數(shù)據(jù)庫審計系統(tǒng)_技術(shù)白皮書V0

1、止匕處是Logo數(shù)據(jù)庫審計系統(tǒng)技術(shù)白皮書地址:電話:傳真:郵編:版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬北京所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個人、機(jī)構(gòu)未經(jīng)北京的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何內(nèi)容。版本變更記錄時間版本說明修改人2016.04.05V1.0初建適用性聲明文檔用于撰寫XX公司產(chǎn)品介紹、項目方案、解決方案、商業(yè)計劃書等。1 .產(chǎn)品概述12 .應(yīng)用背景12.1 現(xiàn)狀與問題12.1.1 現(xiàn)狀12.1.2 問題22.2 需求分析32.2.1 政策需求 信息系統(tǒng)安全等級保護(hù)基本要求

2、 商業(yè)銀行信息科技風(fēng)險管理指引32.2.2 技術(shù)需求42.2.3 管理需求42.2.4 性能需求42.2.5 環(huán)境與兼容性需求52.2.6 需求匯總53 .產(chǎn)品介紹63.1 目標(biāo)63.2 產(chǎn)品功能63.2.1 數(shù)據(jù)庫訪問行為記錄63.2.2 違規(guī)操作告警響應(yīng)63.2.3 集中存儲訪問記錄73.2.4 訪問記錄查詢73.2.5 數(shù)據(jù)庫安全審計報表73.3 產(chǎn)品部署73.3.1 旁路部署73.3.2 分布式部署83.4 產(chǎn)品特性93.4.1 安全便捷的部署方式93.4.2 日志檢索能力93.4.3 靈活的日志查詢條件103.4.4 靈活的數(shù)據(jù)庫審計配置策略103.4.5 數(shù)據(jù)庫入侵檢測能力103.

3、4.6 符合審計需求設(shè)計114 .用戶收益114.1 對企業(yè)帶來的價值114.2 全生命周期日志管理124.3 日常安全運維工作的有力工具121 .產(chǎn)品概述數(shù)據(jù)庫審計系統(tǒng)（以下簡稱XXX）是一款專業(yè)、主動、實時監(jiān)控數(shù)據(jù)庫安全的審計產(chǎn)品。本系統(tǒng)采用有效的對數(shù)據(jù)庫監(jiān)控與審計方式，針對數(shù)據(jù)庫漏洞攻擊、SQl注入、風(fēng)險操作等數(shù)據(jù)庫風(fēng)險操作行為發(fā)生記錄與告警。能對不同的場景定制審計策略，如：信任，敏感模糊化和行為告警等策略。本系統(tǒng)可以有效的評估數(shù)據(jù)庫潛在風(fēng)險；實時監(jiān)控數(shù)據(jù)庫用戶的訪問行為；它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報，用來幫助用戶事后生成合規(guī)報告、事故追根溯源，同時加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為記錄

4、，提高數(shù)據(jù)資產(chǎn)安全。2 .應(yīng)用背景在高速信息化的今天，數(shù)據(jù)安全問題已涉及到各行各業(yè)中，數(shù)據(jù)泄漏所引發(fā)的社會問題持續(xù)高漲。信息安全成為國家安全戰(zhàn)略的重要部分。2.1 現(xiàn)狀與問題數(shù)據(jù)庫安全問題是亟待解決的安全核心痛點。2.1.1 現(xiàn)狀數(shù)據(jù)庫是數(shù)據(jù)信息存儲的最主要形式，而當(dāng)前信息泄露案例的90%Z上與數(shù)據(jù)庫相關(guān)80%勺數(shù)據(jù)庫沒有任何防護(hù)措施，面對數(shù)據(jù)篡改、數(shù)據(jù)破壞、數(shù)據(jù)泄漏等問題，追蹤、定責(zé)、挽回?fù)p失等方式顯得極為疲軟在傳統(tǒng)IT架構(gòu)向云計算模式遷移過程中，數(shù)據(jù)安全成為客戶關(guān)注的核心問題2.1.2 問題互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)的數(shù)據(jù)庫信息價值及可訪問性得到了提升，同時，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑

