-
行業(yè)背景分析
- 行業(yè)從事和業(yè)務范圍
xx公司和機關單位從事xx行業(yè)荠雕,主要業(yè)務是制造或提供提供xx產品和服務,曾獲得xx榮譽,在行業(yè)中處于xx地位唉堪。 - 行業(yè)現網的信息系統(tǒng)
xx公司和機關單位信息化建設一直處于行業(yè)領先地位,目前已建立了對外官網web應用系統(tǒng)肩民,移動APP唠亚,微信公眾號和小程序;內部OA系統(tǒng)持痰,內部CRM項目管理系統(tǒng)灶搜,內部ERP物料管理系統(tǒng),內部財務系統(tǒng)等應用信息系統(tǒng) - 現網數據價值
xx公司和機關單位的數據信息包含了員工和用戶的許多私人信息和業(yè)務信息(強調各系統(tǒng)大致包含哪些信息)工窍,一旦泄露將產生重大影響占调。 - 安全標準對數據安全的要求
等級保護(國內):
??應對源地址、目的地址移剪、源端口究珊、目的端口和協(xié)議等進行檢查,以允許/拒絕數據包進出纵苛;
??應對進出網絡的數據流實現基于應用協(xié)議和應用內容的訪問控制剿涮;
??訪問控制的粒度應達到主體為用戶級或進程級,客體為文件攻人、數據庫表級取试;
??應對重要主體和客體設置安全標記,并控制主體對有安全標記信息資源的訪問怀吻。
??應采用密碼技術保證重要數據在存儲過程中的保密性瞬浓,包括但不限于鑒別數據、重要業(yè)務數據和重要個人信息等蓬坡。
??應僅采集和保存業(yè)務必需的用戶個人信息猿棉;
??應禁止未授權訪問和非法使用用戶個人信息磅叛。
??獲得系統(tǒng)訪問授權的外部人員應簽署保密協(xié)議,不得進行非授權操作萨赁,不得復制和泄露任何敏感信息弊琴。
?然而傳統(tǒng)網絡審計和防火墻并無法識別和審計數據庫協(xié)議,文件加密也對數據庫無法適用杖爽。
ISO27001(歐英):
??安全管理中需要定時報告信息安全事件和弱點
??應用程序中需要對輸入輸出的數據進行合法驗證
??應用程序中需要保障數據消息的完整性
??要求使用加密控制策略
??對系統(tǒng)測試的數據進行保護
??對信息泄露敲董、技術泄露要有防御措施
SOX 404(美)-COBIT等內控框架:
在SOX 404法案中,要求依據COBIT等內控框架建立企業(yè)信息技術內部控制慰安,其中對數據庫安全審計做出了明確的要求:
1腋寨、對企業(yè)內部敏感數據的存取行為審計
2、對數據的DML操作行為審計
3化焕、對數據表的DDL操作行為審計
4精置、出現的賬號登錄失敗、SQL訪問關鍵錯誤等異常情況審計
5锣杂、對賬號和角色的操作行為脂倦,例如Grant、Revoke等命令的審計
??對企業(yè)內部敏感數據的存取行為審計
??對數據的DML操作行為審計
??對數據的DDL操作行為審計
??對出現的賬號登錄失敗元莫、SQL訪問關鍵錯誤等異常情況審計
相關監(jiān)管部門政策(具體看行業(yè)赖阻,比如醫(yī)療行業(yè)的衛(wèi)健委、教育行業(yè)的教育部踱蠢、金融行業(yè)的銀監(jiān)會火欧、互聯網的工信部和網信辦等) - 數據安全事件多,環(huán)境越來越惡劣
近些年來數據安全事件層出不窮茎截,先有山東大學生徐玉玉遭受電信詐騙事件苇侵,后有華住漢庭酒店數據泄露,再有網貸平臺大學生賬戶注銷風波企锌;黑客和詐騙者等不法分子在暗網的交易越來越緊密榆浓,時時刻刻都在威脅著當今社會的安全和隱私;如何防止數據安全事件已經漸漸地成為企業(yè)和相關單位的首要任務撕攒。
-
客戶當前現狀
原拓撲
客戶現有環(huán)境雖然已有防火墻陡鹃、IPS、上網行為管理抖坪、WAF等安全產品萍鲸,但針對數據庫的防護措施仍然不夠,尚存在以下的風險:
- 對數據庫每時每刻發(fā)生的操作不知情:解釋巴拉巴拉
- 缺乏針對數據庫的防御措施:解釋巴拉巴拉
- 缺乏對內部員工外發(fā)數據的管控:解釋巴拉巴拉
- 對敏感數據缺乏處理:解釋巴拉巴拉
- 對運維人員的管控不到位:解釋巴拉巴拉
- 對數據庫的脆弱點全然不知:解釋巴拉巴拉
- 數據庫配置無安全基線標準:解釋巴拉巴拉
- 對數據泄漏的路徑無查知手段:解釋巴拉巴拉
-
整改方案
整改前:
整改前拓撲
整改后:
整改后拓撲
整改方案
