隨著銀行信息技術(shù)的發(fā)展���,數(shù)據(jù)庫(kù)作為信息系統(tǒng)的核心與基礎(chǔ),其價(jià)值及重要性不斷提升���。與此同時(shí)�����,數(shù)據(jù)庫(kù)面臨的內(nèi)部和外部安全風(fēng)險(xiǎn)也隨之不斷增加����,因違規(guī)越權(quán)操作或惡意入侵導(dǎo)致的重要敏感信息泄露等事件層出不窮。面對(duì)上述問(wèn)題����,如果缺少行之有效的數(shù)據(jù)庫(kù)安全審計(jì)機(jī)制,在安全事件發(fā)生后將難以開(kāi)展及時(shí)�����、準(zhǔn)確的溯源定責(zé)工作����。
在此背景下,某大型國(guó)有銀行(以下簡(jiǎn)稱(chēng):A行)為有效降低數(shù)據(jù)中心�����、分行開(kāi)放平臺(tái)數(shù)據(jù)庫(kù)海量客戶(hù)敏感信息的泄露風(fēng)險(xiǎn)����,滿(mǎn)足各類(lèi)境內(nèi)外監(jiān)管機(jī)構(gòu)�����、PCI組織等行業(yè)機(jī)構(gòu)對(duì)客戶(hù)數(shù)據(jù)保護(hù)的要求�,需要部署實(shí)施專(zhuān)業(yè)的數(shù)據(jù)庫(kù)安全監(jiān)控審計(jì)系統(tǒng)�,用以實(shí)現(xiàn)對(duì)異常業(yè)務(wù)數(shù)據(jù)操作(如讀取、新增��、修改�、刪除)的實(shí)時(shí)報(bào)警與快速審計(jì),并提供針對(duì)相關(guān)用戶(hù)操作行為的追溯及報(bào)表統(tǒng)計(jì)分析等功能�����,幫助客戶(hù)方面及時(shí)����、準(zhǔn)確地發(fā)現(xiàn)非法數(shù)據(jù)讀取���、非授權(quán)數(shù)據(jù)改動(dòng)等風(fēng)險(xiǎn)問(wèn)題��,從源頭上對(duì)數(shù)據(jù)安全進(jìn)行控制��。
核心訴求
A行需要實(shí)現(xiàn)數(shù)據(jù)中心生產(chǎn)環(huán)境開(kāi)放平臺(tái)及X86平臺(tái)全部數(shù)據(jù)庫(kù)的集中審計(jì)�,對(duì)運(yùn)維人員后臺(tái)用戶(hù)的數(shù)據(jù)庫(kù)訪問(wèn)行為進(jìn)行完整記錄和自動(dòng)審計(jì),防范數(shù)據(jù)庫(kù)敏感信息泄露和非授權(quán)操作風(fēng)險(xiǎn)�。具體需求如下:
1、數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品支持銀行的傳統(tǒng)環(huán)境����、基礎(chǔ)設(shè)施云環(huán)境、平臺(tái)云環(huán)境容器中的數(shù)據(jù)庫(kù)部署���,其中容器中的部署需在宿主機(jī)層���;支持自建公有云平臺(tái),能將數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品的各項(xiàng)功能作為自服務(wù)提供給租戶(hù)使用。
2��、數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品覆蓋的數(shù)據(jù)庫(kù)類(lèi)型包括國(guó)際和國(guó)內(nèi)主流數(shù)據(jù)庫(kù)��、大數(shù)據(jù)庫(kù)和分布式數(shù)據(jù)庫(kù)��,同時(shí)能夠跟隨業(yè)界發(fā)展支持新數(shù)據(jù)庫(kù)類(lèi)型及版本��;實(shí)時(shí)記錄運(yùn)維人員所有方式的訪問(wèn)和操作行為�,包括本地訪問(wèn)和遠(yuǎn)程訪問(wèn)、加密協(xié)議(如ssh)訪問(wèn)和非加密協(xié)議訪問(wèn)���,所記錄的日志內(nèi)容完整��、準(zhǔn)確�。
3、提供實(shí)時(shí)�、完整、集中���、便捷的日志審計(jì)功能�;可靈活定制或直接使用豐富的內(nèi)置數(shù)據(jù)庫(kù)審計(jì)規(guī)則��;可自動(dòng)識(shí)別高?�;蚩梢蓴?shù)據(jù)庫(kù)操作行為����,實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)異常訪問(wèn)行為的事中監(jiān)控�、報(bào)警。
