行業(yè)需求與挑戰(zhàn)

某直轄市移動公司，目前傳統(tǒng)安全措施無法有效滿足電信系統(tǒng)客戶4700萬用戶、交易、卡管信息的保密需求。并且此運營商圍繞著網(wǎng)絡(luò)防護、主機防護和應(yīng)用防護已經(jīng)進行了一系列安全建設(shè)，具備相對安全的數(shù)據(jù)應(yīng)用環(huán)境，但由于技術(shù)局限和有效的安全產(chǎn)品匱乏等原因，數(shù)據(jù)庫自身安全的建設(shè)一直未能得到有效開展，當(dāng)前多起數(shù)據(jù)泄露事件均與數(shù)據(jù)庫安全措施缺乏有關(guān)。
當(dāng)前，在CRM系統(tǒng)中至少存在以下重要數(shù)據(jù)庫安全威脅，能夠直接導(dǎo)致客戶隱私信息泄密的發(fā)生：

1) 系統(tǒng)維護人員權(quán)限過高

負(fù)責(zé)CRM數(shù)據(jù)庫的維護管理，直接掌握數(shù)據(jù)庫DBA用戶的口令；

這些人員被他人利用，完全可以隨時登陸數(shù)據(jù)庫，任意進行客戶信息的獲取。

2) 第三方人員直接接觸用戶敏感數(shù)據(jù)

負(fù)責(zé)業(yè)務(wù)系統(tǒng)的開發(fā)及實施，掌握業(yè)務(wù)系統(tǒng)中后臺數(shù)據(jù)庫用戶的口令；

這些人員自身可以通過該用戶，直接訪問數(shù)據(jù)庫，獲得所有用戶信息。

3) 其他內(nèi)部工作人員通過網(wǎng)絡(luò)獲得用戶數(shù)據(jù)

其他內(nèi)部的工作人員，由于工作便利，可能通過內(nèi)部網(wǎng)絡(luò)，訪問到數(shù)據(jù)庫服務(wù)器。一旦進入數(shù)據(jù)庫所在主機，則可以拷貝、盜取數(shù)據(jù)庫文件，通過解析工具或異地還原即可獲得所有用戶信息資料。

方案概述

綜合分析CRM系統(tǒng)中的數(shù)據(jù)庫安全威脅，本方案以“保護客戶隱私信息”為最終目標(biāo)，以“最小的代價換取盡量大的安全提升”的原則，定義出該系統(tǒng)的核心敏感數(shù)據(jù)，并進行有效的安全訪問控制。

基于DBCoffer的CRM系統(tǒng)數(shù)據(jù)防護部署圖

在本方案中，通過DBCoffer將CRM系統(tǒng)中的客戶姓名、電話、證件號碼、地址等核心信息定義為敏感信息，將這些信息加密存儲在數(shù)據(jù)庫中；同時通過DBCoffer的密文權(quán)限控制體系，限制DBA、服務(wù)外包人員、第三方開發(fā)人員對敏感數(shù)據(jù)的訪問權(quán)限，使其只能維護數(shù)據(jù)而無法訪問敏感數(shù)據(jù)，遠(yuǎn)離了泄密和被篡改的危險；僅將敏感數(shù)據(jù)的訪問能力開放給CRM系統(tǒng)應(yīng)用，同時對這些敏感數(shù)據(jù)的訪問，開啟審計進行記錄。

至此我們形成一套完備的CRM系統(tǒng)在存儲層、傳輸層和應(yīng)用層的全方位客戶隱私信息保密解決方案：

A、敏感數(shù)據(jù)加密存儲

對系統(tǒng)中最核心的客戶姓名、電話、證件號碼等信息進行存儲加密，保證備份、存儲設(shè)備丟失或數(shù)據(jù)文件被盜也不會引起關(guān)鍵客戶個人隱私信息泄漏。

