為金融行業(yè)構(gòu)建安全穩(wěn)健的數(shù)據(jù)庫運(yùn)維防護(hù)體系

不可否認(rèn),近年來金融行業(yè)的科技創(chuàng)新使得其對IT系統(tǒng)的依賴程度不斷加深,當(dāng)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等技術(shù)不斷改造業(yè)務(wù)體系,傳統(tǒng)的金融IT系統(tǒng)環(huán)境也在發(fā)生深刻的變化。網(wǎng)上業(yè)務(wù)、手機(jī)銀行、第三方支付、P2P金融……更加多樣化的業(yè)務(wù)模式,向IT運(yùn)維部門提出了更高的挑戰(zhàn),業(yè)務(wù)系統(tǒng)承載巨量價值的金融數(shù)據(jù),安全運(yùn)維的重要性不言而喻。

2014年,韓國最大規(guī)模信用卡信息泄露事件造成1億多條信用卡信息遭泄露,涉及2000萬用戶,多名高管因此事引咎辭職。同年,美國摩根大通銀行遭受網(wǎng)絡(luò)攻擊,7600萬用戶和700萬小型企業(yè)數(shù)據(jù)泄露。包括用戶姓名、Email地址、手機(jī)號碼甚至真實地址……

近年來,我們時??吹筋愃频臄?shù)據(jù)泄露事件不斷上演,這一樁樁突如其來的事故讓運(yùn)維部門頭疼不已,為尋求行業(yè)內(nèi)的探討,8月19日,數(shù)十家來自銀行、保險、證券等傳統(tǒng)金融行業(yè)的CIO齊聚西安,召開中國金融業(yè)IT運(yùn)維管理高峰年會。帶著對這個問題的思考,安華金和參會并發(fā)表演講:為金融行業(yè)構(gòu)建安全穩(wěn)健的數(shù)據(jù)庫運(yùn)維防護(hù)體系。

 

“肩負(fù)金融數(shù)據(jù)存儲重任,數(shù)據(jù)庫的安全運(yùn)維無論如何強(qiáng)調(diào)也不為過?!卑踩A金和產(chǎn)品總監(jiān)孫錚在演講開篇首先強(qiáng)調(diào)了數(shù)據(jù)庫在整個IT系統(tǒng)中的核心地位。調(diào)查顯示,數(shù)據(jù)庫遭受威脅是數(shù)據(jù)泄漏事件發(fā)生的主要原因。對于目前金融行業(yè)運(yùn)維側(cè)存在哪些問題,孫錚歸納為4點(diǎn):

1、傳統(tǒng)安全手段存在局限性:

金融行業(yè)信息化建設(shè)起步早,銀行、保險、證券等傳統(tǒng)金融行業(yè)已普遍部署web防火墻、IPS、IDS等傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品,但傳統(tǒng)網(wǎng)管類安全產(chǎn)品是基于對網(wǎng)絡(luò)通信協(xié)議的解析,進(jìn)行行為分析與防御。對于以SQL語句為基礎(chǔ)的數(shù)據(jù)庫通信協(xié)議則有心無力,無法做到精確解析,自然無法提供防護(hù)能力。

2、需要風(fēng)險感知與實時告警、追責(zé)

在數(shù)據(jù)泄露事件之后,除了更多的考慮抵御威脅,金融機(jī)構(gòu)應(yīng)當(dāng)沉下心來思考如何能夠做到風(fēng)險感知。先發(fā)制人,在危險信號出現(xiàn)的第一時間及時阻斷,同時實現(xiàn)實時告警與記錄,確保事后準(zhǔn)確追責(zé)。

3、需要構(gòu)建高效數(shù)據(jù)脫敏手段和流程

大量高敏感度的生產(chǎn)數(shù)據(jù)每天累積,這是金融行業(yè)的最大特點(diǎn)之一,而業(yè)務(wù)系統(tǒng)的不斷更迭迫使運(yùn)維部門不得不交出這些“寶貴資產(chǎn)”。我們了解到,不少金融機(jī)構(gòu)的運(yùn)維人員被“手工脫敏”壓的喘不過氣,解決脫敏工作的低效和低質(zhì)勢在必行。

4、缺乏有效監(jiān)管運(yùn)維行為

伴隨金融業(yè)務(wù)的創(chuàng)新,金融機(jī)構(gòu)對于第三方運(yùn)維人員的需求逐漸加大,來自運(yùn)維側(cè)內(nèi)部的數(shù)據(jù)庫誤操作、惡意操作等行為需要實施切實有效的監(jiān)管。

梳理出問題后,我們發(fā)現(xiàn),按照“事前、事中、事后”的防護(hù)思路,在整個防護(hù)周期中,金融行業(yè)的數(shù)據(jù)庫安全防護(hù)缺口并不小,無論是哪個環(huán)節(jié)的缺失都有可能形成金融數(shù)據(jù)的泄露風(fēng)險。

如何構(gòu)建安全穩(wěn)健的數(shù)據(jù)庫運(yùn)維體系,安華金和提出防護(hù)思路:

數(shù)據(jù)庫審計實現(xiàn)風(fēng)險監(jiān)控與審計告警

1、 感知攻擊行為:通過對金融行業(yè)數(shù)據(jù)庫訪問的精確協(xié)議解析,可以準(zhǔn)確定位語句中包含的操作、對象等關(guān)鍵信息,并結(jié)合內(nèi)置的風(fēng)險特征庫,有效的判斷語句是否會對數(shù)據(jù)庫造成sql注入攻擊、緩沖區(qū)溢出、權(quán)限提升等攻擊行為。

