-
行业背景分析
- 行业从事和业务范围
xx公司和机关单位从事xx行业,主要业务是制造或提供提供xx产品和服务,曾获得xx荣誉,在行业中处于xx地位。 - 行业现网的信息系统
xx公司和机关单位信息化建设一直处于行业领先地位,目前已建立了对外官网web应用系统,移动APP,微信公众号和小程序;内部OA系统,内部CRM项目管理系统,内部ERP物料管理系统,内部财务系统等应用信息系统 - 现网数据价值
xx公司和机关单位的数据信息包含了员工和用户的许多私人信息和业务信息(强调各系统大致包含哪些信息),一旦泄露将产生重大影响。 - 安全标准对数据安全的要求
等级保护(国内):
应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
应对进出网络的数据流实现基于应用协议和应用内容的访问控制;
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
应仅采集和保存业务必需的用户个人信息;
应禁止未授权访问和非法使用用户个人信息。
获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。
然而传统网络审计和防火墙并无法识别和审计数据库协议,文件加密也对数据库无法适用。
ISO27001(欧英):
安全管理中需要定时报告信息安全事件和弱点
应用程序中需要对输入输出的数据进行合法验证
应用程序中需要保障数据消息的完整性
要求使用加密控制策略
对系统测试的数据进行保护
对信息泄露、技术泄露要有防御措施
SOX 404(美)-COBIT等内控框架:
在SOX 404法案中,要求依据COBIT等内控框架建立企业信息技术内部控制,其中对数据库安全审计做出了明确的要求:
1、对企业内部敏感数据的存取行为审计
2、对数据的DML操作行为审计
3、对数据表的DDL操作行为审计
4、出现的账号登录失败、SQL访问关键错误等异常情况审计
5、对账号和角色的操作行为,例如Grant、Revoke等命令的审计
对企业内部敏感数据的存取行为审计
对数据的DML操作行为审计
对数据的DDL操作行为审计
对出现的账号登录失败、SQL访问关键错误等异常情况审计
相关监管部门政策(具体看行业,比如医疗行业的卫健委、教育行业的教育部、金融行业的银监会、互联网的工信部和网信办等) - 数据安全事件多,环境越来越恶劣
近些年来数据安全事件层出不穷,先有山东大学生徐玉玉遭受电信诈骗事件,后有华住汉庭酒店数据泄露,再有网贷平台大学生账户注销风波;黑客和诈骗者等不法分子在暗网的交易越来越紧密,时时刻刻都在威胁着当今社会的安全和隐私;如何防止数据安全事件已经渐渐地成为企业和相关单位的首要任务。
-
客户当前现状
原拓扑
客户现有环境虽然已有防火墙、IPS、上网行为管理、WAF等安全产品,但针对数据库的防护措施仍然不够,尚存在以下的风险:
- 对数据库每时每刻发生的操作不知情:解释巴拉巴拉
- 缺乏针对数据库的防御措施:解释巴拉巴拉
- 缺乏对内部员工外发数据的管控:解释巴拉巴拉
- 对敏感数据缺乏处理:解释巴拉巴拉
- 对运维人员的管控不到位:解释巴拉巴拉
- 对数据库的脆弱点全然不知:解释巴拉巴拉
- 数据库配置无安全基线标准:解释巴拉巴拉
- 对数据泄漏的路径无查知手段:解释巴拉巴拉
-
整改方案
整改前:
整改前拓扑
整改后:
整改后拓扑
整改方案
- 在运维区域部署数据库审计,在核心交换机处通过镜像端口流量到数据库审计当中,对数据库的sql语句操作和返回结果进行全面审计,实现数据操作的全知晓和全纪录,也可对安全事件进行事后的审查。
