此前�,安華金和數(shù)據(jù)安全專家從“核心訴求、解決思路�、方案設(shè)計(jì)����、客戶價(jià)值”四方面分享了某大型國有銀行數(shù)據(jù)庫審計(jì)項(xiàng)目的實(shí)踐經(jīng)驗(yàn)�����。
某大型國有銀行(以下簡稱:A行)為有效降低數(shù)據(jù)中心����、分行開放平臺數(shù)據(jù)庫海量客戶敏感信息的泄露風(fēng)險(xiǎn)����,滿足各類境內(nèi)外監(jiān)管機(jī)構(gòu)、PCI組織等行業(yè)機(jī)構(gòu)對客戶數(shù)據(jù)保護(hù)的要求���,需要部署實(shí)施專業(yè)的數(shù)據(jù)庫安全監(jiān)控審計(jì)系統(tǒng)�,用以實(shí)現(xiàn)對異常業(yè)務(wù)數(shù)據(jù)操作(如讀取�、新增、修改�����、刪除)的實(shí)時(shí)報(bào)警與快速審計(jì)�����,并提供針對相關(guān)用戶操作行為的追溯及報(bào)表統(tǒng)計(jì)分析等功能,幫助客戶方面及時(shí)�����、準(zhǔn)確地發(fā)現(xiàn)非法數(shù)據(jù)讀取�、非授權(quán)數(shù)據(jù)改動等風(fēng)險(xiǎn)問題,從源頭上對數(shù)據(jù)安全進(jìn)行控制...
點(diǎn)擊閱讀:大型國有銀行數(shù)據(jù)庫審計(jì)實(shí)踐
本文中����,我們將焦點(diǎn)轉(zhuǎn)向該項(xiàng)目的實(shí)際部署工作,并為大家介紹安華金和方案的創(chuàng)新之處:
根據(jù)A行的不同需求場景�,安華金和在部署數(shù)據(jù)庫安全審計(jì)系統(tǒng)(DAS)的同時(shí),通過應(yīng)用數(shù)據(jù)安全管理平臺(DSP)��,對所部署的多套審計(jì)產(chǎn)品進(jìn)行統(tǒng)一管理����。
數(shù)據(jù)庫安全審計(jì)系統(tǒng)部署上線后即接入納管數(shù)據(jù)開放平臺上的所有數(shù)據(jù)庫,將數(shù)據(jù)庫納入監(jiān)控和審計(jì)范圍����,從部署到上線后一直穩(wěn)定運(yùn)行。結(jié)合當(dāng)前A行內(nèi)的數(shù)據(jù)庫使用方式,數(shù)據(jù)庫安全審計(jì)系統(tǒng)采用了不同模式對納入監(jiān)控的數(shù)據(jù)庫系統(tǒng)進(jìn)行相應(yīng)的監(jiān)控和審計(jì)�。
部署方案及策略
1、數(shù)據(jù)庫資源管理方案
數(shù)據(jù)庫資源為核心管理內(nèi)容���,根據(jù)不同的業(yè)務(wù)范圍和職能部門管理范圍��,由上級賬號以數(shù)據(jù)庫資源組的方式對指定賬號進(jìn)行授權(quán)���;同時(shí),可根據(jù)下級賬號不同的角色身份�����,對授權(quán)的數(shù)據(jù)庫資源設(shè)置為“不可見�、只讀(如只看審計(jì)到的數(shù)據(jù))��、可配置(如可配置風(fēng)險(xiǎn)監(jiān)控識別策略)”等權(quán)限�����。
