最佳实践案例丨双十一来了,别让物流行业的敏感数据裸奔.docxVIP

最佳实践案例丨双十一来了，别让物流行业的敏感数据裸奔双11购物狂欢节，阿里巴巴创造的节日，多少剁手党们翘首以盼。阿里更没让大家失望，原本24小时的狂欢，今年延长至24天，真是越玩越大的节奏。听到这个消息后，我想大概会有两个群体倍感压力，一个自然是负责清空购物车的老公们，另一个则是各大物流公司。稍等，我们今天要说的不是快递员，而是容易被大家遗忘的幕后英雄，物流行业的IT运维人。几个月前，我们交流了一家来自上海的大型物流企业，现在，他们已经是安华金和的用户了。作为国内排名前三的大型物流企业，用户的信息系统建设起步较早，在2009年即启动建设以核心业务系统为主体的信息技术平台，并部署了传统的网络安全产品，以应对来自网络层的外部攻击。然而，近年来随着各大电商平台的交易量飞速上涨，与订单量成正比的物流数据正在直面愈加复杂的安全威胁。据统计，2015年快递企业信息泄露案件达43起，泄露包含消费者个人隐私数据的订单信息数量，保守估计高达上百万。在这些案件中，更有数起源于内部人员泄露或内外勾结窃取数据。作为物流行业领头羊之一，用户自然不希望这个锅砸到自己身上，于是有了这一次针对核心数据库的安全防护交流，希望从安华金和找到满意的安全对策。简单交流后，我们的咨询工程师将用户需求归纳为：在不影响业务系统的正常运行下，对来自应用侧、运维侧的数据库访问行为进行监控与审计，提升数据库安全指数。对于这一需求，旁路部署安华金和数据库审计系统(DBAudit)显然是最为合适的解决方案。客户对方案表示认可，但同时补充道：“对你们产品最大的挑战恐怕不单是数据库的安全保障，还有今年的双十一。”我们明白，在各大电商集体爆发的双十一期间，对于物流行业信息系统的最大挑战，自然是超高的数据处理压力。用户的核心数据库系统，主要服务于以淘宝为主的大型电商平台传送来的物流信息。系统承载的日均SQL语句数量为3w条/s，而在双十一期间，日均处理量将飙升至三倍以上。于是，我们将用户对数据库审计产品的关键要求定位在两点：无漏审+无延迟。实现无漏审安华金和数据库审计系统基于对SQL语句的精准解析能力，能够解决包括长语句、参数化语句、查询语句结果集、结果集压缩等解析难点，完美实现100%无漏审。确保无延迟面对双十一期间，高并发量、高语句入库的实时业务压力，通过“采样优化”、专门存储于检索技术，实现采集、入库、查询、分析各环节无延迟。从而确保实时审计、实时告警。在项目测试环节中，除安华金和，另有两家友商同时参与测试。当测试数据量调整至模拟双十一期间的高峰流量，结果是：两家在延迟时间上落后安华金和3天以上，其中一家在漏审率上的表现也相差甚远，我们理所当然的成为中标方。故事到这里还没有结束，时隔几个月，我们接到了另一个项目需求，来自另一家同样规模的上海大型物流企业。客户明确表示，是得到来自同行业伙伴对安华金和产品的使用反馈，希望由我们为其核心数据库系统提供安全加固方案，目的自然是应对即将到来的双十一。虽然在上一个项目中，客户方的产品需求明确定位于数据库审计系统，但这一次交流后，基于对物流行业安全现状的了解，我们的咨询工程师提出了更大胆的方案：部署安华金和数据库防火墙系统。不仅限于数据库审计系统的实时告警与事后追责，而是对于来自外部黑客及内部运维人员的数据窃取、高危操作、误操作等行为，进行实时阻断。与数据库审计系统的功能要求不同，审计的重点在审，而防火墙重点在防，这决定了数据库防火墙的部署方式必须是串联。听到我们的方案，客户有些犹豫。串联部署意味着什么？我们自然明白，这意味着我们对于产品在高性能与高可用两方面的要求更加严苛，既要防的准，还要确保对业务运转速度做到无损，在任何突发情况下不阻断数据传输。但既然敢提出这样的方案，我们自然深有把握，在详细的方案中我们给出了四个技术关键点：有效应对应用侧产生的SQL注入攻击当应用侧数据库暴露于复杂的应用交互之中，恶意的SQL注入攻击是数据库最大的威胁之一。安华金和数据库防火墙基于SQL语句的精准解析能力，通过对SQL注入的特征描述，提供默认注入防护策略，实时拦截危险语句。制定有针对性的行业安全策略产品部署初期将开启学习模式，记录用户日常业务中的各类SQL语句，以建立符合行业特性的语句模型。学习期结束后，根据语句模型开启黑白名单策略，并针对用户核心数据库、核心数据表添加防护策略，设置update、delete影响行数限制，形成一整套符合物流行业需求的安全防护策略。性能上限防护机制保障业务不停顿针对双十一的高并发访问、高语句量执行压力，开启性能上限防守机制。基于CPU和内存的使用量动态调节产品处理方式，确保高强度数据量压力下不影响业务正常运转。主备模式结合ByPass（链路导通）功能提供高可用的安全保障通过网卡的ByPass能力，并结合“看门狗”机制，当发生设备