中安威士數據安全管理方案

1. 背景概述

當前，信息時代進入數據時代，數據的價值正在進一步的凸顯和被挖掘。同時，數據已經成為企業的核心資產。相應的，以數據為目標的網絡攻擊已經成為數據時代新的安全威脅。來自Verizon的報告顯示，數據泄漏事件愈發廣泛且后果愈發嚴重。過去一年全球有近8萬家公司被黑，其中2122家公司公開確認信息被竊取，全球500強企業大面積淪陷。在大多數情況下，攻擊者只需短短數分鐘內就可以入侵一家企業。銀行、信用卡公司、醫院、零售業、保險業、電商、娛樂等行業巨頭們紛紛中招。索尼、Target等企業被黑客攻擊后，均蒙受了巨大的財產和品牌損失。而在國內，數據泄密事件也是層出不窮。2015年發生酒店入住信息泄漏、12306網站用戶信息泄露和社保信息泄露等上千起數據泄露事件，都正在給我們敲響警鐘，數據資源安全正面臨前所未有的嚴峻挑戰。

網絡技術、互聯網以及互聯網+的飛速發展，將眾多傳統行業信息化、數據化、在線化、移動化、遠程化，甚至是虛擬化。無論是核心業務、邊緣業務還是內部的支撐系統都已經越來越多地運行在網絡上。而在開放復雜的網絡環境中，這些蘊藏著巨大商業和政治利益的企業數據不可避免地成為攻擊竊取對象。而據Verizon公布的數據侵犯調查報告顯示，網絡環境下的數據泄露事件，92%的泄漏記錄來自于數據庫泄密。之前發生的酒店入住信息泄漏、12306網站用戶信息泄露和社保信息泄露都是企業數據庫被黑客拖庫或者撞庫所致，根源都在于數據庫記錄遭受了泄漏。數據庫作為數據資產的管理工具，正成為黑客們的主要攻擊對象。

正是由于數據庫的重要性，數據庫安全一直是信息安全體系中除網絡安全、操作系統安全外的第三極。隨著數據價值的凸顯，數據安全成為信息安全領域的重點問題。而作為數據資產的管理工具，數據庫的安全問題自然愈發重要，逐步成為整個信息系統安全防護的矛盾聚焦點。但是，國內信息安全的現狀是，企業在網絡安全和操作系統安全方面一般都愿意投入，在絕大多數網絡節點上部署了防火墻、入侵檢測、UTM、桌面管控、防病毒、VPN等等產品，甚至還部署了WAF, NGFW等較新的應用層安全產品。但在對數據最直接的安全管理方面，也就是數據庫安全方面，由于相關產業發展緩慢和整體重視程度不夠，投入還處于較低的水平。絕大多數的企業在自己內部的數據庫服務器周邊，沒有部署任何針對數據安全的防護產品。而少數一些企業，也只是部署了傳統的網絡安全設備，或者僅僅部署了數據庫審計設備，對數據庫提供的防護能力十分有限。事實上，根據信息安全的木桶原理，這種情況使得整個系統的安全防護能力處于一個相對較低的水平。

 

上圖是一個典型的信息系統和安全防范情況示意圖，描述了當前信息安全的總體情況。從圖中可以看出，從用戶終端瀏覽器或APP用戶到Web/APP服務器這一段的防護手段是比較多的。但是，在Web/APP服務器之后，防護手段就相當有限。在這種情況下，數據庫和其中的數據，極易遭受來自于外部和內部的形式多樣的攻擊。外部攻擊者可以繞過前端防護系統或者穿透應用程序直接訪問數據庫。而內部人員的蓄意越權訪問、誤操作、或是介質竊取等，都是數據泄露的通常途徑。雖然被報道的數據泄密事件主要是來自于外部攻擊，但是據多個調查結果顯示，來自于內部的數據泄漏事件占70%以上。

Gartener對當前網絡環境下的數據安全管理和數據庫安全問題進行了調研，總結了數據庫及其管理的數據所面臨的主要泄密風險，如下：

1) 越權權限的濫用：數據庫權限設置違反了“權限最小原則”在很多信息系統中比較普遍。如果這些超出的權限被濫用，則極易發生敏感數據泄漏事件；

2) 合法權限濫用：系統中總是有一部分用戶合法的擁有較大甚至是超級管理權限。如果這些權限被濫用，則極易發生嚴重后果；

3) 權限盜用：由于商用數據庫的用戶認證方式主要為單一的口令方式，權限盜用容易發生，進而極易導致嚴重的數據泄漏事件；

4) 數據庫平臺漏洞：數據庫管理系統是個復雜的軟件系統，從數據庫廠家發布的補丁情況來看，數據庫系統無一例外的具有嚴重的安全漏洞。如緩沖區注入漏洞或者認證、權限管理漏洞。這些漏洞極易被攻擊者利用以竊取數據；

