Toc316482432 h 哎79 HYPERLINK l _Toc316482433 暗5.7.2拜拌集成防火墙功能靶 PAGEREF _Toc316482433 h 白80 HYPERLIN

40、K l _Toc316482434 岸5.7.3斑坝动态建模八 PAGEREF _Toc316482434 h 阿80 HYPERLINK l _Toc316482435 翱5.7.4安捌数据库协议验证哎 PAGEREF _Toc316482435 h 翱80 HYPERLINK l _Toc316482436 稗5.8霸拌Imperva按数据库安全方案俺的优势柏 PAGEREF _Toc316482436 h 扒81项目综述项目背景耙随着信息技术的摆不断发展和信息敖化建设的不断进伴步，办公系统、颁商务平台的不断搬推出和投入运行拌，信息系统在扳金融行业内部罢的运营中全面渗拔透。暗而目前大部分企

41、蔼业系统管理员人板数较少，不仅管艾理和维护费时费八力，而且帐号或八密码外泄、违规暗访问和操作、人瓣为误操作等安全笆事件时有发生，霸也无法对安全事袄件进行有效的责啊任定位，这些都扳会对部门或者企颁业声誉造成重大埃影响，并严重影扮响其经济运行效奥能。如何提高系搬统运维管理水平拜，满足国家或企熬业内部相关标准案要求，防止内部凹或外部的违规行瓣为，降低运维成背本，提供控制和艾审计依据，越来爱越成为企业关心按的问题。皑通过自动化的技搬术手段分别从物矮理层、网络层、背应用层三个方面坝对柏公司内网吧的核心服务器群百、熬网络及应用系统跋进行般7柏霸24八小时全天候监测鞍预警，通过持续拔对各项资源运行坝状况的监

42、控，建拔立性能基线，发叭现系统中的异常奥并且及时告警，凹以便快速作出应鞍对措施，有力提皑高应用服务保障岸水平。霸数据库的应用袄已经艾十分广泛，深入懊到各个领域，但肮随之而来背也办产生了伴很多摆数据的安全问题伴。各种应用系统胺的数据库中大量吧数据的安全问题办、敏感数据的防挨窃取和防篡改问般题，越来越引起跋人们的高度重视盎。数据库系统作巴为信息的聚集体矮，是计算机信息翱系统的核心部件皑，其安全性至关扒重要，关系到企蔼业兴衰、成败。埃因此，把如何保证数据库伴自身的安全，已瓣成为现代数据库柏系统的主要评测百指标之一。阿上海东方希杰商袄务有限公司胺是做电子商务业胺务的，坝电子商务、电子敖贸易的着眼点集爸

43、中于WEB服务般器、Java和佰其它新技术的同扒时，应该记住这案些以用户为导向捌和企业对企业的矮系统都是以We绊b服务器后的关俺系数据库为基础胺的。它们的安全啊直接关系到系统败的有效性、数据背和交易的完整性般、保密性。系统百拖延效率欠佳，扮不仅影响商业活爱动，还会影响公靶司的信誉。不可半避免地，这些系佰统受到入侵的可班能性更大，但是熬并未对商业伙伴扮和客户敏感信息颁的保密性加以更捌有效的防范。此爸外，ERP和管罢理系统，如AS爸PR/3和Pe蔼opleSof挨t等，都是建立埃在相同标准的数柏据库系统中。无昂人管理的安全漏疤洞与时间拖延、挨系统完整性问题哀和客户信任等有疤直接的关系。阿所以，罢如

44、何有效地保证巴数据库系统的安百全，实现数据的耙保密性、完整性癌和有效性，已经岸成为业界人士探矮索研究的重要课耙题之一皑。络安简介懊上海络安的一站白式运维服务立足哎于ITIL/I癌SO27001邦国际管理标准，熬集网络安全技术鞍、产品和资深工八程师为一体，向碍客户、合作伙伴班提供增值、全面佰、完整的安全托柏管服务。服务范巴围包括全面的整巴体安全策略制定氨、定期、性能监敖控、流量监控、霸数据备份与复原颁、系统加固、哎白客攻击测试耙，安全配置、紧绊急响应、7*搬24*365 佰安全监控服务等熬。依托于上海络胺安为IDC托管碍用户提供的高质奥代维服务，企业背可专注于网站主摆要业务的运营。百上海络安致力

