此前,安華金和數(shù)據(jù)安全專家從“核心訴求����、解決思路、方案設(shè)計(jì)�、客戶價(jià)值”四方面分享了某大型國(guó)有銀行數(shù)據(jù)庫(kù)審計(jì)項(xiàng)目的實(shí)踐經(jīng)驗(yàn)。
某大型國(guó)有銀行(以下簡(jiǎn)稱:A行)為有效降低數(shù)據(jù)中心��、分行開(kāi)放平臺(tái)數(shù)據(jù)庫(kù)海量客戶敏感信息的泄露風(fēng)險(xiǎn)�,滿足各類境內(nèi)外監(jiān)管機(jī)構(gòu)、PCI組織等行業(yè)機(jī)構(gòu)對(duì)客戶數(shù)據(jù)保護(hù)的要求����,需要部署實(shí)施專業(yè)的數(shù)據(jù)庫(kù)安全監(jiān)控審計(jì)系統(tǒng),用以實(shí)現(xiàn)對(duì)異常業(yè)務(wù)數(shù)據(jù)操作(如讀取�����、新增���、修改�����、刪除)的實(shí)時(shí)報(bào)警與快速審計(jì),并提供針對(duì)相關(guān)用戶操作行為的追溯及報(bào)表統(tǒng)計(jì)分析等功能,幫助客戶方面及時(shí)����、準(zhǔn)確地發(fā)現(xiàn)非法數(shù)據(jù)讀取、非授權(quán)數(shù)據(jù)改動(dòng)等風(fēng)險(xiǎn)問(wèn)題����,從源頭上對(duì)數(shù)據(jù)安全進(jìn)行控制...
本文中,我們將焦點(diǎn)轉(zhuǎn)向該項(xiàng)目的實(shí)際部署工作�,并為大家介紹安華金和方案的創(chuàng)新之處:
根據(jù)A行的不同需求場(chǎng)景,安華金和在部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)(DAS)的同時(shí)����,通過(guò)應(yīng)用數(shù)據(jù)安全管理平臺(tái)(DSP),對(duì)所部署的多套審計(jì)產(chǎn)品進(jìn)行統(tǒng)一管理��。
數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署上線后即接入納管數(shù)據(jù)開(kāi)放平臺(tái)上的所有數(shù)據(jù)庫(kù)����,將數(shù)據(jù)庫(kù)納入監(jiān)控和審計(jì)范圍,從部署到上線后一直穩(wěn)定運(yùn)行����。結(jié)合當(dāng)前A行內(nèi)的數(shù)據(jù)庫(kù)使用方式,數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)采用了不同模式對(duì)納入監(jiān)控的數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行相應(yīng)的監(jiān)控和審計(jì)�。
部署方案及策略
1���、數(shù)據(jù)庫(kù)資源管理方案
數(shù)據(jù)庫(kù)資源為核心管理內(nèi)容,根據(jù)不同的業(yè)務(wù)范圍和職能部門(mén)管理范圍�,由上級(jí)賬號(hào)以數(shù)據(jù)庫(kù)資源組的方式對(duì)指定賬號(hào)進(jìn)行授權(quán);同時(shí)�����,可根據(jù)下級(jí)賬號(hào)不同的角色身份����,對(duì)授權(quán)的數(shù)據(jù)庫(kù)資源設(shè)置為“不可見(jiàn)、只讀(如只看審計(jì)到的數(shù)據(jù))�、可配置(如可配置風(fēng)險(xiǎn)監(jiān)控識(shí)別策略)”等權(quán)限。