5) SQL注入、緩沖區溢出風險：數據庫本身不具備SQL注入攻擊檢測能力。通過Web/APP插入惡意語句，或者利用連接工具發動緩沖區溢出攻擊，攻擊者便有機會獲得整個數據庫的訪問權限；

6) 弱鑒權機制：商業數據庫系統提供的基本的管理機制，主要是自主訪問控制（DAC）和基于角色的訪問控制（RBAC）。并沒有采用強制訪問控制的方式（MAC），基于用戶和數據的敏感級別來進行權限的鑒別。這容易使得低密級用戶訪問到高密級的數據；

7) 備份數據缺乏保護：從數據庫備份的數據通常是以非加密的形式存儲的，而且在運輸、保存、銷毀的生命期中，需要嚴密的保護。一旦疏忽，備份數據將有可能被竊取或偷窺而導致泄密；

8) 缺乏詳盡審計：審計是每個數據庫管理系統標配的安全特性，用于記錄對數據的訪問情況，從而形成對非法訪問的威懾。而數據庫自身的審計功能在可視化、智能化、入侵檢測能力等方面能力較弱，通常無法滿足實際的安全需求；

9) 數據庫通信協議漏洞：數據庫通信協議設計的漏洞，可能被攻擊者利用，造成數據的泄漏。

除了上述泄密風險，我們在長期的數據庫防泄密實踐中還發現如下兩個嚴重的泄密風險：

1) 惡意軟件：攻擊者使用木馬病毒技術，通過郵件、圖片等偽裝方式，將惡意軟件安裝到數據庫管理和運維人員的電腦上，攻擊者利用管理員的電腦，竊取或者破壞數據庫中的數據；

2) 明文存儲：目前絕大多數數據庫的數據文件都是以明文形態保存的。在數據的產生、使用、傳輸、保存、備份、銷毀的整個生命周期內，任何接觸到存儲介質的攻擊者，都有可能獲取到數據。

市場上現有的網絡安全和操作系統安全產品，都從不同的方向提供對數據的防護，但是都無法從根本上防止這些數據庫泄密風險。只有在現有的安全防護體系中，補充對數據庫的防護這一環節，部署“術業有專攻”的數據安全管理系統，才能從根本上解決數據安全問題。

2. 需求分析

如上所述，各企業的信息系統中，亟需部署數據安全管理系統，彌補現有的安全體系的不足。而數據安全管理是通過對數據的存儲管理系統，也就是數據庫的安全加固實現的。針對數據安全管理的需求主要包括如下：

1) 數據安全風險可視化

Ø 了解數據資產的分布。需要自動發現數據庫服務器、敏感數據的分布情況，為后續安全加固明確目標。

Ø 實時掌握數據庫系統的可用性。要求能對數據庫運行狀態進行實時監控，在狀態異常時進行預警，提前防止業務癱瘓，保障業務系統的連續可用性。

Ø 實時掌握數據庫存在的風險狀況。要求能通過掃描的方式，靜態的評估企業數據庫系統的風險，掃描內容包括：弱口令檢測、系統漏洞、配置風險等。

Ø 需要進行數據活動監控。實時監控數據活動情況，記錄數據訪問行為，尤其是對敏感數據的訪問行為。要求能實現對數據庫的直接訪問和通過Web和應用對數據庫的間接訪問進行全面監控。

2) 數據安全風險可控化

Ø 需要進行數據活動保護。在數據活動監控的基礎上，提供訪問控制規則，對違規的數據訪問進行阻止。要求系統能夠自動學習應用系統對數據的訪問行為模式，并生成不同粒度的訪問規則。

Ø 需要進行數據庫攻擊檢測和保護。在系統內置攻擊檢測規則，能夠實時檢測和阻止針對數據庫協議、SQL注入和緩沖區溢出等多種攻擊，同時詳細地記錄攻擊的詳細信息。

Ø 要求對數據庫敏感數據進行透明加密。要求采用加密技術，有選擇的將敏感內容進行加密存儲，并提供進一步增強的訪問控制，防止特權的濫用和盜用。并且要求加密對應用是透明的，不需要對應用系統進行改造。