5、戰(zhàn)，概括起來主要表現(xiàn)在以下三個層面：政策層面：數(shù)據(jù)庫里保存著客戶信息和各類資金數(shù)據(jù)，數(shù)據(jù)庫的安全不僅關(guān)系到用戶自身的利益和品牌，還關(guān)系到公共秩序甚至國家利益。在國家等級保護(hù)、中國人民銀行及銀監(jiān)會信息安全規(guī)范以及國際支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)等都有著明確的要求。技術(shù)層面：?數(shù)據(jù)庫自身存在重大安全缺陷（訪問控制缺陷、數(shù)據(jù)庫管理系統(tǒng)漏洞、明文存儲）?更為復(fù)雜的數(shù)據(jù)庫應(yīng)用環(huán)境（B/S架構(gòu)的應(yīng)用使數(shù)據(jù)庫間接暴露到互聯(lián)網(wǎng)、各種類型的外包工作人員直接訪問數(shù)據(jù)庫、數(shù)據(jù)庫共享使各種應(yīng)用系統(tǒng)程序直連到數(shù)據(jù)庫）?傳統(tǒng)防護(hù)方案具有局限性（網(wǎng)絡(luò)防火墻產(chǎn)品不對數(shù)據(jù)庫通訊協(xié)議進(jìn)行控制、IPS/IDS/網(wǎng)絡(luò)審計并不能防范那些看起

6、來合法的數(shù)據(jù)訪問、繞過WA朦統(tǒng)的刷庫行為屢見不鮮、無法解決來自于業(yè)務(wù)系統(tǒng)本身的安全威脅、忽略了內(nèi)部人員的管控）?運維管控存在泄密途徑（測試數(shù)據(jù)泄密、導(dǎo)出明文備份數(shù)據(jù)導(dǎo)致泄密、圖形化操作無法控制、無法控制返回結(jié)果集、惡意程序惡意訪問）?內(nèi)部信息泄漏（利用數(shù)據(jù)庫的漏洞攻擊、應(yīng)用數(shù)據(jù)庫賬戶泄露、敏感信息以明文存儲、DBA用戶操作無法監(jiān)管）管理層面:主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時，無法追溯并定位真實的操作者。伴隨著數(shù)據(jù)庫信息價值以及可訪問性提升，使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風(fēng)險大大增加，如違規(guī)越權(quán)操作、惡意入侵

7、導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無法有效追溯和審計。2.2 需求分析2.2.1 政策需求 信息系統(tǒng)安全等級保護(hù)基本要求依據(jù)信息安全等級保護(hù)要求，XXXXS用系統(tǒng)被定義為三級，在安全審計方面均有與數(shù)據(jù)安全相關(guān)的要求，以下為等保關(guān)于數(shù)據(jù)安全的內(nèi)容。安全審計應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計；應(yīng)保證無法單獨中斷審計進(jìn)程，無法刪除、修改或覆蓋審計記錄。審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；應(yīng)提供對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析及生成審計報表的功能安全審計數(shù)據(jù)庫管理系統(tǒng)的安全審計應(yīng)：?建立獨立的安全審計系統(tǒng)；?定義與數(shù)據(jù)庫

8、安全相關(guān)的審計事件；?設(shè)置專門的安全審計員；?設(shè)置專門用于存儲數(shù)據(jù)庫系統(tǒng)審計數(shù)據(jù)的安全審計庫；?提供適用于數(shù)據(jù)庫系統(tǒng)的安全審計設(shè)置、分析和查閱的工具 商業(yè)銀行信息科技風(fēng)險管理指引第二十六條商業(yè)銀行應(yīng)通過以下措施，確保所有信息系統(tǒng)的安全：（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。（七）以書面或電子格式保存審計痕跡。（八）要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。第二十七條商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計算機(jī)和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大

9、類：（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯誤信息等。交易日志應(yīng)按照國家會計準(zhǔn)則要求予以保存。（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險等級確定，但不能少于一年。商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計需要；應(yīng)采取適當(dāng)措施保證所有日志同步計時，并確保其完整性。在例外情況發(fā)生后應(yīng)及時復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共

