中安威士酒店数据安全管理方案

1 xx 酒店数据安全管理方案 1 背景概述 1 1酒店行业数据泄露事件 2017 年 4 月 19 日 知名酒店洲际酒店集团 IHG 超过 1000 家旗下酒店遭遇支付卡信息泄漏 2017 年 2 月 6 日 仍是洲际酒店集团 IHG 确认旗下 12 家 酒店的支付系统遭到入侵 成为大规模数据泄露的受害者 2016 年 1 月 凯越集团的支付卡数据外泄事件波及了全球约 50 个国家的 250 家酒店 2015 年 11 月 希尔顿与喜达屋集团都表示 他们的支付处理 系统遭受了不明来历的黑客攻击 除此之外 豪华连锁酒店 TrumpSoHo 酒店酒店同样也确认了一起数据泄漏事件 2015 年 2 月 1 日 据漏洞盒子白帽子提交的报告显示 知名连 锁酒店桔子 锦江之星 速八 布丁 高端酒店万豪 喜达屋 洲 际的房客开房信息大量泄漏 无论是国内还是国外 酒店信息安全都是大问题 自 2013 年到 现在 此起彼伏的酒店开房记录泄露 房客信用卡资料信息外泄 酒店网络安全漏洞等酒店信息安全案例被广为报道 这其中 因信 息泄露而导致恋人分手 家庭破裂 财产损失的案例报道也不在少 数 这让广大酒店旅客困扰不已 1 2酒店行业数据泄露的危害 攻击者使用恶意软件或者内部人员滥用管理权限 窃取入驻旅 客的个人信息 包括 姓名 身份证号 入住时间 信用卡卡号 信用卡过期时间和内部验证代码等 将为旅客带来以下危害 2 1 信息与电话骚扰 2 情感威胁 3 冒领快递 4 冒办电话 5 银行开户 证券等 6 登记变更 7 冒办信用卡 1 3酒店数据泄露的原因 酒店行业成为信息泄露的温床 究其原因有以下几条 1 酒店业的银行卡交易业务量比较大 方便黑客进行身份信息 的盗用 2 酒店需要实名入住 而许多旅客通过酒店官网或手机 APP 订 房 3 酒店经常把内部的计算机系统和别的系统连接 4 员工流动频繁 员工安防培训工作不到位 5 内部员工出于利益驱动 主动外泄旅客信息 6 许多酒店的 PMS 即酒店管理系统 系统 都是外包给酒店外 的第三方供应商来开发和提供技术服务 这也增加信息外泄的可能 途径 7 酒店系统安全防护水平弱 系统存在漏洞导致全面失控 总结来说 酒店行业结构较为散乱 一定程度上引发了黑客危 机 发生这些漏洞的根源在于酒店的管理机制不完善 虽然酒店使 用了信息管理系统 但是对于安全隐患的排除却做得不到位 3 2 需求分析 2 1合规需求 针对酒店业个人信息泄露事件频发的现状 国家相关监管部门 出台了系列法律法规 对个人信息安全保护做了明确的规定 酒店 对入住旅客的信息保护必须符合相关法律的规范 如违法相关法规 轻者警告 重者责令暂停相关业务 停业整顿或吊销营业执照 1 旅馆业治安管理条例 2017 年 2 月 10 日 公安部官网上发布了关于 旅馆业治安管 理条例 征求意见稿 规定旅馆禁止传播 出售或泄露旅客住宿 信息或视频监控资料 若构成犯罪 将依法追究刑事责任 业内人 士表示 不管是因为黑客侵入计算机系统 还是内部人员盗取而致 使用户信息遭到泄露 给用户造成了损失 酒店方应承担相应法律 责任 2 网络安全法 2017 年 6 月 1 日 国家 网络安全法 正式施行 个人信息的 安全正式受到法律的保护 第二十一条 国家实行网络安全等级保护制度 网络运营者应 当按照网络安全等级保护制度的要求 履行下列安全保护义务 保 障网络免受干扰 破坏或者未经授权的访问 防止网络数据泄露或 者被窃取 篡改 一 