復(fù)雜場(chǎng)景下的銀行數(shù)據(jù)庫(kù)安全審計(jì)實(shí)踐

　　關(guān)鍵數(shù)據(jù)是推動(dòng)銀行發(fā)展的重要?jiǎng)恿εc核心資產(chǎn)也因此時(shí)刻要面對(duì)變化發(fā)展的安全威脅

　　近期，銀行的“熱搜”率居高不下，只不過(guò)大多是與“數(shù)據(jù)泄露”、“內(nèi)鬼竊密”、“黑灰產(chǎn)”等等關(guān)鍵詞組了“CP”...在層出不窮的風(fēng)險(xiǎn)事件背后，究竟是人性的扭曲還是道德的淪喪？銀行數(shù)據(jù)安全防護(hù)真的“太難”嗎？嗯...也許只是方法不對(duì) or 沒(méi)做到位！

　　一邊要防范日益嚴(yán)峻的數(shù)據(jù)安全形勢(shì)，一邊要符合國(guó)家《網(wǎng)絡(luò)安全法》、公安部《信息安全等級(jí)保護(hù)》以及《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《中國(guó)銀行業(yè)信息科技“十三五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見(jiàn)》等一系列法律法規(guī)提出的安全監(jiān)管要求，這就需要銀行實(shí)現(xiàn)對(duì)核心數(shù)據(jù)庫(kù)系統(tǒng)的實(shí)時(shí)監(jiān)控與有效審計(jì)——隨時(shí)掌握數(shù)據(jù)庫(kù)的安全狀況，及時(shí)發(fā)現(xiàn)和阻止各類數(shù)據(jù)違規(guī)操作事件或攻擊事件，避免數(shù)據(jù)的各類安全損失，追查并打擊各類違規(guī)、違法行為，從而提高銀行對(duì)核心數(shù)據(jù)資產(chǎn)的安全防護(hù)能力與敏感數(shù)據(jù)安全管理水平，規(guī)避各類風(fēng)險(xiǎn)，保持穩(wěn)定發(fā)展。下文將以A銀行的數(shù)據(jù)庫(kù)審計(jì)項(xiàng)目為例進(jìn)行介紹：

　　現(xiàn)狀需求

　　A銀行的在線業(yè)務(wù)系統(tǒng)共計(jì)超過(guò)200套，數(shù)據(jù)庫(kù)更多達(dá)1000+，并分布在兩個(gè)機(jī)房的不同網(wǎng)絡(luò)區(qū)域；值得注意的是，A銀行中需要使用數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的人員除安全團(tuán)隊(duì)外，還增加了報(bào)表團(tuán)隊(duì)及業(yè)務(wù)團(tuán)隊(duì)，且業(yè)務(wù)團(tuán)隊(duì)由5個(gè)不同的業(yè)務(wù)小組構(gòu)成。為此，項(xiàng)目在實(shí)施過(guò)程中需要將A銀行所有的數(shù)據(jù)庫(kù)都納入到數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，并結(jié)合最小化授權(quán)操作原則，根據(jù)行內(nèi)不同崗位人員的職責(zé)，定義不同的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)應(yīng)用權(quán)限，從而有針對(duì)性的實(shí)現(xiàn)各方人員安全使用數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的目的。各團(tuán)隊(duì)職責(zé)（對(duì)審計(jì)系統(tǒng)的預(yù)期價(jià)值）如下：

　　安全團(tuán)隊(duì)

　　檢測(cè)外部攻擊，內(nèi)部違規(guī)操作，監(jiān)督落實(shí)數(shù)據(jù)庫(kù)安全操作規(guī)范及要求。

　　報(bào)表團(tuán)隊(duì)

　　向監(jiān)管單位提交相關(guān)報(bào)表，滿足合規(guī)性要求。

　　業(yè)務(wù)團(tuán)隊(duì)

　　不同的業(yè)務(wù)組分別負(fù)責(zé)各自管轄范圍內(nèi)的業(yè)務(wù)系統(tǒng)的正常運(yùn)行，提升業(yè)務(wù)響應(yīng)性能，修復(fù)業(yè)務(wù)系統(tǒng)BUG。

　　技術(shù)挑戰(zhàn)

　　由于數(shù)據(jù)庫(kù)規(guī)模大，且部署分布復(fù)雜，若以單臺(tái)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行維護(hù)將變得異常繁瑣、工作效率低下，這就需要采用多臺(tái)數(shù)據(jù)庫(kù)審計(jì)設(shè)備以分布式部署的方式來(lái)解決問(wèn)題。

　　此外，傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品在進(jìn)行權(quán)限劃分時(shí)，往往通過(guò)控制WEB界面菜單的“顯示”屬性；但此種做法過(guò)于簡(jiǎn)單粗暴，不能適應(yīng)A銀行對(duì)細(xì)顆粒度的權(quán)限分離管控要求。

