银行数据库安全审计系统案例
作者:安华金和 发布时间:2020-10-14


  1、项目背景
  随着全球信息化的发展,云技术得到了快速发展,某银行六年磨一剑,成功建设“新一代”核心系统,为全行未来转型发展与核心竞争力的提升打下了坚实的基础。
  在该私有云系统中,有大量的敏感信息,外部黑客、企业租户、数据库维护人员都有机会利用数据库存在的漏洞以及自身拥有的高权限,直接获取敏感客户的隐私信息。数据库作为私有云的核心和基础,承载着越来越多的关键业务系统和企业的敏感数据,逐渐成为某银行私有云系统中最具有战略性的资产,数据库的安全稳定运行也直接决定着租户的系统能否正常使用。
  因此,加强企业数据信息安全保护,既是某银行自身发展的客观要求,也是为了满足行业监管的需要。
  2 、技术方案
  安华金和提供的云数据库审计产品,可为私有云环境下租户数据库提供访问审计功能。相比银行内网私有云环境,在虚拟化环境下将必要的数据库流量进行审计,在具备高精确度的审计能力条件下,最大程度减小对租户及云环境的性能消耗。
  私有云企业租户选装数据库审计模块,实现有效审计和管控企业租户自身的数据安全。采用旁路审计部署的方式,在无须插件植入数据库的前提下,实现数据库通讯流量的全量解析和审计。
  租户选装数据库审计系统,有效监控私有云下企业租户的内部人员对数据库访问行为,租户可以实时、准确掌握自身数据库系统的安全状态,及时发现企业内外部人员和web系统违反数据库安全策略的事件,实时记录,并且实现安全事件的定位分析,事后追查取证。
  3 、方案价值
  a、全量的业务审计
  安华金和数据安全审计基于数据库镜像进行旁路审计;为适应“虚拟化”及“一体机审计”需求,提供“插件式”探针部署能力,不仅可以解决应用和数据库同机无法审计的难题,还可以采集虚拟化网络的数据库流量,适用于复杂的数据库网络环境。
  b、实时的风险告警
  安华金和数据安全审计提供数据库风险告警能力,对于外部发起的数据库漏洞攻击、恶意的 SQL 注入行为、非法的业务登录、高危的 SQL 操作和批量的数据下载,系统可以基于灵活的策略配置,设置风险规则,提供实时的风险告警。告警方式包括:短信、邮件、SNMP、Syslog等多种方式。
  c、多维度风险追溯
  安华金和数据安全审计分析视角包括:风险、语句、会话等多个维度。可查询的审计日志包括:应用信息、客户端信息、访问工具、操作行为、执行对象、响应时长、应答结果、影响范畴等20 多类元素,从而形成数据库的全量行为记录,可有效的追溯和定责。系统提供全局检索能力,从访问来源角度实现多个数据库的关联查询,定位数据库风险;提供会话和语句的深度关联分析,展现会话和语句详情;提供应用关联分析能力,使数据库的访问行为有效定位到业务工作人员,进行有效的追溯和定责。
  d、数据库行为建模
  安华金和数据安全审计针对数据库通讯协议进行完全解析,可建立学习期,归类 SQL 语句模板,并结合会话信息、应用关联信息,实现数据库行为建模。基于建模语句的波动情况,进行有效的分析和深入的挖掘,当隐藏在应用软件中的后门程序启动时,基于建模分析提供实时告警能力,降低数据库信息泄露的损失。
  e、数据库性能诊断
  安华金和数据安全审计提供实时的数据库运行状态监控,针对数据库访问流量、并发吞吐量、解析语句量、语句归类模板量、SQL 语句的响应速度进行专项的界面分析;可针对语句量执行最多、语句访问最慢的语句进行发现和排列,提供专业的性能诊断分析,帮助用户优化数据库性能。
  f、海量日志合规存储
  随着“网络安全法”的进一步普及,很多业务系统要求数据库审计产品存储的日志量达到数百亿条。因此,系统采用了先进的数据采集、存储机制,对海量的审计日志归档存储。并且根据现场的实际压力状态和备份语句量,提供【高压缩】和【高性能】两种数据压缩方式,适用于不同的业务场景,最大限度利用存储空间。从硬件层面,产品支持RAID 0/1/5 硬盘存储模型,并通过三级存储机制,实现了海量数据存储;产品提供对外数据传输接口,可以进行审计日志转储,或对接大数据平台进行二次分析。