一、项目背景和交付现状 XX省国税安全项目包含10台AD、1台行为感知系统AC、6台AF、1套安全资源池授权(1台CSSP-DAS-400、1台BVT-1000-V200、1台LAS-1000-V200、OSM-1000-V200)的交付实施;目前设备实施进展:1)、6台AD已经完成实施;2)、完成2台AF的实施,用于防护办公区;3)、安全资源池系统已经搭建完成,堡垒机OSM、数据库审计DAS、基线核查BVT及日志审计LAS已经在平台创建完成。但是存在许多问题,还需整体分析当中。
二、需求及问题现象 1、数据库审计需求:经过梳理,目前XXX省税务局的需求是总共有100多个数据库需要审计,一期需要审计5个(清分子子域库(AIX)、ITS安全子域库(AIX)、业务处域库(ORACLE RAC)、业务处理域(已经有审计));二期有40多个库需要审计(具体位置暂时未知);三期把全部库纳入审计(具体位置暂时未知);
2、数据库审计问题:目前数据审计设备部署在安全资源池上面,数据库分布在业务区,中间网络连接比较复杂,存在2个问题:1)、由于考虑安装插件的方式可能影响业务,不考虑用插件的方式;2)跨越设备太多,交换机间引流存在很大问题,可能影响业务,根据梳理数据库部署情况,具体情况如下图所示: 3、基线核查BVT-200同时只能扫描200个IP,需要同时扫描一个段,不满足相关需求; 4、堡垒机OSM-200,目前最大资产支持200个,某公司有1500以上资产,无法满足需求; 5、数据库审计DAS-400,每秒可审计40000条SQL语句,按照国税情况需要计算出支持多少个数据库审计;
三、分析过程 1、数据库审计,目前VDAS-400部署在安全资源池上面,属于运维安全域,数据库在核心业务区不同的网络未知,中间跨多台网络设备。如果需要做数据库审计,只有2种方案:1)、数据库安装插件的方式;2)、引流的方式;---但是现在客户处由于怕影响业务,不采用安装插件的方式。在交换机跨多个交换机引流的方式也基本不可行。还可以通过飞线+集线器引流的方式到VDAS的方式---需要若干集线器+若干飞线。-----业界也只有插件方式和引流方式。 2、基线核查BVT-200同时扫描200个IP,可能不够,只能通过新增授权解决; 3、堡垒机OSM-200,目前最大资产支持200个,只能通过新增授权解决; 4、数据库审计DAS-400设备,按照当前审计的业务处理域数据库的并发(一天只有20W+语句),可以审计约15个数据库。
三、沟通结论及解决方案 1、一期数据库审计方案(4台数据库)---XXX负责梳理,XXX配合。硬件测试设备市场负责协调。 A)、云平台上的数据库采用在数据库内安装插件的方式,做数据库审计; B)、挂在核心9712上面的数据库(AIX),通过硬件设备引流的方式进行数据库审计。 2、二期数据库审计方案(约40台数据库)及三期数据库审计方案(约100台数据库)---XXX负责梳理 3、堡垒机增加1000授权。---市场负责处理。 4、基线核查BVT,新增100授权。---市场负责处理。
四、下一步计划 1、王工负责梳理具体数据库业务,包括一期、二期、三期,本次先解决一期数据库审计,李工配合王工完成; 2、目前还有4台AF没有实施,需要XXX和王工沟通部署需求和位置,2020年4月24日前将方案编写出来。 3、市场同事负责新增序列号和硬件设备借测事宜。 4、XXX需要就AD问题,与XXX联系,协调相关人员配合处理。---2020年4月24日前完成。 5、XXX负责和总某公司沟通将AC部署方案编写出来。---2020年4月24日前完成。 |