45、于靶为企事业单位提拔供长远的、有效般的信息服务解决背方案，按需求提板供一站式网络运稗维服务，不断降昂低企业运营风险霸水平和长期运营癌成本。俺上海络安是以提般供全面爱IT艾咨询与网络运维叭服务为主的高科伴技企业。跋具有自主知识产哀权的安全监控软班件，为各行业用捌户提供具有国际捌标准的网络安全哀全面解决方案及坝咨询服务。哎拥有强大的后端班技术支持平台，隘严格的服务流程板专业的工程队伍跋、完善的监控体八系。本公司优势：肮具完整咨询、设爱计、实施经验的爱服务能力佰BCP（业务持邦续性计划）和D板RP（灾难恢复翱计划）咨询服务挨能力敖量身订作的业务稗持续性计划咨询哀及实施计划邦企业容灾系统的敖架构设计扳

46、客户应用系统数背据移植、数据优绊化和数据管理啊大型容灾项目的肮实施经验凹跨平台的系统集熬成能力阿高素质的凹运维外包矮项目管理经验坝上海络安金桥I氨DC机房，提供跋专业IDC服务服务资质：隘2008年公司斑获得高新技术企唉业和双软件企业阿的证书； 澳2009年获得靶工信部（工信部八协2009奥42号）互联网笆安全接入试点工挨作的上海市试点搬工作任务承担单啊位； 叭2009年获得板上海世博会信息案安全保障应急响拜应支撑单位； 蔼2010年获得癌工信部颁发的计肮算机信息系统集巴成资质胺2010年荣获百上海世博会信息靶安全保障工作优癌秀集体（唯一一搬家企业单位）澳2010年公司搬荣获上海市创新颁型企业

47、称号摆2010年公司碍获得工信部颁发扳的信息安全应急伴处理服务资质拌2010年公司般获得中国信息安佰全测评中心颁发般的信息安全服务 项目需求分析按内控管理需求分颁析办上海东方希杰商芭务有限公司阿是一家电子商务把公司，使用在线板网上银行交易系翱统，所以对数据靶库的安全性较高靶。靶企业数据中心拥背有数量众多的U艾nix/L扮inux哀/Window捌s主机、网络设伴备、数据库服务搬器及必要的安全哀设备，用来支撑捌和保障电子百商稗务、数据库应用坝、ERP和协同扒工作群件等的稳唉定、安全运行。敖信息安全管理部班门在对以上各种疤设备进行维护和笆管理的过程中，罢面临着如下问题疤： 维护管理困难颁大量设备和

48、系统百的维护管理常常巴使得系统管理人坝员忙碌不堪，不啊同的IP地址登板录、繁杂的帐号懊和密码记忆等，瓣经常导致维护管瓣理混乱、不到位败和误操作等问题按出现；出现问题懊后，也无法及时挨发现和处理，维胺护管理效率低下绊。因此，需要借败助技术平台对设把备和系统进行维懊护管理，以提高扒管理效能，缓解艾系统管理人员压拔力。敖 唉使用共享帐号的半安全隐患昂企业的支撑系统凹中的大量网络设芭备、主机系统和胺应用系统，分别伴属于不同的部门隘和不同的业务系癌统。各系统都有哀一套独立的帐号笆体系，用户为了把方便登录，经常安出现多人共用帐按号的情况。耙多人共用一个帐叭号在带来方便的皑同时，也导致了背用户身份唯一性扮无

49、法确定。发生罢问题后，无法准爸确定位恶意操作笆或误操作的责任八人；如果其中有皑人离职或者将帐颁号信息外泄给其耙他无关人员，会半使这个帐号的安疤全性无法保证。昂此外，如果更改坝密码，则需要通按知所有需要使用笆此帐号的人员，澳使密码的管理工靶作复杂化。鞍 蔼密码策略无法有哀效执行疤为了保证密码的岸安全性，安全管癌理员制定了严格跋的密码策略，如芭密码要定期修改捌，密码要保证足盎够的长度和复杂按度等，但是由于瓣管理的机器数量鞍和帐号数量太多懊，往往导致密码艾策略的实施流于袄形式。肮 癌用户授权不清晰百设备多维护人员绊少是目前大部分隘企业面临的一个伴共同问题，一个案维护人员可能会澳同时维护管理多袄台设备

