數據跨境場景
隨著歐盟《通用數據保護條例》GDPR頒布以來���,頻繁開出的巨額罰單賺足了全球觀眾眼球���,也讓歐盟內企業(yè)對數據安全保護與管理愈發(fā)重視。數據只有在流動中才能創(chuàng)造其根本價值�����,而數據在流動中的非安全使用����,也會為企業(yè)造成核心數據資產泄露的風險,甚至招來最高2000萬歐元或其全球營業(yè)額4%的罰款(以高者為準)�����。對一些中小企業(yè)來說�,巨額罰款無異于滅頂之災,即便是亞馬遜這樣的科技巨頭�,全球營業(yè)額的4%同樣是一筆堪稱天價的罰單��。2017年��,中國《網絡安全法》的正式施行�,把對數據的使用要求上升到法律高度����;同年《個人信息安全規(guī)范》的發(fā)布,也將對隱私數據的安全使用提升到了全新高度�����。
隨著經濟全球化的持續(xù)發(fā)展�����,業(yè)務遍布世界各地已成為很多企業(yè)的常態(tài)��。其中�����,德國某知名豪車企業(yè)耕耘中國市場超過20年�����,中國大陸已成為其在德國本土外最重要的業(yè)務陣地��,尤其是中國區(qū)的汽車和金融業(yè)務在該集團業(yè)務中擁有舉足輕重的地位���。嚴守“不觸碰法律紅線”這一準則��,是其百年來得以持續(xù)穩(wěn)步發(fā)展的重要基礎之一���,而面對歐盟GDPR以及中國大陸相關法律的共同監(jiān)管,如何確保在企業(yè)業(yè)務正常開展的同時滿足政策合規(guī)要求����,就成為了該車企數據安全建設的首要任務目標。
為此�����,四大咨詢公司的專業(yè)咨詢報告����,為該車企制定了完善的數據安全建設方案;其中�����,針對“個人隱私數據的跨境訪問監(jiān)管”這一首期建設內容,安華金和因連續(xù)2年入選Gartner數據安全領域技術成熟度曲線研究報告���,成功入圍該項目的備選廠商����;后經該車企對一眾候選廠商的多方面考量�����,安華金和最終憑借全方位的行業(yè)技術積累����、扎實的已落地項目案例和持續(xù)穩(wěn)定的售后服務能力等優(yōu)勢因素勝出,成為該知名豪車企業(yè)數據庫安全項目的唯一供應商��。由安華金和提供的����,以數據庫安全預防為主、防治結合的縱深防御方案��,得到該客戶的高度肯定并全部予以采納���。
客戶價值實現
安華金和根據該車企現階段對數據安全建設的基本訴求���,在客戶數據庫資產清單相對完善的情況下,制定了包括針對性主動檢查預警�、運維過程中數據跨境的合規(guī)訪問、開發(fā)測試過程中合規(guī)使用生產型數據以及事后追溯在內的����,由前到后的縱深防御體系,并實現以下價值效果:
1���、數據庫漏洞情況摸底排查
客戶的IT過程管理相對規(guī)范���,有完善的數據庫資產登記信息和日常管理制度;同時�,業(yè)務系統(tǒng)以外購或現場定制開發(fā)居多,存在不同的供應商���、多年不同階段的建設以及數據庫版本跨度較大等情況����。DBA運維人員日常更多關注的是對業(yè)務系統(tǒng)的持續(xù)服務能力���,主機安全人員更多關注的是數據庫主機安全����,且兩組安全人員對數據庫漏洞情況的關注都比較少,而這些漏洞卻極有可能成為數據泄露或安全攻擊的突破點�。針對以上問題,可通過安華金和數據庫安全評估系統(tǒng)(DSAS)對數據庫逐一進行掃描���,主動發(fā)現當前版本存在的數據庫漏洞��,評估漏洞可能影響的范圍并提出修復建議��。
2��、跨境數據有效管控
該車企在全球有多個分公司����,遍布南非�����、北美��、印度�����、英國、德國本土以及中國大陸等地區(qū)����,根據業(yè)務的開展情況運維也由分散在這些分公司的員工分別完成,是真正24小時不間斷的多國團隊協(xié)作����。在線上生產庫的日常運維及數據分析過程中��,幾乎難以避免運維人員有意或無意接觸生產數據的情況��,而此類數據含有大量個人敏感信息�����,這就成為數據跨境背景下最有可能的潛在泄露通道�。
