數(shù)據(jù)跨境場(chǎng)景
隨著歐盟《通用數(shù)據(jù)保護(hù)條例》GDPR頒布以來(lái)�,頻繁開(kāi)出的巨額罰單賺足了全球觀眾眼球,也讓歐盟內(nèi)企業(yè)對(duì)數(shù)據(jù)安全保護(hù)與管理愈發(fā)重視��。數(shù)據(jù)只有在流動(dòng)中才能創(chuàng)造其根本價(jià)值�,而數(shù)據(jù)在流動(dòng)中的非安全使用,也會(huì)為企業(yè)造成核心數(shù)據(jù)資產(chǎn)泄露的風(fēng)險(xiǎn)��,甚至招來(lái)最高2000萬(wàn)歐元或其全球營(yíng)業(yè)額4%的罰款(以高者為準(zhǔn))����。對(duì)一些中小企業(yè)來(lái)說(shuō),巨額罰款無(wú)異于滅頂之災(zāi)���,即便是亞馬遜這樣的科技巨頭����,全球營(yíng)業(yè)額的4%同樣是一筆堪稱(chēng)天價(jià)的罰單��。2017年���,中國(guó)《網(wǎng)絡(luò)安全法》的正式施行�,把對(duì)數(shù)據(jù)的使用要求上升到法律高度;同年《個(gè)人信息安全規(guī)范》的發(fā)布�����,也將對(duì)隱私數(shù)據(jù)的安全使用提升到了全新高度����。
隨著經(jīng)濟(jì)全球化的持續(xù)發(fā)展,業(yè)務(wù)遍布世界各地已成為很多企業(yè)的常態(tài)�����。其中�����,德國(guó)某知名豪車(chē)企業(yè)耕耘中國(guó)市場(chǎng)超過(guò)20年��,中國(guó)大陸已成為其在德國(guó)本土外最重要的業(yè)務(wù)陣地���,尤其是中國(guó)區(qū)的汽車(chē)和金融業(yè)務(wù)在該集團(tuán)業(yè)務(wù)中擁有舉足輕重的地位���。嚴(yán)守“不觸碰法律紅線”這一準(zhǔn)則����,是其百年來(lái)得以持續(xù)穩(wěn)步發(fā)展的重要基礎(chǔ)之一��,而面對(duì)歐盟GDPR以及中國(guó)大陸相關(guān)法律的共同監(jiān)管���,如何確保在企業(yè)業(yè)務(wù)正常開(kāi)展的同時(shí)滿足政策合規(guī)要求,就成為了該車(chē)企數(shù)據(jù)安全建設(shè)的首要任務(wù)目標(biāo)�����。
為此����,四大咨詢公司的專(zhuān)業(yè)咨詢報(bào)告,為該車(chē)企制定了完善的數(shù)據(jù)安全建設(shè)方案�;其中,針對(duì)“個(gè)人隱私數(shù)據(jù)的跨境訪問(wèn)監(jiān)管”這一首期建設(shè)內(nèi)容��,安華金和因連續(xù)2年入選Gartner數(shù)據(jù)安全領(lǐng)域技術(shù)成熟度曲線研究報(bào)告��,成功入圍該項(xiàng)目的備選廠商�;后經(jīng)該車(chē)企對(duì)一眾候選廠商的多方面考量,安華金和最終憑借全方位的行業(yè)技術(shù)積累、扎實(shí)的已落地項(xiàng)目案例和持續(xù)穩(wěn)定的售后服務(wù)能力等優(yōu)勢(shì)因素勝出�,成為該知名豪車(chē)企業(yè)數(shù)據(jù)庫(kù)安全項(xiàng)目的唯一供應(yīng)商。由安華金和提供的��,以數(shù)據(jù)庫(kù)安全預(yù)防為主�����、防治結(jié)合的縱深防御方案���,得到該客戶的高度肯定并全部予以采納����。
客戶價(jià)值實(shí)現(xiàn)
安華金和根據(jù)該車(chē)企現(xiàn)階段對(duì)數(shù)據(jù)安全建設(shè)的基本訴求�����,在客戶數(shù)據(jù)庫(kù)資產(chǎn)清單相對(duì)完善的情況下�����,制定了包括針對(duì)性主動(dòng)檢查預(yù)警�、運(yùn)維過(guò)程中數(shù)據(jù)跨境的合規(guī)訪問(wèn)、開(kāi)發(fā)測(cè)試過(guò)程中合規(guī)使用生產(chǎn)型數(shù)據(jù)以及事后追溯在內(nèi)的�����,由前到后的縱深防御體系,并實(shí)現(xiàn)以下價(jià)值效果:
