福建星瑞格軟件有限公司目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、 前言 4\o"CurrentDocument"二、 數(shù)據(jù)安全 4\o"CurrentDocument"三、 星瑞格數(shù)據(jù)安全解決方案 6\o"CurrentDocument"3.1電信運營商 63.2金融證券 73.3電信運營商 9一、前言隨著互聯(lián)網(wǎng)的蓬勃發(fā)展以及大數(shù)據(jù)時代的來臨，我們的很多信息無時無刻都在通過各種途徑傳播，這就必然會導(dǎo)致很多安全問題的產(chǎn)生。重要的敏感信息每天不斷是在郵件、社交網(wǎng)絡(luò)、電子商務(wù)、或是應(yīng)用軟件上傳遞，甚至于每天使用的手機、微信支付、銀行卡……這些都在傳遞著個人敏感信息。做為一個商家或是擁有及使用這些數(shù)據(jù)的運營者，對于數(shù)據(jù)的安全不可以不重視，一旦發(fā)生安全事件必將會造成重大損失。日前，廣東警方破獲一起高科技經(jīng)濟犯罪案件，17歲的“黑客”葉世廣，攻破了多個商業(yè)銀行網(wǎng)站，竊取了儲戶的身份證號、銀行卡號、支付密碼等數(shù)據(jù)，帶領(lǐng)一批人在網(wǎng)上大肆盜刷別人的信用卡，涉案金額近15億元，涉及銀行49家。2016年2月，發(fā)生了世界上有史以來規(guī)模最大的網(wǎng)絡(luò)盜竊案。黑客入侵了孟加拉國央行在紐約聯(lián)邦儲備銀行的賬戶，盜走了8100萬美元，后來孟加拉國官方表示，黑客出現(xiàn)了一個拼寫錯誤，否則隨后還將進(jìn)行一筆近10億美元的轉(zhuǎn)賬。以及現(xiàn)今社會層出不窮的詐騙案件，詐騙集團(tuán)都是利用各種管道竊取或購買個人信息進(jìn)行詐騙。想想這些敏感信息存放何處？不管是什么應(yīng)用，數(shù)據(jù)庫都是信息存放的最終地點，因此不管是黑客或是內(nèi)部不法人士竊取敏感信息最直接的方式就是從數(shù)據(jù)庫下手，所以數(shù)據(jù)安全首要就是保護(hù)好數(shù)據(jù)庫。二、數(shù)據(jù)安全星瑞格已有多年對安全技術(shù)的研發(fā)為基礎(chǔ)，我們認(rèn)為數(shù)據(jù)安全的實踐可以分為4個方面：數(shù)據(jù)存儲:加密是技術(shù)實施上對于數(shù)據(jù)安全最有效的關(guān)卡，SinoregalDS提供直接對數(shù)據(jù)加密的功能。提供了加密函數(shù)和解密函數(shù)，這樣就能以加密的方式來存儲敏感數(shù)據(jù)，具備不同層面的加密，列級(column-level)和單元級(cell-level)加密，列級加密使用同一個密碼來對同一個列的數(shù)據(jù)進(jìn)行加密；單元級(cell-level)加密使用不同的密碼來對同一個列的不同單元進(jìn)行加密。數(shù)據(jù)傳輸網(wǎng)絡(luò)安全是保證數(shù)據(jù)安全傳輸和交換的基礎(chǔ)。確保各級網(wǎng)絡(luò)以及設(shè)備之間的有效隔離是確保數(shù)據(jù)安全的首要關(guān)鍵控制。網(wǎng)絡(luò)中構(gòu)建出的一個隔離的安全網(wǎng)絡(luò)環(huán)境，包括選擇自有IP地址范圍、劃分網(wǎng)段、配置路由表、防火墻和網(wǎng)關(guān)等可提升掌控網(wǎng)絡(luò)傳輸安全。SinoregalDS在數(shù)據(jù)庫傳輸上提供SSL(SecureSocketLayer)傳輸方式，通過加密技術(shù)在網(wǎng)絡(luò)上的兩個節(jié)點之間建立可靠的端到端的安全連接，保證了數(shù)據(jù)通信的私密性和完整性。