信息中心
住房公積金管理中心數據庫與網絡安全審計系統
案例簡介
北京住房公積金管理中心負責對全市市屬單位的住房基金、公共維修基金、住房補貼的建立、使用進行監督和管理。管理中心的網絡系統劃分為三個區域:外網區域:與銀行、建設部網絡以及Internet相連。內網區域:包括管理中心內部辦公網、分支機構和下屬各單位的網點。 DMZ區域:包括內網DMZ區域和外網DMZ區域。其中內網DMZ區域為核心服務器區域,放置了應用服務器、數據庫服務器等,外網DMZ區域放置了WEB服務器,對外提供WEB信息服務。內網DMZ區的應用服務器與數據庫服務器接受著三類用戶的訪問和操作。一是來自外網用戶(銀行、建設部)的數據查詢訪問;二是來自下屬各單位網點、開發商對數據庫服務器的應用操作;三是來自內網辦公區域對數據庫服務器的更新與維護。由此可知,內網DMZ區是網絡安全防護的核心所在。因此,用戶提出了對內網和外網都要進行網絡安全審計,同時對內網DMZ區的數據庫系統訪問與操作也要進行安全審計的要求。
面臨問題
內網用戶對互聯網的操作行為無法進行有效的監控
辦公內網用戶對關鍵業務服務器的訪問不能進行審計監管
下屬各單位網點和開發商對數據庫服務器訪問缺乏審核
內部網管對數據庫服務器的更新與維護缺乏審計
非法人員對數據庫的訪問不能及時發現和追蹤
技術構架
采用北京國都興業科技發展有限公司具有自主知識產權的Egilance II網絡信息安全審計系統——Egilance II-NetAudit和數據庫安全審計系統Egilance II-DBAudit。具體實施情況為:采用一套Egilance II-NetAudit-B通過旁路方式(TAP)部署在外網出入口處對各種網絡應用行為進行監測審計、報警和記錄;采用一套Egilance II-DBAudit和一套Egilance II-NetAudit-C部署在內網DMZ區的出入口處,通過旁路方式(TAP)監測所有會話流,對訪問內網DMZ區應用服務器的網絡行為和內容以及訪問數據庫服務器的各種操作進行監測審計、報警和記錄。由此,網絡和安全管理人員可以完全掌控網絡中的所有“應用活動”以及對數據庫的系統操作和數據操作行為,并能通過監測審計及時發現各種異常應用,諸如黑客的應用攻擊、非法操作、非授權修改數據以及竊取重要數據信息等違規行為;通過完整和詳細的審計記錄進行安全分析,及時追根查源、對象定位和調查取證。
方案特點
豐富的系統組件,滿足了用戶不同的安全審計需求。
七類46種網絡行為監測審計可以掌控網絡中的所有活動。
對數據庫進行全面的審計和監控,包括登陸、增刪改查等操作。
安全審計既有實時監測審計,發現問題馬上報警,又有事后反查審計。
完善和靈活的審計記錄轉儲機制,提供了歷史審計記錄的保存。
獨特的TAP旁路監聽技術,使其對網絡性能的影響下降為零。
實施過程
Egilance II在北京住房公積金管理中心信息網絡系統中的應用,為網絡安全管理者提供了網絡應用層面上的安全監測審計技術手段,效果如下:
幫助單位掌控網絡中所有的活動
完善的數據庫操作審計,記錄所有數據庫操作
發現任何人對數據庫進行非法操作,立刻報警
數據庫操作報警,非法人員進行數據庫操作,立刻報警
有效的對開發商和下屬單位對數據庫的訪問進行審核
通過網絡審計和數據庫審計關聯審查,迅速定位
真正實現了應用安全和內容安全的管理,完善了北京住房公積金管理中心信息網絡系統的安全體系。
文章作者:比特網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