數(shù)據(jù)庫安全運維項目需求

數(shù)據(jù)庫安全運維項目需求

1.項目背景

隨著信息化的發(fā)展，業(yè)務(wù)規(guī)模迅速擴(kuò)大、系統(tǒng)里存在的敏感數(shù)據(jù)激增，建設(shè)

重點逐步從網(wǎng)絡(luò)平臺建設(shè)，轉(zhuǎn)向以深化應(yīng)用、提升效益為特征的運行維護(hù)階段,

IT系統(tǒng)運維與安全管理正逐漸走向融合。XX系統(tǒng)的安全運行直接關(guān)系業(yè)務(wù)正常進(jìn)

行，敏感數(shù)據(jù)安全保障，構(gòu)建一個強(qiáng)健的IT運維安全管理體系對信息化的發(fā)展至

關(guān)重要，對運維的安全性提出了更高要求。

2.項目內(nèi)容

2.1.專業(yè)的數(shù)據(jù)庫日常維護(hù)

（1）數(shù)據(jù)庫性能優(yōu)化

一年3次數(shù)據(jù)庫性能優(yōu)化和數(shù)據(jù)庫安裝及升級服務(wù)，提升應(yīng)用系統(tǒng)性能，完

成各系統(tǒng)數(shù)據(jù)庫的性能調(diào)優(yōu)工作，包括：外部資源調(diào)優(yōu)、行的重新安排調(diào)優(yōu)、SQL

性能調(diào)優(yōu)、表格和索引存儲參數(shù)設(shè)置調(diào)優(yōu)等。

（2）數(shù)據(jù)庫現(xiàn)場巡檢

數(shù)據(jù)現(xiàn)場一年4次巡檢及2次系統(tǒng)健康檢查服務(wù)，盡早發(fā)現(xiàn)性能瓶頸，及時調(diào)

整，保障數(shù)據(jù)庫穩(wěn)定高效工作。

（3）數(shù)據(jù)庫安裝及升級

一年1次數(shù)據(jù)庫安裝及升級服務(wù)，將數(shù)據(jù)庫架構(gòu)的合理化規(guī)劃，保障數(shù)據(jù)庫

持續(xù)高效運行。

（4）7*24小時技術(shù)支持、主動預(yù)防維護(hù)

一年12次7*24小時技術(shù)支持、主動預(yù)防維護(hù)，預(yù)防性維護(hù)致力于在故障發(fā)生

之前消滅故障，在性能惡化之前消滅性能惡化。充分了解數(shù)據(jù)庫系統(tǒng)的狀況，為

重大投資和決策提供第一手衿學(xué)資料。通過預(yù)防性維護(hù)實踐，消滅了大部分日常

維護(hù)故障，很大程度上降低了業(yè)務(wù)終止時間。

（5）技術(shù)人員現(xiàn)場應(yīng)急保障

在整個服務(wù)期內(nèi)，如果終端客戶的數(shù)據(jù)庫發(fā)生對業(yè)務(wù)產(chǎn)生重大影響的數(shù)據(jù)庫

層面問題，工程師隊伍需要啟動緊急相應(yīng)流程，調(diào)派工程師，第一時間趕往客戶

1

現(xiàn)場，確保客戶的系統(tǒng)盡快恢復(fù)。

（6）數(shù)據(jù)庫規(guī)劃設(shè)計

數(shù)據(jù)庫工程師詳細(xì)了解服務(wù)器、存儲、網(wǎng)絡(luò)等硬件，協(xié)助進(jìn)行合理配置，通

過分析業(yè)務(wù)系統(tǒng)對數(shù)據(jù)庫表空間、索引、表的設(shè)計，提供詳細(xì)的建議設(shè)計方案,

幫助客戶構(gòu)建一個可擴(kuò)展性強(qiáng)、安全性高、穩(wěn)定性高、數(shù)據(jù)一致性得到保證的業(yè)

