隨著銀行信息技術(shù)的發(fā)展���,數(shù)據(jù)庫作為信息系統(tǒng)的核心與基礎(chǔ),其價(jià)值及重要性不斷提升��。與此同時(shí)��,數(shù)據(jù)庫面臨的內(nèi)部和外部安全風(fēng)險(xiǎn)也隨之不斷增加��,因違規(guī)越權(quán)操作或惡意入侵導(dǎo)致的重要敏感信息泄露等事件層出不窮��。面對上述問題���,如果缺少行之有效的數(shù)據(jù)庫安全審計(jì)機(jī)制���,在安全事件發(fā)生后將難以開展及時(shí)、準(zhǔn)確的溯源定責(zé)工作��。
在此背景下�����,某大型國有銀行(以下簡稱:A行)為有效降低數(shù)據(jù)中心�、分行開放平臺數(shù)據(jù)庫海量客戶敏感信息的泄露風(fēng)險(xiǎn)����,滿足各類境內(nèi)外監(jiān)管機(jī)構(gòu)�、PCI組織等行業(yè)機(jī)構(gòu)對客戶數(shù)據(jù)保護(hù)的要求,需要部署實(shí)施專業(yè)的數(shù)據(jù)庫安全監(jiān)控審計(jì)系統(tǒng)�����,用以實(shí)現(xiàn)對異常業(yè)務(wù)數(shù)據(jù)操作(如讀取���、新增��、修改���、刪除)的實(shí)時(shí)報(bào)警與快速審計(jì),并提供針對相關(guān)用戶操作行為的追溯及報(bào)表統(tǒng)計(jì)分析等功能��,幫助客戶方面及時(shí)��、準(zhǔn)確地發(fā)現(xiàn)非法數(shù)據(jù)讀取����、非授權(quán)數(shù)據(jù)改動等風(fēng)險(xiǎn)問題�����,從源頭上對數(shù)據(jù)安全進(jìn)行控制。
核心訴求
A行需要實(shí)現(xiàn)數(shù)據(jù)中心生產(chǎn)環(huán)境開放平臺及X86平臺全部數(shù)據(jù)庫的集中審計(jì)�,對運(yùn)維人員后臺用戶的數(shù)據(jù)庫訪問行為進(jìn)行完整記錄和自動審計(jì),防范數(shù)據(jù)庫敏感信息泄露和非授權(quán)操作風(fēng)險(xiǎn)�����。具體需求如下:
1���、數(shù)據(jù)庫審計(jì)產(chǎn)品支持銀行的傳統(tǒng)環(huán)境�����、基礎(chǔ)設(shè)施云環(huán)境����、平臺云環(huán)境容器中的數(shù)據(jù)庫部署��,其中容器中的部署需在宿主機(jī)層���;支持自建公有云平臺,能將數(shù)據(jù)庫安全審計(jì)產(chǎn)品的各項(xiàng)功能作為自服務(wù)提供給租戶使用���。
2���、數(shù)據(jù)庫審計(jì)產(chǎn)品覆蓋的數(shù)據(jù)庫類型包括國際和國內(nèi)主流數(shù)據(jù)庫、大數(shù)據(jù)庫和分布式數(shù)據(jù)庫��,同時(shí)能夠跟隨業(yè)界發(fā)展支持新數(shù)據(jù)庫類型及版本���;實(shí)時(shí)記錄運(yùn)維人員所有方式的訪問和操作行為����,包括本地訪問和遠(yuǎn)程訪問����、加密協(xié)議(如ssh)訪問和非加密協(xié)議訪問,所記錄的日志內(nèi)容完整��、準(zhǔn)確��。
3�、提供實(shí)時(shí)、完整���、集中����、便捷的日志審計(jì)功能����;可靈活定制或直接使用豐富的內(nèi)置數(shù)據(jù)庫審計(jì)規(guī)則;可自動識別高?���;蚩梢蓴?shù)據(jù)庫操作行為,實(shí)現(xiàn)對敏感數(shù)據(jù)異常訪問行為的事中監(jiān)控����、報(bào)警。
