數(shù)據(jù)庫審計(jì)系統(tǒng)是客戶信息保護(hù)的利器

王彥文

摘要：隨著客戶信息保護(hù)的國家法律出臺(tái)，電信運(yùn)營商均致力于對客戶信息泄露的防范，但對于如何實(shí)時(shí)掌握敏感信息的操作行為，及時(shí)發(fā)現(xiàn)違規(guī)風(fēng)險(xiǎn)則是客戶信息保護(hù)的重點(diǎn)和難點(diǎn)。本文通過分析，對如何解決繞行訪問，竊取客戶信息的問題進(jìn)行了說明，并通過對技術(shù)手段的分析，研究如何使用網(wǎng)絡(luò)流量抓包方式，更好的保護(hù)客戶信息安全。

關(guān)鍵詞：數(shù)據(jù)庫審計(jì)；客戶信息保護(hù)；安全監(jiān)控中國移動(dòng)歷來重視客戶信息保護(hù)工作，從2009年開始發(fā)布規(guī)范，建設(shè)4A系統(tǒng)，對系統(tǒng)操作進(jìn)行控制和記錄。經(jīng)過4年4A管理平臺(tái)的建設(shè)，實(shí)現(xiàn)了帳號、認(rèn)證、授權(quán)和審計(jì)的統(tǒng)一管理。應(yīng)用、系統(tǒng)管理人員已經(jīng)能夠通過4A管理平臺(tái)對支撐系統(tǒng)的用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配、統(tǒng)一認(rèn)證和集中審計(jì)，從技術(shù)上保證了安全策略的實(shí)施，提升了業(yè)務(wù)支撐網(wǎng)的整體安全水平。

1系統(tǒng)建設(shè)背景

核心數(shù)據(jù)庫在審計(jì)方面還存在一些問題和風(fēng)險(xiǎn)：

1.1 終端采用未知協(xié)議和端口或使用未知客戶端直接訪問數(shù)據(jù)庫

如果終端使用了未知協(xié)議和端口或使用未知客戶端對數(shù)據(jù)庫進(jìn)行訪問，將無法在技術(shù)上強(qiáng)制要求通過4A系統(tǒng)和堡壘機(jī)操作，也就無法記錄操作日志，對這類操作無法進(jìn)行審計(jì)及危險(xiǎn)操作的實(shí)時(shí)告警和阻斷。

1.2 利用應(yīng)用系統(tǒng)的未知漏洞直接訪問數(shù)據(jù)庫無法記錄完整操作日志

個(gè)別應(yīng)用系統(tǒng)在上線后可能存在未知的風(fēng)險(xiǎn)漏洞，破壞分子可能利用這些漏洞直接訪問和使用數(shù)據(jù)庫，但應(yīng)用系統(tǒng)操作日志均通過對界面點(diǎn)擊按鈕的解析完成記錄，通過漏洞對數(shù)據(jù)庫操作將無法記錄操作日志。

1.3 外圍系統(tǒng)直接對數(shù)據(jù)庫的訪問

圍了業(yè)務(wù)發(fā)展，部分外圍系統(tǒng)需要通過接口使用中國移動(dòng)的客戶信息和消費(fèi)數(shù)據(jù)，但外圍系統(tǒng)對數(shù)據(jù)的操作無法記錄和審計(jì)。

1.4 個(gè)別應(yīng)用系統(tǒng)未作審計(jì)或?qū)徲?jì)功能不完善

個(gè)別老舊系統(tǒng)由于日志記錄對系統(tǒng)性能重大影響的原因，或在建設(shè)時(shí)未考慮日志記錄的安全設(shè)計(jì)，導(dǎo)致操作日志記。

2客戶信息保護(hù)的目標(biāo)

為了防范用戶通過合法或者非法的方式登錄數(shù)據(jù)庫主機(jī)之后，在本地執(zhí)行違規(guī)的數(shù)據(jù)庫操作，增強(qiáng)客戶信息保護(hù)能力，實(shí)現(xiàn)監(jiān)控的規(guī)范化，審計(jì)分析的可靠化。提出建設(shè)目標(biāo)：

2.1 防護(hù)不再有遺漏

能夠?qū)?shù)據(jù)庫訪問的行為進(jìn)行全面監(jiān)控，對使用原手段未進(jìn)行記錄的敏感操作進(jìn)行日志記錄。

2.2 安全分析及時(shí)高效

能監(jiān)控?cái)?shù)據(jù)庫里面的各類訪問和操作，用戶在數(shù)據(jù)庫中做什么操作，對于數(shù)據(jù)庫可用性和數(shù)據(jù)安全產(chǎn)生何種風(fēng)險(xiǎn)。

2.3 違規(guī)操作及時(shí)阻斷

對于數(shù)據(jù)庫的違規(guī)訪問、操作和導(dǎo)出（下載）行為進(jìn)行控制，阻止偽用戶的登錄，防止用戶惡意的破壞和導(dǎo)出（下載），防止用戶誤操作。

