復雜場景下的銀行數據庫安全審計實踐

　　關鍵數據是推動銀行發展的重要動力與核心資產也因此時刻要面對變化發展的安全威脅

　　近期，銀行的“熱搜”率居高不下，只不過大多是與“數據泄露”、“內鬼竊密”、“黑灰產”等等關鍵詞組了“CP”...在層出不窮的風險事件背后，究竟是人性的扭曲還是道德的淪喪？銀行數據安全防護真的“太難”嗎？嗯...也許只是方法不對 or 沒做到位！

　　一邊要防范日益嚴峻的數據安全形勢，一邊要符合國家《網絡安全法》、公安部《信息安全等級保護》以及《商業銀行信息科技風險管理指引》、《中國銀行業信息科技“十三五”發展規劃監管指導意見》等一系列法律法規提出的安全監管要求，這就需要銀行實現對核心數據庫系統的實時監控與有效審計——隨時掌握數據庫的安全狀況，及時發現和阻止各類數據違規操作事件或攻擊事件，避免數據的各類安全損失，追查并打擊各類違規、違法行為，從而提高銀行對核心數據資產的安全防護能力與敏感數據安全管理水平，規避各類風險，保持穩定發展。下文將以A銀行的數據庫審計項目為例進行介紹：

　　現狀需求

　　A銀行的在線業務系統共計超過200套，數據庫更多達1000+，并分布在兩個機房的不同網絡區域；值得注意的是，A銀行中需要使用數據庫審計系統的人員除安全團隊外，還增加了報表團隊及業務團隊，且業務團隊由5個不同的業務小組構成。為此，項目在實施過程中需要將A銀行所有的數據庫都納入到數據庫審計系統，并結合最小化授權操作原則，根據行內不同崗位人員的職責，定義不同的數據庫審計系統應用權限，從而有針對性的實現各方人員安全使用數據庫審計系統的目的。各團隊職責（對審計系統的預期價值）如下：

　　安全團隊

　　檢測外部攻擊，內部違規操作，監督落實數據庫安全操作規范及要求。

　　報表團隊

　　向監管單位提交相關報表，滿足合規性要求。

　　業務團隊

　　不同的業務組分別負責各自管轄范圍內的業務系統的正常運行，提升業務響應性能，修復業務系統BUG。

　　技術挑戰

　　由于數據庫規模大，且部署分布復雜，若以單臺數據庫審計系統進行維護將變得異常繁瑣、工作效率低下，這就需要采用多臺數據庫審計設備以分布式部署的方式來解決問題。

　　此外，傳統數據庫審計產品在進行權限劃分時，往往通過控制WEB界面菜單的“顯示”屬性；但此種做法過于簡單粗暴，不能適應A銀行對細顆粒度的權限分離管控要求。

　　A銀行要求數據庫審計系統必須具備7*24小時的不間斷服務能力，且年度停機時間不得超過10分鐘，這就對整個數據庫審計系統維護管理的持續可用性提出了更為嚴格的要求。

　　解決方案

　　1

　　全面覆蓋安華金和采用分布式部署方式，通過“八臺數據庫安全審計系統+兩臺集中管理系統”，實現了對數據庫運維側及應用側操作記錄審計的全覆蓋，可供應用數據庫系統管理員、審計人員、安全人員等進行查看，并通過數據庫審計日志發現異常、違規操作及攻擊類安全事件等，從而掌握數據庫運行情況。

　　部署架構圖

　　2

　　優化操作集中管理系統支持“統一權限管理、統一策略維護、統一數據查看”，所有團隊的人員日常僅需登錄集中管理系統即可完成所需操作。數據庫審計系統對于最終使用者屬于透明的存在，使用者無需關心自己權限范圍內的數據庫收納在哪個數據庫審計系統中，大大增強了使用的便利性。

　　3

　　明確權限對于所有納入審計監控范疇的數據庫，按照業務組進行劃分，所有默認風險識別規則可以一鍵多組共享，成本低、易維護?；跇I務部門分別創建操作員賬戶，針對數據庫業務組做“拒絕、只讀、讀寫”等權限的分配，使業務部門管理人員僅能維護自己管轄范圍內的數據庫審計記錄。