4����、運(yùn)維變更流程規(guī)范需要支持工單流程對(duì)數(shù)據(jù)庫(kù)變更操作中涉及的數(shù)據(jù)庫(kù)訪問(wèn)和操作命令,比對(duì)實(shí)際的數(shù)據(jù)庫(kù)操作命令��,識(shí)別非授權(quán)訪問(wèn)或變更行為并進(jìn)行告警���。
5����、插件部署后,對(duì)數(shù)據(jù)庫(kù)服務(wù)器的性能影響可控����,包括啟用日志過(guò)濾機(jī)制前后、聯(lián)機(jī)業(yè)務(wù)高峰����、批量高峰等任意場(chǎng)景下,數(shù)據(jù)庫(kù)服務(wù)器的cpu占用率�、內(nèi)存占用率、I\O使用率增長(zhǎng)不得超過(guò)設(shè)置的預(yù)定指標(biāo)����。當(dāng)數(shù)據(jù)庫(kù)服務(wù)器出現(xiàn)性能異常時(shí),產(chǎn)品需要具備報(bào)警和熔斷機(jī)制����。
解決思路
審計(jì)的“行為”即是“人對(duì)數(shù)據(jù)庫(kù)的操作”,因而首先要梳理A行現(xiàn)有人員的訪問(wèn)路徑���。目前A行有兩種訪問(wèn)數(shù)據(jù)庫(kù)的方式��,分別為本地直連和遠(yuǎn)程訪問(wèn)數(shù)據(jù)庫(kù)的操作����。根據(jù)這兩種訪問(wèn)數(shù)據(jù)庫(kù)方式的實(shí)現(xiàn)原理,涉及的技術(shù)思路如下圖:
1����、本地審計(jì)
負(fù)責(zé)抓取本地?cái)?shù)據(jù)庫(kù)客戶(hù)端程序中實(shí)際響應(yīng)的SQL指令,可通過(guò)本地插件捕獲獲取�。
2、Agent
負(fù)責(zé)抓取網(wǎng)絡(luò)層(本地物理網(wǎng)卡和LoopBack環(huán)回網(wǎng)卡)的流量���,通過(guò)源IP地址����、目的IP地址及端口號(hào)�����、數(shù)據(jù)庫(kù)用戶(hù)名��、數(shù)據(jù)庫(kù)協(xié)議來(lái)過(guò)濾抓取的流量包��。
方案設(shè)計(jì)
方案一:在ECC終端部署agent插件抓取遠(yuǎn)程訪問(wèn)流量����,在數(shù)據(jù)庫(kù)服務(wù)器本地部署插件,抓取本地操作審計(jì)�����。由數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品分別抓取遠(yuǎn)程訪問(wèn)和本地操作審計(jì)���,并通過(guò)數(shù)據(jù)安全管理平臺(tái)進(jìn)行匯總展示����,如下圖所示:
方案二:只在數(shù)據(jù)庫(kù)系統(tǒng)上部署agent插件及本地審計(jì)插件��,用agent過(guò)濾機(jī)制過(guò)濾應(yīng)用流量���,僅抓取人為操作數(shù)據(jù)庫(kù)操作�����。
由于A行的需求場(chǎng)景不同�����,經(jīng)安華金和評(píng)估分析后��,決定根據(jù)實(shí)施方案部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)(DAS)�;同時(shí),通過(guò)部署應(yīng)用一套數(shù)據(jù)安全管理平臺(tái)(DSP)����,對(duì)所部署的多套審計(jì)進(jìn)行統(tǒng)一管理。數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署上線(xiàn)后即接入納管數(shù)據(jù)開(kāi)放平臺(tái)上的所有數(shù)據(jù)庫(kù)��,將數(shù)據(jù)庫(kù)納入監(jiān)控和審計(jì)范圍����,從部署到上線(xiàn)后一直穩(wěn)定運(yùn)行。結(jié)合當(dāng)前A行內(nèi)的數(shù)據(jù)庫(kù)使用方式�,數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)采用了不同模式對(duì)納入監(jiān)控的數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行相應(yīng)的監(jiān)控和審計(jì)。
客戶(hù)價(jià)值
1��、運(yùn)維操作全審計(jì)