制定内部安全管理制度和操作规程 确定网络安全负责 人 落实网络安全保护责任 二 采取防范计算机病毒和网络攻击 网络侵入等危害网络 安全行为的技术措施 三 采取监测 记录网络运行状态 网络安全事件的技术措 施 并按照规定留存相关的网络日志不少于六个月 四 采取数据分类 重要数据备份和加密等措施 五 法律 行政法规规定的其他义务 4 解读如下 1 本条明确网络安全等级保护制度 也就是常说的 等保 是信息安全建设的基本要求 2 明确数据安全的内容 保护网络数据不被泄露或者被窃取 篡改 3 在以前的等保中 数据安全常常是可选项 而且常常是不被 选择的项目 通过本法本条 可以认为数据安全不再是 可选项 而是必选项 这将极大的改变等保的实施内容 4 当前的网络攻击 网络侵入很多是以窃取数据为目的的 需 要采取防止数据窃取的技术措施 对网络安全事件的日志留存时间不少于六个月 这对数据访问 记录的日志留存时间做出了明确要求 要高于 6 个月 5 要对数据根据敏感性进行分级和分类 从而对数据进行细粒 度的访问控制 6 明确要求对重要数据进行备份和加密 第四十二条 网络运营者不得泄露 篡改 毁损其收集的个人 信息 未经被收集者同意 不得向他人提供个人信息 但是 经过 处理无法识别特定个人且不能复原的除外 解读如下 1 本条要求 对他人提供所收集到的个人信息 必须是 经过 处理的无法识别且不能复原的 在技术上 这即是指要求对敏感 数据进行脱敏处理 2 本条明确要求网络运营者采取技术措施防止数据的泄露 毁 损 丢失 3 本条要求发生数据安全事件时 网络运营者应该主动上报并 采取补救措施 但是现实情况是很多数据泄露事件和数据篡改事件 发生过很久以后 网络运营者才知道 所以在主动发现数据安全事 件方面 还需要更多的技术投入 而且在补救方面 如何找到攻击 路径 也是一大难题 合格的数据库审计产品能够在一定程度上主 动发现数据安全事件 并能在数据安全事件溯源方面提供帮助 5 第五十九条 网络运营者不履行本法第二十一条 第二十五条 规定的网络安全保护义务的 由有关主管部门责令改正 给予警告 拒不改正或者导致危害网络安全等后果的 处一万元以上十万元以 下罚款 对直接负责的主管人员处五千元以上五万元以下罚款 第六十四条 网络运营者 网络产品或者服务的提供者违反本 法第二十二条第三款 第四十一条至第四十三条规定 侵害个人信 息依法得到保护的权利的 由有关主管部门责令改正 可以根据情 节单处或者并处警告 没收违法所得 处违法所得一倍以上十倍以 下罚款 没有违法所得的 处一百万元以下罚款 对直接负责的主 管人员和其他直接责任人员处一万元以上十万元以下罚款 情节严 重的 并可以责令暂停相关业务 停业整顿 关闭网站 吊销相关 业务许可证或者吊销营业执照 违反本法第四十四条规定 窃取或者以其他非法方式获取 非 法出售或者非法向他人提供个人信息 尚不构成犯罪的 由公安机 关没收违法所得 并处违法所得一倍以上十倍以下罚款 没有违法 所得的 处一百万元以下罚款 第五十九条河第六十四条是对违反第二十一条和第四十二条后 所进行的处罚 最高处罚金额 100 万元 2 2技术需求 现代酒店的管理已经高度网络信息化 信息化的发展也形成了 酒店行业快速发展一个缩影 尤其是在移动互联网和云技术迅猛发 展的今天 社会化协作更加广泛 系统要更新更加迅速 数据和信 息的互联互通和共享已成为电子商务领域的必然发展趋势 但任何 一个事物都有两面性 网络信化息带来了运营效率的提升 也带来 了安全性隐忧 