1��、數(shù)據(jù)庫(kù)漏洞情況摸底排查
客戶的IT過(guò)程管理相對(duì)規(guī)范���,有完善的數(shù)據(jù)庫(kù)資產(chǎn)登記信息和日常管理制度;同時(shí)�����,業(yè)務(wù)系統(tǒng)以外購(gòu)或現(xiàn)場(chǎng)定制開(kāi)發(fā)居多�����,存在不同的供應(yīng)商���、多年不同階段的建設(shè)以及數(shù)據(jù)庫(kù)版本跨度較大等情況��。DBA運(yùn)維人員日常更多關(guān)注的是對(duì)業(yè)務(wù)系統(tǒng)的持續(xù)服務(wù)能力���,主機(jī)安全人員更多關(guān)注的是數(shù)據(jù)庫(kù)主機(jī)安全,且兩組安全人員對(duì)數(shù)據(jù)庫(kù)漏洞情況的關(guān)注都比較少�����,而這些漏洞卻極有可能成為數(shù)據(jù)泄露或安全攻擊的突破點(diǎn)。針對(duì)以上問(wèn)題��,可通過(guò)安華金和數(shù)據(jù)庫(kù)安全評(píng)估系統(tǒng)(DSAS)對(duì)數(shù)據(jù)庫(kù)逐一進(jìn)行掃描��,主動(dòng)發(fā)現(xiàn)當(dāng)前版本存在的數(shù)據(jù)庫(kù)漏洞����,評(píng)估漏洞可能影響的范圍并提出修復(fù)建議。
2�����、跨境數(shù)據(jù)有效管控
該車(chē)企在全球有多個(gè)分公司�,遍布南非、北美��、印度�、英國(guó)、德國(guó)本土以及中國(guó)大陸等地區(qū)���,根據(jù)業(yè)務(wù)的開(kāi)展情況運(yùn)維也由分散在這些分公司的員工分別完成�����,是真正24小時(shí)不間斷的多國(guó)團(tuán)隊(duì)協(xié)作��。在線上生產(chǎn)庫(kù)的日常運(yùn)維及數(shù)據(jù)分析過(guò)程中��,幾乎難以避免運(yùn)維人員有意或無(wú)意接觸生產(chǎn)數(shù)據(jù)的情況�����,而此類(lèi)數(shù)據(jù)含有大量個(gè)人敏感信息�����,這就成為數(shù)據(jù)跨境背景下最有可能的潛在泄露通道����。
通過(guò)部署在中國(guó)區(qū)數(shù)據(jù)中心的安華金和數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)(DOMS)���,可對(duì)境外運(yùn)維人員訪問(wèn)存儲(chǔ)在中國(guó)境內(nèi)數(shù)據(jù)的行為進(jìn)行審核與管理���。其中,對(duì)數(shù)據(jù)庫(kù)系統(tǒng)級(jí)的運(yùn)維全部放行����,由客戶現(xiàn)有的操作制度進(jìn)行規(guī)范��;對(duì)業(yè)務(wù)表的任何操作都需提交運(yùn)維操作申請(qǐng)���,并由業(yè)務(wù)主管及IT安全主管交叉審批通過(guò)后方可執(zhí)行;對(duì)未經(jīng)審核通過(guò)的業(yè)務(wù)運(yùn)維操作�,以及已審核通過(guò)但在非授權(quán)時(shí)間、非授權(quán)終端����、非授權(quán)范圍的操作進(jìn)行阻斷,從根本上杜絕運(yùn)維側(cè)敏感數(shù)據(jù)泄露的可能����。
與此同時(shí),系統(tǒng)內(nèi)置的運(yùn)維中敏感數(shù)據(jù)防泄露功能成為了客戶最意外的收獲:運(yùn)維過(guò)程中會(huì)涉及到部分業(yè)務(wù)數(shù)據(jù)的校對(duì)��,運(yùn)維人員會(huì)看到其中的敏感數(shù)據(jù)�����,如手機(jī)號(hào)�、身份證號(hào)、銀行卡號(hào)�����、車(chē)架號(hào)等信息,而通過(guò)預(yù)設(shè)的敏感數(shù)據(jù)保護(hù)策略�,可將經(jīng)過(guò)脫敏處理的數(shù)據(jù)返回給運(yùn)維人員,從而在滿足日常運(yùn)維需要的前提下���,有效規(guī)避了無(wú)意識(shí)的敏感數(shù)據(jù)泄露���。