50、，也就会啊同时兼任各种系唉统角色，这就造蔼成了用户权限分翱配的混乱性和不摆合理性，不合理矮和不清晰的用户翱授权使得系统的笆安全性无法得到哀充分保证。暗 捌访问控制策略不按严格傲目前，在网络管办理中没有一个清耙晰的访问控制列熬表，无法一目了案然看到哪个用户白能够以何种身份把访问哪些关键设矮备，同时缺少有鞍效的技术手段来癌保证访问控制策蔼略被有效执行。稗 蔼用户操作无法有傲效审计傲各系统独立运行办、维护和管理，扒所以各系统的审斑计信息也是相互懊独立的。每个网唉络设备，每个主岸机系统分别进行班审计，安全事故袄发生后需要排查办各设备、系统的俺日志，费时费力绊；即使审计日志啊找到了，也很难白定位到行为人

51、。扮另外，各系统的氨日志记录能力各背不相同，日记记胺录功能也都存在班着一定的缺陷。板例如对于Uni板x系统来说，日叭志记录功能就存胺在以下问题：跋Unix 系统蔼中，用户在服务扒器上的操作有一阿个历史命令记录懊的文件，但是用懊户可以随意更改稗和删除自己的记袄录；案root 用户捌不仅仅可以修改背自己的历史记录隘，还可以修改他俺人的历史记录，笆系统本身的历史昂记录文件已经变背的不可信；芭记录的命令数量哀有限制；盎无法记录操作人败员、操作时间、挨操作结果等详细般内容；佰内网监控需求分蔼析 功能需求分析巴上海东方希杰商蔼务有限公司扒内稗网监测预警平台般是针对主机、网靶络、应用、数据八库的运行性能及哀

52、安全状态进行监矮测的应用系统，哀必须满足如下要版求：吧1、芭集中运行管理摆信息系统管理人拔员面对的往往是翱异构的管理对象叭和多种管理需求癌，如果没有一套爱统一、集成的管奥理系统，需要花爱费很长时间和精班力学习管理技能般，导致管理效率半无法有效的提升斑，因此需具备统斑一监测、集中管办理功能：柏解放人力，依靠霸智能化技术化的唉管理手段，降低矮故障发生率，降碍低维护成本，并艾同时提高维护效扳率。败IT资源监测结佰果综合展现，消扒除各个监控工具袄之间各自为政、哎系统管理员在各挨个界面间频繁切敖换的情况，并通瓣过统一的展现界巴面进行展现。皑统一的告警平台哎，建立性能基线罢，发现系统异常蔼并及时告警，将稗

53、所有告警纳入监阿测管理平台，并懊通过短信、邮件哎统一告警。坝以业务的角度将啊传统的技术设备板的管理整合到基绊于业务的管理平白台上来，不仅能耙完成对设备监控邦的需求同时能满柏足根据业务的组肮成定位问题根源办，定位性能瓶颈笆，预测业务发展拌趋势和稳定性。搬提供各种报表和叭视图，呈现IT背资源的运行状况昂和运行趋势。拌统一的中文界面奥，浏览器管理方板式，可以多人同袄时通过浏览器进班行访问和操作。2、网络监测哎监测预警平台针哀对网络碍故障靶和班性能熬瓶颈等各种问题唉能实现哎网络流量奥、爸网络质量爸和网络拓扑傲管理斑功能：白自动、准确地发八现网络的拓扑结安构；办可持续地监视、颁报告网络的运行袄情况；哀提

54、供网络运行状凹态和性能的多角摆度分析与统计；奥对网络、安全设癌备告警事件进行捌采集和跨类型、笆跨厂商的分析。瓣3、主机系统监哎测柏监测预警平台能伴够实现对各种服八务器（Linu傲x、AIX、W矮indows2办003等）的监稗测管理，包括主暗机硬件、操作系疤统、文件系统、颁进程和应用等。岸监测的重点是对爱操作系统关键指昂标，如CPU、疤内存、进程、文伴件系统等进行全胺面的监控管理，耙要求不仅能够在胺状态改变或性能蔼指标超越门限时蔼生成告警，同时鞍还应该提供实时耙和历史的性能数班据展现，并能够摆保存历史性能数绊据，以形成统计鞍分析报表。4、应用监测坝监测预警平台瓣可以全面智能的扮监测各种与We鞍

55、b应用相关的服疤务，如Apac唉he Serv邦er、MS I胺IS Serv碍er、FTP、疤DNS、New耙s按、Weblog伴ic阿等。该监测基于爱TCP/IP协埃议族中的各种应巴用层协议（HT拜TP、FTP、袄DNS等），不傲需要对被监测服癌务进行配置板。澳组合使用它们可敖以对WEB、E板mail、DN扳S、FTP、E隘RP、CRM、矮中间件等从应用背可用性、系统资背源占用和性能指拔标三个层面进行鞍全面深入的监测版管理百，保证服务的可巴用性和性能。5、数据库监测八监测预警平台能爸对Oracle袄、癌MS-叭SQL、My袄SQL、DB2盎等多种艾数据库从应用可奥用性、系统资源伴占用和数据

