广东省政务云(数字广东)项目案例 – 作者:数据库安全专家

随着全球信息化的发展,互联网应用渗透到了各行各业。互联网金融借助互联网技术、移动通信技术,实现金融资源优化配置和应用普及,互联网金融的出现代表一个新兴金融时代的到来。第三方支付、移动支付、P2P信贷、众筹融资等互联网金融概念已经被各方炒作得如火如荼。在2014“两会”上,“互联网金融”首次出现在国务院总理李克强所做的《政府工作报告》中。

互联网金融一旦遭遇黑客攻击,正常运作将会受到影响,危及消费者的资金安全和个人信息安全。2014年的“两会”中,互联网金融的安全性成为备受关注的焦点,除了法律法规、相关制度和行业标准不断完善的顶层设计,通过技术手段保护数据安全,防范黑客攻击已成为保障互联网金融安全的必要举措。

例如P2P行业,该行业由于没有现金池,不存在现金安全问题,但仍存在敏感数据安全问题。如****(姓名、***、地址、电话、邮件等)、交易信息(交易时间、额度、盈亏情况)等敏感数据一旦被泄漏,客户很大程度上将不会在此平台上投资,尤其是那些投资金额较大的客户。然而目前大多数的P2P公司使用的是安全性比较低的外包系统,这些系统远达不到专业水平,更达不到标准要求。因此急需一系列相关的安全防护产品对其数据进行保护。

解决方案

通过虚机代理的部署方式,在数据中心部署了中安比特的高性能数据库审计系统。该系统通过代理方式获得所有访问数据库的数据包,并对数据报文进行解析,还原真实的访问行为,实现对数据库访问情况的监控和审计。结合管理手段,对应用系统和数据库的不同权限人员,实施不同的审计策略,全面的监控数据库的访问行为,并定期生成等保、敏感数据访问情况等各类报表。

价值与收益

某P2P公司通过上述解决方案,使所有对数据库的操作可见并可追溯,及时发现潜在风险。大幅提高防护效果,有效抵御各种攻击,从而降低总体安全成本;

提供安全攻击证据,震慑非法攻击者、恶意员工;使相关安全人员能及时采取应对策略,有效降低信息泄露风险,保护客户切身利益。维护和提升公司的品牌形象和商业信誉。

真实案例:数据库防火墙保护互联网金融核心数据

背景介绍和需求

互联网金融企业面临着严重的敏感数据安全问题。如****(姓名、***、地址、电话、邮件等)、交易信息(交易时间、额度、盈亏情况)等敏感数据需要被妥当的保护,一旦被泄漏,会严重影响到企业的信用和声誉。另外,企业内部IT管理人员、数据分析人员能直接操作数据库系统,执行分析SQL语句。需要对数据库的访问行为进行监控、分析,及时识别出攻击行为和违规的统计行为,必要时阻断高风险的违规操作和攻击。

解决方案1:云端部署

用户环境特点:

用户购买的阿里云服务,ECS&RDS操作系统为centos6.5,RDS数据库为mysql5.6,每个虚拟主机有两个物理网卡,一个内网卡负责在ECS与RDS间通信,一个网卡提供外网的管理,供用户远程使用。不能修改任何网络层面的配置,包括ECS&RDS主机的地址以及组网信息,但是应用服务可以自定义数据库的ip地址与端口号。

部署方式:

采用单臂代理模式,将中安威士制化后的数据库防火墙系统部署在用户提供的虚拟主机上。将应用端的数据库的ip地址&端口号修改为中安威士防火墙系统提供的特定ip地址&端口,当应用访问数据库时,流量被中安威士防火墙系统接收分析后重定向给真实数据库服务器,建立通信链接。中安威士防火墙系统开启自动建模功能,将学习到的、经过安全管理员判定对数据库正常、无风险的访问SQL生成白名单策略,予以放行;对于偏离白名单的访问行为,系统生成报警,并提交安全管理员人工判定制定相应的阻断规则,对核心数据进行防护。

解决方案2:数据中心部署

用户环境特点:

用户拥有自己的物理机房,或自建或第三方托管,网络环境可修改。

部署方式:

采用中安威士防火墙系统的物理机器以透明方式部署在数据库前,不需要对用户的WEB以及数据库做任何更改,只需要提供一个与数据库&WEB端能够通信的IP地址即可。中安威士防火墙产品会自动监听数据库端口的通信,同时进行透明代理,实时分析用户对数据库的访问行为,并建立基线模型,由安全管理人员判定数据库的访问是否正常,制定相应的白名单策略;对于偏离白名单的访问行为,系统会生成报警,提交给安全管理人员判定是否违规,生成相应的阻断策略,对核心数据进行防护。

有益结果:

某P2P公司通过上述解决方案,提升了数据库整体防御效果,有效抵御各类攻击,满足来自相关部门的合规性安全检查,协助安全事件取证及事后追溯,防止敏感信息丢失或泄漏小,消除了客户对隐私安全的顾虑。

来源:freebuf.com 2020-10-27 17:31:48 by: 数据库安全专家

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论