天津津云云审计项目案例 – 作者:数据库安全专家

一、综述

1、项目背景

天津市委宣传部立足于推进城市治理体系和治理能力现代化，瞄准“网建、网管、网用、网业”，从新闻、政务、服务等多方面入手，以数据为基础，以云计算技术为手段，构建“津云”平台，通过加强信息资源整合、促进政务资源共享，推动政务管理创新，提升社会治理，加速政府职能转型。一期工程项目，将着力建设津云中央厨房，形成全方位、多层次、多声部主流舆论矩阵，不断提升网络舆论传播力、引导力、影响力。为实现传统媒体和新兴媒体在新闻采集、制作、加工、共享等环节的深度融合，构建我市网络舆论管理“一朵云”的生态格局奠定坚实基础。

云数据库审计产品是天津“津云”有云安全架构设计的重要组成部分，是实现公有云安全业务运营的基础安全设施。通过云数据库审计产品，实现对公有云数据库的全维度监控，提供集安全、诊断、报表为一体的安全管理工具，为租户提供数据访问的安全审计，保障公有云数据安全。

中安威士的云数据库审计产品,将对公有云环境下租户数据库提供访问审计功能,相比”津云”内网私有云环境下，在虚拟化环境下将必要的数据库流量进行审计，在具备高精确度的审计能力条件下需要最大程度减小对租户及云环境的性能消耗，其可靠性和性能上需满足”津云”公有云环境需求。

二、解决方案

1、方案设计

通过在云平台部署数据库审计，实现对数据活动进行全面审计。

针对津云上的数据库和云租户的数据库分别部署数据库审计探针，实现对云平台和云租户的相关数据库访问情况进行全面审计。审计系统通过探针采集、分析、过滤所有不同用户对自己应用数据库的访问行为，将数据库的访问行为记录下来，实现全面审计云平台内数据访问监控的效果。

中安威士（VisualSec）数据库综合审计系统主要由流量采集代理、审计日志存储、报表、风险识别、扩展、管理等模块组成。总体设计架构如下图所示。

三、方案价值

由于数据库系统是一个复杂的软件“黑盒子”，其可视化程度很低。数据库管理员很难说清在任意时刻数据被访问的情况。这对业务治理带来了很大的困难。尤其在云环境中，这种不可视化程度更加严重。数据的可视化通过多种手段全面监控数据的访问情况，并提供丰富的预设统计报表，以图形化的方式将数据的访问情况和风险情况可视化，极大的简化了业务治理，提高了数据安全管理能力。

来源：freebuf.com 2019-11-29 17:10:06 by: 数据库安全专家