【恩墨學院】Bad Rabbit病毒引發的企業資料安全的思考與應對方案

十月底，歐洲地區爆發新型勒索病毒Bad Rabbit，感染範圍包含俄羅斯、烏克蘭、德國等多個東歐國家。據國內網路安全企業介紹，該病毒偽裝成Adobe flash player欺騙使用者安裝，感染後會在區域網內擴散。目前國內暫時還沒有感染到該病毒，但國家通訊管理局今日也已廣泛提醒國內使用者及時採取應對措施，密切關注病毒演變情況，積極防範。

 

 

在過去的一年裡，比特幣勒索，WannaCry病毒等給很多企業帶來了嚴重的損失，這一次bad rabbits再次敲響警鐘。

 

資料是企業的重要資產，企業的核心資料更是企業最重要的資產之一，保障核心資料的安全是資訊建設和運維過程中最重要的工作。資料的篡改和洩露給企業造成的損失是不可估量的。在資訊保安形勢日益嚴峻的國內外形勢下，資料安全，尤其是中央企業的資料安全更加關鍵。

 

業務快速發展引發的資料安全隱患

 

隨著業務快速增長和資訊化建設不斷髮展，企業的資料庫規模越來越大，資料在成為企業核心資產的同時，其被違規訪問、刪除、修改、複製等安全問題也成為了企業IT最大的威脅，企業基於資料庫的安全防護也成為越來越迫切的課題。

 

對於電網行業來講，資料的安全不但關係著電力業務的正常開展，而且直接關係到每一個使用者的資訊保安，因此保障安全、促進發展成為貫穿科學建立電力資料安全技術體系，促進電力業務發展的根本原則。

 

南網某網省公司在深入資訊化建設的過程中，建立了以“6+1核心系統”為中心的業務系統生態圈，系統的整合集中給運維管理帶來了極大的便利，也促進了企業的業務變革和創新。然而，由於各個系統之間的資料流向錯綜複雜，隨著業務的發展資料量的增加，資料安全問題日益暴露出來，核心資料的副本難易控制，運維人員的操作無法跟蹤，核心系統面臨著關係難說清、安全難管控、運維難管理三大安全難題。

 

從資料庫的安全生態角度來講，安全可以分為五大方面：軟體安全、備份安全、訪問安全、防護安全、管理安全。確保使用正版安全的軟體以及做有效的資料備份的安全管理的前提，除此之外，在資料庫的安全防護層面，確保資料的訪問來源和訪問方式安全可控，以及加強企業內部的安全管理流程，都是必不可少的環節。

 

而目前對於該網省集團來說，隨著業務系統變得複雜，在資料互動安全（防護安全）和管理安全上面臨很大的隱患。

 

技術為本，安全管控

 

基於日常運維過程中面臨的困境和行業資訊化發展現狀，集團內部打算從兩方面加強企業的資料安全管控。

 

1、透過建立中間庫，透過中間庫隔離外圍系統與核心系統之間的DBLink對外圍系統對核心庫的訪問進行隔離

2、建立資料運維平臺對資料庫操作進行嚴格管控和審計

 

中間庫的資料隔離

 

透過建立中間庫隔離外圍系統對核心資料庫的訪問，外圍系統的資料訪問請求建立DBlink到中間庫，外圍系統的資料訪問需求按照訪問範圍、訪問頻率、訪問目的等要素進行稽核後同步到中間庫，外圍系統從中間庫獲取所需資料，同時對中間庫進行細粒度審計，嚴格管控外圍系統對中間庫的訪問。這樣，不僅避免了外圍系統對核心庫執行的影響，中間庫也能完全掌握資料的流向。

 

這對平臺的穩定性、安全性、併發性、易管理性都有較高的要求。

 

從技術角度來講，在保障核心系統安全穩定執行的情況下，部分核心資料能夠被必要的外圍系統獲取到，需要在技術上保證同步技術的可行性。

從管控平臺上，需要統一服務標準和流程，要實現易操作和易維護。

從基礎架構角度，接入平臺作為核心系統和外圍系統的互動樞紐，是整個資料流的關鍵環節，為了保證接入平臺的安全穩定高效能執行，需要基礎資料庫架構具有開放式、高可靠性、高效能、可擴充套件性、易管理性的特點。

 

基於以上的考慮因素，在其服務商雲和恩墨專家的建議下，計劃採用分散式儲存架構是實現中間庫的高可用。同時建立資料運維平臺對日常操作進行管控，資料運維平臺整體功能架構如下：

 

 

