數據庫安全運維項目需求

1.項目背景

隨著信息化的發展，業務規模迅速擴大、系統里存在的敏感數據激增，建設

重點逐步從網絡平臺建設，轉向以深化應用、提升效益為特征的運行維護階段,

IT系統運維與安全管理正逐漸走向融合。XX系統的安全運行直接關系業務正常進

行，敏感數據安全保障，構建一個強健的IT運維安全管理體系對信息化的發展至

關重要，對運維的安全性提出了更高要求。

2.項目內容

2.1.專業的數據庫日常維護

（1）數據庫性能優化

一年3次數據庫性能優化和數據庫安裝及升級服務，提升應用系統性能，完

成各系統數據庫的性能調優工作，包括：外部資源調優、行的重新安排調優、SQL

性能調優、表格和索引存儲參數設置調優等。

（2）數據庫現場巡檢

數據現場一年4次巡檢及2次系統健康檢查服務，盡早發現性能瓶頸，及時調

整，保障數據庫穩定高效工作。

（3）數據庫安裝及升級

一年1次數據庫安裝及升級服務，將數據庫架構的合理化規劃，保障數據庫

持續高效運行。

（4）7*24小時技術支持、主動預防維護

一年12次7*24小時技術支持、主動預防維護，預防性維護致力于在故障發生

之前消滅故障，在性能惡化之前消滅性能惡化。充分了解數據庫系統的狀況，為

重大投資和決策提供第一手衿學資料。通過預防性維護實踐，消滅了大部分日常

維護故障，很大程度上降低了業務終止時間。

（5）技術人員現場應急保障

在整個服務期內，如果終端客戶的數據庫發生對業務產生重大影響的數據庫

層面問題，工程師隊伍需要啟動緊急相應流程，調派工程師，第一時間趕往客戶

1

現場，確保客戶的系統盡快恢復。

（6）數據庫規劃設計

數據庫工程師詳細了解服務器、存儲、網絡等硬件，協助進行合理配置，通

過分析業務系統對數據庫表空間、索引、表的設計，提供詳細的建議設計方案,

幫助客戶構建一個可擴展性強、安全性高、穩定性高、數據一致性得到保證的業

務系統。

（7）業務系統上線保障

保障業務系統在正式上線之前,經歷大量的業務需求、架溝設計、程序開發、

實現功能等過程。開發過程中，會出現大量的程序段執行速度慢，執行速度慢無

法滿足技術上線指標等，導致系統測試無法通過而延遲上線，提供數據庫運行使

用保障性服務。

（8）信息系統安全評估

防范內部安全和誤操作為主要目標，推出了安全性評估和實施服務。在全面

評估客戶業務系統安全性實現和需求的情況下，貼身實現用戶的數據庫安全性方

案。

2.2.數據庫運行安全監控服務

數據庫運行安全監控服務包括：

（1）數據中心運行狀態的一體化監控平臺；

（2）核心業務系統數據庫監控可視化，直觀、有效監視數據庫運行狀態；

（3）數據庫健康指數監控；

（4）中間件監控：利用川X實現監控Java應用服務功能，無需安裝任何第三

方軟件或插件；

（5）SQL執行監控；

（6）關聯資源監控；

（7）操作系統監控；

（8）日常巡檢。

本次數據庫運行安全監控服務提供一年12次巡檢服務，7*24小時日常運行保

障服務，并提交季度巡檢和年度服務總結報告。

2

2.3.數據庫防勒索防護服務

鑒于目前勒索病毒的普遍性和難防御性，核心Oracle運行在Windows平臺，

因此需要對該平臺下的數據庫進行勒索防范，主要從幾個方面進行防范，首先數

據庫文件進行勒索防護，保證數據庫文件不被勒索病毒加密、數據庫不被帶毒的

綠色版工具（比如PLSQL）進行注入式勒索。

本次數據庫勒索病毒防護通過采用第三方專業的勒索病毒防護產品和人員

服務的方式進行，達到以下幾個目標。