10、同決定，并報信息科技管理委員會批準(zhǔn)。2.2.2 技術(shù)需求審計系統(tǒng)應(yīng)能在保護(hù)數(shù)據(jù)庫安全的前提下，針對運維人員對數(shù)據(jù)庫的訪問行為進(jìn)行審計，審計的內(nèi)容包括了訪問的時間、地址、目標(biāo)資源以及詳細(xì)的操作內(nèi)容呈現(xiàn)。審計系統(tǒng)應(yīng)對各類數(shù)據(jù)庫進(jìn)行實時的監(jiān)控管理，監(jiān)控數(shù)據(jù)庫的運行狀態(tài)，保證數(shù)據(jù)的不中斷。能夠?qū)Ω黝惖臄?shù)據(jù)庫進(jìn)行安全掃描，在發(fā)現(xiàn)配置或安全漏洞時提供有限的解決建議，保證數(shù)據(jù)庫的可靠性。審計系統(tǒng)應(yīng)對重要數(shù)據(jù)庫操作進(jìn)行審計，審計范圍包括數(shù)據(jù)庫維護(hù)人員、超級用戶以及應(yīng)用用戶行為。審計系統(tǒng)應(yīng)能夠?qū)徲嬌蟻淼娜罩居幸欢ǖ谋Ｗo(hù)能力，不能隨意修改和刪除日志。日志的存儲應(yīng)采用加密形式進(jìn)行保存。2.2.3 管理需求應(yīng)對第三

11、方數(shù)據(jù)庫廠家以及超級權(quán)限用戶進(jìn)行控制，能夠控制其訪問數(shù)據(jù)庫的操作，對其所做的操作進(jìn)行全面的審計，保證重要數(shù)據(jù)的不丟失不泄密。2.2.4 性能需求為了保證系統(tǒng)的不間斷運行需對審計系統(tǒng)的性能有一定要求在數(shù)據(jù)正常的情況下應(yīng)保證:峰值處理能力（SQL語句、條/秒）：18000吞吐量（Mb/sec）:2000Mbps一萬條審計日志搜索時間小于5秒2.2.5 環(huán)境與兼容性需求審計系統(tǒng)支持以下審計資源以及交換機(jī)類型，保證系統(tǒng)的正常上線和后續(xù)的使用審計資源數(shù)據(jù)庫類型版本端口OracleSybaseDB2Mysql網(wǎng)絡(luò)連接交換機(jī)類型版本鏡像端口2.2.6 需求匯總通過對于用戶的環(huán)境的了解以及所提出問題的了解分析

12、，具備需求體現(xiàn)在如下幾個方面：能夠滿足等級保護(hù)以及行業(yè)規(guī)定對于數(shù)據(jù)庫安全方面的要求。對登錄數(shù)據(jù)庫和操作數(shù)據(jù)庫的人員進(jìn)行詳細(xì)的操作審計。能夠?qū)τ脩艟W(wǎng)絡(luò)內(nèi)的數(shù)據(jù)庫系統(tǒng)進(jìn)行監(jiān)控與漏洞的掃描。對現(xiàn)有業(yè)務(wù)和系統(tǒng)不產(chǎn)生任何影響。整體審計系統(tǒng)具備一定的保密性，確保審計數(shù)據(jù)的安全性。維護(hù)簡單、具備專業(yè)的審計功能，節(jié)約人力，減少維護(hù)費用。產(chǎn)品介紹3.1 目標(biāo)保護(hù)數(shù)據(jù)庫以及核心數(shù)據(jù)安全；提供靈活、便利的策略定制；通過事后的合規(guī)性分析，幫助您發(fā)現(xiàn)針對數(shù)據(jù)庫攻擊行為和安全隱患；幫助您從多角度了解數(shù)據(jù)庫活動現(xiàn)狀；幫助您滿足合規(guī)/審計的要求；簡化您審計的工作。3.2 產(chǎn)品功能3.2.1 數(shù)據(jù)庫訪問行為記錄數(shù)據(jù)庫審計系統(tǒng)支