A行總行數(shù)據(jù)中心的數(shù)據(jù)庫(kù)審計(jì)節(jié)點(diǎn)以及各分行的數(shù)據(jù)庫(kù)審計(jì)節(jié)點(diǎn)����,可通過(guò)網(wǎng)絡(luò)專線方式統(tǒng)一集中注冊(cè)到總行數(shù)據(jù)中心的數(shù)據(jù)安全管理平臺(tái)上;如此���,通過(guò)數(shù)據(jù)安全管理平臺(tái)即可見(jiàn)所有審計(jì)節(jié)點(diǎn)上的數(shù)據(jù)庫(kù)信息�����,并對(duì)數(shù)據(jù)庫(kù)資源進(jìn)行統(tǒng)一分配���?���?傂锌筛鶕?jù)不同的部門(mén)��、業(yè)務(wù)單元�,將數(shù)據(jù)庫(kù)劃分為多個(gè)數(shù)據(jù)庫(kù)資源組����,各部門(mén)/組可根據(jù)自身權(quán)限范圍內(nèi)的數(shù)據(jù)庫(kù)資源信息,可向下進(jìn)行二次分配��;同理���,各分行也可將在自身權(quán)限范圍獲取到的數(shù)據(jù)庫(kù)資源信息��,根據(jù)實(shí)際的業(yè)務(wù)構(gòu)成����,繼續(xù)向下進(jìn)行再次分配�。
2、風(fēng)險(xiǎn)識(shí)別及策略管理方案
安華金和數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)(DAS)提供內(nèi)置的數(shù)據(jù)庫(kù)操作行為風(fēng)險(xiǎn)識(shí)別策略����,具備“策略啟用”權(quán)限的各級(jí)賬戶�����,可以將策略關(guān)聯(lián)至自己管理權(quán)限范圍內(nèi)的數(shù)據(jù)庫(kù)上���,即可實(shí)現(xiàn)對(duì)所屬數(shù)據(jù)庫(kù)日常行為的風(fēng)險(xiǎn)識(shí)別。此外����, DAS還可以手動(dòng)創(chuàng)建符合各自特定業(yè)務(wù)場(chǎng)景的風(fēng)險(xiǎn)識(shí)別及監(jiān)控策略。
總行的多個(gè)業(yè)務(wù)部門(mén)��、各分行����,都可以根據(jù)自己的業(yè)務(wù)需要設(shè)置不同的風(fēng)險(xiǎn)監(jiān)控策略,這其中有大量的策略具有通用性�����,即可直接復(fù)用或經(jīng)微調(diào)后應(yīng)用于其他分行的數(shù)據(jù)庫(kù)監(jiān)控策略之上����;同時(shí)����,由于多層級(jí)的權(quán)限劃分�,也導(dǎo)致在策略管理當(dāng)面的復(fù)雜性。概括起來(lái)���,主要分為以下三類場(chǎng)景:
場(chǎng)景一:總行統(tǒng)一推廣策略
總行統(tǒng)一推廣策略一般具備高度通用性特征,如針對(duì)刪除庫(kù)���、刪除表�、清空表等在絕大多數(shù)生產(chǎn)業(yè)務(wù)系統(tǒng)上不應(yīng)出現(xiàn)的數(shù)據(jù)庫(kù)操作行為���,以及使用錯(cuò)誤的數(shù)據(jù)庫(kù)口令多次嘗試登陸系統(tǒng)的行為(可能存在口令攻擊或忘記數(shù)據(jù)庫(kù)賬號(hào)口令而多次嘗試的疑似破解行為)��,以上這類基礎(chǔ)性策略均可由總行統(tǒng)一配置����,并全部推廣至總行的各業(yè)務(wù)單元和各分行�。
場(chǎng)景二:分行特色策略分享
分行特色策略一般是分行根據(jù)自身業(yè)務(wù)場(chǎng)景,有針對(duì)性設(shè)置的數(shù)據(jù)庫(kù)異常操作風(fēng)險(xiǎn)識(shí)別策略�����。此類策略起源于特殊業(yè)務(wù)需要,往往與日常數(shù)據(jù)庫(kù)操作行為或特殊監(jiān)控要求有關(guān)����。分行在數(shù)據(jù)安全管理平臺(tái)上創(chuàng)建策略時(shí),可選擇“私有”或“公開(kāi)”兩種策略屬性:若選擇“私有”��,則該策略僅自身當(dāng)前賬戶和上級(jí)賬戶可見(jiàn)策略詳情�、可編輯策略內(nèi)容,并可直接關(guān)聯(lián)至自己權(quán)限范圍內(nèi)的數(shù)據(jù)庫(kù)資源�����,從而實(shí)現(xiàn)監(jiān)控策略的直接應(yīng)用����,而同級(jí)分行賬戶之間、下級(jí)賬戶均不可見(jiàn)�����;若選擇“公開(kāi)”�,則該策略不僅自身當(dāng)前賬戶、上級(jí)賬戶可見(jiàn)策略詳情���、可編輯策略內(nèi)容���,同級(jí)分行之間賬戶�����、下級(jí)賬戶均可見(jiàn)策略詳情�����,并可關(guān)聯(lián)應(yīng)用至自身權(quán)限范圍內(nèi)的數(shù)據(jù)庫(kù)��,但不可以編輯策略內(nèi)容,即“可使用但不可編輯”��。此外�����,針對(duì)任何可見(jiàn)的策略�����,均可“復(fù)制”���、微調(diào)并另存為新的策略����,以實(shí)現(xiàn)自身私有策略的創(chuàng)建。