3、全鏈條審計(jì)數(shù)據(jù)庫(kù)訪問(wèn)行為
通過(guò)多種流量采集方式���,將應(yīng)用服務(wù)器�����、運(yùn)維人員對(duì)數(shù)據(jù)庫(kù)的日常訪問(wèn)流量進(jìn)行解析、歸類(lèi)����、入庫(kù),并對(duì)數(shù)據(jù)分類(lèi)統(tǒng)計(jì)匯總���,提供數(shù)據(jù)使用情況的分析���;預(yù)設(shè)的非合規(guī)行為一旦命中規(guī)則即生成實(shí)時(shí)告警�,并通知到安全管理人員��。在對(duì)違規(guī)事件的事后追溯上�,從風(fēng)險(xiǎn)維度開(kāi)始,使用“一鉆到底”的操作方式����,提供從風(fēng)險(xiǎn)到風(fēng)險(xiǎn)語(yǔ)句詳情、風(fēng)險(xiǎn)到語(yǔ)句模板(風(fēng)險(xiǎn)行為的抽象化)�、風(fēng)險(xiǎn)到訪問(wèn)源、風(fēng)險(xiǎn)到會(huì)話再到語(yǔ)句流水等多種追溯路徑�,易于上手。
此外���,豐富的統(tǒng)計(jì)和報(bào)表功能為DBA對(duì)數(shù)據(jù)庫(kù)��,以及業(yè)務(wù)人員對(duì)應(yīng)用系統(tǒng)的優(yōu)化提供參考�����,如數(shù)據(jù)庫(kù)語(yǔ)句和會(huì)話執(zhí)行壓力情況����,語(yǔ)句執(zhí)行頻度Top分析��,高耗時(shí)語(yǔ)句Top分析等。在滿足政策合規(guī)的同時(shí)�,提供了數(shù)據(jù)庫(kù)管理的實(shí)用價(jià)值。
4��、提供有效的高仿真生產(chǎn)數(shù)據(jù)
該車(chē)企業(yè)務(wù)系統(tǒng)主要由外包團(tuán)隊(duì)駐場(chǎng)定制開(kāi)發(fā)完成��,在業(yè)務(wù)系統(tǒng)的持續(xù)開(kāi)發(fā)過(guò)程中�,需要生產(chǎn)庫(kù)的數(shù)據(jù)進(jìn)行開(kāi)發(fā)和模擬測(cè)試。生產(chǎn)環(huán)境真實(shí)業(yè)務(wù)數(shù)據(jù)會(huì)導(dǎo)出到本地����,進(jìn)行離線的二次數(shù)據(jù)分析,從而對(duì)企業(yè)經(jīng)營(yíng)戰(zhàn)略調(diào)整提供參考����。雖然有線上和線下系統(tǒng)的邏輯層隔離,但從線上生產(chǎn)環(huán)境導(dǎo)出的數(shù)據(jù)不經(jīng)過(guò)變形就直接交付給線下環(huán)境使用的話���,很可能直接成為敏感數(shù)據(jù)泄露給第三方的通道����。而傳統(tǒng)的腳本式脫敏不夠智能化和產(chǎn)品化�����,甚至脫敏后的數(shù)據(jù)無(wú)法保證其原有的格式和特征���,失去了數(shù)據(jù)間的關(guān)聯(lián)關(guān)系���,即使脫敏后也無(wú)法在開(kāi)發(fā)測(cè)試或統(tǒng)計(jì)中實(shí)現(xiàn)正常的二次使用。此外�����,越多的人工介入越可能增大過(guò)程中的數(shù)據(jù)安全風(fēng)險(xiǎn)�,對(duì)風(fēng)險(xiǎn)高度敏感的外資企業(yè)對(duì)過(guò)程中存在的數(shù)據(jù)安全風(fēng)險(xiǎn)的識(shí)別與規(guī)避尤為重視。