现在黑客慢慢地从原来的攻击大型银行等金融行业 转向 B 端的服务业来渗透 酒店信息安全正在遭受多样化的危机 那么 在发生这些危机后 酒店管理方当如何加强应对 酒店 自身的信息和安全能力较差 现阶段一些酒店管理软件存在严重的 安全隐患 主要外泄途径包括 服务器被黑客攻击 软件供应商管 理不规范等 数据管理不到位成 酒店泄密门 的元凶 随着数据 价值的凸显 数据安全成为信息安全领域的重点问题 而作为数据 资产的管理工具 数据库的安全问题自然愈发重要 逐步成为整个 6 信息系统安全防护的矛盾聚焦点 但是 国内信息安全的现状是 企业在网络安全和操作系统安全方面一般都愿意投入 在绝大多数 网络节点上部署了防火墙 入侵检测 UTM 桌面管控 防病毒 VPN 等产品 甚至还部署了 WAF NGFW 等较新的应用层安全产品 但在对数据最直接的安全管理方面 也就是数据库安全方面 由于 相关产业发展缓慢和整体重视程度不够 投入还处于较低的水平 只有在现有的安全防护体系中 补充对数据的防护这一环节 部署 术业有专攻 的数据安全管理系统 才能从根本上解决数据安全 问题 3 中安威士数据安全管理方案 3 1方案目标 各企业的信息系统中 亟需部署数据安全管理系统 弥补现有 的安全体系的不足 而数据安全管理是通过对数据的存储管理系统 也就是数据库的安全加固实现的 针对数据安全管理的目标主要包 括如下 1 数据安全风险可视化 了解数据资产的分布 需要自动发现数据库服务器 敏感数 据的分布情况 为后续安全加固明确目标 实时掌握数据库系统的可用性 要求能对数据库运行状态进 行实时监控 在状态异常时进行预警 提前防止业务瘫痪 保障业务系统的连续可用性 实时掌握数据库存在的风险状况 要求能通过扫描的方式 静态的评估企业数据库系统的风险 扫描内容包括 弱口令 检测 系统漏洞 配置风险等 7 需要进行数据活动监控 实时监控数据活动情况 记录数据 访问行为 尤其是对敏感数据的访问行为 要求能实现对数 据库的直接访问和通过 Web 和应用对数据库的间接访问进行 全面监控 2 数据安全风险可控化 需要进行数据活动保护 在数据活动监控的基础上 提供访 问控制规则 对违规的数据访问进行阻止 要求系统能够自 动学习应用系统对数据的访问行为模式 并生成不同粒度的 访问规则 需要进行数据库攻击检测和保护 在系统内置攻击检测规则 能够实时检测和阻止针对数据库协议 SQL 注入和缓冲区溢 出等多种攻击 同时详细地记录攻击的详细信息 要求对数据库敏感数据进行透明加密 要求采用加密技术 有选择的将敏感内容进行加密存储 并提供进一步增强的访 问控制 防止特权的滥用和盗用 并且要求加密对应用是透 明的 不需要对应用系统进行改造 要求实现运维 开发 测试中的敏感信息的脱敏 在涉及敏 感数据的情况下 要能通过脱敏规则进行数据的变形 以在 运维和生产环境 以及在外包 开发 测试和其它非生产环 境中安全地使用脱敏后的准真实数据集 3 数据安全管理合规化 8 遵守监管合规性 国家和各行业的监管机构越来越重视数据 的安全管理 相继出台了 加强网络信息保护的决定 信息安全等级保护管理办法 电信和互联网用户个人 信息保护规定 和 网络安全法 等几十项法规和标准 并 开展了以数据安全管理为重点的安全评测和检查 因此 除 上述功能要求外 数据安全管理系统还必须帮助企业经济快 速地满足合规审计要求 3 2解决方案 经过对 xx 酒店信息系统所面临的的数据安全问题进行分析 以 把数据关进笼子 让数据访问在阳光下进行为终极目标 