隨著銀行信息技術的發(fā)展���,數(shù)據(jù)庫作為信息系統(tǒng)的核心與基礎����,其價值及重要性不斷提升�。與此同時,數(shù)據(jù)庫面臨的內部和外部安全風險也隨之不斷增加�,因違規(guī)越權操作或惡意入侵導致的重要敏感信息泄露等事件層出不窮。面對上述問題����,如果缺少行之有效的數(shù)據(jù)庫安全審計機制,在安全事件發(fā)生后將難以開展及時�����、準確的溯源定責工作。
在此背景下��,某大型國有銀行(以下簡稱:A行)為有效降低數(shù)據(jù)中心����、分行開放平臺數(shù)據(jù)庫海量客戶敏感信息的泄露風險,滿足各類境內外監(jiān)管機構���、PCI組織等行業(yè)機構對客戶數(shù)據(jù)保護的要求���,需要部署實施專業(yè)的數(shù)據(jù)庫安全監(jiān)控審計系統(tǒng),用以實現(xiàn)對異常業(yè)務數(shù)據(jù)操作(如讀取���、新增、修改���、刪除)的實時報警與快速審計����,并提供針對相關用戶操作行為的追溯及報表統(tǒng)計分析等功能����,幫助客戶方面及時、準確地發(fā)現(xiàn)非法數(shù)據(jù)讀取�、非授權數(shù)據(jù)改動等風險問題�,從源頭上對數(shù)據(jù)安全進行控制����。
核心訴求
A行需要實現(xiàn)數(shù)據(jù)中心生產(chǎn)環(huán)境開放平臺及X86平臺全部數(shù)據(jù)庫的集中審計,對運維人員后臺用戶的數(shù)據(jù)庫訪問行為進行完整記錄和自動審計���,防范數(shù)據(jù)庫敏感信息泄露和非授權操作風險����。具體需求如下:
1����、數(shù)據(jù)庫審計產(chǎn)品支持銀行的傳統(tǒng)環(huán)境、基礎設施云環(huán)境���、平臺云環(huán)境容器中的數(shù)據(jù)庫部署����,其中容器中的部署需在宿主機層����;支持自建公有云平臺,能將數(shù)據(jù)庫安全審計產(chǎn)品的各項功能作為自服務提供給租戶使用。
2、數(shù)據(jù)庫審計產(chǎn)品覆蓋的數(shù)據(jù)庫類型包括國際和國內主流數(shù)據(jù)庫�����、大數(shù)據(jù)庫和分布式數(shù)據(jù)庫�����,同時能夠跟隨業(yè)界發(fā)展支持新數(shù)據(jù)庫類型及版本�;實時記錄運維人員所有方式的訪問和操作行為,包括本地訪問和遠程訪問�����、加密協(xié)議(如ssh)訪問和非加密協(xié)議訪問���,所記錄的日志內容完整、準確�。
3、提供實時�����、完整�、集中、便捷的日志審計功能;可靈活定制或直接使用豐富的內置數(shù)據(jù)庫審計規(guī)則�����;可自動識別高?;蚩梢蓴?shù)據(jù)庫操作行為,實現(xiàn)對敏感數(shù)據(jù)異常訪問行為的事中監(jiān)控��、報警�����。
4����、運維變更流程規(guī)范需要支持工單流程對數(shù)據(jù)庫變更操作中涉及的數(shù)據(jù)庫訪問和操作命令,比對實際的數(shù)據(jù)庫操作命令���,識別非授權訪問或變更行為并進行告警����。
5����、插件部署后���,對數(shù)據(jù)庫服務器的性能影響可控,包括啟用日志過濾機制前后�、聯(lián)機業(yè)務高峰、批量高峰等任意場景下��,數(shù)據(jù)庫服務器的cpu占用率���、內存占用率����、I\O使用率增長不得超過設置的預定指標����。當數(shù)據(jù)庫服務器出現(xiàn)性能異常時,產(chǎn)品需要具備報警和熔斷機制�����。
解決思路
審計的“行為”即是“人對數(shù)據(jù)庫的操作”��,因而首先要梳理A行現(xiàn)有人員的訪問路徑�����。目前A行有兩種訪問數(shù)據(jù)庫的方式����,分別為本地直連和遠程訪問數(shù)據(jù)庫的操作。根據(jù)這兩種訪問數(shù)據(jù)庫方式的實現(xiàn)原理���,涉及的技術思路如下圖:
1�����、本地審計
負責抓取本地數(shù)據(jù)庫客戶端程序中實際響應的SQL指令��,可通過本地插件捕獲獲取����。
2�、Agent
負責抓取網(wǎng)絡層(本地物理網(wǎng)卡和LoopBack環(huán)回網(wǎng)卡)的流量,通過源IP地址��、目的IP地址及端口號����、數(shù)據(jù)庫用戶名、數(shù)據(jù)庫協(xié)議來過濾抓取的流量包�。
方案設計