通過部署在中國區(qū)數據中心的安華金和數據庫運維管理系統(tǒng)(DOMS),可對境外運維人員訪問存儲在中國境內數據的行為進行審核與管理��。其中�����,對數據庫系統(tǒng)級的運維全部放行,由客戶現有的操作制度進行規(guī)范�;對業(yè)務表的任何操作都需提交運維操作申請,并由業(yè)務主管及IT安全主管交叉審批通過后方可執(zhí)行��;對未經審核通過的業(yè)務運維操作�,以及已審核通過但在非授權時間、非授權終端��、非授權范圍的操作進行阻斷���,從根本上杜絕運維側敏感數據泄露的可能�����。
與此同時�����,系統(tǒng)內置的運維中敏感數據防泄露功能成為了客戶最意外的收獲:運維過程中會涉及到部分業(yè)務數據的校對����,運維人員會看到其中的敏感數據�,如手機號、身份證號�����、銀行卡號、車架號等信息�,而通過預設的敏感數據保護策略,可將經過脫敏處理的數據返回給運維人員����,從而在滿足日常運維需要的前提下,有效規(guī)避了無意識的敏感數據泄露����。
3�、全鏈條審計數據庫訪問行為
通過多種流量采集方式,將應用服務器���、運維人員對數據庫的日常訪問流量進行解析��、歸類���、入庫,并對數據分類統(tǒng)計匯總�����,提供數據使用情況的分析;預設的非合規(guī)行為一旦命中規(guī)則即生成實時告警����,并通知到安全管理人員。在對違規(guī)事件的事后追溯上�,從風險維度開始,使用“一鉆到底”的操作方式�����,提供從風險到風險語句詳情����、風險到語句模板(風險行為的抽象化)、風險到訪問源����、風險到會話再到語句流水等多種追溯路徑,易于上手��。
此外����,豐富的統(tǒng)計和報表功能為DBA對數據庫,以及業(yè)務人員對應用系統(tǒng)的優(yōu)化提供參考�,如數據庫語句和會話執(zhí)行壓力情況�,語句執(zhí)行頻度Top分析����,高耗時語句Top分析等。在滿足政策合規(guī)的同時��,提供了數據庫管理的實用價值��。
4�����、提供有效的高仿真生產數據
該車企業(yè)務系統(tǒng)主要由外包團隊駐場定制開發(fā)完成����,在業(yè)務系統(tǒng)的持續(xù)開發(fā)過程中����,需要生產庫的數據進行開發(fā)和模擬測試。生產環(huán)境真實業(yè)務數據會導出到本地����,進行離線的二次數據分析,從而對企業(yè)經營戰(zhàn)略調整提供參考��。雖然有線上和線下系統(tǒng)的邏輯層隔離,但從線上生產環(huán)境導出的數據不經過變形就直接交付給線下環(huán)境使用的話��,很可能直接成為敏感數據泄露給第三方的通道��。而傳統(tǒng)的腳本式脫敏不夠智能化和產品化��,甚至脫敏后的數據無法保證其原有的格式和特征���,失去了數據間的關聯關系���,即使脫敏后也無法在開發(fā)測試或統(tǒng)計中實現正常的二次使用。此外���,越多的人工介入越可能增大過程中的數據安全風險���,對風險高度敏感的外資企業(yè)對過程中存在的數據安全風險的識別與規(guī)避尤為重視。
方案中的安華金和數據脫敏系統(tǒng)(DMS)�����,可為客戶提供一套自動化的數據脫敏方式�。在對從線上獲取的數據源進行敏感數據識別后,經過靈活的脫敏算法變形���,既保留了數據原有的格式和特征��,也保留了數據間的關聯關系��,令脫敏后的數據可安心用于開發(fā)環(huán)境或BI分析�,而不必擔心生產庫敏感數據泄露。同時�����,通過定時任務進行全自動的脫敏過程�����,替代了原有繁瑣且容易出錯的人工手動脫敏�����,從而極大規(guī)避了數據離線使用過程中的傳輸與使用風險����。
技術特性支撐
項目實施過程中��,先后遇到了多個需要突破的技術點��,安華金和交付團隊在充分論證方案可行性基礎上大膽嘗試了新的技術方案,其中具有代表性的技術點有:
1�、多樣化數據庫流量采集方式
