此前,安華金和數據安全專家從“核心訴求、解決思路、方案設計、客戶價值”四方面分享了某大型國有銀行數據庫審計項目的實踐經驗。
某大型國有銀行(以下簡稱:A行)為有效降低數據中心、分行開放平臺數據庫海量客戶敏感信息的泄露風險,滿足各類境內外監管機構、PCI組織等行業機構對客戶數據保護的要求,需要部署實施專業的數據庫安全監控審計系統,用以實現對異常業務數據操作(如讀取、新增、修改、刪除)的實時報警與快速審計,并提供針對相關用戶操作行為的追溯及報表統計分析等功能,幫助客戶方面及時、準確地發現非法數據讀取、非授權數據改動等風險問題,從源頭上對數據安全進行控制...
本文中,我們將焦點轉向該項目的實際部署工作,并為大家介紹安華金和方案的創新之處:
根據A行的不同需求場景,安華金和在部署數據庫安全審計系統(DAS)的同時,通過應用數據安全管理平臺(DSP),對所部署的多套審計產品進行統一管理。
數據庫安全審計系統部署上線后即接入納管數據開放平臺上的所有數據庫,將數據庫納入監控和審計范圍,從部署到上線后一直穩定運行。結合當前A行內的數據庫使用方式,數據庫安全審計系統采用了不同模式對納入監控的數據庫系統進行相應的監控和審計。
部署方案及策略
1、數據庫資源管理方案
數據庫資源為核心管理內容,根據不同的業務范圍和職能部門管理范圍,由上級賬號以數據庫資源組的方式對指定賬號進行授權;同時,可根據下級賬號不同的角色身份,對授權的數據庫資源設置為“不可見、只讀(如只看審計到的數據)、可配置(如可配置風險監控識別策略)”等權限。
A行總行數據中心的數據庫審計節點以及各分行的數據庫審計節點,可通過網絡專線方式統一集中注冊到總行數據中心的數據安全管理平臺上;如此,通過數據安全管理平臺即可見所有審計節點上的數據庫信息,并對數據庫資源進行統一分配。總行可根據不同的部門、業務單元,將數據庫劃分為多個數據庫資源組,各部門/組可根據自身權限范圍內的數據庫資源信息,可向下進行二次分配;同理,各分行也可將在自身權限范圍獲取到的數據庫資源信息,根據實際的業務構成,繼續向下進行再次分配。
2、風險識別及策略管理方案
安華金和數據庫安全審計系統(DAS)提供內置的數據庫操作行為風險識別策略,具備“策略啟用”權限的各級賬戶,可以將策略關聯至自己管理權限范圍內的數據庫上,即可實現對所屬數據庫日常行為的風險識別。此外, DAS還可以手動創建符合各自特定業務場景的風險識別及監控策略。
總行的多個業務部門、各分行,都可以根據自己的業務需要設置不同的風險監控策略,這其中有大量的策略具有通用性,即可直接復用或經微調后應用于其他分行的數據庫監控策略之上;同時,由于多層級的權限劃分,也導致在策略管理當面的復雜性。概括起來,主要分為以下三類場景:
場景一:總行統一推廣策略
總行統一推廣策略一般具備高度通用性特征,如針對刪除庫、刪除表、清空表等在絕大多數生產業務系統上不應出現的數據庫操作行為,以及使用錯誤的數據庫口令多次嘗試登陸系統的行為(可能存在口令攻擊或忘記數據庫賬號口令而多次嘗試的疑似破解行為),以上這類基礎性策略均可由總行統一配置,并全部推廣至總行的各業務單元和各分行。
場景二:分行特色策略分享
分行特色策略一般是分行根據自身業務場景,有針對性設置的數據庫異常操作風險識別策略。此類策略起源于特殊業務需要,往往與日常數據庫操作行為或特殊監控要求有關。分行在數據安全管理平臺上創建策略時,可選擇“私有”或“公開”兩種策略屬性:若選擇“私有”,則該策略僅自身當前賬戶和上級賬戶可見策略詳情、可編輯策略內容,并可直接關聯至自己權限范圍內的數據庫資源,從而實現監控策略的直接應用,而同級分行賬戶之間、下級賬戶均不可見;若選擇“公開”,則該策略不僅自身當前賬戶、上級賬戶可見策略詳情、可編輯策略內容,同級分行之間賬戶、下級賬戶均可見策略詳情,并可關聯應用至自身權限范圍內的數據庫,但不可以編輯策略內容,即“可使用但不可編輯”。此外,針對任何可見的策略,均可“復制”、微調并另存為新的策略,以實現自身私有策略的創建。