（1）數據庫文件防勒索目標

通過防勒索產品指定數據庫類型和添加信任可執行程序（如oracle.exe）0

在防勒索產品上添加需要保護的現有的數據庫文件，新建的數據庫文件會自

動受到保護。

未授權執行程序試圖修改數據庫文件，將認定為可疑勒索事件，及時被防勒

索產品攔截。

通過防勒索產品只允許可信任執行程序對受保護的數據庫文件執行相關操

作。

（2）注入型勒索防護目標

通過數據庫安全防范產品對運維工具進行MD5校驗，針對管理人員、第三方

維護人員登陸數據庫的SQL管理工具進行嚴格管理及控制，只有合法未經篡改的

SQL管理工具才允許登陸數據庫。

數據庫常規的運維巡檢工作一般不需要創建存儲過程與觸發器，通過通過數

據庫安全防范產品對數據庫DDL操作進行精細化的訪問控制管理，限制對視圖、

過程、觸發器等對象的創建、刪除與修改操作。

對于數據庫敏感操作，通過提交需要執行的運維SQL語句進行運維工單的申

請，有效保障運維操作與安全管理的融合實現。

本次數據庫防勒索服務提供一年12次巡檢服務，7*24小時日常運行保障服務,

并提交季度巡檢和年度服務總結報告。

2.4.數據脫敏服務

面向敏感數據進行數據巨動發現、數據脫敏的專業的數據安全脫敏產品。可

實現自動化發現源數據中的敏感數據，并對敏感數據按需進行漂白、變形、遮蓋

3

務，并提交季度和年度服務總結報告。

2.5.數據備份服務

（1）部署一套實時數據備份系統，對客戶權調數據進行實時備份。支持操

作系統、數據庫、應用環境、文件實時備份；

（2）實時數據保護；

（3）數據庫備份；

（4）操作系統備份；

（5）數據恢復;

（6）日常現場巡檢服務。

2.6.數據庫審計服務

（1）全面化審計

通過數據庫審計可審計所有來源，并記錄詳細的用戶行為信息，涵蓋所有訪

問數據庫的路徑、數據庫操作行為，對數據庫操作進行審計，可對增刪改查等行

為進行監控。所有數據庫的訪問路徑、所有數據庫操作行為等。

數據庫本地審計,獲取到用戶訪問數據庫的流量,并轉發至數據庫審計設備,

在數據庫審計設備上還原出真實的SQL報表。

（2）準確定位的精確化審計

通過U盾、CA認證信息整合和應用程序賬戶來精確的識別操作人，精確的識

別來自于B/S架構的瀏覽器終端信息，精確的識別各項信息，同時提供應用程序

注入、假冒檢測等功能。

（3）符合需求的訂閱和告警

可通過實時告警引擎和短信、郵件、動畫等多種告警手段來保證告警的實時

性，通過精細化的事件審計、靈活的告警規則、重復事件合并和過濾功能；同時

通過精細化告警規則、錯誤操作檢測來方便管理者訂制需要的事件告警，也可以

依據自身的安全需求訂閱相關的告警。

（4）未知威脅的智能化告警

對于任何不認識的新面孔和操作都進行識別并告警，包括新發現的IP地址、

應用程序、數據庫賬戶、應用賬戶、訪問對象、訪問操作、SQL語句等。

（5）安全審計信息翻譯

5

提供審計信息翻譯引擎，可將操作和配置的SQL語句翻譯轉化成可以理解的

業務術語，方便閱讀和理解，保證審計工作的有序進行。

(6)豐富日常工作報表

提供豐富的手段以支持用戶日常性的安全工作任務，內置眾多報表，涵蓋數

據安全涉及的所有方面。基于風險的日常工作報告，基于運維人員的日常工作報

告，日報、周報和月報。

(7)審計統一管理平臺

數據庫審計系統提供統一管理平臺，實現對審計設備統一管理、審計事件統

一查詢、審計策略統一下發，及審計報表統一生成等，其中報表可查看各保護對

象各時段流量情況、