近年來,隨著數據安全法、個人信息保護法以及《金融數據安全數據安全分級指南》等法律法規行業監管要求的密集出臺,國家對數據安全保護的重視程度已經被提到了一個前所未有的高度。正所謂“春江水暖鴨先知”,作為對數據安全極其敏感的行業,銀行業無疑成為了數據安全領域的排頭兵。尤其是對于大型國有銀行而言,數據庫作為其信息系統中存儲核心數據的關鍵基礎設施,幾乎保存著所有重要、敏感的數據,這就使得對于數據庫安全保護以及監測審計工作的重要性顯得尤為突出和迫在眉睫。

本文以數據庫安全審計為切入點,探討大型國有銀行在數據庫安全防護體系規劃建設過程中遇到的難題以及應對的思路,在保障業務連續性的基礎上,通過采取數據庫運維操作全審計、數據庫安全風險模型實時監控等措施,完善大型國有銀行現有的數據安全保障體系。

一、數據庫安全防護面臨的難點

大型國有銀行數據庫規模龐大、種類繁多、運維場景復雜,過去依賴于數據庫日志文件的審計方法存在諸多弊端,例如,開啟數據庫審計功能會影響數據庫本身的性能甚至影響業務連續性,讓安全審計工作“投鼠忌器”;數據庫日志文件本身也存在被惡意篡改或刪除的風險,難以保障審計信息的真實性和完整性;傳統的安全設備產品(防火墻、IPS等)無法發現數據庫越權訪問、數據篡改和敏感信息泄露等行為并發出告警。針對以上難點問題,目前業界逐步采用部署數據庫安全審計防護系統(以下簡稱“數審系統”)的方式來解決。

二、數據庫安全審計的部署與運維

1.數審系統部署

目前,業界傳統的數審系統一般采用歸檔日志解析和網絡流量解析等實現方式對數據庫操作行為進行審計。基于歸檔日志解析的方式,在審計要素完整性上有著明顯的劣勢,無法對風險行為進行精準溯源;基于網絡流量解析的方式,在部署模式上一般采用旁路鏡像來實現對各類數據庫訪問、操作等行為的記錄與審計,但是大型國有銀行的數據庫規模龐雜、運維方式多樣,單純從旁路鏡像的網絡流量上進行審計監控,會丟失生產系統上對本地數據庫訪問操作的記錄,無法保證審計監控的完整性。

在此情景下,大型國有銀行采用在數據庫操作系統上部署Agent插件的模式架構來解決以上問題,該部署模式為三層架構(如圖1所示):第一層為日志采集層,即通過在數據庫服務器中部署Agent插件的方式實現對訪問流量的采集與轉發;第二層為日志集中層,即通過日志集中節點對多個Agent采集的日志進行集中、存儲和管理;第三層為總體控制層,管理及運維人員主要通過總控節點進行策略制定、告警確認以及統一部署Agent插件等工作。該部署模式不僅解決了審計監控日志完整性的問題,同時還可將策略配置的顆粒度精細化到單臺數據庫,充分體現了Agent部署架構的優越性。

圖1 大型國有銀行采用的數審系統部署架構

2.數審系統規劃建設面臨的難題與相關解決方案

雖然部署數審系統可以解決數據庫安全審計防護的問題,但在實現“全覆蓋”的部署體系規劃中也遇到了一些技術上的難題,經過反復探討與實驗論證,筆者團隊針對不同的問題采取了不同的解決方案。

(1)運維操作與應用程序之間流量難區分問題及解決方案

大量應用程序之間正常的訪問流量和日常運維操作流量混在一起,嚴重干擾了對運維操作的審計。結合應用特點,針對訪問源、用戶以及訪問工具等設立多維度的流量過濾策略,精準區分了訪問數據庫的操作行為,過濾掉海量無需關注的日志,避免了不必要的資源浪費和人力消耗(如圖2所示)。