　　A銀行要求數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)必須具備7*24小時(shí)的不間斷服務(wù)能力，且年度停機(jī)時(shí)間不得超過(guò)10分鐘，這就對(duì)整個(gè)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)維護(hù)管理的持續(xù)可用性提出了更為嚴(yán)格的要求。

　　解決方案

　　1

　　全面覆蓋安華金和采用分布式部署方式，通過(guò)“八臺(tái)數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)+兩臺(tái)集中管理系統(tǒng)”，實(shí)現(xiàn)了對(duì)數(shù)據(jù)庫(kù)運(yùn)維側(cè)及應(yīng)用側(cè)操作記錄審計(jì)的全覆蓋，可供應(yīng)用數(shù)據(jù)庫(kù)系統(tǒng)管理員、審計(jì)人員、安全人員等進(jìn)行查看，并通過(guò)數(shù)據(jù)庫(kù)審計(jì)日志發(fā)現(xiàn)異常、違規(guī)操作及攻擊類安全事件等，從而掌握數(shù)據(jù)庫(kù)運(yùn)行情況。

　　部署架構(gòu)圖

　　2

　　優(yōu)化操作集中管理系統(tǒng)支持“統(tǒng)一權(quán)限管理、統(tǒng)一策略維護(hù)、統(tǒng)一數(shù)據(jù)查看”，所有團(tuán)隊(duì)的人員日常僅需登錄集中管理系統(tǒng)即可完成所需操作。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)于最終使用者屬于透明的存在，使用者無(wú)需關(guān)心自己權(quán)限范圍內(nèi)的數(shù)據(jù)庫(kù)收納在哪個(gè)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)中，大大增強(qiáng)了使用的便利性。

　　3

　　明確權(quán)限對(duì)于所有納入審計(jì)監(jiān)控范疇的數(shù)據(jù)庫(kù)，按照業(yè)務(wù)組進(jìn)行劃分，所有默認(rèn)風(fēng)險(xiǎn)識(shí)別規(guī)則可以一鍵多組共享，成本低、易維護(hù)。基于業(yè)務(wù)部門分別創(chuàng)建操作員賬戶，針對(duì)數(shù)據(jù)庫(kù)業(yè)務(wù)組做“拒絕、只讀、讀寫”等權(quán)限的分配，使業(yè)務(wù)部門管理人員僅能維護(hù)自己管轄范圍內(nèi)的數(shù)據(jù)庫(kù)審計(jì)記錄。

　　4

　　保障運(yùn)行兩臺(tái)集中管理系統(tǒng)采用主備模式進(jìn)行部署，避免由于突發(fā)故障而導(dǎo)致服務(wù)中斷——當(dāng)集中管理主機(jī)異常時(shí)，可應(yīng)急啟用集中管理（備機(jī)），從而為修復(fù)主機(jī)提供排障時(shí)間。

　　劃重點(diǎn)

　　上述方案的難點(diǎn)之一在于梳理各個(gè)團(tuán)隊(duì)的操作權(quán)限，安華金和就此提出如下解決思路：

　　安全團(tuán)隊(duì)

　　· 建立“安全專員”角色，并賦予如下權(quán)限：1）可在數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)中新增被監(jiān)控的數(shù)據(jù)庫(kù)，修改被監(jiān)控?cái)?shù)據(jù)庫(kù)信息，以及刪除被監(jiān)控?cái)?shù)據(jù)庫(kù)等；2）可以新增數(shù)據(jù)庫(kù)系統(tǒng)管理員賬戶并和數(shù)據(jù)庫(kù)做捆綁授權(quán)；3）可根據(jù)數(shù)據(jù)庫(kù)系統(tǒng)管理員提出的特殊數(shù)據(jù)庫(kù)訪問(wèn)行為監(jiān)控，新增安全風(fēng)險(xiǎn)識(shí)別規(guī)則；4）可啟用數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)自帶的數(shù)據(jù)庫(kù)漏洞攻擊規(guī)則和口令攻擊規(guī)則；5）可查看指定日期內(nèi)被規(guī)則命中的訪問(wèn)目標(biāo)分布在哪些數(shù)據(jù)庫(kù)系統(tǒng)，比如：發(fā)現(xiàn)“網(wǎng)銀”數(shù)據(jù)庫(kù)中部分操作被數(shù)據(jù)庫(kù)漏洞規(guī)則命中，需要通知數(shù)據(jù)庫(kù)系統(tǒng)管理員登錄數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，以查看漏洞攻擊詳情和命中詳情，繼而進(jìn)行追蹤判斷。

　　報(bào)表團(tuán)隊(duì)