- 在運維區(qū)域部署數據庫審計擦俐,在核心交換機處通過鏡像端口流量到數據庫審計當中脊阴,對數據庫的sql語句操作和返回結果進行全面審計,實現數據操作的全知曉和全紀錄,也可對安全事件進行事后的審查嘿期。
- 在數據庫和交換機之間串接部署數據庫防火墻品擎,對所有攻擊數據庫的流量進行清洗和過濾,阻斷危險攻擊和危險操作秽五,實時告警給管理員
- 在數據庫和交換機之間串接部署數據庫加密系統(tǒng)孽查,對數據庫的相關字段進行加密處理饥悴,只有當web應用讀取的時候才進行解密坦喘,防止數據庫文件被竊取后的數據泄露,防止非正常途徑的惡意查詢和拖庫西设。
- 在數據庫和交換機之間串接部署數據庫水印系統(tǒng)瓣铣,可在數據流轉的過程中做記錄,當發(fā)生安全事件時刻追蹤溯源到數據泄露的途徑
- 在數據庫和交換機之間串接部署數據庫動態(tài)脫敏系統(tǒng)贷揽,當進行敏感數據查詢的時候對數據進行掩碼棠笑、混淆、編排禽绪、變形等處理蓖救,在實現敏感數據變形的同時也不影響數據的第一印象閱讀和展示
- 在運維區(qū)域部署數據庫漏掃和安全基線核查,及時發(fā)現數據庫脆弱點和風險配置印屁,為安全加固和防御提供數據支撐
- 在運維區(qū)域部署數據庫堡壘機循捺,通過協(xié)議代理和解析等方式,實現對運維中數據庫操作的RDP雄人、SSH審計从橘;并對多種數據庫協(xié)議的高危操作進行管控,避免刪庫跑路等運維安全事件的發(fā)生础钠,同時可對數據庫進行狀態(tài)監(jiān)控
- 在運維區(qū)域部署數據庫靜態(tài)脫敏系統(tǒng)恰力,在測試和開發(fā)過程需要使用數據庫時,通過對數據庫中敏感信息進行靜態(tài)脫敏和混淆后開放給技術人員旗吁,防止敏感流轉和泄漏
- 在終端所有pc和網絡出口處部署數據防泄漏設備踩萎,對外發(fā)的文字、圖片很钓、文件做審計和管控驻民,同時給屏幕加上水印防止拍照泄漏后無法溯源,審計外設的接入和文件的考入考出履怯,聯合數據庫中的數據一旦發(fā)現有員工外發(fā)數據庫相關的字段和敏感信息則通過告警通知管理人員
實現效果...
-
配置清單
| 設備名稱 | 數量 | 配置 | 作用 | 價格 |
|---|---|---|---|---|
| 數據庫審計系統(tǒng) | 2 | 4*萬兆光口回还、4*千兆電口、4TB硬盤叹洲、雙電源 | 記錄sql語句和返回結果 | 5 |
| 數據庫防火墻 | 2 | 3 | 4 | 5 |
| 數據庫靜態(tài)脫敏系統(tǒng) | 2 | 3 | 4 | 5 |
| 數據庫動態(tài)脫敏系統(tǒng) | 2 | 3 | 4 | 5 |
| 數據庫加密系統(tǒng) | 2 | 3 | 4 | 5 |
| 數據庫加水印系統(tǒng) | 2 | 3 | 4 | 5 |
| 數據庫堡壘機 | 2 | 3 | 4 | 5 |
| 數據庫漏掃 | 2 | 3 | 4 | 5 |
| 數據庫基線核查 | 2 | 3 | 4 | 5 |
| 終端和網絡數據防泄漏 | 2 | 3 | 4 | 5 |
最后需要設備之間的聯動和數據安全管理平臺柠硕,形成整體的解決方案,而不是每個點在單打獨斗。比如:
數據庫審計跟堡壘機的聯動蝗柔,可以實現RDP闻葵、SSH等加密協(xié)議的審計。
水印和加密聯動可加強數據泄露管理
數據庫漏掃和數據庫安全基線掃描結果可上傳至防火墻和審計進行防御
數據庫審計三層關聯可實現UEBA分析用戶真實行為癣丧,實現用戶名槽畔,ip級別的顆粒度訪問審計,并且可聯動防火墻將該用戶拉黑
關于數據庫防火墻與數據庫審計的關系:DBA做分析會解析到應用層獲取數據包中的字段胁编,DBFW只解析到ip和端口結合數字簽名技術匹配防攻擊規(guī)則中的二進制碼對數據包進行阻斷操作厢钧;
至于需不需要數據庫安全態(tài)勢感知?個人覺得在審計設備非集群的情況下審計設備科自身接收其它設備的數據上傳進行分析嬉橙,集群情況下數據庫審計又要審計又要關聯分析任務量太大早直,需要另啟用硬件來做關聯分析平臺。
數據安全態(tài)勢感知平臺作用如下:
- 安全威脅及時發(fā)現(包括根據特征識別的一直威脅和無特征的未知)
- 安全驅動設備防護
- 一鍵追蹤溯源+攻擊取證
- 全網數據的模糊查詢市框、多條件查詢
- 全網脆弱性霞扬、威脅管理
- 數據安全態(tài)勢實時展現和精確告警
可以看出要實現上面的功能還需要其它安全設備,這里就不展開細說了枫振。