圖2 部署Agent插件及本地審計插件模式

(2)服務器本地訪問數據庫源地址難追溯問題及解決方案

運維人員在數據庫服務器本地訪問數據庫時,日志通常只會記錄服務器本機的IP地址,并將其作為源地址,無法記錄運維操作終端的地址。通過使用源地址進階采集的功能,審計人員可切實看到最初實施登錄的終端地址,實現對于運維人員從服務器本地直接訪問數據庫后進行運維操作場景精準溯源。

(3)容器化環境部署性能與功能難平衡問題及解決方案

當數據庫采用容器等虛擬化的部署架構時,通常要求容器盡量輕量化,以充分保證數據庫的性能消耗。通過在宿主機上集中式地部署Agent插件,并分別解析不同網卡流量來精準區分不同容器中數據庫的訪問日志,解決了對容器的侵入式部署問題,實現了既便捷又高效的系統架構。

3.大型國有銀行數審系統的運維監控

確定了數審系統的整體架構部署后,大型國有銀行不僅要實現對數據庫操作行為全面、準確的記錄,更要在確保業務連續性的前提下,實現數據庫安全風險監控的實時性、有效性,提升風險告警的處置效率。

在保障業務連續性方面,大型國有銀行數審系統針對生產系統服務器的性能指標和其自身的資源開銷設置監控閾值和熔斷策略,防止因數審系統占用過多系統資源而對生產系統性能造成業務影響。同時,數審系統也具備定時自我探活機制,當監測到資源開銷指標低于閾值,并且生產系統性能恢復正常穩定后,數審系統便能自動重啟,最大限度保障審計工作的正常運行。

在數據庫安全風險模型建立方面,筆者團隊通過對數據庫訪問行為的特征進行深入分析,形成一套適合大型國有銀行實際業務需求的監控體系,實現對數據庫攻擊和各類風險操作等行為的實時監控、全面覆蓋,包括疑似攻擊風險、批量拖庫風險、高敏數據泄露、變更操作風險、敏感信息篡改等五大領域。針對“短信驗證碼異常查詢”“涉賬數據庫改動”“數據庫用戶異常登錄”“數據庫中全庫全表的導出”“查詢客戶敏感鑒別信息”等一系列銀行業高度關注的風險操作行為,進行策略精細化定制,不斷提升數審系統在事中監控上的實時性與有效性。

在數據庫風險告警處置方面,筆者團隊通過將數審系統與行內資產管理系統進行對接,進一步豐富了相關告警的信息量,實現對風險告警中服務器IP的聯動查找,收集所涉及的應用名稱、數據庫類型、負責人、SQL語句操作源地址、目的地址等詳細信息,幫助監控人員精準溯源,快速定位相關告警,及早干預處置,充分發揮數審系統的作用,防止事態進一步惡化;同時,通過機器學習比對與分析,生成“安全語句”模板,對出現的可疑“新型語句”進行審計監控與風險告警自動分級,大幅降低誤報頻度,從而有力提升了針對數據庫安全風險告警的處置效率。

三、對數審系統未來發展的設想

建設數字中國是數字時代推進中國式現代化的重要引擎,是構筑國家競爭新優勢的有力支撐。在數字化轉型和數據安全治理齊頭并進的過程中,部署數審系統對于銀行業來說乃是大勢所趨。而隨著ChatGPT、文心一言等AI產品的發布,各行各業都將迎來新一輪的產業革命,對于大型國有銀行而言,數據庫安全防護既是機遇,也將面臨更多的挑戰。未來,大型國有銀行不應止步于部署數審系統,而應用好數審系統,進一步提升數審系統機器學習的檢測能力,使其覆蓋各類數據庫風險場景,優化提升策略監控告警的及時性與有效性,更好地筑牢大型金融銀行可信可控的數字安全屏障。

數據庫安全 安全審計 數據庫安全審計系統 數據庫系統 安全運維
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接