某銀行私有云資料庫審計專案

1、專案背景

隨著全球資訊化的發展，雲技術得到了快速發展，某銀行六年磨一劍，成功建設“新一代”核心系統，為全行未來轉型發展與核心競爭力的提升打下了堅實的基礎： 1.建成國內金融業規模最大的私有云，率先實現資料中心雲化； 2.自主研發“雲管理平臺”，成為行業雲端計算應用的風向標； 3.實施落地私有云戰略，逐步建立行業生態系統，成就大型國有商業銀行金融科技產品共享的首推之舉。

在該私有云系統中，有大量的敏感資訊，外部駭客、企業租戶、資料庫維護人員都有機會利用資料庫存在的漏洞以及自身擁有的高許可權，直接獲取敏感客戶的隱私資訊。 資料庫作為私有云的核心和基礎，承載著越來越多的關鍵業務系統和企業的敏感資料，逐漸成為某銀行私有云系統中最具有戰略性的資產，資料庫的安全穩定執行也直接決定著租戶的系統能否正常使用。

因此，加強企業資料資訊保安保護，既是某銀行自身發展的客觀要求，也是為了滿足行業監管的需要。

2 、技術方案

中安威士提供的雲資料庫審計產品，可為私有云環境下租戶資料庫提供訪問審計功能。 相比銀行內網私有云環境，在虛擬化環境下將必要的資料庫流量進行審計，在具備高精確度的審計能力條件下，最大程度減小對租戶及雲環境的效能消耗。

私有云企業租戶選裝資料庫審計模組，實現有效審計和管控企業租戶自身的資料安全。 採用OS探針部署的方式，透過在雲平臺中部署審計雲伺服器，在資料庫系統部署OS探針，將資料庫日誌資訊傳輸到企業租戶雲端審計系統，由租戶進行管理和分析。 這樣可做到對企業租戶資料庫的訪問活動進行全方位的監控與審計，對資料庫所面臨的風險進行多方位的評估，並提供事後追查機制。

租戶選裝 資料庫審計系統，有效監控私有云下企業租戶的內部人員對資料庫訪問行為，租戶可以實時、準確掌握自身資料庫系統的安全狀態，及時發現企業內外部人員和web系統違反資料庫安全策略的事件，實時記錄，並且實現安全事件的定位分析，事後追查取證。

3 、方案價值

1）企業租戶資料安全風險視覺化

l  各租戶可瞭解自身資料資產的分佈，自動發現資料庫伺服器、敏感資料的分佈情況，為後續安全加固明確目標；

l  實時掌握自身資料庫系統的可用性。 能對資料庫執行狀態進行實時監控，在狀態異常時進行預警，提前防止業務癱瘓，保障業務系統的連續可用性；

l  實時掌握自身資料庫存在的風險狀況。 要求能透過掃描的方式，評估企業資料庫系統的風險，掃描內容包括： 弱口令檢測、系統漏洞、配置風險等；

l  進行資料活動監控，實時監控資料活動情況，記錄資料訪問行為，尤其是租戶運維人員對敏感資料的訪問行為。 同時要求能實現對資料庫的直接訪問及透過Web和應用對資料庫的間接訪問進行全面監控。

2）資料的安全合規，幫助租戶透過各種安全檢查和測評。

比如等保、分保測評，以及金融行業法規標準的要求。

等保在雲端計算環境中有明確要求：

l  應保證雲服務商對雲服務客戶系統和資料的操作可被雲服務客戶審計。

l  應根據雲服務商和雲服務客戶的職責劃分，收集各自控制部分的審計資料並實現各自的集中審計。

《中國銀行業十三五資訊科技發展規則監管指導意見》檔案中明確提出綜合運用多因素認證、訪問控制、邊界防護、洩密檢測、密碼演算法和技術、資料脫敏和安全審計等手段，切實提高客戶身份認證和驗證強度，防範敏感資料洩露、篡改、丟失和非授權訪問等風險。