由于客戶IT系統(tǒng)建設的歷史原因,早期IT系統(tǒng)多以物理機為主��,隨著虛擬化平臺的普及����,后期的業(yè)務系統(tǒng)逐步向虛擬化平臺遷移,這為數據庫審計的流量獲取帶來挑戰(zhàn)——單一的物理交換機鏡像和探針采集都不能完整覆蓋到所有的數據庫業(yè)務流量�����。經過實施前的環(huán)境調研和分析�,在實驗室環(huán)境模擬現場幾類部署場景,創(chuàng)造性的使用了物理交換機鏡像�����、虛擬化平臺vDS+GRE隧道方式�、Agent探針三種方式混合采集流量的方式:
(1)針對早期部署的數據庫物理機,采用物理交換機鏡像方式將流量聚合后導入數據庫審計DAS系統(tǒng)的鏡像接收網口�����,一次部署無需后期網絡維護�����。
(2)部署在虛擬化平臺的數據庫主機,且虛擬化平臺具備虛擬交換機vDS功能���,則在網絡層通過vDS將流量聚合�����,并在外層打上一層GRE隧道封裝后定向到DAS系統(tǒng)的指定IP上���,一次部署無需后期網絡維護。
(3)對于業(yè)務系統(tǒng)和數據庫集成部署在物理機上��,以及虛擬化平臺不具備vDS和GRE隧道封裝能力的數據庫主機�,在數據庫主機上部署輕量級探針方式采集數據庫訪問流量。
2��、通信鏈路加密下的數據庫行為管控
在項目實施前��,安華金和調研到客戶有約1/4的數據庫為Oracle����,根據內部統(tǒng)一安全建設要求采用了Oracle Advanced Security通信鏈路層加密��,這對整個數據庫串接類產品來說提出了巨大的挑戰(zhàn),甚至在咨詢公司的技術調研和分析下�����,客戶已基本放棄了該類場景的適配��。為此���,安華金和專門建立了以數據庫攻防實驗室為主的技術攻關突破小組�,深入分析Oracle通信加密機制�,進行大膽猜測,并使用工程逆向方式逐步驗證猜想���,去繁就簡挑選了Oracle通信加密方式的AES 256作為首先突破點��,進一步破解其指紋信息在通信協(xié)商和加解密過程中對公鑰和私鑰的使用與交互流程��,論證了在通信層鏈路加密條件下對數據庫訪問行為管控的可行性����。這在業(yè)界都是首屈一指的關鍵核心技術突破����,充分證明了安華金和在數據庫攻防領域的技術領先優(yōu)勢�����。
在可行性調研論證通過后�,安華金和圍繞實現原理和實現效果向客戶進行了匯報��,客戶了解技術復雜度后充分給予了安華金和信任和相對寬松的技術突破氛圍���,終于在4個月內完成了從可行性調研����、關鍵技術突破以及代碼化和產品化的過程���,并在生產環(huán)境成功完成功能驗證與試運行�。
3����、與集團安全管理業(yè)務體系無縫集成
優(yōu)秀且適合的產品應盡可能多的應用到日常業(yè)務使用中,以最大限度的減少使用成本����。只有與集團安全管理業(yè)務體系無縫集成���,才能讓安全管理日常化��。在了解到客戶內部使用了AD域賬戶一賬通后��,安華金和在短時間內完成了產品與客戶SSO單點登錄系統(tǒng)的適配�,使用日常辦公的域賬戶可以無縫登錄到數據庫安全系統(tǒng)����。
同時,安華金和數據庫運維管理系統(tǒng)強調多角色人員協(xié)作完成運維動作的申請和流程審批��,以及日常的安全訪問控制規(guī)則���,通過與域賬戶的打通����,將AD域上的賬戶權限與本地數據庫運維管理系統(tǒng)進行綁定����;使用一賬通登錄系統(tǒng)后,在用戶無感知的情況下即可自動分配用戶可見的操作權限和數據庫管理權限�����,將系統(tǒng)強大的賬號管理體系與業(yè)務深度融合,真正應用于日常業(yè)務����。
市場前景展望
該項目的成功交付,說明在同時應對歐盟GDPR和中國《網絡安全法》���、個人隱私敏感信息保護���、數據跨境訪問等相關法律法規(guī)監(jiān)管方面,安華金和的數據安全治理解決方案具備良好的可行性與可操作性��。安華金和在業(yè)內多年的技術積累和在關鍵核心技術上的攻堅突破能力�����,成為方案能夠有效落地的堅實后盾��。同時�,該方案可作為駐華外資企業(yè)、合資企業(yè)等的通用解決方案����,幫助更多客戶滿足政策法規(guī)對企業(yè)經營的要求�,讓業(yè)務發(fā)展走得更穩(wěn)�、走得更遠。
產品咨詢:4000 258 365 
