行業(yè)需求與挑戰(zhàn)

某商行信息化高速發(fā)展的時代背景下，各銀行積累的客戶數(shù)據(jù)、交易記錄、管理數(shù)據(jù)等呈爆炸性增長，海量數(shù)據(jù)席卷而來，海量的業(yè)務(wù)數(shù)據(jù)不但成為金融業(yè)的命脈，也成為不法分子窺探的目標(biāo)，因此也意味著面臨了海量的風(fēng)險。

目前國家和商行內(nèi)部對數(shù)據(jù)的安全管控提出了以下要求：

1. 隨著客戶的增加，數(shù)據(jù)庫信息價值不斷提升，使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風(fēng)險大大增加；
2. 內(nèi)部違規(guī)越權(quán)操作、外部惡意入侵等行為，事后卻無法有效追溯和審計；
3. 業(yè)務(wù)訪問數(shù)據(jù)庫過程過慢，SQL訪問性能無法了解并改善；
4. 國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)中要求等保二級以上信息系統(tǒng)中的網(wǎng)絡(luò)層面、主機(jī)層面和應(yīng)用層面均要求進(jìn)行安全審計、安全控制，同時也明確要求了審計和控制的范圍、內(nèi)容等，粒度要求到用戶級、數(shù)據(jù)表、字段級。
5. 銀監(jiān)會19號文中也明確提出“控制所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審計、安全論證分析和預(yù)防欺詐”。
6. 國外信息安全方面的標(biāo)準(zhǔn)或最佳實踐（如ISO13335、ISO27001、SP800）等也要求對用戶行為、系統(tǒng)、數(shù)據(jù)操作行為進(jìn)行控制和審計。

特別是2014年9月銀監(jiān)會39號文，《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見》（簡稱意見），特別在操作系統(tǒng)、 數(shù)據(jù)庫等領(lǐng)域要加大探索和嘗試力度；從2015年起，各銀行業(yè)金融機(jī)構(gòu)對安全可控信息技術(shù)的應(yīng)用以不低于15％的比例逐年增加，直至2019年達(dá)到不低于 75％的總體占比該指導(dǎo)意見的發(fā)布是我國進(jìn)一步重視銀行業(yè)數(shù)據(jù)安全的表現(xiàn)。?

方案概述

某商行核心數(shù)據(jù)庫在全行范圍內(nèi)是負(fù)責(zé)銀行數(shù)據(jù)存儲和處理核心設(shè)施，經(jīng)過評估一旦核心數(shù)據(jù)機(jī)密性、完整性、可用性遭受損失，將會給社會秩序甚至國家安全造成嚴(yán)重?fù)p害。銀行因此委托了專業(yè)的數(shù)據(jù)庫安全廠商，提出了以下4點安全目標(biāo)：

1. 向合法用戶提供可靠信息服務(wù)；
2. 拒絕非法用戶對數(shù)據(jù)庫的訪問；
3. 拒絕對數(shù)據(jù)庫執(zhí)行高危操作
4. 跟蹤數(shù)據(jù)庫使用記錄，為合規(guī)性、安全責(zé)任審查提供證據(jù)。
   

商行數(shù)據(jù)庫安全部署圖

遵循國家標(biāo)準(zhǔn)，根據(jù)某銀行業(yè)務(wù)分析和安全評估結(jié)果，結(jié)合4章節(jié)設(shè)計思路，從以下幾個層面進(jìn)行數(shù)據(jù)庫安全技術(shù)部署：

1. 事前——數(shù)據(jù)庫安全在線評估：在銀行廣域網(wǎng)交換機(jī)旁路實施數(shù)據(jù)庫漏掃技術(shù)，對互聯(lián)網(wǎng)接入?yún)^(qū)、核心業(yè)務(wù)區(qū)、業(yè)務(wù)開發(fā)區(qū)中數(shù)據(jù)庫進(jìn)行全面的漏洞和 安全配置評估，對數(shù)據(jù)庫弱口令、缺省口令、弱安全策略、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權(quán)限提升漏洞、補(bǔ)丁升級等提供修復(fù)建議，為銀行數(shù)據(jù)庫系統(tǒng)的安全強(qiáng)壯度提 升提供整體有效的參考。
2. 事中——數(shù)據(jù)庫安全運(yùn)維管控：在銀行運(yùn)維管理區(qū)前端串接實施數(shù)據(jù)庫防火墻技術(shù)，可有效管控運(yùn)維區(qū)域內(nèi)第三方人員、業(yè)務(wù)開發(fā)人員、運(yùn)維人員訪問 數(shù)據(jù)庫的行為，并對SQL 注入、越權(quán)、非授權(quán)、敏感數(shù)據(jù)訪問、超量訪問等非法行為予以阻斷，并通過虛擬補(bǔ)丁技術(shù)有效阻斷針對數(shù)據(jù)庫漏洞的攻擊行為。
3. 事后——數(shù)據(jù)庫安全合規(guī)監(jiān)察：在銀行核心的數(shù)據(jù)庫前端旁路實施數(shù)據(jù)庫安全合規(guī)監(jiān)察技術(shù)，不改變數(shù)據(jù)庫系統(tǒng)的任何設(shè)置的情況下對數(shù)據(jù)庫的操作實 現(xiàn)跟蹤記錄、定位，實現(xiàn)數(shù)據(jù)庫的在線監(jiān)控，在不影響數(shù)據(jù)庫系統(tǒng)自身性能的前提下，實現(xiàn)對數(shù)據(jù)庫的在線監(jiān)控和保護(hù)，及時地發(fā)現(xiàn)網(wǎng)絡(luò)上針對數(shù)據(jù)庫的違規(guī)操作行 為并進(jìn)行記錄、報警和實時阻斷，有效地彌補(bǔ)現(xiàn)有應(yīng)用業(yè)務(wù)系統(tǒng)在數(shù)據(jù)庫安全使用上的不足，為數(shù)據(jù)庫系統(tǒng)的安全運(yùn)行提供了有力保障。

通過上述解決方案，有效解決了某銀行數(shù)據(jù)安全所面臨的威脅，在滿足國家合規(guī)性的基礎(chǔ)上大大提升了數(shù)據(jù)庫安全強(qiáng)度。

方案價值

• 安全審計：審計產(chǎn)品有效記錄來自互聯(lián)網(wǎng)接入?yún)^(qū)的非法行為、數(shù)據(jù)庫入侵行為、違規(guī)訪問行進(jìn)行及時預(yù)警和行為回溯；
• 弱點評估：數(shù)據(jù)庫漏掃通過對銀行數(shù)據(jù)庫的漏洞評估和配置檢查，降低入侵的機(jī)率；
• 防內(nèi)作案：數(shù)據(jù)庫防火墻防范“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅；
• 完善內(nèi)審：等級保護(hù)、SOX、ISO、PCI的詳盡、全面、合規(guī)化的審計功能。

方案優(yōu)勢

• 提升數(shù)據(jù)庫安全整體防御效果，有效抵御各類攻擊。
• 維護(hù)和提升銀行機(jī)構(gòu)的形象和公信力；
• 解決運(yùn)維人員專業(yè)安全分析能力不足問題；
• 滿足來自人行及銀監(jiān)等部門的合規(guī)性安全檢查要求；
• 協(xié)助安全事件取證以及事后追溯；
• 防止敏感信息丟失或泄露。