13、持對多種類數(shù)據(jù)庫的操作行為進(jìn)行采集記錄，探測器通過旁路接入，在相應(yīng)的交換機(jī)上配置端口鏡像，對用戶訪問數(shù)據(jù)庫的數(shù)據(jù)流進(jìn)行鏡像采集并保存信息日志。數(shù)據(jù)庫審計系統(tǒng)能夠詳細(xì)記錄每次操作的發(fā)生時間、數(shù)據(jù)庫類型、源MA04址、目的MAC*址、源端口、目標(biāo)端口、數(shù)據(jù)庫名、用戶名、客戶端IP、服務(wù)器端IP、操作指令、操作返回狀態(tài)值。數(shù)據(jù)庫審計系統(tǒng)支持記錄的行為包括：數(shù)據(jù)操作類（如select、insert、delete、update等）結(jié)構(gòu)操作類（如create、drop、alter等）事務(wù)操作類（如BeginTransaction、CommitTransaction、RollbackTransaction等

14、）用戶管理類以及其它輔助類（如視圖、索引、過程等操作）等數(shù)據(jù)庫訪問行為,并對違規(guī)操作行為產(chǎn)生報警事件。3.2.2 違規(guī)操作告警響應(yīng)數(shù)據(jù)庫審計系統(tǒng)可通過規(guī)則設(shè)置對各類數(shù)據(jù)庫操作訪問行為進(jìn)行實時監(jiān)測，對網(wǎng)絡(luò)中的異常數(shù)據(jù)庫操作行為及時進(jìn)行告警響應(yīng)，實時顯示告警信息并記錄存儲。告警信息可通過郵件或短信等方式通知管理員，以確保管理員在第一時間發(fā)現(xiàn)用戶對數(shù)據(jù)庫的違規(guī)操作。3.2.3 集中存儲訪問記錄通過數(shù)據(jù)庫審計系統(tǒng)可以將分布在網(wǎng)絡(luò)不同位置、不同類型的數(shù)據(jù)庫的訪問信息集中到統(tǒng)一的安全審計系統(tǒng)中進(jìn)行存儲，便于對記錄數(shù)據(jù)進(jìn)行分析。3.2.4 訪問記錄查詢數(shù)據(jù)庫審計系統(tǒng)采用專有的特殊文件系統(tǒng)對規(guī)范化的日志進(jìn)行存

15、儲，同時也支持Mysql等標(biāo)準(zhǔn)數(shù)據(jù)庫存儲，文件存儲機(jī)制是根據(jù)日志系統(tǒng)的特殊性進(jìn)行專門研發(fā)，為海量日志的存儲及檢索進(jìn)行了優(yōu)化設(shè)計。產(chǎn)品內(nèi)置高容量的硬盤存儲空間，采用Raid硬盤陣列，可有效防止由于硬盤硬件問題而帶來的數(shù)據(jù)丟失，同時數(shù)據(jù)庫審計系統(tǒng)還支持外掛存儲系統(tǒng)，從而實現(xiàn)存儲空間的海量擴(kuò)充。3.2.5 數(shù)據(jù)庫安全審計報表數(shù)據(jù)庫審計系統(tǒng)通過動態(tài)報表的方式對數(shù)據(jù)庫操作行為審計結(jié)果進(jìn)行統(tǒng)計分析。系統(tǒng)默認(rèn)內(nèi)置豐富的報表模板，其中大部分報表均符合SOXt案、等級保護(hù)等法規(guī)、標(biāo)準(zhǔn)對信息系統(tǒng)的審計需求，同時，用戶也可以根據(jù)自身的實際需求自定義報表內(nèi)容，生成審計報表，審計報表可以以HTTPf口EXCE咯式導(dǎo)出。

