Security+金融安全峰会 安华金和专家分享数据库纵深防御体系
“这是最好的时代,这是最坏的时代;这是智慧的时代,这是愚蠢的时代”。狄更斯的这句名句用在当下,似乎更具先见之明。云计算飞速发展的今天,给人类生活带来巨大便利的同时,安全问题,紧随其后,一场针对核心数据防御的持久战,此起彼伏。而金融信息安全泄密,众多安全事件的发生,无疑使其成为数据安全的重灾区。关乎企业、个人核心资产安全,我们无从逃避、对于核心数据的存储介质数据库,如何构建核心安全数据的纵深防御,成为安全重点。
Verizon《数据泄露调查报告》指出:数据库遭受威胁是数据泄漏事件发生的主要原因,其占比高达90%,整体信息系统安全,其中数据安全重要性占比高达74%。足可见核心数据安全受重视的程度,特别是金融行业,涉及企业信誉和公信力,一旦泄密,金融行业将面临重点风险挑战。
当前金融行业数据库安全面临的问题也是多维度、多重性的:
首先,金融数据库“安全底子”不统一,金融行业一般上百个业务系统对应上百个数据库支撑,缺乏自动化手段深入洞悉数据库自身脆弱点。以oracle数据库为例,自身4000+配置项,安全配置参差不齐,导致安全防线不牢固;
第二,金融行业面临的内外部环境较为复杂,由于金融数据价值显现,内部和外部人士受利益驱使,安全事件发生频率高,新的支付途径,如网银、电子支付、手机银行等新业务带来新风险;
第三,新金融的发展,如P2P金融,业务发展需求和速度远超安全运维速度,堡垒机、kvm针对数据库安全管理有局限,数据库访问行为得不到有效记录与控制,运维人员身兼数职,存在误操作隐患;
第四,随着金融行业上云的步伐,云上的安全问题显现,数据库大集中,数据库明文存储,核心数据得不到安全保障等等。
因此,安华金和提出构建金融数据库安全纵深防御体系。整个信息系统,数据库是最核心的存储系统,通过对数据库建立三道安全防线机制,从根本上防御内外部对数据库中核心数据的窃取入侵和不良操作。
第一道防线:针对数据库进行威胁分析,利用专业的自动化工具进行风险评估,找到数据库安全弱点,防范于未然;访问行为监控,找出数据库安全风险;根据数据库弱点和风险,安华金和提供数据库安全加固建议。
第二道防线:针对数据库内外部访问进行主动防御。利用虚拟补丁技术,防止外部漏洞攻击;通过内部人员访问权限的控制,防止金融误操作和非授权行为;通过阈值控制,防止数据批量大面积泄密。
第三道防线,即金融数据底线的防守,进行数据加密与脱敏。通过库内核心数据加密,防止金融敏感信息泄露;通过静态、动态脱敏技术,对核心数据进行脱敏处理。
通过三道关卡设立,确保外面的进不来,里面的出不去,切实保障金融信誉和公信力,提升金融行业竞争力和业务运营的技术实力。这三道防线从数据库根源上实现对金融核心数据的防护,从外到内进行纵深防御,全方位覆盖了DBMS、访问路径、核心数据。
举一个P2P金融的真实案例,截止2014年11月,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫等情况。安华金和对此提供的金融行业云数据库安全解决方案是,将数据库防火墙(DBFirewall)部署在数据库服务器前,以实现来自外部人员的攻击和内部人员的误操作。数据库防火墙可针对批量删除或是批量下载等针对数据库的操作行为进行细粒度控制,并实现100%应用用户关联;同时通过对SQL语法/词法进行精确协议解析,防止外部对数据库漏洞的攻击和SQL注入、刷库等行为。同时,云环境下,为了防止数据库存储文件丢失,导致整库泄密,安华金和数据库保险箱(DBCoffer)通过对数据库敏感字段的加密,防止因数据明文存储导致库内敏感信息泄露,防止拖库行为的发生。
原文发布时间为:2015-11-17
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