　　4

　　保障運行兩臺集中管理系統采用主備模式進行部署，避免由于突發故障而導致服務中斷——當集中管理主機異常時，可應急啟用集中管理（備機），從而為修復主機提供排障時間。

　　劃重點

　　上述方案的難點之一在于梳理各個團隊的操作權限，安華金和就此提出如下解決思路：

　　安全團隊

　　· 建立“安全專員”角色，并賦予如下權限：1）可在數據庫審計系統中新增被監控的數據庫，修改被監控數據庫信息，以及刪除被監控數據庫等；2）可以新增數據庫系統管理員賬戶并和數據庫做捆綁授權；3）可根據數據庫系統管理員提出的特殊數據庫訪問行為監控，新增安全風險識別規則；4）可啟用數據庫審計系統自帶的數據庫漏洞攻擊規則和口令攻擊規則；5）可查看指定日期內被規則命中的訪問目標分布在哪些數據庫系統，比如：發現“網銀”數據庫中部分操作被數據庫漏洞規則命中，需要通知數據庫系統管理員登錄數據庫審計系統，以查看漏洞攻擊詳情和命中詳情，繼而進行追蹤判斷。

　　報表團隊

　　· 建立“報表專員”角色，并賦予如下權限：審計人員登錄集群管理系統后，可以查看當前所有數據庫審計系統的審計狀態是否正常；查看綜合分析報表時，可跳轉至任意數據庫審計系統的系統審計員角色；還可查看數據庫審計系統自審計日志，以了解什么人、在什么時間、從哪個客戶端訪問了數據庫審計系統等等。

　　業務團隊

　　· 分別建立“交易組、電子組、渠道組、管理組、運維支撐組”角色，并賦予如下權限：各業務組使用自己的賬戶登錄數據庫集中管理平臺，即可快速查看自己業務組中數據庫的“SQL操作、會話訪問和風險事件”三個維度的統計分析信息；此外，通過跳轉到指定的數據庫審計系統，還可查看更加詳細的操作記錄。日常在數據庫審計系統上可關注的內容包括：

　　1）根據SQL語句在執行時的影響及耗時的詳細信息，可輔助數據庫系統管理員查看最耗時、最消耗數據庫資源的完整SQL語句，為數據庫性能優化提供更多參考依據。

　　2）根據客戶端IP、SQL執行結果以及數據庫會話建立結果來檢索日志，查看應用系統訪問數據庫是否存在大量的失敗SQL或大量的失敗會話。通過查看失敗的原因，輔助數據庫系統管理員了解當前應用系統是否存在優化空間。比如：在業務系統遷移后，原業務系統的服務未徹底關閉，導致其不斷按照之前的配置訪問數據庫，從而引發大量的失敗SQL或失敗會話，造成數據庫資源的浪費。

　　3）數據庫審計系統的《數據庫訪問行為報表》重點對創建賬戶、刪除賬戶、賬戶授權的SQL指令等操作進行統計分析，將日常數據庫賬戶及權限的變更情況直接以報表的形式呈現出來；此報表可協助數據庫系統管理員快速判定數據庫賬戶的變更情況是否符合預期，比如：本月不應該新增數據庫賬戶，但是卻審計到有一個新增的數據庫賬戶，從而提醒數據庫系統管理員判定是否有人創建了后門數據庫賬戶。

　　4）根據檢索風險規則的命中情況，幫助數據庫系統管理員快速了解當前數據庫是否存在數據庫安全風險事件，比如：數據庫漏洞攻擊、SQL注入等；根據客戶端IP及數據庫賬戶來追蹤安全事件的來源，并通過訪問目標IP、目標表來確定安全事件的影響范圍。

　　5）需要上線新數據庫或下線已有數據庫時，數據庫系統管理員應通知數據庫審計管理員同步完成數據庫監控范圍的變更，通過數據庫審計系統為新上線的數據庫提供監控審計服務，為數據庫的安全運行提供多一道保障。