4�、運(yùn)維變更流程規(guī)范需要支持工單流程對數(shù)據(jù)庫變更操作中涉及的數(shù)據(jù)庫訪問和操作命令,比對實(shí)際的數(shù)據(jù)庫操作命令��,識別非授權(quán)訪問或變更行為并進(jìn)行告警���。
5�����、插件部署后�,對數(shù)據(jù)庫服務(wù)器的性能影響可控,包括啟用日志過濾機(jī)制前后���、聯(lián)機(jī)業(yè)務(wù)高峰����、批量高峰等任意場景下�,數(shù)據(jù)庫服務(wù)器的cpu占用率、內(nèi)存占用率����、I\O使用率增長不得超過設(shè)置的預(yù)定指標(biāo)。當(dāng)數(shù)據(jù)庫服務(wù)器出現(xiàn)性能異常時(shí)�,產(chǎn)品需要具備報(bào)警和熔斷機(jī)制。
解決思路
審計(jì)的“行為”即是“人對數(shù)據(jù)庫的操作”��,因而首先要梳理A行現(xiàn)有人員的訪問路徑�。目前A行有兩種訪問數(shù)據(jù)庫的方式,分別為本地直連和遠(yuǎn)程訪問數(shù)據(jù)庫的操作���。根據(jù)這兩種訪問數(shù)據(jù)庫方式的實(shí)現(xiàn)原理��,涉及的技術(shù)思路如下圖:
1�����、本地審計(jì)
負(fù)責(zé)抓取本地?cái)?shù)據(jù)庫客戶端程序中實(shí)際響應(yīng)的SQL指令��,可通過本地插件捕獲獲取���。
2��、Agent
負(fù)責(zé)抓取網(wǎng)絡(luò)層(本地物理網(wǎng)卡和LoopBack環(huán)回網(wǎng)卡)的流量,通過源IP地址�、目的IP地址及端口號、數(shù)據(jù)庫用戶名���、數(shù)據(jù)庫協(xié)議來過濾抓取的流量包�����。
方案設(shè)計(jì)
方案一:在ECC終端部署agent插件抓取遠(yuǎn)程訪問流量�����,在數(shù)據(jù)庫服務(wù)器本地部署插件�,抓取本地操作審計(jì)����。由數(shù)據(jù)庫審計(jì)產(chǎn)品分別抓取遠(yuǎn)程訪問和本地操作審計(jì)���,并通過數(shù)據(jù)安全管理平臺進(jìn)行匯總展示,如下圖所示:
方案二:只在數(shù)據(jù)庫系統(tǒng)上部署agent插件及本地審計(jì)插件���,用agent過濾機(jī)制過濾應(yīng)用流量���,僅抓取人為操作數(shù)據(jù)庫操作。
由于A行的需求場景不同���,經(jīng)安華金和評估分析后�����,決定根據(jù)實(shí)施方案部署數(shù)據(jù)庫安全審計(jì)系統(tǒng)(DAS)�;同時(shí)��,通過部署應(yīng)用一套數(shù)據(jù)安全管理平臺(DSP)�����,對所部署的多套審計(jì)進(jìn)行統(tǒng)一管理����。數(shù)據(jù)庫安全審計(jì)系統(tǒng)部署上線后即接入納管數(shù)據(jù)開放平臺上的所有數(shù)據(jù)庫�����,將數(shù)據(jù)庫納入監(jiān)控和審計(jì)范圍���,從部署到上線后一直穩(wěn)定運(yùn)行。結(jié)合當(dāng)前A行內(nèi)的數(shù)據(jù)庫使用方式�,數(shù)據(jù)庫安全審計(jì)系統(tǒng)采用了不同模式對納入監(jiān)控的數(shù)據(jù)庫系統(tǒng)進(jìn)行相應(yīng)的監(jiān)控和審計(jì)。
客戶價(jià)值
1���、運(yùn)維操作全審計(jì)
通過部署多套數(shù)據(jù)庫安全審計(jì)系統(tǒng),實(shí)現(xiàn)對數(shù)據(jù)庫操作行為全面�、準(zhǔn)確的監(jiān)控審計(jì)。截止目前����,A行已將幾百套數(shù)據(jù)庫節(jié)點(diǎn)納入監(jiān)控和審計(jì)范圍,針對運(yùn)維人員的數(shù)據(jù)庫操作行為進(jìn)行“無死角”審計(jì)記錄���,實(shí)現(xiàn)了對安全事件追溯有據(jù)可查的目標(biāo)����。