在服務和應用層面實現對資料的安全保護，針對當前系統DBlink流向複雜的問題，首先對系統化進行全方位的審計，包括資料庫層面比如使用者許可權、SQL等審計，作業系統審計等，避免無權或沒有必要的重複訪問。同時對DBlink進行封裝，保證相似任何情況下，核心資料都不會直接暴露出來，訪問者只能看到其結果展示。

 

 

在支撐層面實現平臺的高效能和高可用。基於zData的分散式管理平臺，透過多臺X86伺服器配合InfiniBand交換機、InfiniBand HCA 卡及PCIe快閃記憶體卡協同工作，能夠極大提升計算能力、IO吞吐能力，同時，降低維護成本。

 

 

對於展現層、應用層和服務層的操作，指定統一的標準和操作規範。對不同的操作人員進行合理的分組和許可權分配，避免應用層的非法訪問。

 

 開發資料庫運維平臺實現管理安全 

 

針對管理的安全問題，建立企業核心資料接入平臺，保證核心資料的安全可控，在管理理念、管理方法、管理規範上進行全面提升，實現低成本、高效率的運維能力。這既是企業核心資料安全的迫切需求，也符合目前資訊系統建設大環境的方向。

 

1、嚴格管控對生產庫的DML/DDL高危操作

 

由於運維工作的需要，二、三線運維人員對資料庫有DML/DDL的許可權，這部分操作對於核心資料的安全威脅較大，因此對這部分操作實現審批流程，只有透過業務審批、技術審批的DML/DDL操作才能執行，同時在執行前會對資料進行強制備份，備份資料安裝任務標識儲存到中間庫中，提供高效的恢復機制。

2、採用工具箱將日常重複的工作進行封裝，規範日常查詢，管控頻繁的查詢工作

 

對於運維工作中需要頻繁對資料庫進行查詢的工作，經過調研發現這部分工作的查詢語句不多，可以進行固化，因此將這部分查詢語句進行封裝，以服務的形式提供給運維人員使用，運維人員在對資料庫查詢時不再需要編寫SQL語句，只需要選擇對於的查詢服務並輸入相應變數即可，服務透過許可權授予運維人員，對服務的呼叫都會被記錄日誌。這樣既管控了運維人員頻繁查詢工作，也防止低效的SQL語句對生產庫造成的衝擊。

 

 

3、對於需要頻繁進行查詢即更新的運維工作，透過SQL解析器進行高效的執行

 

在網省內部的資料運維工作中有部分特殊的操作，比如資料治理工作，該項工作需要頻繁的對生產庫進行查詢、修改，這部分工作對於核心資料的安全威脅較高，但是查詢語句不能固化、更新操作不能走審批流程。針對類似的需求，資料運維平臺提供SQL解析器功能，在SQL解析器中可以直接編寫並執行增刪改查語句，但是增刪改查的操作許可權會按需授予使用者，同時透過物件黑白名單控制使用者能操作哪些物件，對於非法的語句會被直接阻斷，同時在SQL解析器中的操作都會記錄操作日誌。

 

 

在IT 技術高度發達的今天，風險是無處不在、層出不窮的。當今IT 安全建設的重點已經從傳統的網路安全、系統安全等領域轉向瞭如何加強 IT 系統核心的資料庫安全防範。而對於IT核心的資料庫系統，採取主動防護，將可以幫助我們監控、分析和遮蔽很多未知風險。

 

多重保護，杜絕隱患

 

除了在技術上進行安全管控之外，網省集團還在以下方面重點加強安全措施：

 

 1、組織保障

比如成立領導小組，統一管理各項接軌工作；建立管控機制，協調工作資源與進度；設立專門的專案負責小組等。

 2、制度保障

比如工作彙報機制、完善跟蹤檢查和監督機制、完善績效管理機制、建設常態交流機制等。

 

該電網集團透過核心資料接入平臺對資料的互動及資料運維工作進行統一管控，技術與管理雙重加強，既能防止資料庫的內部誤操作導致的資料不安全，也能防範來自外圍資料庫的攻擊。

 

 恩墨學院隸屬於雲和恩墨（北京）資訊科技有限公司，致力於提供專業高水準的與大資料培訓服務，挖掘培養大資料與資料庫人才。恩墨學院提供包括個人實戰技能培訓、個人認證培訓、企業內訓在內的全方位大資料和資料庫技術培訓。ACE級別超強師資，配備專業實驗室，沉浸式學習與訓練，專業實驗室、配備專業助教指導訓練。能迅速融入專家圈子，業內資源豐富，迅速積累職場人脈。課程包括：班、Oracle 、Oracle OCP考試等。