提出了如 下的解决方案 该方案可以概括为三个递进层次 数据活动的全面审计 对数据的分布 性能 访问和活动情况 进行全方位的监控和记录 便于事后审计和追查 及时发现数据的 异常活动情况和风险 产生报警 输出可视化的报表 便于分析 9 细粒度访问控制 基于自动学习 生成细粒度的访问控制规则 阻断异常的查询和访问 防止敏感数据泄漏 阻断异常的和违规的 数据修改和删除操作 防止敏感数据被非法篡改 敏感内容加密和脱敏 有选择性的对敏感内容加密和脱敏 防 止在线数据和备份数据的存储介质丢失被窃取导致敏感数据泄露 增强的对加密敏感数据的权限管理 防止越权权限的滥用 合法权 限被盗用和滥用导致的数据泄漏 另外通过敏感数据的模糊化处理 能为运维 测试 数据外发等环境提供准真实的数据 该思路通过全方位的审计实现了风险的可视化 通过细粒度访 问控制实现了非法操作的可控 再加上敏感内容加密和脱敏 避免 了存储介质丢失和内部人员权限盗用和滥用造成数据泄密的风险 可以说 该思路以数据库安全加固为落脚点 全面地解决了数据安 全管理的问题 几乎从所有环节防止了数据泄密的发生 4 xx 酒店数据安全管理实施方案 该酒店是酒店行业的巨头 管理模式已实现高度网络信息化 建有非常完善高效的 PMS 系统 但与其他业内的酒店一样 也受到 多样化的信息安全攻击的困扰 也有遵从 网络安全法 等各项法 规要求的数据安全管理的需求 香格里拉酒店的数据库中含有用户 的姓名 身份证号 手机号 信用卡号 信用卡有效期 入住时间 等敏感信息 用户可自行添加相关的数据防范信息 需要对数据库 实施专业的安全加固措施 4 1实施方案 具体的实施方案如下图所示 10 该实施方案的要点如下 1 对数据库部署数据库审计系统 通过旁路镜像的方式 在不改变数据库系统的任何原有设置 和在不影响数据库系统自身性能的前提下 实现对数据库的 在线监控和保护 对于应用系统和数据库在同一台服务器的系统 或者云计算 和虚拟化平台上的数据库系统 以及难以实施镜像部署的系 统 通过部署中安威士特有的软件探针 实现全面审计 使用数据发现功能 自动生成数据库服务器和敏感数据的分 布情况 并将所发现的重要服务器 服务和数据进行分类 11 并生成统计报表 将所有发现和分类结果直接应用到后续模 块中的规则中 开启数据库性能监控功能 对数据库运行状态进行实时监控 在状态异常时进行预警 提前防止业务瘫痪 保障业务系统 的连续可用性 开启数据库性风险评估功能 扫描弱口令 系统漏洞 配置 等风险 全面评估数据库系统的风险状态 开启学习功能 自动生成基线模型白名单访问规则 实现规 则零配置 解决因人力不足无法详细设置审计规则的问题 通过人工添加黑名单规则 实现灵活的细粒度访问规则 开启入侵检测功能 及时发现针对数据库的违规操作行为 并进行记录 报警 一旦发生威胁 可迅速判断是内部人员 的越权操作 还是外部人员的入侵行为 事后追责 满足合 规审计要求 开启运维审计功能 审计通过 SSH TELNET FTP 等协议对数 据库服务器进行的运维操作 开启 Web 应用审计和三层关联审计 实现完整地溯源能力 2 对数据库部署数据库防火墙系统 部署双机模式 保证连续服务能力 基于硬件 bypass 防止单点失败 开启入侵保护功能 以抵御 SQL 注入攻击和针对数据库漏洞 12 的攻击 还能防止全表删除等误操作 超级权限滥用等风险 开启学习功能 生成白名单规则 并手工添加黑名单规则 解决详细设置数据库防火墙规则困难的问题 对于云计算和虚拟化平台上的数据库 