方案中的安華金和數(shù)據(jù)脫敏系統(tǒng)(DMS)��,可為客戶提供一套自動(dòng)化的數(shù)據(jù)脫敏方式�����。在對(duì)從線上獲取的數(shù)據(jù)源進(jìn)行敏感數(shù)據(jù)識(shí)別后��,經(jīng)過(guò)靈活的脫敏算法變形�,既保留了數(shù)據(jù)原有的格式和特征,也保留了數(shù)據(jù)間的關(guān)聯(lián)關(guān)系�,令脫敏后的數(shù)據(jù)可安心用于開(kāi)發(fā)環(huán)境或BI分析,而不必?fù)?dān)心生產(chǎn)庫(kù)敏感數(shù)據(jù)泄露。同時(shí)�����,通過(guò)定時(shí)任務(wù)進(jìn)行全自動(dòng)的脫敏過(guò)程�,替代了原有繁瑣且容易出錯(cuò)的人工手動(dòng)脫敏,從而極大規(guī)避了數(shù)據(jù)離線使用過(guò)程中的傳輸與使用風(fēng)險(xiǎn)�����。
技術(shù)特性支撐
項(xiàng)目實(shí)施過(guò)程中��,先后遇到了多個(gè)需要突破的技術(shù)點(diǎn)�,安華金和交付團(tuán)隊(duì)在充分論證方案可行性基礎(chǔ)上大膽嘗試了新的技術(shù)方案,其中具有代表性的技術(shù)點(diǎn)有:
1��、多樣化數(shù)據(jù)庫(kù)流量采集方式
由于客戶IT系統(tǒng)建設(shè)的歷史原因����,早期IT系統(tǒng)多以物理機(jī)為主,隨著虛擬化平臺(tái)的普及����,后期的業(yè)務(wù)系統(tǒng)逐步向虛擬化平臺(tái)遷移,這為數(shù)據(jù)庫(kù)審計(jì)的流量獲取帶來(lái)挑戰(zhàn)——單一的物理交換機(jī)鏡像和探針采集都不能完整覆蓋到所有的數(shù)據(jù)庫(kù)業(yè)務(wù)流量�。經(jīng)過(guò)實(shí)施前的環(huán)境調(diào)研和分析,在實(shí)驗(yàn)室環(huán)境模擬現(xiàn)場(chǎng)幾類(lèi)部署場(chǎng)景���,創(chuàng)造性的使用了物理交換機(jī)鏡像����、虛擬化平臺(tái)vDS+GRE隧道方式���、Agent探針三種方式混合采集流量的方式:
(1)針對(duì)早期部署的數(shù)據(jù)庫(kù)物理機(jī)��,采用物理交換機(jī)鏡像方式將流量聚合后導(dǎo)入數(shù)據(jù)庫(kù)審計(jì)DAS系統(tǒng)的鏡像接收網(wǎng)口���,一次部署無(wú)需后期網(wǎng)絡(luò)維護(hù)。
(2)部署在虛擬化平臺(tái)的數(shù)據(jù)庫(kù)主機(jī)���,且虛擬化平臺(tái)具備虛擬交換機(jī)vDS功能��,則在網(wǎng)絡(luò)層通過(guò)vDS將流量聚合��,并在外層打上一層GRE隧道封裝后定向到DAS系統(tǒng)的指定IP上����,一次部署無(wú)需后期網(wǎng)絡(luò)維護(hù)����。
(3)對(duì)于業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)集成部署在物理機(jī)上��,以及虛擬化平臺(tái)不具備vDS和GRE隧道封裝能力的數(shù)據(jù)庫(kù)主機(jī)��,在數(shù)據(jù)庫(kù)主機(jī)上部署輕量級(jí)探針?lè)绞讲杉瘮?shù)據(jù)庫(kù)訪問(wèn)流量��。
2�����、通信鏈路加密下的數(shù)據(jù)庫(kù)行為管控
在項(xiàng)目實(shí)施前�����,安華金和調(diào)研到客戶有約1/4的數(shù)據(jù)庫(kù)為Oracle���,根據(jù)內(nèi)部統(tǒng)一安全建設(shè)要求采用了Oracle Advanced Security通信鏈路層加密,這對(duì)整個(gè)數(shù)據(jù)庫(kù)串接類(lèi)產(chǎn)品來(lái)說(shuō)提出了巨大的挑戰(zhàn)���,甚至在咨詢公司的技術(shù)調(diào)研和分析下�����,客戶已基本放棄了該類(lèi)場(chǎng)景的適配����。