安华金和解读运营商行业数据库运维管理实践 – 作者:安华金和

微信图片_20210308154325 副本.jpg

运营商一直十分重视数据安全工作,但是真正针对数据的安全防护措施还相当有限。对于一些暴露在互联网上的业务,存在遭到各类外来攻击或内部泄露带来的数据安全风险。当前,运营商虽已建立较为完整的安全防护体系,但相关技术手段大多侧重“防外”,而对于内部重要敏感数据的安全防护措施、流程与能力还存不少问题。

因此,运营商在开展数据安全工作过程中,不仅要抵御来自外部的黑客入侵攻击以及网络病毒传播等风险,同时也要严加防范来自内部、尤其是具有一定权限的运维人员的违规访问、恶意操作、数据窃取等隐患。

需求痛点

在数据安全面临极大挑战的新环境下,运营商行业对核心数据、敏感信息等内部安全防护仍存在诸多薄弱环节,亟需借助专业、适合、有针对性的数据安全产品与技术手段,加强并提升运营商自身整体数据安全防护能力,从而有效降低重要敏感信息的泄露风险。

其中,内部威胁主要源于管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件存在缺陷等方面:

1. 安全管理制度不健全,执行力度不到位。例如:对数据库存在非法接入、非法外联、职权滥用、外设滥用等情况。

2. 系统本身存在漏洞。例如:未能及时有效检测数据库漏洞或问题配置等风险因素。

3. 内部懂技术、会编程的人员直接编写攻击代码,窃取或破坏系统中的重要敏感信息。

4. 运维外包人员恶意盗取敏感信息。例如:目前在运营商行业中,运维外包是一个普遍存在的现象,即外包人员可直接或经过内部系统访问到数据库等等。虽然内部系统也可审计并记录相关访问过程,但却无法阻止敏感数据被查看或被批量导出等风险操作。更何况,运维人员还可能通过“跳板”,绕过内部系统直接访问到敏感数据库。

5. 系统管理员或应用管理员越权访问、窃取敏感数据。例如:在运营商行业运营中心,有众多应用系统,这些应用系统的管理员拥有访问数据库的直连通道和帐号密码;其中不少应用系统是外包开发的,相应的系统管理员也是外部人员,风险可想而知。

6. 系统开发和测试使用真实数据。例如:在开发和测试过程中,内部人员使用高权限账号调取真实数据,极易造成真实数据泄露。

解决方案

安华金和基于对数据安全领域的深度理解与丰富实践,通过对运营商客户场景及需求的详细调研,同时遵循“安全合规是生命线、安全事件零容忍、敏感数据不出门”的数据价值观,构建涵盖“安全组织、安全策略,安全技术、安全运营”,自主可控的数据安全防护体系,从而有效保障运营商业务及应用数据安全。

安华金和针对运营商在数据安全防护难点,通过部署数据库运维管理系统(DOMS)满足其三大核心需求——可视、可控和合规。在运维人员和信息系统(网络、主机、数据库、应用等)之间搭建唯一的入口及统一的交互界面,从而实现针对信息系统关键软硬件设备的运维操作行为进行管控与审计。例如:将相关设备、应用系统的管理接口,通过强制策略路由的方式转发至运维管理系统,实现对管理用户的身份鉴别;通过“数字证书”认证方式,作为“用户名+口令”验证身份的有效补充和增强,实现等保三级要求的双因素身份认证等。

微信图片_20210308154339 副本.jpg

数据库运维管理系统通过与运营商已有管理系统相结合,可以提供数据库代理及安全保障,并能够遵从安全管理规范、优化管理流程,实现以下功能:

1. 访问控制:通过对接安全管理平台,使用一套策略,进行用户访问控制。可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。

2. 数据库协议解析与代理:支持用户使用第三方客户端工具,通过数据库防火墙的协议解析与代理登录相关业务数据库进行相应操作。

3. 灵活审计:通过对接安全管理平台,使用一套模型和规范,对用户操作过程进行全息留痕,以提供审计支持。

4. 账户管理:支持对所有登录帐号的集中管理,降低了管理大量用户帐号的难度和工作量。同时,还能够制定统一、标准的用户帐号安全策略;同时,集中帐号管理可以实现将帐号与具体的自然人相关联,从而实现针对自然人的行为审计。

5. 统一身份认证:为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。集中身份认证提供UKEY、数字证书、一次性口令和密码桥等多种认证方式;同时还提供接口,方便与第三方认证服务对接。

6. 统一资源授权:提供统一的界面,对用户、角色、行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户数据的安全。通过集中访问授权和访问控制可以对用户通过B/S对数据的访问进行审计和阻断。授权的对象包括用户、用户角色和用户行为。系统不但能授权用户“可以通过什么角色访问资源”等基于应用边界的粗粒度授权,对某些应用还可限制用户的操作,及“在什么时间进行操作”等细粒度授权。

7. 细粒度访问控制:提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集,可以是一组可执行命令,也可以是一组非可执行的命令。该命令集用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色,为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统安全性。

8. 操作行为审计:操作行为审计管理主要审计操作人员的帐号使用情况(登录、访问)等。操作行为审计能更好地对帐号的完整使用过程进行追踪,并对事后溯源提供一定的依据。

微信图片_20210308154343 副本.jpg

客户价值

通过上述解决方案,安华金和数据库运维管理系统(DOMS)有效满足了某运营商客户面临的数据安全运维管理需求——数据安全可视、数据安全可控、数据安全合规。除上述价值外,安华金和提供的解决方案还为该运营商客户带来如下价值:

规范运维行为

1. 规则策略

DOMS为客户提供语句操作规则,通过配置访问来源、操作对象、执行结果、条件限制、时间等元素,生成针对数据库的操作规则,以此定义合法操作与非法操作。

2. 身份识别

DOMS采用双因素身份认证机制,准确识别运维人员身份,认证机制包括审批口令码、动态令牌、Web身份认证和UKey身份认证。

3. 操作审批

DOMS要求运维人员对数据库的一切高危操作、重要操作和涉敏操作必须先经过审批后才可执行,并能在其执行过程中持续监控相关操作,确保与审批操作的一致性。

4. 行为审计

DOMS不仅能够审计所有针对数据库的操作行为,还能够审计运维操作的申请及审批信息。

遮蔽敏感数据

DOMS能够提供敏感数据掩码遮盖返回能力,限制具有超高权限的运维账户读取敏感数据。同时,确保运维人员的日常工作(数据备份恢复、资源清理、系统状态监控与维护等)不受影响,而是仅在查询敏感数据时返回遮蔽后的结果。

来源:freebuf.com 2021-03-08 16:20:02 by: 安华金和

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论