行業(yè)需求與挑戰(zhàn)

某商行信息化高速發(fā)展的時(shí)代背景下，各銀行積累的客戶數(shù)據(jù)、交易記錄、管理數(shù)據(jù)等呈爆炸性增長(zhǎng)，海量數(shù)據(jù)席卷而來，海量的業(yè)務(wù)數(shù)據(jù)不但成為金融業(yè)的命脈，也成為不法分子窺探的目標(biāo)，因此也意味著面臨了海量的風(fēng)險(xiǎn)。

目前國(guó)家和商行內(nèi)部對(duì)數(shù)據(jù)的安全管控提出了以下要求：

1. 隨著客戶的增加，數(shù)據(jù)庫(kù)信息價(jià)值不斷提升，使得數(shù)據(jù)庫(kù)面對(duì)來自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大增加；
2. 內(nèi)部違規(guī)越權(quán)操作、外部惡意入侵等行為，事后卻無法有效追溯和審計(jì)；
3. 業(yè)務(wù)訪問數(shù)據(jù)庫(kù)過程過慢，SQL訪問性能無法了解并改善；
4. 國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)中要求等保二級(jí)以上信息系統(tǒng)中的網(wǎng)絡(luò)層面、主機(jī)層面和應(yīng)用層面均要求進(jìn)行安全審計(jì)、安全控制，同時(shí)也明確要求了審計(jì)和控制的范圍、內(nèi)容等，粒度要求到用戶級(jí)、數(shù)據(jù)表、字段級(jí)。
5. 銀監(jiān)會(huì)19號(hào)文中也明確提出“控制所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審計(jì)、安全論證分析和預(yù)防欺詐”。
6. 國(guó)外信息安全方面的標(biāo)準(zhǔn)或最佳實(shí)踐（如ISO13335、ISO27001、SP800）等也要求對(duì)用戶行為、系統(tǒng)、數(shù)據(jù)操作行為進(jìn)行控制和審計(jì)。

特別是2014年9月銀監(jiān)會(huì)39號(hào)文，《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見》（簡(jiǎn)稱意見），特別在操作系統(tǒng)、 數(shù)據(jù)庫(kù)等領(lǐng)域要加大探索和嘗試力度；從2015年起，各銀行業(yè)金融機(jī)構(gòu)對(duì)安全可控信息技術(shù)的應(yīng)用以不低于15％的比例逐年增加，直至2019年達(dá)到不低于 75％的總體占比該指導(dǎo)意見的發(fā)布是我國(guó)進(jìn)一步重視銀行業(yè)數(shù)據(jù)安全的表現(xiàn)。?

方案概述

某商行核心數(shù)據(jù)庫(kù)在全行范圍內(nèi)是負(fù)責(zé)銀行數(shù)據(jù)存儲(chǔ)和處理核心設(shè)施，經(jīng)過評(píng)估一旦核心數(shù)據(jù)機(jī)密性、完整性、可用性遭受損失，將會(huì)給社會(huì)秩序甚至國(guó)家安全造成嚴(yán)重?fù)p害。銀行因此委托了專業(yè)的數(shù)據(jù)庫(kù)安全廠商，提出了以下4點(diǎn)安全目標(biāo)：

1. 向合法用戶提供可靠信息服務(wù)；
2. 拒絕非法用戶對(duì)數(shù)據(jù)庫(kù)的訪問；
3. 拒絕對(duì)數(shù)據(jù)庫(kù)執(zhí)行高危操作
4. 跟蹤數(shù)據(jù)庫(kù)使用記錄，為合規(guī)性、安全責(zé)任審查提供證據(jù)。
   

商行數(shù)據(jù)庫(kù)安全部署圖

遵循國(guó)家標(biāo)準(zhǔn)，根據(jù)某銀行業(yè)務(wù)分析和安全評(píng)估結(jié)果，結(jié)合4章節(jié)設(shè)計(jì)思路，從以下幾個(gè)層面進(jìn)行數(shù)據(jù)庫(kù)安全技術(shù)部署：

