星瑞格数据安全解决方案.docx

星瑞格数据安全解决方案_星瑞格数据安全解决方案福建星瑞格软件有限公司目录一、前言3二、数据安全3三、星瑞格数据安全解决方案53.1 电信运营商53.2 金融证券63.3 电信运营商7一、 前言随着互联网的蓬勃发展以及大数据时代的来临，我们的很多信息无时无刻都在通过各种途径传播，这就必然会导致很多安全问题的产生。重要的敏感信息每天不断是在邮件、社交网络、电子商务、或是应用软件上传递，甚至于每天使用的手机、微信支付、银行卡这些都在传递着个人敏感信息。做为一个商家或是拥有及使用这些数据的运营者，对于数据的安全不可以不重视，一旦发生安全事件必将会造成重大损失。日前，广东警方破获一起高科技经济犯罪案件，17岁的“黑客”叶世广，攻破了多个商业银行网站，窃取了储户的身份证号、银行卡号、支付密码等数据，带领一批人在网上大肆盗刷别人的信用卡，涉案金额近15亿元，涉及银行49家。2016年2月，发生了世界上有史以来规模最大的网络盗窃案。黑客入侵了孟加拉国央行在纽约联邦储备银行的账户，盗走了8100万美元，后来孟加拉国官方表示，黑客出现了一个拼写错误，否则随后还将进行一笔近10亿美元的转账。以及现今社会层出不穷的诈骗案件，诈骗集团都是利用各种管道窃取或购买个人信息进行诈骗。想想这些敏感信息存放何处？不管是什么应用，数据库都是信息存放的最终地点，因此不管是黑客或是内部不法人士窃取敏感信息最直接的方式就是从数据库下手，所以数据安全首要就是保护好数据库。二、 数据安全星瑞格已有多年对安全技术的研发为基础，我们认为数据安全的实践可以分为4个方面：1. 数据存储 : 加密是技术实施上对于数据安全最有效的关卡，Sinoregal DS提供直接对数据加密的功能。提供了加密函数和解密函数，这样就能以加密的方式来存储敏感数据，具备不同层面的加密，列级(column-level)和单元级(cell-level)加密，列级加密使用同一个密码来对同一个列的数据进行加密; 单元级(cell-level)加密使用不同的密码来对同一个列的不同单元进行加密。2. 数据传输网络安全是保证数据安全传输和交换的基础。确保各级网络以及设备之间的有效隔离是确保数据安全的首要关键控制。网络中构建出的一个隔离的安全网络环境，包括选择自有IP地址范围、划分网段、配置路由表、防火墙和网关等可提升掌控网络传输安全。Sinoregal DS在数据库传输上提供SSL(Secure Socket Layer)传输方式，通过加密技术在网络上的两个节点之间建立可靠的端到端的安全连接，保证了数据通信的私密性和完整性。3. 数据访问管控Sinoregal DS在数据库的访问控制可以从用户名和密码开始管控，一直到角色与访问权限的控制，另外也提供LBAC(Label-Based Access Control)的管控方式，LBAC是叫基于标签的访问控制方式，可通过以下方式对数据加上标签，用户也可被授予标签，对数据的标签和用户的标签进行比较，从而判断数据可否被用户访问，LBAC 可用来防止未经授权的访问。4. 数据保护星瑞格对数据的保护可以从两方面著手，一个是从数据库审计的角度，监控与记录数据库的访问，另一个是从操作系统层管控敏感数据的访问权限，对敏感数据做到审计加上保护，不仅可以防堵黑客窃取敏感信息，也可以阻止内部人员盗卖信息。敏感数据的保护可以使用星瑞格数据库审计产品DBAUDIT加上操作系统加固产品sysGUARD来完成。DBAUDIT与sysGUARD产品特性请参考产品介绍说明或白皮书，这里不多做说明。三、 星瑞格数据安全解决方案3.1 电信运营商某电信运营商的行动计费系统主要是针对手机计费，该计费系统拥有数据库服务器20台，应用服务器60台，数据库线上访问最大联机数共3万个联机数以上，每秒执行SQL次数60万次。本案整体系统架构规划，遵循全面性、自动化方式监控、不使用inline模式而是使用侧录封包方式收录，不更改现行网络架构为特点，另提供备援机制。数据库审计即采用星瑞格DBAUDIT，进行持续且实时的数据库行为监控(Database Activity Monitoring, DAM)，透过人、事、时、地、物完整监控数据库访问轨迹纪录。电信运营商的行动计费系统架构示意图：因为该系统拥有大量用户敏感信息，包括手机号，姓名，生日，地址，邮箱，等，所以对访问敏感数据的监控与追踪至关重要，必需追踪到应用系统前端用户的访问轨迹，前端用户于应用服务器完成登录动作时，DBAUDIT会自动识别用户名称，并进一步关连比对该用户对数据库的访问，所以可以清楚追踪前端用户的行为，一旦某个客户的信息被泄漏，可以清楚查出是谁曾经访过过该客户的信息，追查出犯罪嫌疑人。这个功能非常受到该运营商肯定，因为过往他们根本无法知道谁曾经调用过敏感信息，另外该运营商也利用DBAUDIT每天产出数据库特权用户，DBA对数据库的访问的报表，通过每天的报表可以审计DBA是否有提权或不法的行为，当然也配置了一些告警通知，一旦发现违反安全政策，告警短信与邮件实时发送给安全管理员，及时处理防止资安事件发生。数据库监控架构图：3.2 金融证券某证券公司除了经营柜台证券交易外，也经营网上证券交易，网上交易量是柜台交易的数十倍，拥有百台数据库负责各项证券业务，数据库服务器储备援服务器外主要是集中管理在数据中心机房。该公司因为并购了数个中小型证券公司，因此有数十位系统管理员与数据库管理员依业务别负责管理部同服务器，总公司管理单位非常头痛不知道这些管理员做了哪些事无从审计，上级监管机关也会定期要求各系统审计报表，总公司管理单位总是无法如期交付，因此为了解决这些问题该公司引进星瑞格数据安全解决方案，用DBAUDIT监控数据库管理员登录纪录与访问轨迹，定期产制五大报表发送给审计管理员，五大报表包括1.数据库用户登入注销纪录报表，2.数据库对象结构更报表，3.数据库登入失败报表，4.数据库权限变更报表，5.DBA访问轨迹报表。另外每个服务器都安装星瑞格操作系统加固sysGUARD，除了限制一些敏感文件访问权限外，对于系统管理员的登入与指令操作都可以完整记录下来，并可以定期产制系统管理员登入与操作轨迹审计报表，导入星瑞格数据安全解决方案，不但可以监控系统管理员与数据库管理员，也可以自动定期产制审计报表提供公司内部审计与满足监管机关要求。数据安全解决方案架构图：3.3 电信运营商某电信公司运营的行动漫游业务系统需要建构一个加强数据安全的运营平台，计画于既有行动宽带数据漫游系统提供数据安全功能，建立日志收集机制与数据安全监控机制，建置范围包含数据库服务器与应用服务器共13台，除了监控数据库访问外，还需要提供系统管理员账号监管功能与系统配置文件，敏感信息文件，日志文件，应用程序文件防窜改功能。该公司采用星瑞格数据安全解决方案，对数据库访问采用DBAUDIT侧录封包方式收录所有数据库访问轨迹，并配置安全管理政策，如发现违反安全政策行为及发送告警通知，对于每个服务器系统监管方面于每个服务器都安装星瑞格操作系