欢迎来到天天文库
浏览记录
ID:31603938
大小:276.50 KB
页数:18页
时间:2019-01-15
《启明星辰天玥网络安全审计系统(数据库审计&网络审计)模板》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、范文范例指导参考XXX项目数据库审计系统技术建议书北京启明星辰信息技术有限公司VenusInformationTechnology(Beijing)二零一零年十月学习资料整理范文范例指导参考目次1.综述12.需求分析22.1.内部人员面临的安全隐患22.2.第三方维护人员的威胁22.3.最高权限滥用风险22.4.违规行为无法控制的风险32.5.系统日志不能发现的安全隐患32.6.系统崩溃带来审计结果的丢失33.审计系统设计方案33.1.设计思路和原则33.2.系统设计原理53.3.设计方案及系统配置63.4.
2、主要功能介绍73.4.1.数据库审计73.4.2.网络运维审计83.4.3.OA审计93.4.4.数据库响应时间及返回码的审计93.4.5.业务系统三层关联93.4.6.合规性规则和响应103.4.7.审计报告输出123.4.8.自身管理133.4.9.系统安全性设计133.5.负面影响评价143.6.交换机性能影响评价154.资质证书16学习资料整理范文范例指导参考1.综述随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全
3、中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。另外,随着计算机技术的飞速发展,计算机技术也越来越广泛地被应用在医院管理的各个方面。在国家对医疗卫生行业投入不断增加的大背景下,以“金卫工程”为代表的医疗卫生行业信息化工程得到了快速发展,HIS系统也在全国各大医院广泛应用。但是,随着信息技术在各类医疗机构大行其道之时,也给各医疗机构各信息系统的技术管理提出了更高的要求。虽然各医院采取了许多措施加强对医院信息系统的管理,但由于多方面的原因,医院信息中心已成为医药购销领域商业贿赂的重点科
4、室。特别是在医疗卫生行业的药品、器械销售竞争日益激烈的大背景下,采用不正当的技术手段渗透到医疗卫生行业中来,一些医院内部工作人员与医药营销人员内外勾结,私自进行处方统计的行为,阻碍了医疗卫生事业的改革和发展。医院的用药信息泄漏给医药营销人员以此来获取经济利益的商业贿赂行为,这种行为的存在不仅严重干扰了正常的医疗秩序,而且也增加了患者的经济负担,不利于和谐医患关系的建设。从已发生的商业贿赂案件来看,医药代表通过医院信息中心工作人员的“统方”来掌握某个药品医生每个月的实际处方量,是“统方”主要渠道。同时,卫生部、
5、中医药管理局针对部分医务人员开单提成、收受“红包”、药品回扣等消极腐败现象和不正之风,发布了《关于建立健全防控医药购销领域商业贿赂长效机制的工作方案》、《关于开展医药购销领域不正当交易行为自查自纠工作的指导意见》学习资料整理范文范例指导参考,并成立了治理商业贿赂领导小组在全国范围内开展治理商业贿赂专项工作。为此,一场医疗行业的反商业贿赂风暴,已经逐步深入开展。在信息化条件下,部署数据库审计产品,防范医药卫生行业中各从业人员利用计算机进行职务犯罪的问题,解决行业中审计手段隐蔽、不易取证等困难,成为医疗卫生行业信
6、息化工程中必不可少的组成部分。1.需求分析随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。通过对XXX的深入调研,XXX面临的安全隐患归纳如下:1.1.内部人员面临的安全隐患随着企业信息化进程不断深入,企业的业务系统变得日益复杂,由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等
7、常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作却无能为力。1.2.第三方维护人员的威胁企业在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地管控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。1.3.最高权限滥用风险学习资料整理范文范例指导参考因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和权限划分,权限划分混乱,高权限账号(比如DBA账号)共用等问题一直困扰着网络管理人员,高权限账号往往掌握
8、着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让数据安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。1.1.违规行为无法控制的风险管理人员总是试图定义各种操作条例,来规范内部员工的访问行为,但是除了在造成恶性后果后追查责任人,没有更好的方式来限制员工的合规操作。而事后追查,只能是亡羊补牢,损失已经造成。1.2.系统日志不能发现的安全隐患我们经常从各种系统日志
此文档下载收益归作者所有