數據庫審計系統案例:職業學院

項目背景    

職業學院隨著校園信息化的快速建設,教育云虛擬化也帶來了安全問題:業務網絡邊界消失、傳統安全措施無法部署、數據集中存儲導致泄漏風險加倍,校園虛擬化網絡環境云數據庫審計項目就是有針對性的實現教育業務系統、一卡通、財務系統中,學員、教學學系統的數據庫操作的全部記錄。


解決方案    

教育部曾于2014年10月下發《教育行業信息系統安全等級保護定級工作指南(試行)》,要求部屬各高等學校加強教育行業信息安全工作,并要求高校參照國家對信息系統的安全保護等級標準的等級劃分,形成教育行業信息系統安全等級劃分。

校園網通過聯通、電信和教育專網連接,教授在家就可以通過互聯網將科研項目預算、關鍵技術點上報,由于網站存在嚴重漏洞,已有某大學科研預算等敏感信息被惡意公布在互聯網上的情況。

學生和教職員工個人隱私信息、學校財務、科研、教務管理等,如:身份證號、姓名、聯系方式、單位的部分財務信息、科研預算、考試成績等,這些敏感信息價值極高,批量泄漏會對主管院校乃至社會有嚴重影響。

因此,校園虛擬化網絡環境云數據庫審計項目能實現以上業務系統的全面審計。傳統數據庫審計在虛擬環境下進行部署,需要從物理交換機鏡像數據流量,而虛擬環境下,訪問數據庫所在虛擬主機的數據實時鏡像至虛擬審計服務器的監聽端口以實現對數據的采集,這種采集方式能夠保證網絡層所有訪問數據庫的數據流都被準確及 時的捕獲,并交由數據庫審計產品進行分析處理。這種部署方式不僅可以保證數據庫審計產品的功能一切正常,還可以保證對原有虛擬應用平臺透明,無影響。

擬化數據庫審計部署圖

將數據庫審計產品結合到虛擬環境中的部署圖如圖所示,ESXi為使用虛擬技術組合起來的物理節點,在虛擬環境下面,運行著三套應用系統APP1、APP2、 APP3,以及其對應的后臺數據庫DB1、DB2、DB3。DBAudit為部署了數據庫審計產品的虛擬機,所有設備通過vSphere Switch虛擬交換機進行網絡通訊。


客戶價值    

校園虛擬化網絡環境云數據庫審計項目支持在虛擬環境下部署,虛交換機端口鏡像的配置方式,虛擬化環境下數據庫防火墻以本地代理或透明網橋部署方式,優于傳統的硬件部署方式,更好地為校園網服務。

客戶評價        

職業學院通過采用中科三森的數據庫監控與審計實現虛擬環境下的數據庫審計,對學生和教職員工個人隱私信息、院校科研項目信息的數據庫操作全面審計,同時使用應用用戶關聯審計,有效定位到具體使用的學員或教職員工,在出現問題的時候有效的追責和定責,有效解決了云環境下校園網的數據庫安全問題。