場景三:總行分享推廣至各分行
總行分享推廣某個分行的策略到其他分行,總行頂級賬戶本身具備更高一級的管理權限,默認可以看到各分行設置的、正在使用的各種數據庫風險行為監控策略;當發現分行的某條策略具備通用性,或在某些特定場景下可對相應行為進行有效監控,即可利用其更高一級的管理權限,將原本由某個分行創建的私有策略,修改為“公開”屬性。如此一來,其他分行便均可看到該策略,相當于將該經驗分享給其他分行。
以上場景可根據策略的“屬主”關系和上下級間的管理權限,通過不同的操作步驟滿足場景使用。
3、數據審計節點及探針管理方案
目前,A行總行數據中心已部署一部分數據庫審計節點設備,統推后將會在各分行數據中心部署新的數據庫審計節點(同時需要在分行數據庫中心的數據庫主機或運維主機上部署探針以獲取操作數據),以滿足對各分行數據庫日常行為操作的審計需要;為保證所有的數據庫審計監控具備統一的管理入口,這些部署在總行數據中心及各分行的節點,會被統一注冊到總行數據中心的數據安全管理平臺上,再由總行根據審計節點所屬的單元進行統一分配。
審計節點的維護包含對當前節點設備的硬件使用狀態監控、軟件運行狀態監控、節點產生的告警數量監控以及對該節點的系統級維護;具備管理權限的賬戶還可以單點登錄到數據庫審計節點DAS設備上進行操作;此外,針對安裝在數據庫主機上的探針軟件,具備管理權限的賬戶同樣可以對其進行日常管理和維護,包含安裝、卸載、運行參數配置、日常運行監控以及運行維護等。
創新優勢
1、統一集中管理
數據安全管理平臺,是統一管理數據安全設備和客戶數據環境,統一對敏感數據進行安全配置,集中對數據訪問及操作行為進行全面統計、分析、查詢的綜合管理平臺。
數據安全管理平臺對多種數據安全設備、集群式的數據安全設備提供統一的集中監控界面和管理入口,極大降低了對多節點部署數據安全節點設備的統一管理與維護成本;針對分布在多個被管理數據安全設備節點上的數據,提供全局查詢、報表、統計、任務調度、安全策略配置管理的能力;平臺可以橫向擴展對不同數據安全設備的接入和管理,整合多種數據安全設備能力,打通數據和業務的聯動,為數據安全的全面管理方案提供靈活的組合能力。
基于平臺多租戶設計,通過角色(平臺功能菜單)和資源(節點設備、探針、數據資源)組合授權,可以授權不同租戶的功能和資源管理權限。無限級的賬號管理結構,滿足不同組織架構下人員對平臺資源管理的相互隔離和上下級繼承需求。
具備靈活的擴展接入能力,通過標準的設備管理接口,數據安全設備可快速接入到平臺進行統一的設備集中管理和資源狀態監控,減少多點部署狀態下的分散運維管理成本;同時,結合業務管理接口的聯動能力,形成多種形態的數據安全綜合管理組合方案。
2、工單對接關聯監控策略
數據庫安全審計系統能夠全面記錄從運維終端發起的、對數據庫的日常運維操作。系統內置大量數據庫安全操作風險監控規則,可識別針對數據庫的高危、非常規操作操作行為,并實時生成不同等級的風險告警,為A行安全管理人員對數據安全事件的稽核工作提供有效的范圍參考依據。
在數據中心日常運維過程中,因特定業務需要,可能存在對數據運維、修改、批量查詢、導出等非常規操作場景。而這些行為必須通過工單系統預先提交申請,審核通過即可視為合規操作,從而在安全事件稽核中被過濾掉,不會被當作真實的風險事件。
根據以上情況,在數據庫安全審計系統觸發的待核實風險事件中,需要從工單系統中已審核的工單中提取相關信息,并與實際產生的運維操作記錄進行匹配,以識別和發現已經過審核的合規運維操作,從而輸出最終的數據安全風險事件情況。考慮到A行總行已部署多臺數據庫安全審計系統,為節約管理成本和統一操作,由數據安全管理平臺(DSP)進行統一的數據對接、提取、集中處理和呈現。
產品咨詢:4000 258 365 