56、库性胺能指标三个方面挨提供全面的监测哀管理策略，确保俺数据库的运行正傲常。蔼数据库监测主要胺是对百关键参数昂，爱例如文件存储空柏间、系统资源使俺用率、配置情况吧、当前的各种锁芭资源情况、进程爸状态、进程所占岸内存空间、癌缓冲区命中率、碍可用性等百实现监测般。埃监测预警平台拔可以在坝数据库运行服务斑中断时捕获问题八信息，并且自动笆发送到告警控制版台，使系统管理绊员能够及时采取霸措施，避免灾难摆性的事故。 项目建设目标阿通过叭上海东方希杰商靶务有限公司把内网皑监测预警平台傲的啊建设安，将做到IT系拌统故障早发现、盎早解决，确保计懊算机系统、网络把和应用的连续、拜可靠、安全运行澳，降低发生故障矮的可

57、能性，提高颁IT系统运行管拔理水平和服务保版障能力败。邦实现对各业务系爱统、应用程序、跋服务器、存储设埃备、网络系统、摆网络设备以及安哎全系统等的监测埃和管理，直接提暗供与应用相关的鞍集中监测的能力澳、手段和工具。具体目标如下：半1、面向基础设袄施的管理敖：拔1）全面管理系澳统资源：提供对稗网络、主机、存氨储设备、安全设罢备、数据库、中拜间件及应用软件拜等IT资源的全白面管理。哀2）智能化故障矮管理癌：自动收集各种芭管理功能产生的芭故障事件，完成熬故障事件收集和拜自动告警等工作百，以实现对故障癌的快速定位、处唉理。笆3）性能管理与般优化：对网络和扒应用等性能进行伴监控，定期提供般性能报表和趋势

58、白表，为网络性能搬优化提供科学依拔据。板2、面向维护管皑理者矮：半1）运维服务管唉理：实现日常运耙维工作的自动化靶；哎2）智能总控中搬心：实时展现当傲前IT系统的运懊行状态及趋势，坝帮助管理人员快俺速发现问题，分笆析故障问题所在办；翱3、面向决策者澳：埃综合报表：对系捌统运行状况信息巴进行汇总，帮助暗领导更全面的了爸解网络系统的运暗行状况和趋势，八为领导决策提供皑科学依据。 项目效益分析颁通过颁预警监测按平台拔建设和部署，可斑以实现如下积极扮和有益的目标：办建成提前预警、扳快速定位故障的芭综合监控系统，按监测各种业务系拜统基础资源，如败网络设备、数据爸库、服务器、中柏间件等，通过设捌定各个基础

59、资源安性能阀值，一旦瓣触发性能阀值，傲就发出告警，并扳且以短信、声音霸、邮件等即时方捌式通知管理员，芭让管理员可以在百众多的资源中提凹前定位故障源，霸把故障扼杀在萌白芽之中，减少业搬务系统的故障风胺险。摆建成规范、科学柏、灵活、符合用碍户使用习惯的运百维电子流程，转把变过去手工无序敖的运维模式为主翱动可控有序的运爸维服务模式，让百运维过程可以跟敖踪、审计、量化岸，通过规范的流佰程服务，减少运拔维成本的投入，翱提高运维效率，八提升信息部门的板运维形象，增强般运维工作的影响拔力。盎建成针对业务系埃统可用性的状态袄监控机制，对业背务系统可用性进搬行实时监控，通挨过醒目颜色图标安表示业务系统状盎况，起

60、到直观整啊体掌控凹业务盎的状态，提高管暗理员运维的效率懊和提高业务系统扮无故障率，让业把务系统真正无忧伴运行。捌建成通过集中的熬管理平台，集中佰展现各种视图，扮如网络拓扑视图昂、业务拓扑视图搬、机房视图等等斑，可以起到管理般多系统展现目的俺。按数据库审计需求柏分析俺上海东方希杰商吧务有限公司按目前的业务系统翱中大多鞍数关键数据均存八储在数据库服务拔器中，这些关键艾的数据库系统也哎成为了公司信息氨系统和业务系统八的心脏。这些数吧据库中储存着诸哎如银行账户、订跋单信息、客户信办息、生产或交易哀明细、产品资料癌等极其重要和敏般感的信息。翱针对埃上海东方希杰商凹务有限公司胺的现状，我们总百结了以下主要