此前,k8凯发游戏数据安全专家从“核心诉求、解决思路、方案设计、客户价值”四方面分享了某大型国有银行数据库审计项目的实践经验。
某大型国有银行(以下简称:a行)为有效降低数据中心、分行开放平台数据库海量客户敏感信息的泄露风险,满足各类境内外监管机构、pci组织等行业机构对客户数据保护的要求,需要部署实施专业的数据库安全监控审计系统,用以实现对异常业务数据操作(如读取、新增、修改、删除)的实时报警与快速审计,并提供针对相关用户操作行为的追溯及报表统计分析等功能,帮助客户方面及时、准确地发现非法数据读取、非授权数据改动等风险问题,从源头上对数据安全进行控制...
本文中,我们将焦点转向该项目的实际部署工作,并为大家介绍安华金和方案的创新之处:
根据a行的不同需求场景,安华金和在部署数据库安全审计系统(das)的同时,通过应用数据安全管理平台(dsp),对所部署的多套审计产品进行统一管理。
数据库安全审计系统部署上线后即接入纳管数据开放平台上的所有数据库,将数据库纳入监控和审计范围,从部署到上线后一直稳定运行。结合当前a行内的数据库使用方式,数据库安全审计系统采用了不同模式对纳入监控的数据库系统进行相应的监控和审计。
部署方案及策略
1、数据库资源管理方案
数据库资源为核心管理内容,根据不同的k8凯发游戏的业务范围和职能部门管理范围,由上级账号以数据库资源组的方式对指定账号进行授权;同时,可根据下级账号不同的角色身份,对授权的数据库资源设置为“不可见、只读(如只看审计到的数据)、可配置(如可配置风险监控识别策略)”等权限。
a行总行数据中心的数据库审计节点以及各分行的数据库审计节点,可通过网络专线方式统一集中注册到总行数据中心的数据安全管理平台上;如此,通过数据安全管理平台即可见所有审计节点上的数据库信息,并对数据库资源进行统一分配。总行可根据不同的部门、业务单元,将数据库划分为多个数据库资源组,各部门/组可根据自身权限范围内的数据库资源信息,可向下进行二次分配;同理,各分行也可将在自身权限范围获取到的数据库资源信息,根据实际的业务构成,继续向下进行再次分配。
2、风险识别及策略管理方案
k8凯发游戏提供内置的数据库操作行为风险识别策略,具备“策略启用”权限的各级账户,可以将策略关联至自己管理权限范围内的数据库上,即可实现对所属数据库日常行为的风险识别。此外, das还可以手动创建符合各自特定业务场景的风险识别及监控策略。
总行的多个业务部门、各分行,都可以根据自己的业务需要设置不同的风险监控策略,这其中有大量的策略具有通用性,即可直接复用或经微调后应用于其他分行的数据库监控策略之上;同时,由于多层级的权限划分,也导致在策略管理当面的复杂性。概括起来,主要分为以下三类场景:
场景一:总行统一推广策略
总行统一推广策略一般具备高度通用性特征,如针对删除库、删除表、清空表等在绝大多数生产业务系统上不应出现的数据库操作行为,以及使用错误的数据库口令多次尝试登陆系统的行为(可能存在口令攻击或忘记数据库账号口令而多次尝试的疑似破解行为),以上这类基础性策略均可由总行统一配置,并全部推广至总行的各业务单元和各分行。
场景二:分行特色策略分享
分行特色策略一般是分行根据自身业务场景,有针对性设置的数据库异常操作风险识别策略。此类策略起源于特殊业务需要,往往与日常数据库操作行为或特殊监控要求有关。分行在数据安全管理平台上创建策略时,可选择“私有”或“公开”两种策略属性:若选择“私有”,则该策略仅自身当前账户和上级账户可见策略详情、可编辑策略内容,并可直接关联至自己权限范围内的数据库资源,从而实现监控策略的直接应用,而同级分行账户之间、下级账户均不可见;若选择“公开”,则该策略不仅自身当前账户、上级账户可见策略详情、可编辑策略内容,同级分行之间账户、下级账户均可见策略详情,并可关联应用至自身权限范围内的数据库,但不可以编辑策略内容,即“可使用但不可编辑”。此外,针对任何可见的策略,均可“复制”、微调并另存为新的策略,以实现自身私有策略的创建。