通過(guò)部署多套數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)���,實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)操作行為全面���、準(zhǔn)確的監(jiān)控審計(jì)。截止目前���,A行已將幾百套數(shù)據(jù)庫(kù)節(jié)點(diǎn)納入監(jiān)控和審計(jì)范圍�����,針對(duì)運(yùn)維人員的數(shù)據(jù)庫(kù)操作行為進(jìn)行“無(wú)死角”審計(jì)記錄����,實(shí)現(xiàn)了對(duì)安全事件追溯有據(jù)可查的目標(biāo)��。
2��、數(shù)據(jù)庫(kù)安全監(jiān)控
通過(guò)在數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)上開(kāi)啟對(duì)數(shù)據(jù)庫(kù)的“漏洞攻擊監(jiān)測(cè)”��,實(shí)時(shí)監(jiān)控利用漏洞對(duì)數(shù)據(jù)庫(kù)進(jìn)行的攻擊���;一旦數(shù)據(jù)庫(kù)遭受攻擊����,系統(tǒng)將第一時(shí)間發(fā)出告警�����,及時(shí)通知安全管理員處理相關(guān)威脅�。截至目前�����,包括oracle��、mysql����、sqlserver在內(nèi)的各數(shù)據(jù)庫(kù)類(lèi)型均保持穩(wěn)定運(yùn)行���。
3��、制定基線(xiàn)操作規(guī)則
制定了A行內(nèi)部安全操作的基線(xiàn)規(guī)則�����,結(jié)合運(yùn)維操作要求及特征制定出的規(guī)則�����,包含“短時(shí)間內(nèi)多次登錄失敗����、創(chuàng)建存儲(chǔ)過(guò)程和包操作�、時(shí)間段內(nèi)增刪改�、非變更時(shí)間段內(nèi)增刪改�����、批量數(shù)據(jù)篡改����、高危操作���、權(quán)限變更”等規(guī)則�����。通過(guò)持續(xù)觀察命中的風(fēng)險(xiǎn)事件����,及時(shí)分析并與運(yùn)維人員進(jìn)行確認(rèn)等方式�����,判定相關(guān)事件是風(fēng)險(xiǎn)還是合規(guī)操作�。同時(shí),通過(guò)在持續(xù)運(yùn)營(yíng)�����、維護(hù)的過(guò)程中進(jìn)行策略?xún)?yōu)化,最終形成適合行內(nèi)實(shí)際需求的精準(zhǔn)操作規(guī)則策略����。
4、客戶(hù)化操作規(guī)則
工單系統(tǒng)作為ITIL所倡導(dǎo)的標(biāo)準(zhǔn)流程化管理系統(tǒng)����,業(yè)務(wù)申請(qǐng)流程中可能包含對(duì)業(yè)務(wù)數(shù)據(jù)庫(kù)的操作類(lèi)信息,比如:對(duì)敏感業(yè)務(wù)數(shù)據(jù)的請(qǐng)求訪問(wèn)�����、數(shù)據(jù)傳送���、角色權(quán)限調(diào)整�、應(yīng)用上線(xiàn)��、數(shù)據(jù)變更等�。
針對(duì)以上操作行為的申請(qǐng),在工單系統(tǒng)內(nèi)通過(guò)審批后�����,即代表相關(guān)行為已被許可執(zhí)行。值得注意的是�,在常規(guī)的數(shù)據(jù)庫(kù)行為監(jiān)控與審計(jì)中,也存在某些必須執(zhí)行的特定行為�����,它們可能會(huì)被視為非法或疑似非法的操作�����,比如:刪庫(kù)��、刪表�、清空表��、運(yùn)維區(qū)域查詢(xún)業(yè)務(wù)生產(chǎn)數(shù)據(jù)��、變更賬號(hào)權(quán)限等�����,而已通過(guò)審批的特定行為則不會(huì)被視為風(fēng)險(xiǎn)操作導(dǎo)致告警��。
此外�����,通過(guò)與工單系統(tǒng)的對(duì)接,對(duì)數(shù)據(jù)查詢(xún)或變更操作中同樣可能出現(xiàn)疑似對(duì)業(yè)務(wù)生產(chǎn)系統(tǒng)數(shù)據(jù)庫(kù)的非常規(guī)行為����,比如提取其中關(guān)鍵信息等操作;如果相關(guān)操作已在數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)上形成“信任”的行為規(guī)則�,則在監(jiān)控到該類(lèi)行為時(shí)不會(huì)觸發(fā)安全告警,從而更好地避免了誤報(bào)的產(chǎn)生����,也提高了工作效率。
【方案部署說(shuō)明及創(chuàng)新點(diǎn)解讀詳見(jiàn)后文��,敬請(qǐng)關(guān)注】
產(chǎn)品咨詢(xún):4000 258 365 
