星瑞格数据安决方案综述.docx

星瑞格数据安全解决方案福建星瑞格软件有限公司目录一、前言3二、数据安全3三、星瑞格数据安全解决方案53.1 电信运营商53.2金融证券63.3 电信运营商7前言随着互联网的蓬勃发展以及大数据时代的来临，我们的很多信息无时无刻都在通过各种途径传播，这就必然会导致很多安全问题的产生。重要的敏感信息每天不断是在邮件、社交网络、电子商务、或是应用软件上传递，甚至于每天使用的手机、微信支付、银行卡……这些都在传递着个人敏感信息。做为一个商家或是拥有及使用这些数据的运营者，对于数据的安全不可以不重视，一旦发生安全事件必将会造成重大损失。日前，广东警方破获一起高科技经济犯罪案件，17岁的“黑客”叶世广，攻破了多个商业银行网站，窃取了储户的身份证号、银行卡号、支付密码等数据，带领一批人在网上大肆盗刷别人的信用卡，涉案金额近15亿元，涉及银行49家。2016年2月，发生了世界上有史以来规模最大的网络盗窃案。黑客入侵了孟加拉国央行在纽约联邦储备银行的账户，盗走了8100万美元，后来孟加拉国官方表示，黑客出现了一个拼写错误，否则随后还将进行一笔近10亿美元的转账。以及现今社会层出不穷的诈骗案件，诈骗集团都是利用各种管道窃取或购买个人信息进行诈骗。想想这些敏感信息存放何处？不管是什么应用，数据库都是信息存放的最终地点，因此不管是黑客或是内部不法人士窃取敏感信息最直接的方式就是从数据库下手，所以数据安全首要就是保护好数据库。数据安全星瑞格已有多年对安全技术的研发为基础，我们认为数据安全的实践可以分为4个方面：数据存储 : 加密是技术实施上对于数据安全最有效的关卡，Sinoregal DS提供直接对数据加密的功能。提供了加密函数和解密函数，这样就能以加密的方式来存储敏感数据，具备不同层面的加密，列级(column-level)和单元级(cell-level)加密，列级加密使用同一个密码来对同一个列的数据进行加密; 单元级(cell-level)加密使用不同的密码来对同一个列的不同单元进行加密。数据传输网络安全是保证数据安全传输和交换的基础。确保各级网络以及设备之间的有效隔离是确保数据安全的首要关键控制。网络中构建出的一个隔离的安全网络环境，包括选择自有IP地址范围、划分网段、配置路由表、防火墙和网关等可提升掌控网络传输安全。Sinoregal DS在数据库传输上提供SSL(Secure Socket Layer)传输方式，通过加密技术在网络上的两个节点之间建立可靠的端到端的安全连接，保证了数据通信的私密性和完整性。数据访问管控Sinoregal DS在数据库的访问控制可以从用户名和密码开始管控，一直到角色与访问权限的控制，另外也提供LBAC(Label-Based Access Control)的管控方式，LBAC是叫基于标签的访问控制方式，可通过以下方式对数据加上标签，用户也可被授予标签，对数据的标签和用户的标签进行比较，从而判断数据可否被用户访问，LBAC 可用来防止未经授权的访问。数据保护星瑞格对数据的保护可以从两方面著手，一个是从数据库审计的角度，监控与记录数据库的访问，另一个是从操作系统层管控敏感数据的访问权限，对敏感数据做到审计加上保护，不仅可以防堵黑客窃取敏感信息，也可以阻止内部人员盗卖信息。敏感数据的保护可以使用星瑞格数据库审计产品DBAUDIT加上操作系统加固产品sysGUARD来完成。DBAUDIT与sysGUARD产品特性请参考产品介绍说明或白皮书，这里不多做说明。星瑞格数据安全解决方案3.1 电信运营商某电信运营商的行动计费系统主要是针对手机计费，该计费系统拥有数据库服务器20台，应用服务器60台，数据库线上访问最大联机数共3万个联机数以上，每秒执行SQL次数60万次。本案整体系统架构规划，遵循全面性、自动化方式监控、不使用inline模式而是使用侧录封包方式收录，不更改现行网络架构为特点，另提供备援机制。数据库审计即采用星瑞格DBAUDIT，进行持续且实时的数据库行为监控(Database Activity Monitoring, DAM)，透过人、事、时、地、物完整监控数据库访问轨迹纪录。电信运营商的行动计费系统架构示意图：因为该系统拥有大量用户敏感信息，包括手机号，姓名，生日，地址，邮箱，…等，所以对访问敏感数据的监控与追踪至关重要，必需追踪到应用系统前端用户的访问轨迹，前端用户于应用服务器完成登录动作时，DBAUDIT会自动识别用户名称，并进一步关连比对该用户对数据库的访问，所以可以清楚追踪前端用户的行为，一旦某个客户的信息被泄漏，可以清楚查出是谁曾经访过过该客户的信息，追查出犯罪嫌疑人。这个功能非常受到该运营商肯定，因为过往他们根本无法知道谁曾经调用过敏感信息，另外该运营商也利用DBAUDIT每天产出数据库特权用户，DB