資料庫安全之金融

近年來，隨著Internet的快速發展，各個行業均已進入資訊化時代，金融業在中國20世紀70年代就已起步；20世紀80年代已經進入推廣應用階段，陸續引進了美國、日本等先進的資訊裝置；90年代各大專業銀行等資訊系統紛紛升級，緊跟國際資訊化腳步，引進國外先進技術，不斷提高自身資訊化水平；到90年代末，整個世界進入一個資訊科技高速發展的網際網路時代，而金融行業作為中國資訊化先進水平的代表則面臨著前所未有的機遇和挑戰。

金融行業正常業務範圍概括起來主要有以下四大部分，分別是銀行業，證券業，保險業及其他金融服務。其中銀行業包括中央銀行，商業銀行，其他銀行。證券業主要有股票、債券、期貨及其他有價證券的投資交易活動。保險業，包括人壽保險，非人壽保險，保險輔助服務。其他金融業務是上述三種業務之外的業務，主要有金融信託、金融管理、金融租賃、財務公司、郵政儲蓄、典當以及其他未列明的金融活動。

隨著人們生活水平不斷提高，經濟上行，銀行業務量不斷增長，持續湧現一些新興業務，銀行企業網路內部的應用行為愈加趨向複雜，而銀行中的資料往往涉及公眾的敏感資訊。銀行通訊網一般是以總行為中心、各省分行為分中心，覆蓋各地市行的分級式骨幹網路系統，整個網路負責著銀行綜合業務資料（包括對公、儲蓄、辦公自動化以及語音等多種業務）的實時傳輸任務。在這樣需要高可靠性、高保密性的網路中，卻存在著針對銀行核心資料庫操作的安全隱患，例如非工作時間訪問核心業務表、非工作場所訪問資料庫、第三方軟體開發商遠端訪問等等行為，都可能存在著重大安全隱患。

為了保證銀行網路、業務系統穩定、可靠，國家管理部門從銀行行業的實際安全需求出發，頒佈了以下相關指引、法規：2010年，中國人民銀行釋出了《網上銀行系統資訊保安通用規範（試行）》中指出網路架構、資料安全需審計；2009年，銀監會發布《商業銀行資訊科技風險管理指引》；2007年，全國資訊保安標準化技術委員會發布了《網上銀行系統資訊保安保障評估準則》；2006年，銀監會發布《電子銀行業務管理辦法》、《電子銀行安全評估指引》、《銀行業金融機構資訊系統風險管理指引》、《商業銀行合規風險管理指引》、《中國銀行業監督委員會辦公廳檔案銀監辦通313號》、《保險公司內部審計指引（試行）》、《保險公司風險管理指引（試行）》；2002年，《商業銀行內部控制指引》。

在這樣的資訊化背景下，金融行業緊跟潮流，在資訊化裝置採購上一直保持著國際先進水平，但僅保持硬體及軟體系統的先進性還是不夠的。資料庫作為金融行業資訊系統的核心和基礎，承載著越來越多的關鍵業務系統，整個業務流程過程中的操作、資料的變更、新增、刪除都儲存在資料庫中，儲存著客戶的個人資料以及資金等各類資訊。資訊一旦被篡改或者洩露，不僅損害到公民自身利益，銀行的品牌形象，甚至影響到公共秩序和國家利益。

針對網路中的威脅，金融行業也採取了很多防禦措施，比如在金融資訊系統最外層部署了網路防火牆，在應用層部署了IDS、IPS、WAF、堡壘機等一系列安全產品，在客戶終端上也部署了相應的防病毒軟體，但在資料庫層面安全措施做得不夠。

針對銀行業八大應用系統叢集的業務和資料庫安全的保障需求，中安威士提出了面向業務系統和資料庫系統的“縱深防禦”安全加固方案（圖1）。該方案採用資料庫行為審計、業務系統審計、資料庫防火牆和透明加密技術，可以有效監控針對資料庫和業務系統的各種操作，及時發現違反資料庫安全策略事件並進行阻斷，該方案支援對核心資料的加密，層層設防，確保銀行資訊系統的業務和資料安全。

圖1 中安威士針對業務和資料庫安全“縱深防禦”方案

中安威士業務和資料庫安全“縱深防禦”方案中的主要功能模組如下：

資料庫風險掃描。可以對資料庫的系統漏洞、使用者弱口令、許可權分配、宿主作業系統漏洞等內容進行定期掃描，發現漏洞風險及不合理的配置項，及時通知管理員。透過資料庫風險掃描功能可以減少、弱化大多數人為與非人為造成的資料庫風險，提高資料庫的安全性，減少資料庫被攻擊的風險。

資料庫狀態監控。監控資料庫系統的記憶體使用狀況、緩衝區管理統計、使用者連線統計、Cache資訊、鎖資訊、SQL統計資訊、資料庫資訊、計劃任務、執行緒資訊、鍵效率、緩衝區命中率等資訊來判斷資料庫系統執行是否正常，保證資料庫系統的可用性和響應能力。

資料庫操作審計。採用智慧語法分析技術，對發往資料庫的語句進行分析，並將SQL語句還原為對資料庫的操作行為。進行細粒度的記錄、審計及報表展現，對高風險的SQL操作進行告警甚至阻斷。對於業務系統的特殊部署（比如應用系統與資料庫系統同臺部署）或運維操作（比如直接在伺服器運算元據庫、遠端桌面訪問資料庫等），常規資料庫審計方法是無法監控到的。中安威士的資料庫審計系統可以提供本地探針的部署方式，全面審計到對資料庫的本地訪問行為，確保審計資訊360度無死角。資料庫審計可以對違規運算元據庫的行為進行記錄、追蹤和取證，這對內部網路犯罪是一種強大的威懾。

業務系統及三層關聯審計。目前銀行很多業務系統都是基於三層架構部署，即採用前臺瀏覽器、中介軟體或Web伺服器及後臺資料庫伺服器的三層部署方式。在這種部署方式中，所有對後臺資料庫訪問都是透過Web應用伺服器或中介軟體來執行的，前端使用者並不會直接對資料庫進行操作。而目前主流的資料庫審計類產品通常都是針對後臺資料庫的訪問行為進行記錄和審計，這就產生了一個問題，即在定位資料庫操作的具體執行者時，無法關聯到Web前臺的訪問者。

圖2 三層架構下的審計需求

中安威士的資料庫審計產品支援“全業務流程審計”，可同時監控Web應用系統前臺發生的業務行為和後臺資料庫發生的操作行為。透過將使用者登入Web頁面後所進行的業務操作（包括使用者登入、退出、業務資訊的增、刪、查、改等）和對資料庫的操作（資料的增、刪、查、改等）進行關聯分析，準確定位資料庫的操作源頭。

資料庫防火牆。資料庫防火牆以直聯的方式部署於資料庫伺服器的前端，實時監控應用系統以及管理員對資料庫的一切訪問活動。資料庫防火牆採用了創新的語法分析技術，檢查發往資料庫的每一條SQL語句，並根據預先制定的策略決定是否讓該SQL語句透過，這些策略包括：

主體、客體授權規則：實現粗粒度的訪問控制，比如根據操作人員、IP、應用程式、操作時間、資料庫表、指定操作等資訊實現訪問控制；

請求分類規則：透過對業務系統中的資料庫訪問操作進行自動學習，對事件進行分類，識別普通操作和高危操作；

多關鍵字匹配：透過關鍵字及關鍵字組合快速匹配某條SQL語句，實現對敏感內容的識別和過濾；

正規表示式：可以根據業務系統的實際情況，自定義任意規則對資料操作進行識別和控制。

透過部署資料庫防火牆，可以遮蔽掉高危的SQL操作，防止注入攻擊以及對敏感資訊的無授權訪問，有效避免因外部攻擊、內部非法操作以及誤操作所帶來的資料被竊取、刪除、篡改等風險。

資料庫透明加密。透過資料庫狀態監控、業務和資料庫行為審計、資料庫防火牆，已經能夠確保核心資料資產的安全。對於極端情況，比如DBA許可權洩漏、直接複製檔案等情況造成的資料洩密，可以透過資料庫的透明加密來給資料加上最後一道“鎖”。部署了資料庫加密以後，資料庫管理員獲得的資訊無法進行正常脫密，從而保證了使用者資訊的安全。同時，透過加密，資料庫的備份內容成為密文，從而能減少因備份介質失竊或丟失而造成的損失。

透過上述資料庫“縱深防禦”方案，可以將相關業務人員訪問應用系統和資料庫的行為進行合規審計，對外部使用者（比如網銀接入的使用者、網站訪問使用者）訪問資料庫的行為進行安全防護，對銀行系統的核心敏感資料進行加密，從而實現銀行資訊系統的業務和資料庫資源的縱深防禦和細粒度審計。

上述方案涉及的安全產品包括中安威士的 資料庫審計、資料庫防火牆以及資料庫透明加密產品，這三個產品所包含的功能如下表所示：

滿足來自人行及銀監等部門的合規性安全檢查要求；維護和提升銀行機構的形象和公信力；解決運維人員專業安全分析能力不足問題；協助安全事件取證以及事後追溯；防止敏感資訊丟失或洩露。資料庫漏掃透過對銀行資料庫的漏洞評估和配置檢查，降低非法入侵的機率；審計產品有效記錄來自網際網路接入區的非法行為、資料庫入侵行為、並對違規訪問行為進行及時預警和行為回溯；資料庫防火牆防範“越權使用、許可權濫用、許可權盜用”等安全威脅，提升資料庫安全整體防禦效果，有效抵禦各類攻擊。