银行行业数据库安全解决方案

行业需求与挑战

某商行信息化高速发展的时代背景下,各银行积累的客户数据、交易记录、管理数据等呈爆炸性增长,海量数据席卷而来,海量的业务数据不但成为金融业的命脉,也成为不法分子窥探的目标,因此也意味着面临了海量的风险。

目前国家和商行内部对数据的安全管控提出了以下要求:

  1. 随着客户的增加,数据库信息价值不断提升,使得数据库面对来自内部和外部的安全风险大大增加;
  2. 内部违规越权操作、外部恶意入侵等行为,事后却无法有效追溯和审计;
  3. 业务访问数据库过程过慢,SQL访问性能无法了解并改善;
  4. 国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计、安全控制,同时也明确要求了审计和控制的范围、内容等,粒度要求到用户级、数据表、字段级。
  5. 银监会19号文中也明确提出“控制所有生产系统的活动日志,以支持有效的审计、安全论证分析和预防欺诈”。
  6. 国外信息安全方面的标准或最佳实践(如ISO13335、ISO27001、SP800)等也要求对用户行为、系统、数据操作行为进行控制和审计。

特别是2014年9月银监会39号文,《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(简称意见),特别在操作系统、 数据库等领域要加大探索和尝试力度;从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于 75%的总体占比该指导意见的发布是我国进一步重视银行业数据安全的表现。 


方案概述

某商行核心数据库在全行范围内是负责银行数据存储和处理核心设施,经过评估一旦核心数据机密性、完整性、可用性遭受损失,将会给社会秩序甚至国家安全造成严重损害。银行因此委托了专业的数据库安全厂商,提出了以下4点安全目标:

  1. 向合法用户提供可靠信息服务;
  2. 拒绝非法用户对数据库的访问;
  3. 拒绝对数据库执行高危操作
  4. 跟踪数据库使用记录,为合规性、安全责任审查提供证据。


商行数据库安全部署图

遵循国家标准,根据某银行业务分析和安全评估结果,结合4章节设计思路,从以下几个层面进行数据库安全技术部署:

  1. 事前——数据库安全在线评估:在银行广域网交换机旁路实施数据库漏扫技术,对互联网接入区、核心业务区、业务开发区中数据库进行全面的漏洞和 安全配置评估,对数据库弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等提供修复建议,为银行数据库系统的安全强壮度提 升提供整体有效的参考。
  2. 事中——数据库安全运维管控:在银行运维管理区前端串接实施数据库防火墙技术,可有效管控运维区域内第三方人员、业务开发人员、运维人员访问 数据库的行为,并对SQL 注入、越权、非授权、敏感数据访问、超量访问等非法行为予以阻断,并通过虚拟补丁技术有效阻断针对数据库漏洞的攻击行为。
  3. 事后——数据库安全合规监察:在银行核心的数据库前端旁路实施数据库安全合规监察技术,不改变数据库系统的任何设置的情况下对数据库的操作实 现跟踪记录、定位,实现数据库的在线监控,在不影响数据库系统自身性能的前提下,实现对数据库的在线监控和保护,及时地发现网络上针对数据库的违规操作行 为并进行记录、报警和实时阻断,有效地弥补现有应用业务系统在数据库安全使用上的不足,为数据库系统的安全运行提供了有力保障。

通过上述解决方案,有效解决了某银行数据安全所面临的威胁,在满足国家合规性的基础上大大提升了数据库安全强度。


方案价值

  • 安全审计:审计产品有效记录来自互联网接入区的非法行为、数据库入侵行为、违规访问行进行及时预警和行为回溯;
  • 弱点评估:数据库漏扫通过对银行数据库的漏洞评估和配置检查,降低入侵的机率;
  • 防内作案:数据库防火墙防范“越权使用、权限滥用、权限盗用”等安全威胁;
  • 完善内审:等级保护、SOX、ISO、PCI的详尽、全面、合规化的审计功能。

方案优势

  • 提升数据库安全整体防御效果,有效抵御各类攻击。
  • 维护和提升银行机构的形象和公信力;
  • 解决运维人员专业安全分析能力不足问题;
  • 满足来自人行及银监等部门的合规性安全检查要求;
  • 协助安全事件取证以及事后追溯;
  • 防止敏感信息丢失或泄露。