務(wù)系統(tǒng)。

（7）業(yè)務(wù)系統(tǒng)上線保障

保障業(yè)務(wù)系統(tǒng)在正式上線之前,經(jīng)歷大量的業(yè)務(wù)需求、架溝設(shè)計、程序開發(fā)、

實現(xiàn)功能等過程。開發(fā)過程中，會出現(xiàn)大量的程序段執(zhí)行速度慢，執(zhí)行速度慢無

法滿足技術(shù)上線指標(biāo)等，導(dǎo)致系統(tǒng)測試無法通過而延遲上線，提供數(shù)據(jù)庫運行使

用保障性服務(wù)。

（8）信息系統(tǒng)安全評估

防范內(nèi)部安全和誤操作為主要目標(biāo)，推出了安全性評估和實施服務(wù)。在全面

評估客戶業(yè)務(wù)系統(tǒng)安全性實現(xiàn)和需求的情況下，貼身實現(xiàn)用戶的數(shù)據(jù)庫安全性方

案。

2.2.數(shù)據(jù)庫運行安全監(jiān)控服務(wù)

數(shù)據(jù)庫運行安全監(jiān)控服務(wù)包括：

（1）數(shù)據(jù)中心運行狀態(tài)的一體化監(jiān)控平臺；

（2）核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫監(jiān)控可視化，直觀、有效監(jiān)視數(shù)據(jù)庫運行狀態(tài)；

（3）數(shù)據(jù)庫健康指數(shù)監(jiān)控；

（4）中間件監(jiān)控：利用川X實現(xiàn)監(jiān)控Java應(yīng)用服務(wù)功能，無需安裝任何第三

方軟件或插件；

（5）SQL執(zhí)行監(jiān)控；

（6）關(guān)聯(lián)資源監(jiān)控；

（7）操作系統(tǒng)監(jiān)控；

（8）日常巡檢。

本次數(shù)據(jù)庫運行安全監(jiān)控服務(wù)提供一年12次巡檢服務(wù)，7*24小時日常運行保

障服務(wù)，并提交季度巡檢和年度服務(wù)總結(jié)報告。

2

2.3.數(shù)據(jù)庫防勒索防護(hù)服務(wù)

鑒于目前勒索病毒的普遍性和難防御性，核心Oracle運行在Windows平臺，

因此需要對該平臺下的數(shù)據(jù)庫進(jìn)行勒索防范，主要從幾個方面進(jìn)行防范，首先數(shù)

據(jù)庫文件進(jìn)行勒索防護(hù)，保證數(shù)據(jù)庫文件不被勒索病毒加密、數(shù)據(jù)庫不被帶毒的

綠色版工具（比如PLSQL）進(jìn)行注入式勒索。

本次數(shù)據(jù)庫勒索病毒防護(hù)通過采用第三方專業(yè)的勒索病毒防護(hù)產(chǎn)品和人員

服務(wù)的方式進(jìn)行，達(dá)到以下幾個目標(biāo)。

（1）數(shù)據(jù)庫文件防勒索目標(biāo)

通過防勒索產(chǎn)品指定數(shù)據(jù)庫類型和添加信任可執(zhí)行程序（如oracle.exe）0

在防勒索產(chǎn)品上添加需要保護(hù)的現(xiàn)有的數(shù)據(jù)庫文件，新建的數(shù)據(jù)庫文件會自

動受到保護(hù)。

未授權(quán)執(zhí)行程序試圖修改數(shù)據(jù)庫文件，將認(rèn)定為可疑勒索事件，及時被防勒

索產(chǎn)品攔截。

通過防勒索產(chǎn)品只允許可信任執(zhí)行程序?qū)κ鼙Ｗo(hù)的數(shù)據(jù)庫文件執(zhí)行相關(guān)操

作。

（2）注入型勒索防護(hù)目標(biāo)

通過數(shù)據(jù)庫安全防范產(chǎn)品對運維工具進(jìn)行MD5校驗，針對管理人員、第三方

維護(hù)人員登陸數(shù)據(jù)庫的SQL管理工具進(jìn)行嚴(yán)格管理及控制，只有合法未經(jīng)篡改的

SQL管理工具才允許登陸數(shù)據(jù)庫。

數(shù)據(jù)庫常規(guī)的運維巡檢工作一般不需要創(chuàng)建存儲過程與觸發(fā)器，通過通過數(shù)

據(jù)庫安全防范產(chǎn)品對數(shù)據(jù)庫DDL操作進(jìn)行精細(xì)化的訪問控制管理，限制對視圖、

過程、觸發(fā)器等對象的創(chuàng)建、刪除與修改操作。

對于數(shù)據(jù)庫敏感操作，通過提交需要執(zhí)行的運維SQL語句進(jìn)行運維工單的申

請，有效保障運維操作與安全管理的融合實現(xiàn)。

本次數(shù)據(jù)庫防勒索服務(wù)提供一年12次巡檢服務(wù)，7*24小時日常運行保障服務(wù),

并提交季度巡檢和年度服務(wù)總結(jié)報告。

2.4.數(shù)據(jù)脫敏服務(wù)