2.4 定位準(zhǔn)確，解決思路明確

發(fā)生了數(shù)據(jù)安全和泄漏問題后，能夠協(xié)助定位原因和用戶，及時(shí)制定解決方案。

3客戶信息保護(hù)原則

為了完善客戶信息保護(hù)能力的需要，確定數(shù)據(jù)庫操作的事前事中事后原則。

3.1 事前規(guī)范

具備業(yè)務(wù)行為發(fā)生前的行為規(guī)范策略制定功能。

能夠?qū)I(yè)務(wù)行為中各步驟的動(dòng)作作出定義，能夠?qū)I(yè)務(wù)行為中步驟、分枝和流向作出定義。從而形成完整的規(guī)范的業(yè)務(wù)行為策略。

針對標(biāo)準(zhǔn)的業(yè)務(wù)行為提供“開箱即用”的動(dòng)作規(guī)范處理，針對非標(biāo)準(zhǔn)的業(yè)務(wù)行為在提供最佳實(shí)踐定義，針對特殊業(yè)務(wù)行為允許用戶自定義規(guī)范。通過這些規(guī)范定義，能夠?yàn)闃I(yè)務(wù)的正常執(zhí)行提供防護(hù)。

3.2 事中記錄、阻斷

具備對各業(yè)務(wù)行為的操作主體、操作動(dòng)作以及操作客體進(jìn)行記錄的功能。

能夠?qū)崟r(shí)對業(yè)務(wù)行為進(jìn)行合法性判定并在發(fā)現(xiàn)有不符合行為規(guī)范策略的動(dòng)作發(fā)生時(shí)，阻斷行為動(dòng)作，并發(fā)出告警。

針對惡意用戶對數(shù)據(jù)庫的違規(guī)操作，能夠采用強(qiáng)制手段直接斷開會(huì)話，并產(chǎn)生完整的審計(jì)記錄。

3.3 事后回顧

具備對業(yè)務(wù)行為進(jìn)行統(tǒng)計(jì)、分析并以報(bào)表形式展現(xiàn)的功能。發(fā)生了數(shù)據(jù)安全和泄漏問題后，能夠協(xié)助定位原因和用戶，及時(shí)制定解決方案。

4實(shí)施方法

通過技術(shù)手段建設(shè)，實(shí)現(xiàn)客戶信息保護(hù)的目的。

4.1業(yè)務(wù)行為定義

定義規(guī)范的業(yè)務(wù)行為，其中包括業(yè)務(wù)行為動(dòng)作定義、業(yè)務(wù)行為分枝定義、業(yè)務(wù)行為合法流向定義和業(yè)務(wù)行為操作客體定義。

4.2業(yè)務(wù)行為授權(quán)

將規(guī)范的業(yè)務(wù)行為授權(quán)給合法的主體，例如，授權(quán)給某些應(yīng)用系統(tǒng)用戶名或數(shù)據(jù)庫帳戶。該類主體除可以采用用戶名和/或帳戶外，還可以采用其它屬性（例如IP地址/MAC地址/IP地址段等參數(shù)）作為識別條件。

4.3 業(yè)務(wù)行為采集

對主體正在進(jìn)行中的業(yè)務(wù)行為實(shí)現(xiàn)采集，采集的數(shù)據(jù)有行為主體、操作動(dòng)作、操作客體。

包括：源IP，源MAC,源端口，目標(biāo)IP,目標(biāo)MAC,目標(biāo)端口，用戶賬號，用戶名，連接數(shù)據(jù)庫名，數(shù)據(jù)庫對象，操作表名，操作時(shí)間，操作SQL語句及詳細(xì)內(nèi)容（存儲(chǔ)過程需要解析開）?？紤]不同的SQL語句種類。

4.4 違規(guī)行為阻斷

對試圖進(jìn)行不符合業(yè)務(wù)行為定義的操作動(dòng)作實(shí)現(xiàn)阻斷，提示操作者操作不合法。

4.5 違規(guī)行為告警

對試圖進(jìn)行不符合業(yè)務(wù)行為定義的操作動(dòng)作實(shí)現(xiàn)阻斷的同時(shí)，不僅提示操作者操作不合法，且發(fā)出違規(guī)行為告警。告警可以以郵件報(bào)表等方式發(fā)送。

4.6 多維度分析、多角度展示

業(yè)務(wù)行為統(tǒng)計(jì)、分析及報(bào)表展現(xiàn)對業(yè)務(wù)行為實(shí)現(xiàn)按業(yè)務(wù)執(zhí)行主體、執(zhí)行類型等維度進(jìn)行行為的多層次分析，并能以餅圖、直方圖、趨勢圖等圖標(biāo)形式展現(xiàn)分析。提供模板化的展示形式（如發(fā)生在特定IP或IP段的行為記錄、特定執(zhí)行主體的業(yè)務(wù)行為記錄等）

5技術(shù)實(shí)現(xiàn)