Ø 要求實現運維、開發、測試中的敏感信息的脫敏。在涉及敏感數據的情況下，要能通過脫敏規則進行數據的變形，以在運維和生產環境，以及在外包、開發、測試和其它非生產環境中安全地使用脫敏后的準真實數據集。

3) 數據安全管理合規化

Ø 遵守監管合規性。國家和各行業的監管機構越來越重視數據的安全管理，相繼出臺了《加強網絡信息保護的決定》、《信息安全等級保護管理辦法》和《電信和互聯網用戶個人信息保護規定》等幾十項法規和標準，并開展了以數據安全管理為重點的安全評測和檢查。因此，除上述功能要求外，數據安全管理系統還必須幫助企業經濟快速地滿足合規審計要求。

3. 解決方案

中安威士（北京）科技有限公司對于解決數據庫安全問題的基本思路是滿足其三大主要需求：可視、可控和合規。

可視，是指將數據庫的風險和訪問情況可視化。實時顯示企業敏感數據的分布情況、訪問情況、風險狀況，即時發現數據的異常活動狀況和風險。這是數據庫安全最基本的要求。

可控，是指將數據庫的訪問操作行為可控化，通過控制訪問數據的活動和操作行為，保證數據的安全?？煽匕▋蓚€方面：

其一，防泄漏，即防止數據庫中的敏感信息部分或全部被偷窺，被拖庫或者鏡像；

其二，防篡改，即防止數據庫中的敏感信息被非法修改或者刪除。做到可視和可控這兩點，基本上就能保證企業數據庫的業務安全。

而所謂合規，則是指企業需要滿足上級監管部門的各種安全保密檢查和測評，比如等保、分保測評，或者行業法規標準。幫助企業滿足合規審計也是我們的解決方案的一個重要功能。

按照可視、可控和合規這樣一個基本思路，我們設計了一個針對數據安全管理的完整解決方案：數據庫訪問的全面審計+細粒度訪問控制+敏感數據加密和脫敏。如下圖所示：

 

該方案可以概括為三個遞進層次：

數據活動的全面審計：對數據的分布、性能、訪問和活動情況進行全方位的監控和記錄，便于事后審計和追查。及時發現數據的異常活動情況和風險，產生報警。輸出可視化的報表，便于分析；

細粒度訪問控制：基于自動學習，生成細粒度的訪問控制規則，阻斷異常的查詢和訪問，防止敏感數據泄漏。阻斷異常的和違規的數據修改和刪除操作，防止敏感數據被非法篡改；

敏感內容加密和脫敏：有選擇性的對敏感內容加密和脫敏，防止在線數據和備份數據的存儲介質丟失被竊取導致敏感數據泄露。增強的對加密敏感數據的權限管理，防止越權權限的濫用、合法權限被盜用和濫用導致的數據泄漏。

該思路通過全方位的審計實現了風險的可視化，通過細粒度訪問控制實現了非法操作的可控，再加上敏感內容加密和脫敏，避免了存儲介質丟失和內部人員權限盜用和濫用造成數據泄密的風險?？梢哉f，該思路以數據庫安全加固為落腳點，全面地解決了數據安全管理的問題，幾乎從所有環節防止了數據泄密的發生。

遵循以上思路，北京中安威士的數據安全解決方案基于自主研發的系列數據庫安全加固產品而實現。具體的實施方案如下圖所示。

該解決方案的要點如下：

1) 對所有數據庫部署數據庫審計系統

Ø 通過旁路鏡像的方式，在不改變數據庫系統的任何原有設置和在不影響數據庫系統自身性能的前提下，實現對數據庫的在線監控和保護；

Ø 對于應用系統和數據庫在同一臺服務器的系統，或者云計算和虛擬化平臺上的數據庫系統，以及難以實施鏡像部署的系統，通過部署中安威士特有的軟件探針，實現全面審計；

Ø 使用數據發現功能，自動生成數據庫服務器和敏感數據的分布情況，并將所發現的重要服務器、服務和數據進行分類，并生成統計報表。將所有發現和分類結果直接應用到后續模塊中的規則中；

Ø 開啟數據庫性能監控功能，對數據庫運行狀態進行實時監控，在狀態異常時進行預警，提前防止業務癱瘓，保障業務系統的連續可用性；

Ø 開啟數據庫性風險評估功能，掃描弱口令、系統漏洞、配置等風險，全面評估數據庫系統的風險狀態；

Ø 開啟學習功能，自動生成基線模型白名單訪問規則，實現規則零配置，解決因人力不足無法詳細設置審計規則的問題。通過人工添加黑名單規則，實現靈活的細粒度訪問規則；

Ø 開啟入侵檢測功能，及時發現針對數據庫的違規操作行為，并進行記錄、報警。一旦發生威脅，可迅速判斷是內部人員的越權操作，還是外部人員的入侵行為，事后追責，滿足合規審計要求；