2、 構(gòu)建訪問模型:通過對SQL語句進(jìn)行歸一處理并建立語句黑白名單機(jī)制,可有效的對銀行、保險等業(yè)務(wù)系統(tǒng)中應(yīng)用訪問數(shù)據(jù)庫的行為進(jìn)行建模,及時發(fā)現(xiàn)應(yīng)用可能遭到的跨站攻擊或頁面篡改。通過對用戶訪問數(shù)據(jù)庫的流量、操作、頻度、對象、訪問源進(jìn)行建模分析,可發(fā)現(xiàn)那些隱藏在“正常行為”中的潛在攻擊行為和安全隱患。

3、 監(jiān)控核心對象:將銀行、保險、證券等數(shù)據(jù)庫中核心敏感對象納入重點(diǎn)監(jiān)控規(guī)則。所有對核心對象的訪問與變更操作都有詳細(xì)記錄,結(jié)合行數(shù)控制規(guī)則,可發(fā)現(xiàn)核心對象的異常訪問行為。

4、 實時風(fēng)險告警:在發(fā)現(xiàn)威脅的第一時間采取郵件、短信、SYSLOG、SNMP等多種方式實施告警,與用戶的告警平臺實現(xiàn)聯(lián)動。

數(shù)據(jù)庫脫敏工具-智能管理敏感數(shù)據(jù)

金融行業(yè)如銀行、保險等機(jī)構(gòu)存在多種類型的脫敏需求,對于不同需求,使用脫敏工具的意義除了能夠大大縮短脫敏時間,提高準(zhǔn)確度,更重要的是其智能性,基于對用戶需求的了解,安華金和對智能的定義為:自動發(fā)現(xiàn)敏感數(shù)據(jù)、自動梳理數(shù)據(jù)關(guān)系;脫敏后保證數(shù)據(jù)特征不變,關(guān)聯(lián)關(guān)系不變。

1、 分析場景下,為了確保脫敏后的金融數(shù)據(jù)仍然可被分析,要求脫敏后的數(shù)據(jù)仍然保持?jǐn)?shù)據(jù)的結(jié)構(gòu)、關(guān)系、特征、比例、部分關(guān)鍵位等信息不被破壞,而且分析場景通常需要脫敏大量甚至全量數(shù)據(jù),需要極高的數(shù)據(jù)處理性能做支撐。

2、 測試環(huán)境下,功能測試與性能測試都需要篩選一定量的數(shù)據(jù)進(jìn)行脫敏,這些脫敏數(shù)據(jù)不僅要保持?jǐn)?shù)據(jù)關(guān)聯(lián)度,如銀行數(shù)據(jù):脫敏后需要保證客戶姓名與銀行卡號、賬戶信息等的一一對應(yīng)關(guān)系不被破壞,而且應(yīng)該具有足夠的離散度,使測試用例能夠充分覆蓋全部場景。

3、 開發(fā)環(huán)境下,只需要少量數(shù)據(jù)進(jìn)行脫敏即可滿足需求,但是不同模塊的開發(fā)工作,對脫敏后數(shù)據(jù)的規(guī)范要求有所不同,脫敏產(chǎn)品必須具有足夠的靈活性,能夠充分滿足需求。

4、 展示環(huán)境中,脫敏數(shù)據(jù)需要具有仿真的離散度和比例關(guān)系,以確保數(shù)據(jù)統(tǒng)計結(jié)果不會失真。在某些數(shù)據(jù)呈現(xiàn)場合,脫敏規(guī)則會變得簡化,只需將數(shù)據(jù)中核心位置進(jìn)行遮蔽即可。

數(shù)據(jù)庫安全管控平臺-規(guī)范運(yùn)維行為

通過身份識別區(qū)分合法訪問人員,解決口令外泄問題。對訪問行為進(jìn)行審批預(yù)防高危操作,避免越權(quán)操作。規(guī)范流程管理,有效追責(zé)定責(zé)。

面對愈發(fā)嚴(yán)重的金融數(shù)據(jù)泄露風(fēng)險,從傳統(tǒng)安全架構(gòu)中解放,引入專業(yè)的數(shù)據(jù)庫安全防護(hù)體系已是必然。讓防護(hù)縱深至核心數(shù)據(jù)庫,運(yùn)維管理將變得有序而可控。當(dāng)運(yùn)維部門能夠?qū)?shù)據(jù)庫運(yùn)維實現(xiàn)事前風(fēng)險感知,事中敏感數(shù)據(jù)脫敏及全程的運(yùn)維行為有效監(jiān)管,配合事后審計結(jié)果追溯,一座堅固的數(shù)據(jù)庫安全壁壘已經(jīng)構(gòu)建完成。作為金融運(yùn)維人,也可以自信的說一句:數(shù)據(jù)泄露?這個鍋我們不背!



極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2016-08-19
為金融行業(yè)構(gòu)建安全穩(wěn)健的數(shù)據(jù)庫運(yùn)維防護(hù)體系
近年來,我們時??吹筋愃频臄?shù)據(jù)泄露事件不斷上演,這一樁樁突如其來的事故讓運(yùn)維部門頭疼不已,為尋求行業(yè)內(nèi)的探討,8月19日,數(shù)十家來自銀行、保險、證券等傳統(tǒng)金融行業(yè)的CIO齊聚西安,召開中國金融業(yè)IT運(yùn)維管理高峰年會。

長按掃碼 閱讀全文