场景三:总行分享推广至各分行
总行分享推广某个分行的策略到其他分行,总行顶级账户本身具备更高一级的管理权限,默认可以看到各分行设置的、正在使用的各种数据库风险行为监控策略;当发现分行的某条策略具备通用性,或在某些特定场景下可对相应行为进行有效监控,即可利用其更高一级的管理权限,将原本由某个分行创建的私有策略,修改为“公开”属性。如此一来,其他分行便均可看到该策略,相当于将该经验分享给其他分行。
以上场景可根据策略的“属主”关系和上下级间的管理权限,通过不同的操作步骤满足场景使用。
3、数据审计节点及探针管理方案
目前,a行总行数据中心已部署一部分数据库审计节点设备,统推后将会在各分行数据中心部署新的数据库审计节点(同时需要在分行数据库中心的数据库主机或运维主机上部署探针以获取操作数据),以满足对各分行数据库日常行为操作的审计需要;为保证所有的数据库审计监控具备统一的管理入口,这些部署在总行数据中心及各分行的节点,会被统一注册到总行数据中心的数据安全管理平台上,再由总行根据审计节点所属的单元进行统一分配。
审计节点的维护包含对当前节点设备的硬件使用状态监控、软件运行状态监控、节点产生的告警数量监控以及对该节点的系统级维护;具备管理权限的账户还可以单点登录到数据库审计节点das设备上进行操作;此外,针对安装在数据库主机上的探针软件,具备管理权限的账户同样可以对其进行日常管理和维护,包含安装、卸载、运行参数配置、日常运行监控以及运行维护等。
创新优势
1、统一集中管理
数据安全管理平台,是统一管理数据安全设备和客户数据环境,统一对敏感数据进行安全配置,集中对数据访问及操作行为进行全面统计、分析、查询的综合管理平台。
数据安全管理平台对多种数据安全设备、集群式的数据安全设备提供统一的集中监控界面和管理入口,极大降低了对多节点部署数据安全节点设备的统一管理与维护成本;针对分布在多个被管理数据安全设备节点上的数据,提供全局查询、报表、统计、任务调度、安全策略配置管理的能力;平台可以横向扩展对不同数据安全设备的接入和管理,整合多种数据安全设备能力,打通数据和业务的联动,为数据安全的全面管理方案提供灵活的组合能力。
基于平台多租户设计,通过角色(平台功能菜单)和资源(节点设备、探针、数据资源)组合授权,可以授权不同租户的功能和资源管理权限。无限级的账号管理结构,满足不同组织架构下人员对平台资源管理的相互隔离和上下级继承需求。
具备灵活的扩展接入能力,通过标准的设备管理接口,数据安全设备可快速接入到平台进行统一的设备集中管理和资源状态监控,减少多点部署状态下的分散运维管理成本;同时,结合业务管理接口的联动能力,形成多种形态的数据安全综合管理组合方案。
2、工单对接关联监控策略
数据库安全审计系统能够全面记录从运维终端发起的、对数据库的日常运维操作。系统内置大量数据库安全操作风险监控规则,可识别针对数据库的高危、非常规操作操作行为,并实时生成不同等级的风险告警,为a行安全管理人员对数据安全事件的稽核工作提供有效的范围参考依据。
在数据中心日常运维过程中,因特定业务需要,可能存在对数据运维、修改、批量查询、导出等非常规操作场景。而这些行为必须通过工单系统预先提交申请,审核通过即可视为合规操作,从而在安全事件稽核中被过滤掉,不会被当作真实的风险事件。
根据以上情况,在数据库安全审计系统触发的待核实风险事件中,需要从工单系统中已审核的工单中提取相关信息,并与实际产生的运维操作记录进行匹配,以识别和发现已经过审核的合规运维操作,从而输出最终的数据安全风险事件情况。考虑到a行总行已部署多台数据库安全审计系统,为节约管理成本和统一操作,由数据安全管理平台(dsp)进行统一的数据对接、提取、集中处理和呈现。
试用申请