星瑞格數據安全解決方案

黑龙江36选7周即开奖:前言

黑龙江36选7开奖信息 www.ikuzd.icu 隨著互聯網的蓬勃發展以及大數據時代的來臨,我們的很多信息無時無刻通過各種途徑傳播,這就必然導致很多安全問題的產生。重要敏感信息每天不斷是郵件、社交網絡、電子商務、或是應用軟件上傳遞,甚至于每天使用的手機、微信支付、銀行卡這些都在傳遞個人敏感信息。

做為一個商家或是擁有使用這些數據運營者,對于數據的安全不可以不重視,一旦發生安全事件將會造成重大損失。日前,廣東警方破獲一起高科技經濟犯罪案件,17歲的“黑客”葉世廣,攻破了多個商業銀行網站,竊取了儲戶的身份證號、銀行卡號、支付密碼等數據,帶領一批人在網上大肆盜刷別人的信用卡,涉案金額近15億元,涉及銀行49家。2016年2月,發生了世界上有史以來規模最大的網絡盜竊案。黑客入侵了孟加拉國央行在紐約聯邦儲備銀行的賬戶,盜走了8100萬美元,后來孟加拉國官方表示,黑客出現了一個拼寫錯誤,否則隨后還將進行一筆近10億美元的轉賬。以及現今社會層出不窮的詐騙案件,詐騙集團都是利用各種管道竊取或購買個人信息進行詐騙。想想這些敏感信息存放何處?不管是什么應用,數據庫都是信息存放的最終地點,因此不管是黑客或是內部不法人士竊取敏感信息最直接的方式就是從數據庫下手,所以數據安全首要就是?;ず檬菘?。

數據安全

星瑞格已有多年對安全技術的研發為基礎,我們認為數據安全的實踐可以分為4個方面:

  • 數據存儲 :
  • 加密是技術實施上對于數據安全最有效的關卡,Sinoregal DS提供直接對數據加密功能。提供了加密函數和解密函數,這樣就能以加密的方式來存儲敏感數據,具備不同層面的加密,列級(column-level)和單元級(cell-level)加密,列級加密使用同一個密碼來對同一個列的數據進行加密; 單元級(cell-level)加密使用不同的密碼來對同一個列的不同單元進行加密。

  • 數據傳輸
  • 網絡安全是保證數據安全傳輸和交換的基礎。確保各級網絡以及設備之間的有效隔離是確保數據安全的首要關鍵控制。網絡中構建出的一個隔離的安全網絡環境,包括選擇自有IP地址范圍、劃分網段、配置路由表、防火墻和網關等可提升掌控網絡傳輸安全。Sinoregal DS在數據庫傳輸上提供SSL(Secure Socket Layer)傳輸方式,通過加密技術在網絡上的兩個節點之間建立可靠的端到端的安全連接,保證了數據通信的私密性和完整性。

  • 數據訪問管控
  • Sinoregal DS在數據庫的訪問控制可以從用戶名和密碼開始管控,一直到角色與訪問權限的控制,另外也提供LBAC(Label-Based Access Control)的管控方式,LBAC是叫基于標簽的訪問控制方式,可通過以下方式對數據加上標簽,用戶也可被授予標簽,對數據的標簽和用戶的標簽進行比較,從而判斷數據可否被用戶訪問,LBAC 可用來防止未經授權的訪問。

  • 數據?;?/span>
  • 星瑞格對數據的?;た梢源?/span>兩方面著手,一個是從數據庫審計的角度,監控與記錄數據庫的訪問,另一個是從操作系統層管控敏感數據的訪問權限,對敏感數據做到審計加上?;?,不僅可以防堵黑客竊取敏感信息,也可以阻止內部人員盜賣信息。敏感數據的?;た梢允褂瞇僑鷥袷菘?/span>安全審計產品-DBAUDIT加上服務器訪問控制及權限管理系統產品-sysGUARD來完成。DBAUDIT與sysGUARD產品特性請參考產品介紹說明或白皮書,這里不多做說明。