場(chǎng)景三:總行分享推廣至各分行
總行分享推廣某個(gè)分行的策略到其他分行�����,總行頂級(jí)賬戶本身具備更高一級(jí)的管理權(quán)限����,默認(rèn)可以看到各分行設(shè)置的、正在使用的各種數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)行為監(jiān)控策略�;當(dāng)發(fā)現(xiàn)分行的某條策略具備通用性,或在某些特定場(chǎng)景下可對(duì)相應(yīng)行為進(jìn)行有效監(jiān)控���,即可利用其更高一級(jí)的管理權(quán)限����,將原本由某個(gè)分行創(chuàng)建的私有策略��,修改為“公開(kāi)”屬性�。如此一來(lái),其他分行便均可看到該策略����,相當(dāng)于將該經(jīng)驗(yàn)分享給其他分行�。
以上場(chǎng)景可根據(jù)策略的“屬主”關(guān)系和上下級(jí)間的管理權(quán)限�����,通過(guò)不同的操作步驟滿足場(chǎng)景使用����。
3、數(shù)據(jù)審計(jì)節(jié)點(diǎn)及探針管理方案
目前�����,A行總行數(shù)據(jù)中心已部署一部分?jǐn)?shù)據(jù)庫(kù)審計(jì)節(jié)點(diǎn)設(shè)備����,統(tǒng)推后將會(huì)在各分行數(shù)據(jù)中心部署新的數(shù)據(jù)庫(kù)審計(jì)節(jié)點(diǎn)(同時(shí)需要在分行數(shù)據(jù)庫(kù)中心的數(shù)據(jù)庫(kù)主機(jī)或運(yùn)維主機(jī)上部署探針以獲取操作數(shù)據(jù))����,以滿足對(duì)各分行數(shù)據(jù)庫(kù)日常行為操作的審計(jì)需要;為保證所有的數(shù)據(jù)庫(kù)審計(jì)監(jiān)控具備統(tǒng)一的管理入口����,這些部署在總行數(shù)據(jù)中心及各分行的節(jié)點(diǎn)�,會(huì)被統(tǒng)一注冊(cè)到總行數(shù)據(jù)中心的數(shù)據(jù)安全管理平臺(tái)上��,再由總行根據(jù)審計(jì)節(jié)點(diǎn)所屬的單元進(jìn)行統(tǒng)一分配���。
審計(jì)節(jié)點(diǎn)的維護(hù)包含對(duì)當(dāng)前節(jié)點(diǎn)設(shè)備的硬件使用狀態(tài)監(jiān)控�、軟件運(yùn)行狀態(tài)監(jiān)控�、節(jié)點(diǎn)產(chǎn)生的告警數(shù)量監(jiān)控以及對(duì)該節(jié)點(diǎn)的系統(tǒng)級(jí)維護(hù);具備管理權(quán)限的賬戶還可以單點(diǎn)登錄到數(shù)據(jù)庫(kù)審計(jì)節(jié)點(diǎn)DAS設(shè)備上進(jìn)行操作����;此外,針對(duì)安裝在數(shù)據(jù)庫(kù)主機(jī)上的探針軟件���,具備管理權(quán)限的賬戶同樣可以對(duì)其進(jìn)行日常管理和維護(hù)���,包含安裝、卸載�����、運(yùn)行參數(shù)配置���、日常運(yùn)行監(jiān)控以及運(yùn)行維護(hù)等�。
創(chuàng)新優(yōu)勢(shì)
1、統(tǒng)一集中管理
數(shù)據(jù)安全管理平臺(tái)��,是統(tǒng)一管理數(shù)據(jù)安全設(shè)備和客戶數(shù)據(jù)環(huán)境�,統(tǒng)一對(duì)敏感數(shù)據(jù)進(jìn)行安全配置,集中對(duì)數(shù)據(jù)訪問(wèn)及操作行為進(jìn)行全面統(tǒng)計(jì)�、分析、查詢的綜合管理平臺(tái)�。
數(shù)據(jù)安全管理平臺(tái)對(duì)多種數(shù)據(jù)安全設(shè)備、集群式的數(shù)據(jù)安全設(shè)備提供統(tǒng)一的集中監(jiān)控界面和管理入口���,極大降低了對(duì)多節(jié)點(diǎn)部署數(shù)據(jù)安全節(jié)點(diǎn)設(shè)備的統(tǒng)一管理與維護(hù)成本�;針對(duì)分布在多個(gè)被管理數(shù)據(jù)安全設(shè)備節(jié)點(diǎn)上的數(shù)據(jù)��,提供全局查詢�、報(bào)表、統(tǒng)計(jì)��、任務(wù)調(diào)度�����、安全策略配置管理的能力�;平臺(tái)可以橫向擴(kuò)展對(duì)不同數(shù)據(jù)安全設(shè)備的接入和管理���,整合多種數(shù)據(jù)安全設(shè)備能力���,打通數(shù)據(jù)和業(yè)務(wù)的聯(lián)動(dòng)���,為數(shù)據(jù)安全的全面管理方案提供靈活的組合能力。
基于平臺(tái)多租戶設(shè)計(jì)����,通過(guò)角色(平臺(tái)功能菜單)和資源(節(jié)點(diǎn)設(shè)備、探針���、數(shù)據(jù)資源)組合授權(quán)�,可以授權(quán)不同租戶的功能和資源管理權(quán)限����。無(wú)限級(jí)的賬號(hào)管理結(jié)構(gòu),滿足不同組織架構(gòu)下人員對(duì)平臺(tái)資源管理的相互隔離和上下級(jí)繼承需求���。
具備靈活的擴(kuò)展接入能力���,通過(guò)標(biāo)準(zhǔn)的設(shè)備管理接口,數(shù)據(jù)安全設(shè)備可快速接入到平臺(tái)進(jìn)行統(tǒng)一的設(shè)備集中管理和資源狀態(tài)監(jiān)控�����,減少多點(diǎn)部署狀態(tài)下的分散運(yùn)維管理成本;同時(shí)�,結(jié)合業(yè)務(wù)管理接口的聯(lián)動(dòng)能力,形成多種形態(tài)的數(shù)據(jù)安全綜合管理組合方案�。
2、工單對(duì)接關(guān)聯(lián)監(jiān)控策略
數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)能夠全面記錄從運(yùn)維終端發(fā)起的�、對(duì)數(shù)據(jù)庫(kù)的日常運(yùn)維操作。系統(tǒng)內(nèi)置大量數(shù)據(jù)庫(kù)安全操作風(fēng)險(xiǎn)監(jiān)控規(guī)則���,可識(shí)別針對(duì)數(shù)據(jù)庫(kù)的高危����、非常規(guī)操作操作行為����,并實(shí)時(shí)生成不同等級(jí)的風(fēng)險(xiǎn)告警,為A行安全管理人員對(duì)數(shù)據(jù)安全事件的稽核工作提供有效的范圍參考依據(jù)�。
在數(shù)據(jù)中心日常運(yùn)維過(guò)程中,因特定業(yè)務(wù)需要�����,可能存在對(duì)數(shù)據(jù)運(yùn)維��、修改�����、批量查詢����、導(dǎo)出等非常規(guī)操作場(chǎng)景。而這些行為必須通過(guò)工單系統(tǒng)預(yù)先提交申請(qǐng)���,審核通過(guò)即可視為合規(guī)操作�,從而在安全事件稽核中被過(guò)濾掉���,不會(huì)被當(dāng)作真實(shí)的風(fēng)險(xiǎn)事件��。
根據(jù)以上情況��,在數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)觸發(fā)的待核實(shí)風(fēng)險(xiǎn)事件中��,需要從工單系統(tǒng)中已審核的工單中提取相關(guān)信息���,并與實(shí)際產(chǎn)生的運(yùn)維操作記錄進(jìn)行匹配,以識(shí)別和發(fā)現(xiàn)已經(jīng)過(guò)審核的合規(guī)運(yùn)維操作,從而輸出最終的數(shù)據(jù)安全風(fēng)險(xiǎn)事件情況�。考慮到A行總行已部署多臺(tái)數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)����,為節(jié)約管理成本和統(tǒng)一操作,由數(shù)據(jù)安全管理平臺(tái)(DSP)進(jìn)行統(tǒng)一的數(shù)據(jù)對(duì)接�、提取、集中處理和呈現(xiàn)���。
產(chǎn)品咨詢:4000 258 365 