數(shù)據(jù)訪問管控SinoregalDS在數(shù)據(jù)庫的訪問控制可以從用戶名和密碼開始管控，一直到角色與訪問權(quán)限的控制，另外也提供LBAC(Label-BasedAccessControl)的管控方式,LBAC是叫基于標(biāo)簽的訪問控制方式，可通過以下方式對數(shù)據(jù)加上標(biāo)簽，用戶也可被授予標(biāo)簽，對數(shù)據(jù)的標(biāo)簽和用戶的標(biāo)簽進(jìn)行比較，從而判斷數(shù)據(jù)可否被用戶訪問，LBAC可用來防止未經(jīng)授權(quán)的訪問。數(shù)據(jù)保護(hù)星瑞格對數(shù)據(jù)的保護(hù)可以從兩方面著手，一個是從數(shù)據(jù)庫審計的角度，監(jiān)控與記錄數(shù)據(jù)庫的訪問，另一個是從操作系統(tǒng)層管控敏感數(shù)據(jù)的訪問權(quán)限，對敏感數(shù)據(jù)做到審計加上保護(hù)，不僅可以防堵黑客竊取敏感信息，也可以阻止內(nèi)部人員盜賣信息。敏感數(shù)據(jù)的保護(hù)可以使用星瑞格數(shù)據(jù)庫審計產(chǎn)品DBAUDIT加上操作系統(tǒng)加固產(chǎn)品sysGUARD來完成。DBAUDIT與sysGUARD產(chǎn)品特性請參考產(chǎn)品介紹說明或白皮書，這A虔綣播星瑞格數(shù)據(jù)安全解決方案里不多做說明。三、星瑞格數(shù)據(jù)安全解決方案3.1電信運營商某電信運營商的行動計費系統(tǒng)主要是針對手機計費，該計費系統(tǒng)擁有數(shù)據(jù)庫服務(wù)器20臺，應(yīng)用服務(wù)器60臺，數(shù)據(jù)庫線上訪問最大聯(lián)機數(shù)共3萬個聯(lián)機數(shù)以上，每秒執(zhí)行SQL次數(shù)60萬次。本案整體系統(tǒng)架構(gòu)規(guī)劃，遵循全面性、自動化方式監(jiān)控、不使用inline模式而是使用側(cè)錄封包方式收錄，不更改現(xiàn)行網(wǎng)絡(luò)架構(gòu)為特點，另提供備援機制。數(shù)據(jù)庫審計即采用星瑞格DBAUDIT，進(jìn)行持續(xù)且實時的數(shù)據(jù)庫行為監(jiān)控(DatabaseActivityMonitoring,DAM)，透過人、事、時、地、物完整監(jiān)控數(shù)據(jù)庫訪問軌跡紀(jì)錄。電信運營商的行動計費系統(tǒng)架構(gòu)示意圖：L3SWW1北區(qū)機房inKanM中區(qū)機房L3SWW1北區(qū)機房inKanM中區(qū)機房南區(qū)機妄■-D湖揃因為該系統(tǒng)擁有大量用戶敏感信息，包括手機號，姓名，生日，地址，郵箱，…等,所以對訪問敏感數(shù)據(jù)的監(jiān)控與追蹤至關(guān)重要，必需追蹤到應(yīng)用系統(tǒng)前端用戶的訪問軌跡，前端用戶于應(yīng)用服務(wù)器完成登錄動作時，DBAUDIT會自動識別用戶名稱，并進(jìn)一步關(guān)連比對該用戶對數(shù)據(jù)庫的訪問，所以可以清楚追蹤前端用戶的行為，一旦某個客戶的信息被泄漏，可以清楚查出是誰曾經(jīng)訪過過該客戶的信息，追查出犯罪嫌A■￥塢枱疑人。這個功能非常受到該運營商肯定，因為過往他們根本無法知道誰曾經(jīng)調(diào)用過敏感信息，另外該運營商也利用DBAUDIT每天產(chǎn)出數(shù)據(jù)庫特權(quán)用戶，DBA對數(shù)據(jù)庫的訪問的報表，通過每天的報表可以審計DBA是否有提權(quán)或不法的行為，當(dāng)然也配置了一些告警通知，一旦發(fā)現(xiàn)違反安全政策，告警短信與郵件實時發(fā)送給安全管理員，及時處理防止資安事件發(fā)生。