数据库安全运维项目需求

数据库安全运维项目需求

1.项目背景

随着信息化的发展，业务规模迅速扩大、系统里存在的敏感数据激增，建设

重点逐步从网络平台建设，转向以深化应用、提升效益为特征的运行维护阶段,

IT系统运维与安全管理正逐渐走向融合。XX系统的安全运行直接关系业务正常进

行，敏感数据安全保障，构建一个强健的IT运维安全管理体系对信息化的发展至

关重要，对运维的安全性提出了更高要求。

2.项目内容

2.1.专业的数据库日常维护

（1）数据库性能优化

一年3次数据库性能优化和数据库安装及升级服务，提升应用系统性能，完

成各系统数据库的性能调优工作，包括：外部资源调优、行的重新安排调优、SQL

性能调优、表格和索引存储参数设置调优等。

（2）数据库现场巡检

数据现场一年4次巡检及2次系统健康检查服务，尽早发现性能瓶颈，及时调

整，保障数据库稳定高效工作。

（3）数据库安装及升级

一年1次数据库安装及升级服务，将数据库架构的合理化规划，保障数据库

持续高效运行。

（4）7*24小时技术支持、主动预防维护

一年12次7*24小时技术支持、主动预防维护，预防性维护致力于在故障发生

之前消灭故障，在性能恶化之前消灭性能恶化。充分了解数据库系统的状况，为

重大投资和决策提供第一手衿学资料。通过预防性维护实践，消灭了大部分日常

维护故障，很大程度上降低了业务终止时间。

（5）技术人员现场应急保障

在整个服务期内，如果终端客户的数据库发生对业务产生重大影响的数据库

层面问题，工程师队伍需要启动紧急相应流程，调派工程师，第一时间赶往客户

1

现场，确保客户的系统尽快恢复。

（6）数据库规划设计

数据库工程师详细了解服务器、存储、网络等硬件，协助进行合理配置，通

过分析业务系统对数据库表空间、索引、表的设计，提供详细的建议设计方案,

帮助客户构建一个可扩展性强、安全性高、稳定性高、数据一致性得到保证的业

务系统。

（7）业务系统上线保障

保障业务系统在正式上线之前,经历大量的业务需求、架沟设计、程序开发、

实现功能等过程。开发过程中，会出现大量的程序段执行速度慢，执行速度慢无

法满足技术上线指标等，导致系统测试无法通过而延迟上线，提供数据库运行使

用保障性服务。

（8）信息系统安全评估

防范内部安全和误操作为主要目标，推出了安全性评估和实施服务。在全面

评估客户业务系统安全性实现和需求的情况下，贴身实现用户的数据库安全性方

案。

2.2.数据库运行安全监控服务

数据库运行安全监控服务包括：

（1）数据中心运行状态的一体化监控平台；

（2）核心业务系统数据库监控可视化，直观、有效监视数据库运行状态；

（3）数据库健康指数监控；

（4）中间件监控：利用川X实现监控Java应用服务功能，无需安装任何第三

方软件或插件；

（5）SQL执行监控；

（6）关联资源监控；

（7）操作系统监控；

（8）日常巡检。

本次数据库运行安全监控服务提供一年12次巡检服务，7*24小时日常运行保

障服务，并提交季度巡检和年度服务总结报告。

2

2.3.数据库防勒索防护服务

鉴于目前勒索病毒的普遍性和难防御性，核心Oracle运行在Windows平台，

因此需要对该平台下的数据库进行勒索防范，主要从几个方面进行防范，首先数

据库文件进行勒索防护，保证数据库文件不被勒索病毒加密、数据库不被带毒的

绿色版工具（比如PLSQL）进行注入式勒索。

本次数据库勒索病毒防护通过采用第三方专业的勒索病毒防护产品和人员

服务的方式进行，达到以下几个目标。

（1）数据库文件防勒索目标

通过防勒索产品指定数据库类型和添加信任可执行程序（如oracle.exe）0

在防勒索产品上添加需要保护的现有的数据库文件，新建的数据库文件会自

动受到保护。

未授权执行程序试图修改数据库文件，将认定为可疑勒索事件，及时被防勒

索产品拦截。

通过防勒索产品只允许可信任执行程序对受保护的数据库文件执行相关操

作。

（2）注入型勒索防护目标

通过数据库安全防范产品对运维工具进行MD5校验，针对管理人员、第三方

维护人员登陆数据库的SQL管理工具进行严格管理及控制，只有合法未经篡改的

SQL管理工具才允许登陆数据库。

数据库常规的运维巡检工作一般不需要创建存储过程与触发器，通过通过数

据库安全防范产品对数据库DDL操作进行精细化的访问控制管理，限制对视图、

过程、触发器等对象的创建、删除与修改操作。

对于数据库敏感操作，通过提交需要执行的运维SQL语句进行运维工单的申

请，有效保障运维操作与安全管理的融合实现。

本次数据库防勒索服务提供一年12次巡检服务，7*24小时日常运行保障服务,

并提交季度巡检和年度服务总结报告。

2.4.数据脱敏服务

面向敏感数据进行数据巨动发现、数据脱敏的专业的数据安全脱敏产品。可

实现自动化发现源数据中的敏感数据，并对敏感数据按需进行漂白、变形、遮盖

3

务，并提交季度和年度服务总结报告。

2.5.数据备份服务

（1）部署一套实时数据备份系统，对客户权调数据进行实时备份。支持操

作系统、数据库、应用环境、文件实时备份；

（2）实时数据保护；

（3）数据库备份；

（4）操作系统备份；

（5）数据恢复;

（6）日常现场巡检服务。

2.6.数据库审计服务

（1）全面化审计

通过数据库审计可审计所有来源，并记录详细的用户行为信息，涵盖所有访

问数据库的路径、数据库操作行为，对数据库操作进行审计，可对增删改查等行

为进行监控。所有数据库的访问路径、所有数据库操作行为等。

数据库本地审计,获取到用户访问数据库的流量,并转发至数据库审计设备,

在数据库审计设备上还原出真实的SQL报表。

（2）准确定位的精确化审计

通过U盾、CA认证信息整合和应用程序账户来精确的识别操作人，精确的识

别来自于B/S架构的浏览器终端信息，精确的识别各项信息，同时提供应用程序

注入、假冒检测等功能。

（3）符合需求的订阅和告警

可通过实时告警引擎和短信、邮件、动画等多种告警手段来保证告警的实时

性，通过精细化的事件审计、灵活的告警规则、重复事件合并和过滤功能；同时

通过精细化告警规则、错误操作检测来方便管理者订制需要的事件告警，也可以

依据自身的安全需求订阅相关的告警。

（4）未知威胁的智能化告警

对于任何不认识的新面孔和操作都进行识别并告警，包括新发现的IP地址、

应用程序、数据库账户、应用账户、访问对象、访问操作、SQL语句等。

（5）安全审计信息翻译

5

提供审计信息翻译引擎，可将操作和配置的SQL语句翻译转化成可以理解的

业务术语，方便阅读和理解，保证审计工作的有序进行。

(6)丰富日常工作报表

提供丰富的手段以支持用户日常性的安全工作任务，内置众多报表，涵盖数

据安全涉及的所有方面。基于风险的日常工作报告，基于运维人员的日常工作报

告，日报、周报和月报。

(7)审计统一管理平台

数据库审计系统提供统一管理平台，实现对审计设备统一管理、审计事件统

一查询、审计策略统一下发，及审计报表统一生成等，其中报表可查看各保护对

象各时段流量情况、