1、項目背景
隨着全球信息化的發展,雲技術得到了快速發展,某銀行六年磨一劍,成功建設“新一代”核心系統,爲全行未來轉型發展與核心競爭力的提升打下了堅實的基礎:1.建成國內金融業規模最大的私有云,率先實現數據中心雲化;2.自主研發“雲管理平臺”,成爲行業雲計算應用的風向標;3.實施落地私有云戰略,逐步建立行業生態系統,成就大型國有商業銀行金融科技產品共享的首推之舉。
在該私有云系統中,有大量的敏感信息,外部黑客、企業租戶、數據庫維護人員都有機會利用數據庫存在的漏洞以及自身擁有的高權限,直接獲取敏感客戶的隱私信息。數據庫作爲私有云的核心和基礎,承載着越來越多的關鍵業務系統和企業的敏感數據,逐漸成爲某銀行私有云系統中最具有戰略性的資產,數據庫的安全穩定運行也直接決定着租戶的系統能否正常使用。
因此,加強企業數據信息安全保護,既是某銀行自身發展的客觀要求,也是爲了滿足行業監管的需要。
2 、技術方案
中安威士提供的雲數據庫審計產品,可爲私有云環境下租戶數據庫提供訪問審計功能。相比銀行內網私有云環境,在虛擬化環境下將必要的數據庫流量進行審計,在具備高精確度的審計能力條件下,最大程度減小對租戶及雲環境的性能消耗。
私有云企業租戶選裝數據庫審計模塊,實現有效審計和管控企業租戶自身的數據安全。採用OS探針部署的方式,通過在雲平臺中部署審計雲服務器,在數據庫系統部署OS探針,將數據庫日誌信息傳輸到企業租戶雲端審計系統,由租戶進行管理和分析。這樣可做到對企業租戶數據庫的訪問活動進行全方位的監控與審計,對數據庫所面臨的風險進行多方位的評估,並提供事後追查機制。
租戶選裝數據庫審計系統,有效監控私有云下企業租戶的內部人員對數據庫訪問行爲,租戶可以實時、準確掌握自身數據庫系統的安全狀態,及時發現企業內外部人員和web系統違反數據庫安全策略的事件,實時記錄,並且實現安全事件的定位分析,事後追查取證。
3 、方案價值
1)企業租戶數據安全風險可視化
l 各租戶可瞭解自身數據資產的分佈,自動發現數據庫服務器、敏感數據的分佈情況,爲後續安全加固明確目標;
l 實時掌握自身數據庫系統的可用性。能對數據庫運行狀態進行實時監控,在狀態異常時進行預警,提前防止業務癱瘓,保障業務系統的連續可用性;
l 實時掌握自身數據庫存在的風險狀況。要求能通過掃描的方式,評估企業數據庫系統的風險,掃描內容包括:弱口令檢測、系統漏洞、配置風險等;
l 進行數據活動監控,實時監控數據活動情況,記錄數據訪問行爲,尤其是租戶運維人員對敏感數據的訪問行爲。同時要求能實現對數據庫的直接訪問及通過Web和應用對數據庫的間接訪問進行全面監控。
2)數據的安全合規,幫助租戶通過各種安全檢查和測評。
比如等保、分保測評,以及金融行業法規標準的要求。
等保在雲計算環境中有明確要求:
l 應保證雲服務商對雲服務客戶系統和數據的操作可被雲服務客戶審計。
l 應根據雲服務商和雲服務客戶的職責劃分,收集各自控制部分的審計數據並實現各自的集中審計。
《中國銀行業十三五信息科技發展規則監管指導意見》文件中明確提出綜合運用多因素認證、訪問控制、邊界防護、泄密檢測、密碼算法和技術、數據脫敏和安全審計等手段,切實提高客戶身份認證和驗證強度,防範敏感數據泄露、篡改、丟失和非授權訪問等風險。