A行總行數(shù)據(jù)中心的數(shù)據(jù)庫審計(jì)節(jié)點(diǎn)以及各分行的數(shù)據(jù)庫審計(jì)節(jié)點(diǎn)�����,可通過網(wǎng)絡(luò)專線方式統(tǒng)一集中注冊到總行數(shù)據(jù)中心的數(shù)據(jù)安全管理平臺上�����;如此,通過數(shù)據(jù)安全管理平臺即可見所有審計(jì)節(jié)點(diǎn)上的數(shù)據(jù)庫信息����,并對數(shù)據(jù)庫資源進(jìn)行統(tǒng)一分配?�?傂锌筛鶕?jù)不同的部門��、業(yè)務(wù)單元�,將數(shù)據(jù)庫劃分為多個數(shù)據(jù)庫資源組,各部門/組可根據(jù)自身權(quán)限范圍內(nèi)的數(shù)據(jù)庫資源信息,可向下進(jìn)行二次分配���;同理,各分行也可將在自身權(quán)限范圍獲取到的數(shù)據(jù)庫資源信息�,根據(jù)實(shí)際的業(yè)務(wù)構(gòu)成,繼續(xù)向下進(jìn)行再次分配��。
2�、風(fēng)險(xiǎn)識別及策略管理方案
安華金和數(shù)據(jù)庫安全審計(jì)系統(tǒng)(DAS)提供內(nèi)置的數(shù)據(jù)庫操作行為風(fēng)險(xiǎn)識別策略,具備“策略啟用”權(quán)限的各級賬戶�,可以將策略關(guān)聯(lián)至自己管理權(quán)限范圍內(nèi)的數(shù)據(jù)庫上,即可實(shí)現(xiàn)對所屬數(shù)據(jù)庫日常行為的風(fēng)險(xiǎn)識別。此外���, DAS還可以手動創(chuàng)建符合各自特定業(yè)務(wù)場景的風(fēng)險(xiǎn)識別及監(jiān)控策略��。
總行的多個業(yè)務(wù)部門����、各分行�,都可以根據(jù)自己的業(yè)務(wù)需要設(shè)置不同的風(fēng)險(xiǎn)監(jiān)控策略,這其中有大量的策略具有通用性����,即可直接復(fù)用或經(jīng)微調(diào)后應(yīng)用于其他分行的數(shù)據(jù)庫監(jiān)控策略之上;同時(shí)��,由于多層級的權(quán)限劃分�����,也導(dǎo)致在策略管理當(dāng)面的復(fù)雜性���。概括起來,主要分為以下三類場景:
場景一:總行統(tǒng)一推廣策略
總行統(tǒng)一推廣策略一般具備高度通用性特征��,如針對刪除庫、刪除表���、清空表等在絕大多數(shù)生產(chǎn)業(yè)務(wù)系統(tǒng)上不應(yīng)出現(xiàn)的數(shù)據(jù)庫操作行為����,以及使用錯誤的數(shù)據(jù)庫口令多次嘗試登陸系統(tǒng)的行為(可能存在口令攻擊或忘記數(shù)據(jù)庫賬號口令而多次嘗試的疑似破解行為)��,以上這類基礎(chǔ)性策略均可由總行統(tǒng)一配置��,并全部推廣至總行的各業(yè)務(wù)單元和各分行�����。
場景二:分行特色策略分享
分行特色策略一般是分行根據(jù)自身業(yè)務(wù)場景����,有針對性設(shè)置的數(shù)據(jù)庫異常操作風(fēng)險(xiǎn)識別策略。此類策略起源于特殊業(yè)務(wù)需要����,往往與日常數(shù)據(jù)庫操作行為或特殊監(jiān)控要求有關(guān)。分行在數(shù)據(jù)安全管理平臺上創(chuàng)建策略時(shí)���,可選擇“私有”或“公開”兩種策略屬性:若選擇“私有”�����,則該策略僅自身當(dāng)前賬戶和上級賬戶可見策略詳情���、可編輯策略內(nèi)容��,并可直接關(guān)聯(lián)至自己權(quán)限范圍內(nèi)的數(shù)據(jù)庫資源��,從而實(shí)現(xiàn)監(jiān)控策略的直接應(yīng)用���,而同級分行賬戶之間、下級賬戶均不可見�����;若選擇“公開”����,則該策略不僅自身當(dāng)前賬戶、上級賬戶可見策略詳情�、可編輯策略內(nèi)容,同級分行之間賬戶�、下級賬戶均可見策略詳情�,并可關(guān)聯(lián)應(yīng)用至自身權(quán)限范圍內(nèi)的數(shù)據(jù)庫��,但不可以編輯策略內(nèi)容�,即“可使用但不可編輯”��。此外���,針對任何可見的策略�����,均可“復(fù)制”���、微調(diào)并另存為新的策略,以實(shí)現(xiàn)自身私有策略的創(chuàng)建�。