部署软件形态的数据 库防火墙系统 3 以旁路方式部署数据库加密系统 对于尤其重要的数据 部署数据库加密系统 对制定的敏感 字段进行加密 通过三权分立的限管控系统来实现对敏感数据访问的权限控 制 确保其数据的安全性 开启敏感数据访问审计功能 记录对加密数据的访问 定期轮换密钥 保证加密数据的安全 4 部署数据库脱敏系统 对于运维操作 通过动态脱敏功能 确保运维人员在运维时 不能看到真实的数据 对于需要管控的应用程序 通过动态脱敏 确保系统只能看 到脱敏后的准真实数据 对于开发和测试工程 通过静态脱敏功能 确保开发和测试 人员只能看到脱敏后的准真实数据 13 对于外包 数据外送等情形 通过静态脱敏功能 使得交付 的是脱敏后的数据 防止真实数据外泄 小结 1 以上系统 在实施时 可以考虑在一个硬件平台上 部署多 个软件模块 比如数据库加密和数据库审计可以合并 另外数据库 防火墙和数据库脱敏 可以进行合并部署 以节约硬件成本 2 针对该酒店的数据安全 建议配置数据库审计和数据库防火 墙 且为了防止单点失败 防火墙采用双机部署 3 后期可有选择性的部署数据库加密或数据库脱敏设备以进一 步加固酒店信息系统 4 2配置清单 类别功能数量价格 数据 库审 计 具备服务和敏感数据发现功能 具备应用系统和数据库在同一台服 务器上业务审计 具备数据库状态监控功能 具备风险 漏洞 扫描功能 具备自动学习功能 具备数据库基线的自动优化功能 具备告警汇聚及依据告警结果调整 规则功能 具备双向审计功能 具备绑定变量审计功能 具备模糊化日志功能 具备通用型三层审计 URL 和 1 14 WEB 的关联 功能 插件型需定制 具备自定义报表功能 SQL 处理能力 7w s 日志存储量 30 亿 T 模糊检索能力 1 亿记录 1 分钟 内返回结果 数据 库防 火墙 具备服务和敏感数据发现功能 具备数据库状态监控功能 具备风险 漏洞 扫描功能 具备自动学习功能 精确到语句级 阻断 具备模糊化日志功能 具备自定义报表功能 具备硬件 bypass 功能 具备双机功能 SQL 处理能力 3w s 并发用户数 70w 新建用户数 1 5w 日志存储量 30 亿 T 模糊检索能力 1 亿记录 1 分钟 内返回结果 2 数据 库加 密 支持千万级规模的数据库 具备字段级加密 支持 AES DES 3DES SM1 SM4 等算 法 1 15 具备一个字段多个密钥 且支持密 钥轮换 支持 NUMBER CHAR VARCHAR VAR CHAR2 DATE TIMESTAMP 类型加 密 支持密文索引且对索引进行加密 具备通过设置程序名 IP 地址 时 间等进行加密后的授权控制 加密后的查询性能 返回首条记录 时间 与加密前几乎没有区别 支持对加密表结构的更改 如增加 删除及修改列等 数据 库脱 敏 支持数据替换 隐藏或使之无效 虽计划 偏移 截断 限制返回行数 基于其它参考信息进行屏蔽 自定义处 理规则等 支持 oracle slq server db2 hive 等数据库 对应用程序和后台数据库完全透明 2 4 3方案价值 通过上述解决方案 有效满足了酒店信息系统所面临的数据安 全管理的需求 使数据安全可视 使数据安全可控 使数据安全合 规 就数据安全合规来说 以满足 网络安全法 为例 本方案在 以下方面完全满足了法规的要求 第二十一条 国家实行网络安全等级保护制度等级保护制度 网络运营者应 当按照网络安全等级保护制度的要求 履行下列安全保护义务 保 16 