　　· 建立“報(bào)表專員”角色，并賦予如下權(quán)限：審計(jì)人員登錄集群管理系統(tǒng)后，可以查看當(dāng)前所有數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的審計(jì)狀態(tài)是否正常；查看綜合分析報(bào)表時(shí)，可跳轉(zhuǎn)至任意數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的系統(tǒng)審計(jì)員角色；還可查看數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)自審計(jì)日志，以了解什么人、在什么時(shí)間、從哪個(gè)客戶端訪問(wèn)了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等等。

　　業(yè)務(wù)團(tuán)隊(duì)

　　· 分別建立“交易組、電子組、渠道組、管理組、運(yùn)維支撐組”角色，并賦予如下權(quán)限：各業(yè)務(wù)組使用自己的賬戶登錄數(shù)據(jù)庫(kù)集中管理平臺(tái)，即可快速查看自己業(yè)務(wù)組中數(shù)據(jù)庫(kù)的“SQL操作、會(huì)話訪問(wèn)和風(fēng)險(xiǎn)事件”三個(gè)維度的統(tǒng)計(jì)分析信息；此外，通過(guò)跳轉(zhuǎn)到指定的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，還可查看更加詳細(xì)的操作記錄。日常在數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)上可關(guān)注的內(nèi)容包括：

　　1）根據(jù)SQL語(yǔ)句在執(zhí)行時(shí)的影響及耗時(shí)的詳細(xì)信息，可輔助數(shù)據(jù)庫(kù)系統(tǒng)管理員查看最耗時(shí)、最消耗數(shù)據(jù)庫(kù)資源的完整SQL語(yǔ)句，為數(shù)據(jù)庫(kù)性能優(yōu)化提供更多參考依據(jù)。

　　2）根據(jù)客戶端IP、SQL執(zhí)行結(jié)果以及數(shù)據(jù)庫(kù)會(huì)話建立結(jié)果來(lái)檢索日志，查看應(yīng)用系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)是否存在大量的失敗SQL或大量的失敗會(huì)話。通過(guò)查看失敗的原因，輔助數(shù)據(jù)庫(kù)系統(tǒng)管理員了解當(dāng)前應(yīng)用系統(tǒng)是否存在優(yōu)化空間。比如：在業(yè)務(wù)系統(tǒng)遷移后，原業(yè)務(wù)系統(tǒng)的服務(wù)未徹底關(guān)閉，導(dǎo)致其不斷按照之前的配置訪問(wèn)數(shù)據(jù)庫(kù)，從而引發(fā)大量的失敗SQL或失敗會(huì)話，造成數(shù)據(jù)庫(kù)資源的浪費(fèi)。

　　3）數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的《數(shù)據(jù)庫(kù)訪問(wèn)行為報(bào)表》重點(diǎn)對(duì)創(chuàng)建賬戶、刪除賬戶、賬戶授權(quán)的SQL指令等操作進(jìn)行統(tǒng)計(jì)分析，將日常數(shù)據(jù)庫(kù)賬戶及權(quán)限的變更情況直接以報(bào)表的形式呈現(xiàn)出來(lái)；此報(bào)表可協(xié)助數(shù)據(jù)庫(kù)系統(tǒng)管理員快速判定數(shù)據(jù)庫(kù)賬戶的變更情況是否符合預(yù)期，比如：本月不應(yīng)該新增數(shù)據(jù)庫(kù)賬戶，但是卻審計(jì)到有一個(gè)新增的數(shù)據(jù)庫(kù)賬戶，從而提醒數(shù)據(jù)庫(kù)系統(tǒng)管理員判定是否有人創(chuàng)建了后門數(shù)據(jù)庫(kù)賬戶。

　　4）根據(jù)檢索風(fēng)險(xiǎn)規(guī)則的命中情況，幫助數(shù)據(jù)庫(kù)系統(tǒng)管理員快速了解當(dāng)前數(shù)據(jù)庫(kù)是否存在數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)事件，比如：數(shù)據(jù)庫(kù)漏洞攻擊、SQL注入等；根據(jù)客戶端IP及數(shù)據(jù)庫(kù)賬戶來(lái)追蹤安全事件的來(lái)源，并通過(guò)訪問(wèn)目標(biāo)IP、目標(biāo)表來(lái)確定安全事件的影響范圍。

　　5）需要上線新數(shù)據(jù)庫(kù)或下線已有數(shù)據(jù)庫(kù)時(shí)，數(shù)據(jù)庫(kù)系統(tǒng)管理員應(yīng)通知數(shù)據(jù)庫(kù)審計(jì)管理員同步完成數(shù)據(jù)庫(kù)監(jiān)控范圍的變更，通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)為新上線的數(shù)據(jù)庫(kù)提供監(jiān)控審計(jì)服務(wù)，為數(shù)據(jù)庫(kù)的安全運(yùn)行提供多一道保障。