2����、數(shù)據(jù)庫安全監(jiān)控
通過在數(shù)據(jù)庫安全審計(jì)系統(tǒng)上開啟對數(shù)據(jù)庫的“漏洞攻擊監(jiān)測”����,實(shí)時(shí)監(jiān)控利用漏洞對數(shù)據(jù)庫進(jìn)行的攻擊�����;一旦數(shù)據(jù)庫遭受攻擊��,系統(tǒng)將第一時(shí)間發(fā)出告警���,及時(shí)通知安全管理員處理相關(guān)威脅�����。截至目前�����,包括oracle�����、mysql����、sqlserver在內(nèi)的各數(shù)據(jù)庫類型均保持穩(wěn)定運(yùn)行。
3�����、制定基線操作規(guī)則
制定了A行內(nèi)部安全操作的基線規(guī)則�����,結(jié)合運(yùn)維操作要求及特征制定出的規(guī)則�,包含“短時(shí)間內(nèi)多次登錄失敗、創(chuàng)建存儲過程和包操作����、時(shí)間段內(nèi)增刪改����、非變更時(shí)間段內(nèi)增刪改、批量數(shù)據(jù)篡改����、高危操作、權(quán)限變更”等規(guī)則����。通過持續(xù)觀察命中的風(fēng)險(xiǎn)事件��,及時(shí)分析并與運(yùn)維人員進(jìn)行確認(rèn)等方式�����,判定相關(guān)事件是風(fēng)險(xiǎn)還是合規(guī)操作����。同時(shí)�,通過在持續(xù)運(yùn)營、維護(hù)的過程中進(jìn)行策略優(yōu)化��,最終形成適合行內(nèi)實(shí)際需求的精準(zhǔn)操作規(guī)則策略���。
4���、客戶化操作規(guī)則
工單系統(tǒng)作為ITIL所倡導(dǎo)的標(biāo)準(zhǔn)流程化管理系統(tǒng),業(yè)務(wù)申請流程中可能包含對業(yè)務(wù)數(shù)據(jù)庫的操作類信息��,比如:對敏感業(yè)務(wù)數(shù)據(jù)的請求訪問�����、數(shù)據(jù)傳送、角色權(quán)限調(diào)整���、應(yīng)用上線�����、數(shù)據(jù)變更等����。
針對以上操作行為的申請���,在工單系統(tǒng)內(nèi)通過審批后����,即代表相關(guān)行為已被許可執(zhí)行��。值得注意的是��,在常規(guī)的數(shù)據(jù)庫行為監(jiān)控與審計(jì)中�����,也存在某些必須執(zhí)行的特定行為���,它們可能會被視為非法或疑似非法的操作�,比如:刪庫���、刪表���、清空表、運(yùn)維區(qū)域查詢業(yè)務(wù)生產(chǎn)數(shù)據(jù)��、變更賬號權(quán)限等��,而已通過審批的特定行為則不會被視為風(fēng)險(xiǎn)操作導(dǎo)致告警����。
此外,通過與工單系統(tǒng)的對接���,對數(shù)據(jù)查詢或變更操作中同樣可能出現(xiàn)疑似對業(yè)務(wù)生產(chǎn)系統(tǒng)數(shù)據(jù)庫的非常規(guī)行為��,比如提取其中關(guān)鍵信息等操作���;如果相關(guān)操作已在數(shù)據(jù)庫安全審計(jì)系統(tǒng)上形成“信任”的行為規(guī)則,則在監(jiān)控到該類行為時(shí)不會觸發(fā)安全告警,從而更好地避免了誤報(bào)的產(chǎn)生���,也提高了工作效率���。
【方案部署說明及創(chuàng)新點(diǎn)解讀詳見后文,敬請關(guān)注】
產(chǎn)品咨詢:4000 258 365 