B、敏感數(shù)據(jù)訪問權(quán)限控制與審計

通過獨立于Oracle數(shù)據(jù)庫之外的密文權(quán)限控制體系，使與業(yè)務(wù)本身無關(guān)的DBA、外包人員、維護人員不能訪問明文的敏感信息，也無從引起企業(yè)敏感信息的泄密。同時開啟安全審計功能，對敏感信息的訪問進行記錄，便于對異常訪問行為進行事后追蹤分析。

C、應(yīng)用層防護增強

將數(shù)據(jù)庫維護用戶與應(yīng)用系統(tǒng)訪問數(shù)據(jù)庫用戶分離，并將CRM系統(tǒng)訪問數(shù)據(jù)庫敏感信息的用戶與業(yè)務(wù)系統(tǒng)進行綁定，避免使用該用戶繞過業(yè)務(wù)系統(tǒng)的個人信息訪問行為，從而實現(xiàn)防止合法用戶違規(guī)訪問的防護目標(biāo)。

方案價值

• 安全防護客戶隱私信息，維護運營商高端行業(yè)形象
  CRM系統(tǒng)中存儲著大量客戶隱私資料，如客戶的姓名、電話、證件號碼等，都是CRM系統(tǒng)中重要敏感數(shù)據(jù)、核心“數(shù)字財產(chǎn)”。網(wǎng)絡(luò)防護、主機防護等僅僅是完 成了邊界安全的目標(biāo)，而DBCoffer通過存儲層、數(shù)據(jù)訪問層以及應(yīng)用層的數(shù)據(jù)防護完成了客戶隱私保密任務(wù)的“關(guān)鍵的最后一公里”，保障了客戶隱私信息 的全程使用安全，可以有效避免客戶信息泄密的風(fēng)險，提升客戶對電信運營商的信賴。
• 維護個人隱私權(quán)益，減少對社會秩序的影響
  客戶隱私信息的泄露，將不可避免地會對個人隱私權(quán)造成損害。無論是信息泄露之后用于商業(yè)目的“騷擾性”產(chǎn)品推廣，還是被人惡意用來進行違法活動，都將侵害客戶的權(quán)益，使造成客戶人群的心理恐慌甚至影響正常的社會秩序。
• 滿足移動行業(yè)相關(guān)安全法律法規(guī)
  電信行業(yè)的相關(guān)法規(guī)，以及我國有關(guān)法律中，都已明確要求電信、金融等公共服務(wù)企業(yè)需嚴(yán)格保護個人隱私信息。
  使用DBCoffer解決方案對客戶信息的安全防護，符合電信領(lǐng)域數(shù)據(jù)加密相關(guān)安全管理規(guī)范；符合國家憲法第38條和40條，對通訊領(lǐng)域中的隱私信息保密 要求；滿足刑法第252條規(guī)定，條款涉及到手機郵件、短信、彩信等業(yè)務(wù)；滿足《民法通則》第106條規(guī)定；滿足《全國人大常委會關(guān)于維護互聯(lián)網(wǎng)安全的決 定》。

方案優(yōu)勢

• 從根源上徹底防止客戶信息泄密
  從數(shù)據(jù)庫級別進行防控，從根源上徹底控制客戶隱私信息數(shù)據(jù)的泄露。
• 變事后追查為主動防御
  通過加密技術(shù)和權(quán)限控制增強技術(shù)，將客戶信息的數(shù)據(jù)從存儲層進行保護，從數(shù)據(jù)庫訪問層進行有效的權(quán)限控制，使隱私身份信息的保護真正提升到主動防御的水平。
• 變相互制約為權(quán)責(zé)分明
  通過三權(quán)分立，和獨立于數(shù)據(jù)庫自身權(quán)限體系之外的密文權(quán)限控制體系，使DSA(安全管理員)和DBA的權(quán)責(zé)更加分明。
• 應(yīng)用改造接近零代價
  對于現(xiàn)有應(yīng)用系統(tǒng)的SQL語句、開發(fā)接口，都無需改造，原有Oracle核心特性均可繼續(xù)使用。