拍拍贷数据库审计 – 作者:数据库安全专家

1、背景介绍与需求

信息安全防线的建设一直是拍拍贷信息部的密切关注点,现阶段IT中心已经部署了堡垒机产品,但是在数据安全特别是数据库安全方面,还存在以下问题:

l  高权限运维人员有机会利用数据库存在的漏洞或者自身拥有的高权限,发起SQL注入攻击,直接获取数据库系统中的敏感信息;

l  互联网金融公司面对黑客攻击、外部SQL注入攻击等行为并无有力技术手段;

l  拍拍贷作为互联网金融的标杆企业,其数据库系统在合规性方面需要满足国家法律和监管机构的规定和要求。

因此,拍拍贷希望在保证业务健康平稳运行和满足合规性的基础上,通过统一的数据库审计平台实现对数据库运维人员的审计和管理,有效防止SQL注入攻击。

2、技术方案

在拍拍贷数据中心旁路部署数据库审计系统,在不影响业务流量和堡垒机正常运行的基础上,启用内置的SQL注入规则匹配,针对内部运维人员及外部发起的SQL注入等违规访问,进行及时告警和处理。网络拓扑图如下:

图片[1]-拍拍贷数据库审计 – 作者:数据库安全专家-安全小百科

3、客户价值

通过上述的解决方案能够有效解决拍拍贷所面临的数据安全问题,保障拍拍贷核心生产数据系统的安全。具体来说,带给拍拍贷如下价值:

简化业务治理,提高数据安全管理能力;

防止内部运维人员SQL注入攻击,维护企业的公信力;

满足合规要求,快速通过评测。


来源:freebuf.com 2019-11-26 17:08:44 by: 数据库安全专家

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论