Ø 開啟運維審計功能，審計通過SSH/TELNET/FTP等協議對數據庫服務器進行的運維操作；

Ø 開啟Web應用審計和三層關聯審計，實現完整地溯源能力。

2) 對更重要的數據庫實施數據庫防火墻系統

Ø 對于更重要的、易受攻擊的系統，尤其是需要通過網絡對外提供服務的應用系統的數據庫，如門戶系統的數據庫，部署數據庫防火墻；

Ø 開啟入侵保護功能，以抵御SQL注入攻擊和針對數據庫漏洞的攻擊，還能防止全表刪除等誤操作、超級權限濫用等風險；

Ø 開啟學習功能，生成白名單規則，并手工添加黑名單規則，解決詳細設置數據庫防火墻規則困難的問題；

Ø 對于云計算和虛擬化平臺上的數據庫，部署軟件形態的數據庫防火墻系統。

3) 對于尤其重要的數據庫系統，部署數據庫加密系統

Ø 對于尤其重要的數據庫，部署數據庫加密系統，對制定的敏感字段進行加密；

Ø 通過三權分立的限管控系統來實現對敏感數據訪問的權限控制，確保其數據的安全性；

Ø 開啟敏感數據訪問審計功能，記錄對加密數據的訪問；

Ø 定期輪換密鑰，保證加密數據的安全。

4) 部署數據庫脫敏系統

Ø 對于運維操作，通過動態脫敏功能，確保運維人員在運維時不能看到真實的數據；

Ø 對于需要管控的應用程序，通過動態脫敏，確保系統只能看到脫敏后的準真實數據；

Ø 對于開發和測試工程，通過靜態脫敏功能，確保開發和測試人員只能看到脫敏后的準真實數據；

Ø 對于外包、數據外送等情形，通過靜態脫敏功能，使得交付的是脫敏后的數據，防止真實數據外泄。

4. 方案優勢

中安威士提供的數據安全管理解決方案，基于數據庫審計、數據庫防火墻和數據庫加密產品實現，并輔以數據庫脫敏產品。方案非常完美地解決了當前信息系統所廣泛面臨的數據泄露困境。該方案的優勢體現在：

1) 完整的防護體系。方案涵蓋針對數據庫中數據的審計、訪問控制、入侵檢測、加密和脫敏等數據管理。經過幾年的潛心研究，依托團隊卓越的研發能力，北京中安威士的數據庫安全產品獲得了多次重大突破，已形成了國內最齊全、最成熟的數據庫安全產品線。產品的功能和性能都處于國內領先行列，能提供最完整、最有效的數據安全管理解決方案；

2) 完全自主知識產權。公司的核心產品都是自主研發的，擁有多項核心專利，擁有完全獨立的知識產權。另外，產品資質齊全，通過了公安部、中國人民解放軍、國家保密局、中國信息安全測評中心等論證機構的高等級嚴格測評。獲得了國內最高的公安部銷售許可證（三級）、軍Ｂ級信息安全產品資質、保密局數據庫安全網關涉密產品資質和ISCCC等證書；

3) 數據庫實時、全面的審計。審計范圍包括業務審計、數據庫運維審計、系統運維審計、FTP審計以及Web應用審計。審計范圍涵蓋了所有可能訪問數據的途徑，外部入侵和內部越權訪問被全面記錄，一覽無遺。對數據的訪問和活動情況進行全方位的監控和記錄，便于事后審計和追查。有效解決了企業人員復雜，數據庫面臨內外諸多風險的難題，對企業的所面對的Web應用監控難題也迎刃而解；

4) 零配置，降低管理工作量。自動學習規則，生成白名單基線模型，無需投入大量人力資源進行安全規則的設置，有效解決了安全管理人員匱乏、水平層次不齊等現實問題；

5) 混合部署且方式靈活。產品支持旁路、串聯和軟件探針等三種基本部署方式，也可以根據實際需要，采用混合的部署方案，不受企業數據庫分散、云計算和虛擬化趨勢的影響。軟件探針部署同時也解決了應用系統和數據庫部署在同一服務器上導致的不能進行旁路審計的問題；

6) 增強的細粒度訪問控制。通過部署數據庫防火墻，設置細粒度的SQL白名單規則，使信息的保護真正提升到業務層。及時發現數據的異?；顒忧闆r和風險，產生報警。阻斷異常的查詢和操作，防止敏感數據泄漏和非法篡改；

