前一週、上一週,CCTV曾經集中披露過一些地方的交警執法部門和第三方人員串通低價收費“消違章”的事情,今晚焦點訪談又播出了醫院裏面的非法統方(統計處方信息,藥廠給醫生回扣)事件。這些,本質上都是對數據的安全保障不夠引起的。如果要結合等級保護來說,就是應用安全部分中的:身份鑑別、訪問控制、安全審計幾大部分設計不足、控制不夠。
簡單分析:
1、交警非法消違章
儲存違章信息的數據庫,沒有對消違章者的身份進行有效驗證,同時對非授權訪問控制手段不足,對消違章的行爲無有效審計,或審計手段可繞過。
2、醫院非法統方
HIS系統或數據庫的身份驗證存在問題,導致權限繞過進行統方,對數據庫中的部分內容沒有進行訪問控制,對數據庫的操作無安全審計。
解決手段:
二者的解決方式基本類似:
1、在業務系統中進行身份鑑別,如通過USB-KEY的PIN碼,或集成數字證書
2、進行細粒度的訪問控制,禁止無關人員訪問、修改數據庫核心內容,同時包括業務系統、主機、數據庫
3、所有核心操作進行安全審計
下面給出思福迪(LogBase)在此類問題的解決方案
1、在服務器區交換機上配置端口鏡像,將流量複製到思福迪業務數據庫審計系統,可以實現C/S、B/S模式的業務系統對數據庫的操作審計,可以設定規則,對違章記錄表、處方和藥物出庫表進行監控,及時發現非正常行爲。支持常見的Oracle、MS SQL、MySQL、Oracle、Informix、DB/2數據庫類型。
2、在服務器區交換機上部署思福迪運維安全管理系統,對管理員對Windows、Linux、Unix系統的服務器、各類常見數據庫、業務系統的訪問、配置、變更進行有效審計,同時可以設置黑名單,如禁止格式化硬盤、禁止操作某些數據表、禁止更改某些配置等,防止管理員“監守自盜”的情況發生(事實證明監守自盜的事情非常多)
3、在覈心交換機上配置端口鏡像,將流量複製到思福迪日誌管理綜合審計系統,實現網絡審計、日誌審計,可以對客戶端對服務器區以http、ftp、telnet等方式的訪問行爲進行有效審計,同時可以實現數據庫審計、運維安全管理的審計信息集中管理。此外提供對網絡內所有路由器、交換機、防火牆、***檢測、Windows和Linux服務器等的日誌集中審計、管理,可以對異常事件報警。如Windows的磁盤存儲空間不足、MySQL或MS SQL啓動失敗等,可在第一時間通知管理員。
可以看到,通過部署業務數據庫審計系統、運維安全管理系統,可以對普通業務使用者、網絡核心管理者實現有效的身份鑑別、身份認證、行爲審計,同時通過部署日誌管理綜合審計系統,可以實現IT系統的運維安全事件集中、智能化管理,有效防止泄密等事件的發生。
作者:張百川(網路遊俠)www.youxia.org 轉載請註明來源!謝謝
聯繫QQ:55984512、電子信箱:[email protected]