制造业案例 | 美创助力纳爱斯集团三层业务安全审计实践

深入理解用户业务需求，美创科技通过数据库安全审计系统，运用美创独立研发的审计探针助力纳爱斯集团实现在B/S架构下的三层业务审计，有效提升数据安全，实力推动大国品牌数字化的加速腾飞！

纳爱斯集团前身是成立于1968年的地方国营丽水五七化工厂，1993年进行股份制改造，2001年组建集团。连年荣登“中国制造业企业500强”“中国轻工业百强企业”且位居行业首位，跻身《中国制造2025》绿色制造先进典型榜、轻工业联合会《升级和创新消费品指南》名录、央视“新中国成立70周年70品牌”等。

• 需求背景

作为国家制造业的标杆企业，近年来纳爱斯集团信息化建设逐步完善，集团所有业务已建立对应的信息化业务系统，包括分销物流系统、导购员培训系统、人力系统、经销商系统、费用系统、仓库管理系统等十余套业务系统。

但是任何转型和创新都不可能一蹴而就，集团自身在进行数字化创新与转型的过程中也面临了一系列的挑战。数据库安全方面，针对日常的访问操作回溯，特别是个性化的B/S架构的业务系统回溯工作，集团现有审计措施已无法满足此类需求。

因此，为满足等保合规及自身业务发展需求，集团亟需一款可以满足B/S架构业务系统的审计产品，用以加强信息系统对应的安全防护能力。

• 建设方案

面对上述实际需求，纳爱斯集团通过部署美创数据库安全审计系统，做到及时发现和有效追踪溯源，实现对数据库的全面监控和审计，最大程度的减少各种违规行为，提升数据资产安全性。

美创数据库安全审计系统针对部署在物理设备中的数据库通过端口镜像方式接入审计设备，对本地数据库进行全面审计，对虚拟化中的数据库系统通过部署审计探针的形式接入审计设备，同样可以对异地数据库的详细操作明细进行完整记录，将集团核心数据的访问操作无差别的审计下来以供用户查询追溯。

图 1美创部署拓扑

纳爱斯集团主要数据库类型以ORACLE、PostgreSql、MYSQL为主，同时集团业务主要以B/S架构为主分布在集团总部物理机房与虚拟化环境中。

美创数据库安全审计系统在满足用户的基础需求与合规要求的同时，也满足了用户对数据库审计的核心需求，特别是用户B/S架构的业务系统，对业务系统操作人员的访问行为有明确的审计需求。美创针对该需求，以审计探针的形式，提供业务系统的三层审计功能。

用户主要业务环境中间件基本以tomcat为主，针对常见的这些应用中间件，比如tomcat、weblogic、jboss等，美创独立研发了针对性的审计探针，将探针部署在中间件服务器中，可精确的对访问中间件的具体人员信息进行详细审计。

图 2审计探针

此外，美创数据库安全审计系统还支持通过基于流量分析关联的方式解决三层审计的问题，通过流量分析关联，准确的对浏览器与中间件之间、中间件与数据库服务器之间所产生的事件进行日志审计，这些审计日志将作为三层关联分析的基础数据，然后通过内置的关联策略和规则将两者日志关联起来， 将访问者信息与数据库访问行为特征进行关联，得到最终的审计结果。

图 3基于流量分析关联解决三层审计问题

三、建设收益

1、精准审计

美创数据库审计提供全面审计和精确审计，特别是三层审计功能部署完成后，能够对数据库所有访问和操作行为进行审计，实现精准到操作人，一旦出现事件，能够迅速定位，事中检测、事后追责溯源，对数据库的潜在威胁者予以震慑，最大程度的减少各种违规行为。

2、个性化告警

美创数据库审计内置高危告警模板，同时支持自定义个性化告警模板配置，对触发告警条件的行为进行实时外发，通过邮箱、短信、钉钉、企业微信等方式将告警内容发送告知用户，让用户及时了解数据库违规访问情况。

3、等保合规

美创数据库审计系统符合等级保护相关要求的安全防护措施，形成检测、防护、响应和恢复的保障体系，从而建立有针对性的合规性安全保障体系框架和安全防护措施。