作者:中国工商银行数据中心安全运营部 高子君 周佳铭

近年来,随着数据安全法、个人信息保护法以及《金融数据安全数据安全分级指南》等法律法规行业监管要求的密集出台,国家对数据安全保护的重视程度已经被提到了一个前所未有的高度。正所谓“春江水暖鸭先知”,作为对数据安全极其敏感的行业,银行业无疑成为了数据安全领域的排头兵。尤其是对于大型国有银行而言,数据库作为其信息系统中存储核心数据的关键基础设施,几乎保存着所有重要、敏感的数据,这就使得对于数据库安全保护以及监测审计工作的重要性显得尤为突出和迫在眉睫。

本文以数据库安全审计为切入点,探讨大型国有银行在数据库安全防护体系规划建设过程中遇到的难题以及应对的思路,在保障业务连续性的基础上,通过采取数据库运维操作全审计、数据库安全风险模型实时监控等措施,完善大型国有银行现有的数据安全保障体系。

一、数据库安全防护面临的难点

大型国有银行数据库规模庞大、种类繁多、运维场景复杂,过去依赖于数据库日志文件的审计方法存在诸多弊端,例如,开启数据库审计功能会影响数据库本身的性能甚至影响业务连续性,让安全审计工作“投鼠忌器”;数据库日志文件本身也存在被恶意篡改或删除的风险,难以保障审计信息的真实性和完整性;传统的安全设备产品(防火墙、IPS等)无法发现数据库越权访问、数据篡改和敏感信息泄露等行为并发出告警。针对以上难点问题,目前业界逐步采用部署数据库安全审计防护系统(以下简称“数审系统”)的方式来解决。

二、数据库安全审计的部署与运维

1.数审系统部署

目前,业界传统的数审系统一般采用归档日志解析和网络流量解析等实现方式对数据库操作行为进行审计。基于归档日志解析的方式,在审计要素完整性上有着明显的劣势,无法对风险行为进行精准溯源;基于网络流量解析的方式,在部署模式上一般采用旁路镜像来实现对各类数据库访问、操作等行为的记录与审计,但是大型国有银行的数据库规模庞杂、运维方式多样,单纯从旁路镜像的网络流量上进行审计监控,会丢失生产系统上对本地数据库访问操作的记录,无法保证审计监控的完整性。

在此情景下,大型国有银行采用在数据库操作系统上部署Agent插件的模式架构来解决以上问题,该部署模式为三层架构(如图1所示):第一层为日志采集层,即通过在数据库服务器中部署Agent插件的方式实现对访问流量的采集与转发;第二层为日志集中层,即通过日志集中节点对多个Agent采集的日志进行集中、存储和管理;第三层为总体控制层,管理及运维人员主要通过总控节点进行策略制定、告警确认以及统一部署Agent插件等工作。该部署模式不仅解决了审计监控日志完整性的问题,同时还可将策略配置的颗粒度精细化到单台数据库,充分体现了Agent部署架构的优越性。

图1 大型国有银行采用的数审系统部署架构

2.数审系统规划建设面临的难题与相关解决方案

虽然部署数审系统可以解决数据库安全审计防护的问题,但在实现“全覆盖”的部署体系规划中也遇到了一些技术上的难题,经过反复探讨与实验论证,笔者团队针对不同的问题采取了不同的解决方案。

(1)运维操作与应用程序之间流量难区分问题及解决方案

大量应用程序之间正常的访问流量和日常运维操作流量混在一起,严重干扰了对运维操作的审计。结合应用特点,针对访问源、用户以及访问工具等设立多维度的流量过滤策略,精准区分了访问数据库的操作行为,过滤掉海量无需关注的日志,避免了不必要的资源浪费和人力消耗(如图2所示)。

图2 部署Agent插件及本地审计插件模式

(2)服务器本地访问数据库源地址难追溯问题及解决方案

运维人员在数据库服务器本地访问数据库时,日志通常只会记录服务器本机的IP地址,并将其作为源地址,无法记录运维操作终端的地址。通过使用源地址进阶采集的功能,审计人员可切实看到最初实施登录的终端地址,实现对于运维人员从服务器本地直接访问数据库后进行运维操作场景精准溯源。

(3)容器化环境部署性能与功能难平衡问题及解决方案

当数据库采用容器等虚拟化的部署架构时,通常要求容器尽量轻量化,以充分保证数据库的性能消耗。通过在宿主机上集中式地部署Agent插件,并分别解析不同网卡流量来精准区分不同容器中数据库的访问日志,解决了对容器的侵入式部署问题,实现了既便捷又高效的系统架构。

3.大型国有银行数审系统的运维监控

确定了数审系统的整体架构部署后,大型国有银行不仅要实现对数据库操作行为全面、准确的记录,更要在确保业务连续性的前提下,实现数据库安全风险监控的实时性、有效性,提升风险告警的处置效率。

在保障业务连续性方面,大型国有银行数审系统针对生产系统服务器的性能指标和其自身的资源开销设置监控阈值和熔断策略,防止因数审系统占用过多系统资源而对生产系统性能造成业务影响。同时,数审系统也具备定时自我探活机制,当监测到资源开销指标低于阈值,并且生产系统性能恢复正常稳定后,数审系统便能自动重启,最大限度保障审计工作的正常运行。

在数据库安全风险模型建立方面,笔者团队通过对数据库访问行为的特征进行深入分析,形成一套适合大型国有银行实际业务需求的监控体系,实现对数据库攻击和各类风险操作等行为的实时监控、全面覆盖,包括疑似攻击风险、批量拖库风险、高敏数据泄露、变更操作风险、敏感信息篡改等五大领域。针对“短信验证码异常查询”“涉账数据库改动”“数据库用户异常登录”“数据库中全库全表的导出”“查询客户敏感鉴别信息”等一系列银行业高度关注的风险操作行为,进行策略精细化定制,不断提升数审系统在事中监控上的实时性与有效性。

在数据库风险告警处置方面,笔者团队通过将数审系统与行内资产管理系统进行对接,进一步丰富了相关告警的信息量,实现对风险告警中服务器IP的联动查找,收集所涉及的应用名称、数据库类型、负责人、SQL语句操作源地址、目的地址等详细信息,帮助监控人员精准溯源,快速定位相关告警,及早干预处置,充分发挥数审系统的作用,防止事态进一步恶化;同时,通过机器学习比对与分析,生成“安全语句”模板,对出现的可疑“新型语句”进行审计监控与风险告警自动分级,大幅降低误报频度,从而有力提升了针对数据库安全风险告警的处置效率。

三、对数审系统未来发展的设想

建设数字中国是数字时代推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。在数字化转型和数据安全治理齐头并进的过程中,部署数审系统对于银行业来说乃是大势所趋。而随着ChatGPT、文心一言等AI产品的发布,各行各业都将迎来新一轮的产业革命,对于大型国有银行而言,数据库安全防护既是机遇,也将面临更多的挑战。未来,大型国有银行不应止步于部署数审系统,而应用好数审系统,进一步提升数审系统机器学习的检测能力,使其覆盖各类数据库风险场景,优化提升策略监控告警的及时性与有效性,更好地筑牢大型金融银行可信可控的数字安全屏障。

本文刊于《中国金融电脑》2023年第6期

声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。