審計(jì)系統(tǒng)主要依靠網(wǎng)絡(luò)旁路偵聽的手段，對引自應(yīng)用層和數(shù)據(jù)庫層的網(wǎng)絡(luò)流量進(jìn)行解包分析，抓取原始的數(shù)據(jù)庫操作行為，并根據(jù)預(yù)定義或數(shù)據(jù)庫安全評估（靜態(tài)審計(jì)）產(chǎn)生的安全策略和審計(jì)規(guī)則，進(jìn)行各種類型的告警或阻斷，同時(shí)通過安全事件回放和審計(jì)報(bào)表提供針對身份（Who）、時(shí)間（When）、地點(diǎn)（Where）、內(nèi)容（What）等關(guān)鍵要素的審計(jì)。其系統(tǒng)功能示意如下圖：

5.1 采集解析

采集解析模塊是數(shù)據(jù)庫審計(jì)系統(tǒng)的數(shù)據(jù)來源，主要包括流量采集和協(xié)議解析兩個(gè)子模塊。

5.1.1 流量采集

流量采集子模塊主要完成數(shù)據(jù)流量的采集功能，根據(jù)網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)庫接入方式不同，有多種流量采集方式，包括旁路鏡像模式、分流器模式和TAP模式（分流器和TAP是一種專用的流量采集工具，可以串聯(lián)在網(wǎng)絡(luò)中，實(shí)現(xiàn)流量的復(fù)制）。

5.1.2 協(xié)議解析

協(xié)議解析子模塊主要是完成數(shù)據(jù)庫流量的協(xié)議還原，識別包括Oracle、SQL Server、DB2、Informix、MYSQL等主流數(shù)據(jù)庫的所有行為動(dòng)作，實(shí)時(shí)記錄各類數(shù)據(jù)庫DDL/DML操作，還原存儲(chǔ)過程、綁定變量的實(shí)際內(nèi)容，還原數(shù)據(jù)庫響應(yīng)內(nèi)容和數(shù)據(jù)庫批量導(dǎo)入導(dǎo)出操作，并將不同數(shù)據(jù)庫的行為記錄以一種統(tǒng)一的、標(biāo)準(zhǔn)的、易懂的格式進(jìn)行保存。解析的內(nèi)容要包括數(shù)據(jù)庫的原始SQL語句、SQL語句的執(zhí)行結(jié)果、執(zhí)行時(shí)間、返回內(nèi)容、客戶端工具、操作系統(tǒng)用戶名、源IP地址、數(shù)據(jù)庫用戶名、實(shí)例名等詳細(xì)的信息。

協(xié)議分析子模塊還用來進(jìn)行應(yīng)用層流量的協(xié)議還原（http協(xié)議），并將應(yīng)用層行為統(tǒng)一記錄保存。解析的內(nèi)容包括Web用戶名、用戶源IP、發(fā)起數(shù)據(jù)庫操作的URL、http請求類型、請求時(shí)間、向數(shù)據(jù)庫服務(wù)器傳遞的請求參數(shù)、返回結(jié)果等詳細(xì)的信息。

5.2 審計(jì)分析

審計(jì)分析模塊是數(shù)據(jù)庫審計(jì)系統(tǒng)的核心模塊，主要包括事前安全評估、事中實(shí)施監(jiān)控、事中雙向?qū)徲?jì)、事中Web業(yè)務(wù)審計(jì)、事中三層審計(jì)、事中告警方式豐富、事后回放追溯、高效行為檢測、細(xì)粒度審計(jì)規(guī)則等子模塊。

5.3 報(bào)表展現(xiàn)

報(bào)表展示模塊是數(shù)據(jù)庫審計(jì)系統(tǒng)分析結(jié)果的展示模塊，主要包括綜合視圖、審計(jì)報(bào)表、模型分析共三個(gè)子模塊。

5.4 網(wǎng)絡(luò)部署思路

數(shù)據(jù)庫審計(jì)設(shè)備采用選取兩個(gè)節(jié)點(diǎn)，分布式部署采集機(jī)，統(tǒng)一建設(shè)服務(wù)器。網(wǎng)絡(luò)部署圖如下所示：

6主要技術(shù)和管理創(chuàng)新點(diǎn)

⑴對客戶信息保護(hù)保護(hù)工作提出了新的解決思路，通過數(shù)據(jù)庫操作分析告警機(jī)制，及時(shí)發(fā)現(xiàn)泄露風(fēng)險(xiǎn)加以處理。

⑵通過網(wǎng)絡(luò)流量鏡像和數(shù)據(jù)包解析整合手段，解決了操作日志難以記錄和難以定位操作人員的問題。

⑶通過定期操作分析和通報(bào)考核，強(qiáng)化了人員安全風(fēng)險(xiǎn)意識，很大程度上避免了主動(dòng)泄露客戶信息的風(fēng)險(xiǎn)。

[參考文獻(xiàn)]

[1]陳煒.基于網(wǎng)絡(luò)的數(shù)據(jù)庫審計(jì)和風(fēng)險(xiǎn)控制研究.

[2]李晶媛.網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)審計(jì)跟蹤研究.