面向敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)巨動發(fā)現(xiàn)、數(shù)據(jù)脫敏的專業(yè)的數(shù)據(jù)安全脫敏產(chǎn)品?？?/p>

實現(xiàn)自動化發(fā)現(xiàn)源數(shù)據(jù)中的敏感數(shù)據(jù)，并對敏感數(shù)據(jù)按需進(jìn)行漂白、變形、遮蓋

3

務(wù)，并提交季度和年度服務(wù)總結(jié)報告。

2.5.數(shù)據(jù)備份服務(wù)

（1）部署一套實時數(shù)據(jù)備份系統(tǒng)，對客戶權(quán)調(diào)數(shù)據(jù)進(jìn)行實時備份。支持操

作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用環(huán)境、文件實時備份；

（2）實時數(shù)據(jù)保護(hù)；

（3）數(shù)據(jù)庫備份；

（4）操作系統(tǒng)備份；

（5）數(shù)據(jù)恢復(fù);

（6）日?，F(xiàn)場巡檢服務(wù)。

2.6.數(shù)據(jù)庫審計服務(wù)

（1）全面化審計

通過數(shù)據(jù)庫審計可審計所有來源，并記錄詳細(xì)的用戶行為信息，涵蓋所有訪

問數(shù)據(jù)庫的路徑、數(shù)據(jù)庫操作行為，對數(shù)據(jù)庫操作進(jìn)行審計，可對增刪改查等行

為進(jìn)行監(jiān)控。所有數(shù)據(jù)庫的訪問路徑、所有數(shù)據(jù)庫操作行為等。

數(shù)據(jù)庫本地審計,獲取到用戶訪問數(shù)據(jù)庫的流量,并轉(zhuǎn)發(fā)至數(shù)據(jù)庫審計設(shè)備,

在數(shù)據(jù)庫審計設(shè)備上還原出真實的SQL報表。

（2）準(zhǔn)確定位的精確化審計

通過U盾、CA認(rèn)證信息整合和應(yīng)用程序賬戶來精確的識別操作人，精確的識

別來自于B/S架構(gòu)的瀏覽器終端信息，精確的識別各項信息，同時提供應(yīng)用程序

注入、假冒檢測等功能。

（3）符合需求的訂閱和告警

可通過實時告警引擎和短信、郵件、動畫等多種告警手段來保證告警的實時

性，通過精細(xì)化的事件審計、靈活的告警規(guī)則、重復(fù)事件合并和過濾功能；同時

通過精細(xì)化告警規(guī)則、錯誤操作檢測來方便管理者訂制需要的事件告警，也可以

依據(jù)自身的安全需求訂閱相關(guān)的告警。

（4）未知威脅的智能化告警

對于任何不認(rèn)識的新面孔和操作都進(jìn)行識別并告警，包括新發(fā)現(xiàn)的IP地址、

應(yīng)用程序、數(shù)據(jù)庫賬戶、應(yīng)用賬戶、訪問對象、訪問操作、SQL語句等。

（5）安全審計信息翻譯

5

提供審計信息翻譯引擎，可將操作和配置的SQL語句翻譯轉(zhuǎn)化成可以理解的

業(yè)務(wù)術(shù)語，方便閱讀和理解，保證審計工作的有序進(jìn)行。

(6)豐富日常工作報表

提供豐富的手段以支持用戶日常性的安全工作任務(wù)，內(nèi)置眾多報表，涵蓋數(shù)

據(jù)安全涉及的所有方面?；陲L(fēng)險的日常工作報告，基于運維人員的日常工作報

告，日報、周報和月報。

(7)審計統(tǒng)一管理平臺

數(shù)據(jù)庫審計系統(tǒng)提供統(tǒng)一管理平臺，實現(xiàn)對審計設(shè)備統(tǒng)一管理、審計事件統(tǒng)

一查詢、審計策略統(tǒng)一下發(fā)，及審計報表統(tǒng)一生成等，其中報表可查看各保護(hù)對

象各時段流量情況、