- 在数据库和交换机之间串接部署数据库防火墙,对所有攻击数据库的流量进行清洗和过滤,阻断危险攻击和危险操作,实时告警给管理员
- 在数据库和交换机之间串接部署数据库加密系统,对数据库的相关字段进行加密处理,只有当web应用读取的时候才进行解密,防止数据库文件被窃取后的数据泄露,防止非正常途径的恶意查询和拖库。
- 在数据库和交换机之间串接部署数据库水印系统,可在数据流转的过程中做记录,当发生安全事件时刻追踪溯源到数据泄露的途径
- 在数据库和交换机之间串接部署数据库动态脱敏系统,当进行敏感数据查询的时候对数据进行掩码、混淆、编排、变形等处理,在实现敏感数据变形的同时也不影响数据的第一印象阅读和展示
- 在运维区域部署数据库漏扫和安全基线核查,及时发现数据库脆弱点和风险配置,为安全加固和防御提供数据支撑
- 在运维区域部署数据库堡垒机,通过协议代理和解析等方式,实现对运维中数据库操作的RDP、SSH审计;并对多种数据库协议的高危操作进行管控,避免删库跑路等运维安全事件的发生,同时可对数据库进行状态监控
- 在运维区域部署数据库静态脱敏系统,在测试和开发过程需要使用数据库时,通过对数据库中敏感信息进行静态脱敏和混淆后开放给技术人员,防止敏感流转和泄漏
- 在终端所有pc和网络出口处部署数据防泄漏设备,对外发的文字、图片、文件做审计和管控,同时给屏幕加上水印防止拍照泄漏后无法溯源,审计外设的接入和文件的考入考出,联合数据库中的数据一旦发现有员工外发数据库相关的字段和敏感信息则通过告警通知管理人员
实现效果...
-
配置清单
| 设备名称 | 数量 | 配置 | 作用 | 价格 |
|---|---|---|---|---|
| 数据库审计系统 | 2 | 4*万兆光口、4*千兆电口、4TB硬盘、双电源 | 记录sql语句和返回结果 | 5 |
| 数据库防火墙 | 2 | 3 | 4 | 5 |
| 数据库静态脱敏系统 | 2 | 3 | 4 | 5 |
| 数据库动态脱敏系统 | 2 | 3 | 4 | 5 |
| 数据库加密系统 | 2 | 3 | 4 | 5 |
| 数据库加水印系统 | 2 | 3 | 4 | 5 |
| 数据库堡垒机 | 2 | 3 | 4 | 5 |
| 数据库漏扫 | 2 | 3 | 4 | 5 |
| 数据库基线核查 | 2 | 3 | 4 | 5 |
| 终端和网络数据防泄漏 | 2 | 3 | 4 | 5 |
最后需要设备之间的联动和数据安全管理平台,形成整体的解决方案,而不是每个点在单打独斗。比如:
数据库审计跟堡垒机的联动,可以实现RDP、SSH等加密协议的审计。
水印和加密联动可加强数据泄露管理
数据库漏扫和数据库安全基线扫描结果可上传至防火墙和审计进行防御
数据库审计三层关联可实现UEBA分析用户真实行为,实现用户名,ip级别的颗粒度访问审计,并且可联动防火墙将该用户拉黑
关于数据库防火墙与数据库审计的关系:DBA做分析会解析到应用层获取数据包中的字段,DBFW只解析到ip和端口结合数字签名技术匹配防攻击规则中的二进制码对数据包进行阻断操作;
至于需不需要数据库安全态势感知?个人觉得在审计设备非集群的情况下审计设备科自身接收其它设备的数据上传进行分析,集群情况下数据库审计又要审计又要关联分析任务量太大,需要另启用硬件来做关联分析平台。
数据安全态势感知平台作用如下:
- 安全威胁及时发现(包括根据特征识别的一直威胁和无特征的未知)
- 安全驱动设备防护
- 一键追踪溯源+攻击取证
- 全网数据的模糊查询、多条件查询
- 全网脆弱性、威胁管理
- 数据安全态势实时展现和精确告警
可以看出要实现上面的功能还需要其它安全设备,这里就不展开细说了。
网友评论