場景三:總行分享推廣至各分行
總行分享推廣某個分行的策略到其他分行,總行頂級賬戶本身具備更高一級的管理權(quán)限�,默認(rèn)可以看到各分行設(shè)置的、正在使用的各種數(shù)據(jù)庫風(fēng)險(xiǎn)行為監(jiān)控策略��;當(dāng)發(fā)現(xiàn)分行的某條策略具備通用性��,或在某些特定場景下可對相應(yīng)行為進(jìn)行有效監(jiān)控��,即可利用其更高一級的管理權(quán)限����,將原本由某個分行創(chuàng)建的私有策略���,修改為“公開”屬性。如此一來�,其他分行便均可看到該策略,相當(dāng)于將該經(jīng)驗(yàn)分享給其他分行��。
以上場景可根據(jù)策略的“屬主”關(guān)系和上下級間的管理權(quán)限�����,通過不同的操作步驟滿足場景使用�����。
3�、數(shù)據(jù)審計(jì)節(jié)點(diǎn)及探針管理方案
目前,A行總行數(shù)據(jù)中心已部署一部分?jǐn)?shù)據(jù)庫審計(jì)節(jié)點(diǎn)設(shè)備��,統(tǒng)推后將會在各分行數(shù)據(jù)中心部署新的數(shù)據(jù)庫審計(jì)節(jié)點(diǎn)(同時(shí)需要在分行數(shù)據(jù)庫中心的數(shù)據(jù)庫主機(jī)或運(yùn)維主機(jī)上部署探針以獲取操作數(shù)據(jù))����,以滿足對各分行數(shù)據(jù)庫日常行為操作的審計(jì)需要;為保證所有的數(shù)據(jù)庫審計(jì)監(jiān)控具備統(tǒng)一的管理入口����,這些部署在總行數(shù)據(jù)中心及各分行的節(jié)點(diǎn),會被統(tǒng)一注冊到總行數(shù)據(jù)中心的數(shù)據(jù)安全管理平臺上���,再由總行根據(jù)審計(jì)節(jié)點(diǎn)所屬的單元進(jìn)行統(tǒng)一分配�。
審計(jì)節(jié)點(diǎn)的維護(hù)包含對當(dāng)前節(jié)點(diǎn)設(shè)備的硬件使用狀態(tài)監(jiān)控����、軟件運(yùn)行狀態(tài)監(jiān)控、節(jié)點(diǎn)產(chǎn)生的告警數(shù)量監(jiān)控以及對該節(jié)點(diǎn)的系統(tǒng)級維護(hù)����;具備管理權(quán)限的賬戶還可以單點(diǎn)登錄到數(shù)據(jù)庫審計(jì)節(jié)點(diǎn)DAS設(shè)備上進(jìn)行操作;此外�,針對安裝在數(shù)據(jù)庫主機(jī)上的探針軟件,具備管理權(quán)限的賬戶同樣可以對其進(jìn)行日常管理和維護(hù)��,包含安裝�����、卸載���、運(yùn)行參數(shù)配置����、日常運(yùn)行監(jiān)控以及運(yùn)行維護(hù)等。
創(chuàng)新優(yōu)勢
1����、統(tǒng)一集中管理
數(shù)據(jù)安全管理平臺,是統(tǒng)一管理數(shù)據(jù)安全設(shè)備和客戶數(shù)據(jù)環(huán)境�����,統(tǒng)一對敏感數(shù)據(jù)進(jìn)行安全配置�,集中對數(shù)據(jù)訪問及操作行為進(jìn)行全面統(tǒng)計(jì)、分析�����、查詢的綜合管理平臺�����。