障网络免受干扰 破坏或者未经授权的访问 防止网络数据泄露或网络数据泄露或 者被窃取 篡改者被窃取 篡改 一 制定内部安全管理制度和操作规程 确定网络安全负责 人 落实网络安全保护责任 二 采取防范计算机病毒和网络攻击 网络侵入网络侵入等危害网络 安全行为的技术措施 三 采取监测 记录网络运行状态 网络安全事件的技术措采取监测 记录网络运行状态 网络安全事件的技术措 施 并按照规定留存相关的网络日志不少于六个月施 并按照规定留存相关的网络日志不少于六个月 四 采取数据分类数据分类 重要数据重要数据备份和加密等措施加密等措施 五 法律 行政法规规定的其他义务 解读如下 1 本条明确网络安全等级保护制度安全等级保护制度 也就是我们常说的 等保 是信息安全建设的基本要求 2 明确数据安全的内容 保护网络数据不被泄露或者被窃取 保护网络数据不被泄露或者被窃取 篡改篡改 3 在以前的等保中 数据安全常常是可选项 而且常常是不被 选择的项目 通过本法本条 我们可以认为数据安全不再是数据安全不再是 可选可选 项项 而是必选项 这将极大的改变等保的实施内容 而是必选项 这将极大的改变等保的实施内容 4 当前的网络攻击 网络侵入很多是以窃取数据为目的的 需 要采取防止数据窃取的技术措施 对应数据库防火墙产品 该产品 能阻止 SQL 注入等攻击 对网络安全事件的日志留存时间不少于六个月 这对数据访问这对数据访问 记录 数据库审计 应用审计等产品 的日志留存时间做出了明确记录 数据库审计 应用审计等产品 的日志留存时间做出了明确 要求 要高于要求 要高于 6 个月个月 5 要对数据根据敏感性进行分级和分类 从而对数据进行细粒 度的访问控制 对应数据库防火墙 数据脱敏等产品对应数据库防火墙 数据脱敏等产品 6 明确要求对重要数据进行重要数据进行备份和加密 对应于加密 对应于数据备份和数和数 据库加密产品据库加密产品 17 第四十二条 网络运营者网络运营者不得泄露 篡改 毁损其收集的个人个人 信息信息 未经被收集者同意 不得向他人提供个人信息 但是 经过经过 处理无法识别特定个人且不能复原的除外处理无法识别特定个人且不能复原的除外 解读如下 1 本条要求 对他人提供所收集到的个人信息 必须是 经过 处理的无法识别且不能复原的 在技术上 这即是指要求对敏感数敏感数 据进行脱敏处理据进行脱敏处理 2 本条明确要求网络运营者采取技术措施防止数据的泄露 毁 损 丢失 3 本条要求发生数据安全事件时 网络运营者应该主动上报并 采取补救措施 但是现实情况是很多数据泄露事件和数据篡改事件 发生过很久以后 网络运营者才知道 所以在主动发现数据安全事 件方面 还需要更多的技术投入 而且在补救方面 如何找到攻击 路径 也是一大难题 合格的数据库审计产品能够在一定程度上主 动发现数据安全事件 并能在数据安全事件溯源方面提供帮助 除带来上述主要价值外 具体来说 中安威士数据安全管理解 决方案还带给贵酒店如下价值 简化业务治理 提高数据安全管理能力 完善纵深防御体系 提升整体安全防护能力 减少核心数据泄漏 保障业务连续性 有效维护贵酒店的公信力和声誉 助力香格里拉酒店的信息系统完成合规审计 5 中安威士介绍 5 1公司简介 中安威士 北京 科技有限公司 前身 北京中安比特科技有 限公司 由北京理工大学计算机学院戴林教授于 2009 年创立 是 国内数据安全领域的著名原厂商 公司位于中关村核心科技园区 18 注册资本 1100 万 国家级高新技术企业 通过双软论证 是中国网 络空