數(shù)據(jù)庫監(jiān)控架構(gòu)圖：L3switchL4SwitchAP-DB10GBWEB1GBHA1GBHA10GBDATA10GBFiber8GBDBAUDITSecuCenterDBAUDITLogServerDBAUDITSecuEyes1DBAUDITLogServerDBAUDITSecuEyes2DBAUDITSecuCenter數(shù)據(jù)庫監(jiān)控架構(gòu)圖：L3switchL4SwitchAP-DB10GBWEB1GBHA1GBHA10GBDATA10GBFiber8GBDBAUDITSecuCenterDBAUDITLogServerDBAUDITSecuEyes1DBAUDITLogServerDBAUDITSecuEyes2DBAUDITSecuCenter3.2金融證券某證券公司除了經(jīng)營柜臺證券交易外，也經(jīng)營網(wǎng)上證券交易，網(wǎng)上交易量是柜臺交易的數(shù)十倍，擁有百臺數(shù)據(jù)庫負(fù)責(zé)各項證券業(yè)務(wù)，數(shù)據(jù)庫服務(wù)器儲備援服務(wù)器外主要是集中管理在數(shù)據(jù)中心機房。該公司因為并購了數(shù)個中小型證券公司，因此有數(shù)十位系統(tǒng)管理員與數(shù)據(jù)庫管理員依業(yè)務(wù)別負(fù)責(zé)管理部同服務(wù)器，總公司管理單位非常頭痛不知道這些管理員做了哪些事無從審計，上級監(jiān)管機關(guān)也會定期要求各系統(tǒng)審計報表，總公司管理單位總是無法如期交付，因此為了解決這些問題該公司引進(jìn)星瑞格數(shù)據(jù)安全解決方案，用DBAUDIT監(jiān)控數(shù)據(jù)庫管理員登錄紀(jì)錄與訪問軌跡，定期產(chǎn)制五大報表發(fā)送給審計管理員，五大報表包括1.數(shù)據(jù)庫用戶登入注銷紀(jì)錄報表，2?數(shù)據(jù)庫對象結(jié)構(gòu)更報表，3?數(shù)據(jù)庫登入失敗報表，4.數(shù)據(jù)庫權(quán)限變更報表，5.DBA訪問軌跡報表。另外每個服務(wù)器都安裝星瑞格操作系統(tǒng)加固sysGUARD，除了限制一些敏感文件訪問權(quán)限外，對于系統(tǒng)管理員的登入與指令操作都可以完整記錄下來，并可以定期產(chǎn)制系統(tǒng)管理員登入與操作軌跡審計報表，導(dǎo)入星瑞格數(shù)據(jù)安全解決方案，不但可以監(jiān)控系統(tǒng)管理員與數(shù)據(jù)庫管理員，也可以自動定期產(chǎn)制審計報表提供公司內(nèi)部審計與滿足監(jiān)管機關(guān)要求。數(shù)據(jù)安全解決方案架構(gòu)圖：DBAUDITLOGServerDBAUDIT安全管控中心MSSQL/WindowsOracle/OracleLinux5.10MSSQL/WindowsOracle/AIX6.1DBAUDITLOGServerDBAUDIT安全管控中心MSSQL/WindowsOracle/OracleLinux5.10MSSQL/WindowsOracle/AIX6.13.3電信運營商某電信公司運營的行動漫游業(yè)務(wù)系統(tǒng)需要建構(gòu)一個加強數(shù)據(jù)安全的運營平臺，計畫于既有行動寬帶數(shù)據(jù)漫游系統(tǒng)提供數(shù)據(jù)安全功能，建立日志收集機制與數(shù)據(jù)安全監(jiān)控機制，建置范圍包含數(shù)據(jù)庫服務(wù)器與應(yīng)用服務(wù)器共13臺，除了監(jiān)控數(shù)據(jù)庫訪問外，還需要提供系統(tǒng)管理員賬號監(jiān)管功能與系統(tǒng)配置文件，敏感信息文件，日志文件，應(yīng)用程序文件防竄改功能。該公司采用星瑞格數(shù)據(jù)安全解決方案，對數(shù)據(jù)庫訪問采用DBAUDIT側(cè)錄封包方式收錄所有數(shù)據(jù)庫訪問軌跡，并配置安全管理政策，如發(fā)現(xiàn)違反安全政策行為及發(fā)送告警通知，對于每個服務(wù)器系統(tǒng)監(jiān)管方面于每個服務(wù)器都安裝星瑞格操作系統(tǒng)加固sysGUARD，監(jiān)控與紀(jì)錄系統(tǒng)管理員的操作指令，并配置系統(tǒng)配置文件，敏感信息文件，日