方案一:在ECC終端部署agent插件抓取遠程訪問流量���,在數(shù)據(jù)庫服務器本地部署插件,抓取本地操作審計�����。由數(shù)據(jù)庫審計產(chǎn)品分別抓取遠程訪問和本地操作審計�����,并通過數(shù)據(jù)安全管理平臺進行匯總展示����,如下圖所示:
方案二:只在數(shù)據(jù)庫系統(tǒng)上部署agent插件及本地審計插件,用agent過濾機制過濾應用流量�����,僅抓取人為操作數(shù)據(jù)庫操作��。
由于A行的需求場景不同����,經(jīng)安華金和評估分析后,決定根據(jù)實施方案部署數(shù)據(jù)庫安全審計系統(tǒng)(DAS)��;同時����,通過部署應用一套數(shù)據(jù)安全管理平臺(DSP),對所部署的多套審計進行統(tǒng)一管理���。數(shù)據(jù)庫安全審計系統(tǒng)部署上線后即接入納管數(shù)據(jù)開放平臺上的所有數(shù)據(jù)庫��,將數(shù)據(jù)庫納入監(jiān)控和審計范圍��,從部署到上線后一直穩(wěn)定運行��。結合當前A行內的數(shù)據(jù)庫使用方式���,數(shù)據(jù)庫安全審計系統(tǒng)采用了不同模式對納入監(jiān)控的數(shù)據(jù)庫系統(tǒng)進行相應的監(jiān)控和審計。
客戶價值
1��、運維操作全審計
通過部署多套數(shù)據(jù)庫安全審計系統(tǒng)���,實現(xiàn)對數(shù)據(jù)庫操作行為全面����、準確的監(jiān)控審計����。截止目前��,A行已將幾百套數(shù)據(jù)庫節(jié)點納入監(jiān)控和審計范圍���,針對運維人員的數(shù)據(jù)庫操作行為進行“無死角”審計記錄,實現(xiàn)了對安全事件追溯有據(jù)可查的目標���。
2�、數(shù)據(jù)庫安全監(jiān)控
通過在數(shù)據(jù)庫安全審計系統(tǒng)上開啟對數(shù)據(jù)庫的“漏洞攻擊監(jiān)測”�,實時監(jiān)控利用漏洞對數(shù)據(jù)庫進行的攻擊;一旦數(shù)據(jù)庫遭受攻擊�����,系統(tǒng)將第一時間發(fā)出告警�,及時通知安全管理員處理相關威脅。截至目前��,包括oracle�����、mysql、sqlserver在內的各數(shù)據(jù)庫類型均保持穩(wěn)定運行��。
3�����、制定基線操作規(guī)則
制定了A行內部安全操作的基線規(guī)則�����,結合運維操作要求及特征制定出的規(guī)則�,包含“短時間內多次登錄失敗����、創(chuàng)建存儲過程和包操作、時間段內增刪改���、非變更時間段內增刪改����、批量數(shù)據(jù)篡改����、高危操作、權限變更”等規(guī)則。通過持續(xù)觀察命中的風險事件�,及時分析并與運維人員進行確認等方式,判定相關事件是風險還是合規(guī)操作��。同時���,通過在持續(xù)運營��、維護的過程中進行策略優(yōu)化��,最終形成適合行內實際需求的精準操作規(guī)則策略���。
4、客戶化操作規(guī)則
工單系統(tǒng)作為ITIL所倡導的標準流程化管理系統(tǒng)�����,業(yè)務申請流程中可能包含對業(yè)務數(shù)據(jù)庫的操作類信息���,比如:對敏感業(yè)務數(shù)據(jù)的請求訪問��、數(shù)據(jù)傳送�、角色權限調整�、應用上線、數(shù)據(jù)變更等。
針對以上操作行為的申請���,在工單系統(tǒng)內通過審批后�,即代表相關行為已被許可執(zhí)行�����。值得注意的是�,在常規(guī)的數(shù)據(jù)庫行為監(jiān)控與審計中��,也存在某些必須執(zhí)行的特定行為����,它們可能會被視為非法或疑似非法的操作,比如:刪庫�����、刪表��、清空表�����、運維區(qū)域查詢業(yè)務生產(chǎn)數(shù)據(jù)、變更賬號權限等���,而已通過審批的特定行為則不會被視為風險操作導致告警����。
此外��,通過與工單系統(tǒng)的對接��,對數(shù)據(jù)查詢或變更操作中同樣可能出現(xiàn)疑似對業(yè)務生產(chǎn)系統(tǒng)數(shù)據(jù)庫的非常規(guī)行為��,比如提取其中關鍵信息等操作��;如果相關操作已在數(shù)據(jù)庫安全審計系統(tǒng)上形成“信任”的行為規(guī)則���,則在監(jiān)控到該類行為時不會觸發(fā)安全告警�,從而更好地避免了誤報的產(chǎn)生�,也提高了工作效率。
【方案部署說明及創(chuàng)新點解讀詳見后文��,敬請關注】
產(chǎn)品咨詢:4000 258 365 