7) 敏感內容加密和脫敏。有選擇性地對敏感內容加密，防止在線數據和備份數據的存儲介質丟失或被竊取，導致敏感數據泄露。增強的對加密敏感數據的權限管理，防止越權權限的濫用、超級權限的盜用、濫用導致的數據泄漏。通過動態和靜態雙重數據脫敏機制，保證運維、開發、測試過程中不會發生敏感數據泄漏；

8) 方案成熟。方案所采用的自主研發的系列產品已經受了市場檢驗，應用于國內近千家大型企業客戶；

9) 超高性能。所采用的產品性能優勢突出，遠高于國內競爭產品，可以有效地降低財務支出成本。同時，在查詢、報表方面的高性能，有效的提升了用戶的體驗；

10) 方便檢查和報表。提供豐富優質的報表，可實現報表格式和模板的自定義。系統自動生成方便用戶查看的表格、柱狀圖、餅狀圖等，報表支持多種格式的輸出。

5. 方案價值

通過上述解決方案，有效滿足了企業所面臨的數據安全管理的需求：

1) 使數據安全可視。實時顯示企業敏感數據的分布情況、訪問情況、風險狀況，及時發現數據的異?；顒訝顩r和風險，實現數據庫安全最基本的要求；

2) 使數據安全可控。即通過控制對企業數據的活動和訪問，防止數據庫中的敏感信息部分或全部被偷窺、拖庫或者鏡像，防止數據庫中的敏感信息被非法修改或者刪除；

3) 使數據安全合規。產品實現獨立的審計和訪問控制，直接輸出合規的報表，滿足國家和各行業多個法規和標準的要求。能夠幫助企業快速通過各種安全保密檢查和評測，比如等保評測。

除帶來上述主要價值外，具體來說，中安威士數據安全管理解決方案還帶給企業客戶如下價值：

4) 簡化業務治理，提高數據安全管理能力。由于數據庫系統是一個復雜的“黑盒子”軟件系統，其可視化程度很低。數據庫管理員很難說清在某個時刻數據被訪問的情況，這對業務治理帶來了很大的困難。尤其在云環境中，這種不可視化程度更加嚴重。中安威士數據安全管理解決方案通過多種手段全面監控數據的訪問情況，并提供豐富的預設統計報表，以圖形化的方式將數據的訪問情況和風險情況可視化，進而提供訪問控制能力，極大的簡化了業務治理，提高了數據安全管理能力；

5) 完善縱深防御體系，提升整體安全防護能力。建立縱深的防御體系已是信息安全建設的共識。應用系統到數據庫這一段，是信息安全的最后一公里，也是最后一道防線，涉及的是最直接的敏感數據安全管理，直接關系到敏感數據的安全。同時，在數據/業務層加強安全防護，也逐步成為信息安全的新方向。中安威士數據安全管理解決方案緊緊圍繞核心數據，針對信息安全的最后一公里以及數據/業務層提供完整的防護手段，有利于企業完善縱深防御體系，提升整體安全防護能力；

6) 減少核心數據資產被侵犯，保障業務連續性。信息系統最有價值的資產是數據，而數據也是攻擊者想偷窺、篡改、甚至刪除的終極目標。核心數據被侵犯，輕則導致業務中斷，重則導致信息泄密和篡改，嚴重影響企業的聲譽乃至危及生存。圍繞核心數據的攻防對抗將長期存在。云環境中管理權和所有權的分離也大大提升了數據被侵犯的風險。中安威士數據安全管理解決方案緊密貼合數據，提供數據發現、風險評估、審計、防火墻、加密、脫敏等手段，實現數據安全的可視性和可控性，并最終減少核心數據資產被侵犯的可能性，保障正常的業務連續性；

7) 從根源上杜絕SQL注入攻擊。從訪問數據庫的SQL語句級別和查看數據庫的字段級別進行防控，從根源上徹底防止了SQL注入等攻擊。也防止了企業內部人員及外部人員對敏感數據的篡改和竊取，從而保證了企業敏感數據的安全；

8) 維護企業的公信力。確保企業不會發生信息的泄露和不良信息的傳遞，提升企業在社會上的影響力和聲譽。

綜上所述，中安威士數據安全管理解決方案，對網絡環境中的企業數據提供了全方位，高水平的保護，為企業帶來嶄新的數據安全體驗。

數據安全管理專家-中安威士

                                                 網址：www.csbit.cn

微信號：中安威士

2017年1月3日