如何構建金融行業資料庫縱深防禦體系

標籤：安華金和   資料庫安全   資料防泄漏   金融行業資訊安全   

“這是最好的時代，這是最壞的時代；這是智慧的時代，這是愚蠢的時代”。狄更斯的這句名句用在當下，似乎更具先見之明。雲端運算飛速發展的今天，給人類生活帶來巨大便利的同時，安全問題，緊隨其後，一場針對核心資料防禦的持久戰，此起彼伏。而金融資訊安全泄密，眾多安全事件的發生，無疑使其成為資料安全的重災區。關乎企業、個人核心資產安全，我們無從逃避、對於核心資料的儲存介質資料庫，如何構建核心安全資料的縱深防禦，成為安全重點。

Verizon《資料泄露調查報告》指出：資料庫遭受威脅是資料泄漏事件發生的主要原因，其佔比高達90%，整體資訊系統安全，其中資料安全重要性佔比高達74%。足可見核心資料安全受重視的程度，特別是金融行業，涉及企業信譽和公信力，一旦泄密，金融行業將面臨重點風險挑戰。

當前金融行業資料庫安全面臨的問題也是多維度、多重性的：

首先，金融資料庫“安全底子”不統一，金融行業一般上百個業務系統對應上百個資料庫支撐，缺乏自動化手段深入洞悉資料庫自身脆弱點。以oracle資料庫為例，自身4000+配置項，安全配置參差不齊，導致安全防線不牢固；

第二，金融行業面臨的內外部環境較為複雜，由於金融資料價值顯現，內部和外部人士受利益驅使，安全事件發生頻率高，新的支付途徑，如網銀、電子支付、手機銀行等新業務帶來新風險；

第三，新金融的發展，如P2P金融，業務發展需求和速度遠超安全營運速度，Bastion Host、kvm針對資料庫安全管理有局限，資料庫訪問行為得不到有效記錄與控制，營運人員身兼數職，存在誤操作隱患；

第四，隨著金融行業上雲的步伐，雲上的安全問題顯現，資料庫大集中，資料庫明文儲存，核心資料得不到安全保障等等。

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/76/C5/wKiom1ZcCryy-N_VAAENYRGBM2Y521.jpg" title="20151117-jrzsfy.jpg" alt="wKiom1ZcCryy-N_VAAENYRGBM2Y521.jpg" />

因此，安華金和提出構建金融資料庫安全縱深防禦體系。整個資訊系統，資料庫是最核心的儲存系統，通過對資料庫建立三道安全防線機制，從根本上防禦內外部對資料庫中核心資料的竊取入侵和不良操作。

每一道防線：針對資料庫進行威脅分析，利用專業的自動化工具進行風險評估，找到資料庫安全弱點，防範於未然；訪問行為監控，找出資料庫安全風險；根據資料庫弱點和風險，安華金和提供資料庫安全強化建議。

第二道防線：針對資料庫內外部存取進行主動防禦。利用虛擬補丁技術，防止外部漏洞攻擊；通過內部人員存取權限的控制，防止金融誤操作和非授權行為；通過閾值控制，防止資料批量大面積泄密。

第三道防線，即金融資料底線的防守，進行資料加密與脫敏。通過庫核心心資料加密，防止金融敏感資訊泄露；通過靜態、動態脫敏技術，對核心資料進行脫敏處理。

通過三道關卡設立，確保外面的進不來，裡面的出不去，切實保障金融信譽和公信力，提升金融行業競爭力和業務運營的技術實力。這三道防線從資料庫根源上實現對金融核心資料的防護，從外到內進行縱深防禦，全方位覆蓋了DBMS、訪問路徑、核心資料。

舉一個P2P金融的真實案例，截止2014年11月，已有近165家P2P平台由於駭客攻擊造成系統癱瘓、資料被惡意篡改、資金被洗劫等情況。安華金和對此提供的金融行業雲資料庫安全解決方案是，將資料庫防火牆（DBFirewall）部署在資料庫伺服器前，以實現來自外部人員的攻擊和內部人員的誤操作。資料庫防火牆可針對大量刪除或是批量下載等針對資料庫的操作行為進行細粒度控制，並實現100%應用使用者關聯；同時通過對SQL文法/詞法進行精確協議解析，防止外部對資料庫漏洞的攻擊和SQL注入、刷庫等行為。同時，雲環境下，為了防止資料庫隱藏檔丟失，導致整庫泄密，安華金和資料庫保險箱（DBCoffer）通過對資料庫敏感欄位的加密，防止因資料明文儲存導致庫內敏感資訊泄露，防止拖庫行為的發生。

本文出自 “資料庫安全” 部落格，請務必保留此出處http://schina.blog.51cto.com/9734953/1718241

如何構建金融行業資料庫縱深防禦體系