數(shù)據(jù)安全管理平臺對多種數(shù)據(jù)安全設(shè)備�、集群式的數(shù)據(jù)安全設(shè)備提供統(tǒng)一的集中監(jiān)控界面和管理入口,極大降低了對多節(jié)點(diǎn)部署數(shù)據(jù)安全節(jié)點(diǎn)設(shè)備的統(tǒng)一管理與維護(hù)成本�����;針對分布在多個被管理數(shù)據(jù)安全設(shè)備節(jié)點(diǎn)上的數(shù)據(jù),提供全局查詢��、報(bào)表�、統(tǒng)計(jì)�����、任務(wù)調(diào)度����、安全策略配置管理的能力;平臺可以橫向擴(kuò)展對不同數(shù)據(jù)安全設(shè)備的接入和管理���,整合多種數(shù)據(jù)安全設(shè)備能力�����,打通數(shù)據(jù)和業(yè)務(wù)的聯(lián)動��,為數(shù)據(jù)安全的全面管理方案提供靈活的組合能力��。
基于平臺多租戶設(shè)計(jì)�,通過角色(平臺功能菜單)和資源(節(jié)點(diǎn)設(shè)備、探針��、數(shù)據(jù)資源)組合授權(quán)�,可以授權(quán)不同租戶的功能和資源管理權(quán)限。無限級的賬號管理結(jié)構(gòu)�����,滿足不同組織架構(gòu)下人員對平臺資源管理的相互隔離和上下級繼承需求�。
具備靈活的擴(kuò)展接入能力,通過標(biāo)準(zhǔn)的設(shè)備管理接口���,數(shù)據(jù)安全設(shè)備可快速接入到平臺進(jìn)行統(tǒng)一的設(shè)備集中管理和資源狀態(tài)監(jiān)控��,減少多點(diǎn)部署狀態(tài)下的分散運(yùn)維管理成本�;同時(shí)��,結(jié)合業(yè)務(wù)管理接口的聯(lián)動能力�����,形成多種形態(tài)的數(shù)據(jù)安全綜合管理組合方案�����。
2、工單對接關(guān)聯(lián)監(jiān)控策略
數(shù)據(jù)庫安全審計(jì)系統(tǒng)能夠全面記錄從運(yùn)維終端發(fā)起的�����、對數(shù)據(jù)庫的日常運(yùn)維操作��。系統(tǒng)內(nèi)置大量數(shù)據(jù)庫安全操作風(fēng)險(xiǎn)監(jiān)控規(guī)則���,可識別針對數(shù)據(jù)庫的高危�����、非常規(guī)操作操作行為,并實(shí)時(shí)生成不同等級的風(fēng)險(xiǎn)告警��,為A行安全管理人員對數(shù)據(jù)安全事件的稽核工作提供有效的范圍參考依據(jù)����。
在數(shù)據(jù)中心日常運(yùn)維過程中,因特定業(yè)務(wù)需要�,可能存在對數(shù)據(jù)運(yùn)維、修改���、批量查詢����、導(dǎo)出等非常規(guī)操作場景。而這些行為必須通過工單系統(tǒng)預(yù)先提交申請�����,審核通過即可視為合規(guī)操作����,從而在安全事件稽核中被過濾掉,不會被當(dāng)作真實(shí)的風(fēng)險(xiǎn)事件����。
根據(jù)以上情況,在數(shù)據(jù)庫安全審計(jì)系統(tǒng)觸發(fā)的待核實(shí)風(fēng)險(xiǎn)事件中�,需要從工單系統(tǒng)中已審核的工單中提取相關(guān)信息,并與實(shí)際產(chǎn)生的運(yùn)維操作記錄進(jìn)行匹配�,以識別和發(fā)現(xiàn)已經(jīng)過審核的合規(guī)運(yùn)維操作,從而輸出最終的數(shù)據(jù)安全風(fēng)險(xiǎn)事件情況���?�?紤]到A行總行已部署多臺數(shù)據(jù)庫安全審計(jì)系統(tǒng)�����,為節(jié)約管理成本和統(tǒng)一操作�����,由數(shù)據(jù)安全管理平臺(DSP)進(jìn)行統(tǒng)一的數(shù)據(jù)對接�、提取、集中處理和呈現(xiàn)����。
產(chǎn)品咨詢:4000 258 365 