1. 事前——數(shù)據(jù)庫(kù)安全在線評(píng)估：在銀行廣域網(wǎng)交換機(jī)旁路實(shí)施數(shù)據(jù)庫(kù)漏掃技術(shù)，對(duì)互聯(lián)網(wǎng)接入?yún)^(qū)、核心業(yè)務(wù)區(qū)、業(yè)務(wù)開發(fā)區(qū)中數(shù)據(jù)庫(kù)進(jìn)行全面的漏洞和 安全配置評(píng)估，對(duì)數(shù)據(jù)庫(kù)弱口令、缺省口令、弱安全策略、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權(quán)限提升漏洞、補(bǔ)丁升級(jí)等提供修復(fù)建議，為銀行數(shù)據(jù)庫(kù)系統(tǒng)的安全強(qiáng)壯度提 升提供整體有效的參考。
2. 事中——數(shù)據(jù)庫(kù)安全運(yùn)維管控：在銀行運(yùn)維管理區(qū)前端串接實(shí)施數(shù)據(jù)庫(kù)防火墻技術(shù)，可有效管控運(yùn)維區(qū)域內(nèi)第三方人員、業(yè)務(wù)開發(fā)人員、運(yùn)維人員訪問 數(shù)據(jù)庫(kù)的行為，并對(duì)SQL 注入、越權(quán)、非授權(quán)、敏感數(shù)據(jù)訪問、超量訪問等非法行為予以阻斷，并通過虛擬補(bǔ)丁技術(shù)有效阻斷針對(duì)數(shù)據(jù)庫(kù)漏洞的攻擊行為。
3. 事后——數(shù)據(jù)庫(kù)安全合規(guī)監(jiān)察：在銀行核心的數(shù)據(jù)庫(kù)前端旁路實(shí)施數(shù)據(jù)庫(kù)安全合規(guī)監(jiān)察技術(shù)，不改變數(shù)據(jù)庫(kù)系統(tǒng)的任何設(shè)置的情況下對(duì)數(shù)據(jù)庫(kù)的操作實(shí) 現(xiàn)跟蹤記錄、定位，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的在線監(jiān)控，在不影響數(shù)據(jù)庫(kù)系統(tǒng)自身性能的前提下，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的在線監(jiān)控和保護(hù)，及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)上針對(duì)數(shù)據(jù)庫(kù)的違規(guī)操作行 為并進(jìn)行記錄、報(bào)警和實(shí)時(shí)阻斷，有效地彌補(bǔ)現(xiàn)有應(yīng)用業(yè)務(wù)系統(tǒng)在數(shù)據(jù)庫(kù)安全使用上的不足，為數(shù)據(jù)庫(kù)系統(tǒng)的安全運(yùn)行提供了有力保障。

通過上述解決方案，有效解決了某銀行數(shù)據(jù)安全所面臨的威脅，在滿足國(guó)家合規(guī)性的基礎(chǔ)上大大提升了數(shù)據(jù)庫(kù)安全強(qiáng)度。

方案價(jià)值

• 安全審計(jì)：審計(jì)產(chǎn)品有效記錄來自互聯(lián)網(wǎng)接入?yún)^(qū)的非法行為、數(shù)據(jù)庫(kù)入侵行為、違規(guī)訪問行進(jìn)行及時(shí)預(yù)警和行為回溯；
• 弱點(diǎn)評(píng)估：數(shù)據(jù)庫(kù)漏掃通過對(duì)銀行數(shù)據(jù)庫(kù)的漏洞評(píng)估和配置檢查，降低入侵的機(jī)率；
• 防內(nèi)作案：數(shù)據(jù)庫(kù)防火墻防范“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅；
• 完善內(nèi)審：等級(jí)保護(hù)、SOX、ISO、PCI的詳盡、全面、合規(guī)化的審計(jì)功能。

方案優(yōu)勢(shì)

• 提升數(shù)據(jù)庫(kù)安全整體防御效果，有效抵御各類攻擊。
• 維護(hù)和提升銀行機(jī)構(gòu)的形象和公信力；
• 解決運(yùn)維人員專業(yè)安全分析能力不足問題；
• 滿足來自人行及銀監(jiān)等部門的合規(guī)性安全檢查要求；
• 協(xié)助安全事件取證以及事后追溯；
• 防止敏感信息丟失或泄露。