16、3.3 產(chǎn)品部署3.3.1 旁路部署設(shè)備旁路在數(shù)據(jù)庫前端交換機(jī)，通過接收交換機(jī)端口鏡像數(shù)據(jù)流對數(shù)據(jù)庫進(jìn)行審計，該拓?fù)浞桨笩o需更改任何現(xiàn)有拓?fù)浣Y(jié)構(gòu)，同時也不會對現(xiàn)網(wǎng)造成任何影響。筆記本PC終端圖1旁路部署拓?fù)鋱D3.3.2 分布式部署和單一部署類似，設(shè)備旁路在數(shù)據(jù)庫前端交換機(jī)，通過接收交換機(jī)端口鏡像數(shù)據(jù)流對數(shù)據(jù)庫進(jìn)行審計，該拓?fù)浞桨笩o需更改任何現(xiàn)有拓?fù)浣Y(jié)構(gòu)，不會對現(xiàn)網(wǎng)造成任何影響；多臺設(shè)備通過管理口通訊級聯(lián)對規(guī)則策略進(jìn)行同步。圖2分布式部署拓?fù)鋱D3.4 產(chǎn)品特性3.4.1 安全便捷的部署方式數(shù)據(jù)庫審計系統(tǒng)對數(shù)據(jù)庫操作訪問行為采用全旁路方式進(jìn)行審計，無需串聯(lián)在網(wǎng)絡(luò)設(shè)備中；不在數(shù)據(jù)庫主機(jī)上安裝客戶端軟

17、件；不改變客戶原有的任何登錄方式；部署便捷，不會破壞本身網(wǎng)絡(luò)結(jié)構(gòu)，不影響數(shù)據(jù)庫系統(tǒng)的性能，實施成本較低。數(shù)據(jù)庫審計系統(tǒng)進(jìn)行維護(hù)、升級時不會影響到正常業(yè)務(wù)的運行，也不會影響到網(wǎng)絡(luò)性能。3.4.2 日志檢索能力數(shù)據(jù)庫審計系統(tǒng)采用了公司自主開發(fā)的基于海量日志索引的日志檢索引擎，避免了采用關(guān)系型數(shù)據(jù)庫在處理海量日志數(shù)據(jù)時的低效率問題，采用“基于預(yù)測的動態(tài)索引技術(shù)”、“數(shù)據(jù)正交分組技術(shù)”及“適應(yīng)磁盤的索引存儲”“即時結(jié)果反饋技術(shù)”等核心技術(shù)手段，實現(xiàn)了對日志的高速檢索能力0數(shù)據(jù)庫審計系統(tǒng)對于在緩存中的日志（最近入庫的日志）,以四重以內(nèi)組合條件查詢，能夠在5秒內(nèi)即返回完整的檢索結(jié)果。對于任意時間段內(nèi)的歷史

18、數(shù)據(jù)查詢，數(shù)據(jù)庫審計系統(tǒng)也能夠在數(shù)秒鐘內(nèi)即反饋符合要求的檢索結(jié)果。3.4.3 靈活的日志查詢條件數(shù)據(jù)庫審計系統(tǒng)支持不限次數(shù)的多重條件查詢規(guī)則設(shè)定，管理員可根據(jù)日志的類型、發(fā)生時間、不同字段內(nèi)容等條件組合進(jìn)行精細(xì)匹配。數(shù)據(jù)庫審計系統(tǒng)支持：、=、不等于、包含、時間區(qū)間、或、與等十多種常見邏輯符號，支持跨日志查詢，管理員能夠通過設(shè)定規(guī)則條件，對日志進(jìn)行精確定位。3.4.4 靈活的數(shù)據(jù)庫審計配置策略數(shù)據(jù)庫審計系統(tǒng)提供了靈活和易于操作的策略配置管理。策略配置為高效而全面地實現(xiàn)數(shù)據(jù)庫安全審計起到了決定性的作用。數(shù)據(jù)庫審計系統(tǒng)有以下多種配置策略：全面審計策略：所有的數(shù)據(jù)庫請求都會被審計，保證審計的全面性；審