    星瑞格數據安全解決方案

    3.1 電信運營商

    某電信運營商的行動計費系統主要是針對手機計費,該計費系統擁有數據庫服務器20臺,應用服務器60臺,數據庫線上訪問最大聯機數共3萬個聯機數以上,每秒執行SQL次數60萬次。本案整體系統架構規劃,遵循全面性、自動化方式監控、不使用inline模式而是使用側錄封包方式收錄,不更改現行網絡架構為特點,另提供備援機制。數據庫安全審計即采用星瑞格DBAUDIT,進行持續且實時的數據庫行為監控(Database Activity Monitoring, DAM),透過人、事、時、地、物完整監控數據庫訪問軌跡紀錄。

    電信運營商的行動計費系統架構示意圖:

    因為該系統擁有大量用戶敏感信息,包括手機號,姓名,生日,地址,郵箱,等,所以對訪問敏感數據的監控與追蹤至關重要,必需追蹤到應用系統前端用戶的訪問軌跡,前端用戶于應用服務器完成登錄動作時,DBAUDIT會自動識別用戶名稱,并進一步關連比對該用戶對數據庫的訪問,所以可以清楚追蹤前端用戶的行為,一旦某個客戶的信息被泄漏,可以清楚查出是誰曾經訪過過該客戶的信息,追查出犯罪嫌疑人。這個功能非常受到該運營商肯定,因為過往他們根本無法知道誰曾經調用過敏感信息,另外該運營商也利用DBAUDIT每天產出數據庫特權用戶,DBA對數據庫的訪問的報表,通過每天的報表可以審計DBA是否有提權或不法的行為,當然也配置了一些告警通知,一旦發現違反安全政策,告警短信與郵件實時發送給安全管理員,及時處理防止資安事件發生。

    數據庫監控架構圖:



    3.2 金融證券

    某證券公司除了經營柜臺證券交易外,也經營網上證券交易,網上交易量是柜臺交易的數十倍,擁有百臺數據庫負責各項證券業務,數據庫服務器儲備援服務器外主要是集中管理在數據中心機房。該公司因為并購了數個中小型證券公司,因此有數十位系統管理員與數據庫管理員依業務別負責管理部同服務器,總公司管理單位非常頭痛不知道這些管理員做了哪些事無從審計,上級監管機關也會定期要求各系統審計報表,總公司管理單位總是無法如期交付,因此為了解決這些問題該公司引進星瑞格數據安全解決方案,用DBAUDIT監控數據庫管理員登錄紀錄與訪問軌跡,定期產制五大報表發送給審計管理員,五大報表包括1.數據庫用戶登入注銷紀錄報表,2.數據庫對象結構更報表,3.數據庫登入失敗報表,4.數據庫權限變更報表,5.DBA訪問軌跡報表。另外每個服務器都安裝星瑞格sysGUARD,除了限制一些敏感文件訪問權限外,對于系統管理員的登入與指令操作都可以完整記錄下來,并可以定期產制系統管理員登入與操作軌跡審計報表,導入星瑞格數據安全解決方案,不但可以監控系統管理員與數據庫管理員,也可以自動定期產制審計報表提供公司內部審計與滿足監管機關要求。

    數據安全解決方案架構圖:




    3.3 電信運營商

    某電信公司運營的行動漫游業務系統需要建構一個加強數據安全的運營平臺,計畫于既有行動寬帶數據漫游系統提供數據安全功能,建立日志收集機制與數據安全監控機制,建置范圍包含數據庫服務器與應用服務器共13臺,除了監控數據庫訪問外,還需要提供系統管理員賬號監管功能與系統配置文件,敏感信息文件,日志文件,應用程序文件防竄改功能。

    該公司采用星瑞格數據安全解決方案,對數據庫訪問采用DBAUDIT側錄封包方式收錄所有數據庫訪問軌跡,并配置安全管理政策,如發現違反安全政策行為及發送告警通知,對于每個服務器系統監管方面于每個服務器都安裝星瑞格sysGUARD,監控與紀錄系統管理員的操作指令,并配置系統配置文件,敏感信息文件,日志文件,應用程序文件的訪問權限避免沒有授權的用戶竄改數據。該公司于數據安全監控平臺建置完成后每天都可自動產制審計報表,也可以發現違反安全政策的不當操作,的確加強了該系統運營上數據安全。

    數據安全的運營平臺架構圖: