某直辖市移动公司,目前传统安全措施无法有效满足电信系统客户4700万用户、交易、卡管信息的保密需求。并且此运营商围绕着网络防护、主机防护和应用防护已经进行了一系列安全建设,具备相对安全的数据应用环境,但由于技术局限和有效的安全产品匮乏等原因,数据库自身安全的建设一直未能得到有效开展,当前多起数据泄露事件均与数据库安全措施缺乏有关。
当前,在CRM系统中至少存在以下重要数据库安全威胁,能够直接导致客户隐私信息泄密的发生:
1) 系统维护人员权限过高
负责CRM数据库的维护管理,直接掌握数据库DBA用户的口令;
这些人员被他人利用,完全可以随时登陆数据库,任意进行客户信息的获取。
2) 第三方人员直接接触用户敏感数据
负责业务系统的开发及实施,掌握业务系统中后台数据库用户的口令;
这些人员自身可以通过该用户,直接访问数据库,获得所有用户信息。
3) 其他内部工作人员通过网络获得用户数据
其他内部的工作人员,由于工作便利,可能通过内部网络,访问到数据库服务器。一旦进入数据库所在主机,则可以拷贝、盗取数据库文件,通过解析工具或异地还原即可获得所有用户信息资料。
综合分析CRM系统中的数据库安全威胁,本方案以“保护客户隐私信息”为最终目标,以“最小的代价换取尽量大的安全提升”的原则,定义出该系统的核心敏感数据,并进行有效的安全访问控制。
基于DBCoffer的CRM系统数据防护部署图
在本方案中,通过DBCoffer将CRM系统中的客户姓名、电话、证件号码、地址等核心信息定义为敏感信息,将这些信息加密存储在数据库中;同时通过DBCoffer的密文权限控制体系,限制DBA、服务外包人员、第三方开发人员对敏感数据的访问权限,使其只能维护数据而无法访问敏感数据,远离了泄密和被篡改的危险;仅将敏感数据的访问能力开放给CRM系统应用,同时对这些敏感数据的访问,开启审计进行记录。
至此我们形成一套完备的CRM系统在存储层、传输层和应用层的全方位客户隐私信息保密解决方案:
A、敏感数据加密存储
对系统中最核心的客户姓名、电话、证件号码等信息进行存储加密,保证备份、存储设备丢失或数据文件被盗也不会引起关键客户个人隐私信息泄漏。
B、敏感数据访问权限控制与审计
通过独立于Oracle数据库之外的密文权限控制体系,使与业务本身无关的DBA、外包人员、维护人员不能访问明文的敏感信息,也无从引起企业敏感信息的泄密。同时开启安全审计功能,对敏感信息的访问进行记录,便于对异常访问行为进行事后追踪分析。
C、应用层防护增强
将数据库维护用户与应用系统访问数据库用户分离,并将CRM系统访问数据库敏感信息的用户与业务系统进行绑定,避免使用该用户绕过业务系统的个人信息访问行为,从而实现防止合法用户违规访问的防护目标。