19、計過濾策略：在某些高吞吐量場景，過高的負(fù)載將使實時處理和存儲壓力過大，通過系統(tǒng)提供的白名單過濾、白名單規(guī)則可以對常規(guī)安全語句、安全來源實現(xiàn)審計過濾，使系統(tǒng)能夠在過載的情況下，集中在危險或異常的SQL語句審計上；重點語句告警策略：無論是否執(zhí)行全面審計的策略，系統(tǒng)都可以對需要重點監(jiān)視的語句進(jìn)行特殊對待，可以通過黑名單、正則表達(dá)、重點用戶、重點IP、返回行數(shù)等策略完成對重點關(guān)注對象和行為的定義，對這些重點對象和行為的語句可以將其放入到告警審計中，可以通過syslog、snmp郵件或短信等多種途徑對這些語句進(jìn)行土煞口目。3.4.5 數(shù)據(jù)庫入侵檢測能力數(shù)據(jù)庫審計系統(tǒng)提供了強(qiáng)大的數(shù)據(jù)庫入侵檢測能力，對入侵

20、行為進(jìn)行重點告警；數(shù)據(jù)庫審計系統(tǒng)對數(shù)據(jù)庫的入侵檢測行為提供了大量的檢測策略定義方法，包括：危險客戶端登錄：通過IP、用戶、數(shù)據(jù)庫客戶端工具、時間等多維定義可能具有入侵風(fēng)險的登錄；危險訪問行為：通過用戶、敏感對象、時間、返回行數(shù)、操作是否有Whee是否使用了系統(tǒng)對象、高危操作子等多種方式定義了危險訪問行為；SQL注入：系統(tǒng)提供了系統(tǒng)性的SQL注入庫，以及基于正則表達(dá)式或語法抽象的SQLffi入描述擴(kuò)展；漏洞攻擊庫：系統(tǒng)提供了針對數(shù)據(jù)庫漏洞進(jìn)行攻擊的描述模型，使對這些典型的數(shù)據(jù)庫攻擊行為被迅速發(fā)現(xiàn)；黑名單：提供準(zhǔn)確而抽象的方式，對系統(tǒng)中的特定訪問SQL語句進(jìn)行描述，使這些SQL®句出現(xiàn)時

21、能夠迅速報警。3.4.6 符合審計需求設(shè)計數(shù)據(jù)庫審計系統(tǒng)對數(shù)據(jù)庫操作行為日志的采集分析及審計報表均根據(jù)各行業(yè)審計需求、國家法規(guī)需求進(jìn)行專門設(shè)計，如：國家保密標(biāo)準(zhǔn)BMZ2-2001涉及國家秘密的計算機(jī)信息系統(tǒng)安全保密方案設(shè)計指南國家保密標(biāo)準(zhǔn)BMZ1-2000涉及國家秘密的計算機(jī)信息系統(tǒng)保密技術(shù)要求國家保密標(biāo)準(zhǔn)計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定（國保發(fā)19981號）國家標(biāo)準(zhǔn)GB17859-1999,計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則國家標(biāo)準(zhǔn)GB/T18336.2-2001，信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第2部分：安全功能要求ISO27001/ISO17799:2005/BS7799,信息安全管理技術(shù)規(guī)范國家標(biāo)準(zhǔn)GB/T22239信息系統(tǒng)安全等級保護(hù)基本要求四.用戶收益4.1 對企業(yè)帶來的價值數(shù)據(jù)庫審計系統(tǒng)從不同層面為企業(yè)和組織的用戶帶來價值回報。1）對于安全管理員、安全分析員、安全運維人員:明確工作職責(zé)，各類安全管理人員各司其職，協(xié)同合作提高工作效率，更加快速準(zhǔn)確的識別安全告警，發(fā)現(xiàn)違規(guī)行為，進(jìn)行應(yīng)急響應(yīng)發(fā)生安全問題，事后調(diào)查有據(jù)可循2）對于安全負(fù)責(zé)人，負(fù)責(zé)安全的高管：有助于建立一套可行的安全策略的執(zhí)行方針，并通過數(shù)據(jù)庫審計系統(tǒng)真正落實通過持續(xù)有效的安全事件分析識別安全