為此,安華金和專(zhuān)門(mén)建立了以數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室為主的技術(shù)攻關(guān)突破小組��,深入分析Oracle通信加密機(jī)制��,進(jìn)行大膽猜測(cè)����,并使用工程逆向方式逐步驗(yàn)證猜想��,去繁就簡(jiǎn)挑選了Oracle通信加密方式的AES 256作為首先突破點(diǎn)��,進(jìn)一步破解其指紋信息在通信協(xié)商和加解密過(guò)程中對(duì)公鑰和私鑰的使用與交互流程�,論證了在通信層鏈路加密條件下對(duì)數(shù)據(jù)庫(kù)訪問(wèn)行為管控的可行性。這在業(yè)界都是首屈一指的關(guān)鍵核心技術(shù)突破��,充分證明了安華金和在數(shù)據(jù)庫(kù)攻防領(lǐng)域的技術(shù)領(lǐng)先優(yōu)勢(shì)��。
在可行性調(diào)研論證通過(guò)后���,安華金和圍繞實(shí)現(xiàn)原理和實(shí)現(xiàn)效果向客戶進(jìn)行了匯報(bào)��,客戶了解技術(shù)復(fù)雜度后充分給予了安華金和信任和相對(duì)寬松的技術(shù)突破氛圍��,終于在4個(gè)月內(nèi)完成了從可行性調(diào)研�、關(guān)鍵技術(shù)突破以及代碼化和產(chǎn)品化的過(guò)程,并在生產(chǎn)環(huán)境成功完成功能驗(yàn)證與試運(yùn)行���。
3���、與集團(tuán)安全管理業(yè)務(wù)體系無(wú)縫集成
優(yōu)秀且適合的產(chǎn)品應(yīng)盡可能多的應(yīng)用到日常業(yè)務(wù)使用中,以最大限度的減少使用成本����。只有與集團(tuán)安全管理業(yè)務(wù)體系無(wú)縫集成,才能讓安全管理日?���;T诹私獾娇蛻魞?nèi)部使用了AD域賬戶一賬通后�,安華金和在短時(shí)間內(nèi)完成了產(chǎn)品與客戶SSO單點(diǎn)登錄系統(tǒng)的適配,使用日常辦公的域賬戶可以無(wú)縫登錄到數(shù)據(jù)庫(kù)安全系統(tǒng)��。
同時(shí)����,安華金和數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)強(qiáng)調(diào)多角色人員協(xié)作完成運(yùn)維動(dòng)作的申請(qǐng)和流程審批,以及日常的安全訪問(wèn)控制規(guī)則����,通過(guò)與域賬戶的打通�,將AD域上的賬戶權(quán)限與本地?cái)?shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)進(jìn)行綁定��;使用一賬通登錄系統(tǒng)后�����,在用戶無(wú)感知的情況下即可自動(dòng)分配用戶可見(jiàn)的操作權(quán)限和數(shù)據(jù)庫(kù)管理權(quán)限�����,將系統(tǒng)強(qiáng)大的賬號(hào)管理體系與業(yè)務(wù)深度融合�����,真正應(yīng)用于日常業(yè)務(wù)���。
市場(chǎng)前景展望
該項(xiàng)目的成功交付,說(shuō)明在同時(shí)應(yīng)對(duì)歐盟GDPR和中國(guó)《網(wǎng)絡(luò)安全法》�、個(gè)人隱私敏感信息保護(hù)、數(shù)據(jù)跨境訪問(wèn)等相關(guān)法律法規(guī)監(jiān)管方面����,安華金和的數(shù)據(jù)安全治理解決方案具備良好的可行性與可操作性�����。安華金和在業(yè)內(nèi)多年的技術(shù)積累和在關(guān)鍵核心技術(shù)上的攻堅(jiān)突破能力��,成為方案能夠有效落地的堅(jiān)實(shí)后盾���。同時(shí),該方案可作為駐華外資企業(yè)���、合資企業(yè)等的通用解決方案�,幫助更多客戶滿足政策法規(guī)對(duì)企業(yè)經(jīng)營(yíng)的要求����,讓業(yè)務(wù)發(fā)展走得更穩(wěn)、走得更遠(yuǎn)�����。
產(chǎn)品咨詢:4000 258 365 
